VPN Client アドミニストレータ ガイド Release 4.6
ネットワーク管理者用の設定情報
ネットワーク管理者用の設定情報
発行日;2012/01/16 | 英語版ドキュメント(2010/05/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ネットワーク管理者用の設定情報

VPN 3000 シリーズ コンセントレータ設定情報

リモート アクセス ユーザ用の VPN 3000 Concentrator の設定

クイック コンフィギュレーションの実行

IPSec グループの作成

VPN Client ユーザ プロファイルの作成

デジタル証明書を使用した認証用の VPN Client ユーザの設定

デジタル証明書を使用した接続

VPN Client のファイアウォール ポリシーの設定:Windows の場合

概要

ファイアウォール設定のシナリオ

CPP 用のファイアウォールで使用するフィルタとルールの指定

VPN Client 上でファイアウォールを使用させる VPN 3000 Concentrator の設定

CPP 用 Cisco Integrated Client Firewall(CIC)の設定

カスタム ベンダー コード

ファイアウォールのトラブルシューティング情報の入手

リモート ユーザへの Client アップデートの通知:すべての VPN Client プラットフォーム

VPN Client 用のローカル LAN アクセスの設定

Client Backup Server 用の VPN Concentrator の設定

VPN Client 用の NAT Traversal の設定

グローバル設定

ブラウザの自動設定:Windows の場合

VPN Client 用の Entrust Entelligence の設定:Windows の場合

スマート カードを使用する認証用の VPN Client のセットアップ:Windows の場合

相互認証の設定

VPN Client システムでの相互グループ認証の設定

VPN Concentrator での相互認証の設定

ネットワーク管理者用の設定情報

この章では、ネットワーク管理者を対象に、 各プラットフォーム用の 『VPN Client ユーザ ガイド』、および『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』を補完する情報を提供します。

この章の主な内容は、次のとおりです。

VPN 3000 シリーズ コンセントレータ設定情報

VPN Client 用の Entrust Entelligence の設定:Windows の場合

スマート カードを使用する認証用の VPN Client のセットアップ:Windows の場合

相互認証の設定

VPN 3000 シリーズ コンセントレータ設定情報

ネットワーク管理者は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」の章を熟読してください。「User Management」の章では、IPSec トンネルを介して接続するリモート ユーザを設定する方法を詳しく説明しています。また、Client のバナーの設定、ファイアウォール、スプリット トンネリング等の機能の使用方法も説明しています。

この項では、次の内容について説明します。

リモート アクセス ユーザ用の VPN 3000 Concentrator の設定

VPN Client のファイアウォール ポリシーの設定:Windows の場合

リモート ユーザへの Client アップデートの通知:すべての VPN Client プラットフォーム

VPN Client 用のローカル LAN アクセスの設定

Client Backup Server 用の VPN Concentrator の設定

VPN Client 用の NAT Traversal の設定

ブラウザの自動設定:Windows の場合

リモート アクセス ユーザ用の VPN 3000 Concentrator の設定

VPN Client ユーザが VPN 3000 Concentrator を介してリモート ネットワークにアクセスできるようにするには、ネットワーク管理者は、事前に VPN 3000 Concentrator 上で次の作業を完了しておく必要があります。

少なくとも、クイック コンフィギュレーションのすべてのステップを実行する。

IPSec グループに対して属性を作成し、割り当てる。

VPN Client ユーザに対して、IPSec グループのメンバーとして属性を作成し、割り当てる。

認証に事前共有キーではなくデジタル証明書を使用する VPN Client ユーザを設定する。

クイック コンフィギュレーションの実行

クイック コンフィギュレーションを実行する手順については、『VPN 3000 シリーズ コンセントレータ スタートアップ ガイド』、またはクイック コンフィギュレーションのオンライン ヘルプを参照してください。

次の作業を確実に実行してください。

イーサネット インターフェイス 1 と 2(Private と Public)の両方に適切な IP アドレスとフィルタを設定し、これらのインターフェイスを使用可能にする。

DNS サーバとデフォルト ゲートウェイを設定する。

IPSec をトンネリング プロトコルの 1 つとして使用可能にする(デフォルト)。

IPSec グループのグループ名とパスワードを入力する。

ユーザ IP アドレスの割り当て方式を 1 つ以上設定する。

グループ認証とユーザ認証用の認証サーバを設定する。後述の説明では、両方の認証に内部サーバを使用することを前提としていますが、代わりに外部サーバをセットアップすることもできます。

設定を保存する。

IPSec グループの作成

クイック コンフィギュレーション時に、IPSec グループを自動的に作成できます。IPSec グループを追加または変更する場合は、この項の手順を実行してください。

設定グループの詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」、またはオンライン ヘルプを参照してください。

IPSec グループを作成する前に、基本グループの属性を設定できます。その場合は、Configuration | User Management | Base Group 画面を参照してください。この画面の General Parameters および IPSec Parameters を慎重に確認するようにお勧めします。外部ユーザ認証を使用する場合は、基本グループ属性が特に重要になります。その理由は、外部サーバから提供されない属性は、この基本グループの属性で決定されるからです。

VPN Client では、セキュアなトンネルの作成と使用に IPSec プロトコルが使用されます。IPSec の認証は、2 段階で行われます。第 1 の段階はグループ認証であり、第 2 の段階はユーザ認証です。次の説明では、グループ認証とユーザ認証の両方に、VPN 3000 Concentrator の内部認証サーバを使用することを前提としています。

Configuration | User Management | Groups | Add 画面を使用して、IPSec グループを作成する手順は、次のとおりです。


ステップ 1 Identity タブで、Group Name および Password を入力します。VPN Client のユーザは、接続エントリを設定し、VPN Client 経由で接続するために、このグループ名とパスワードが必要です。 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 2 章の「必要な情報の収集」を参照してください。

ステップ 2 次に認証の方法を選択します。Type パラメータは、グループ認証の方法を、内部または外部のいずれかに決定します。内部グループは、VPN Concentrator 上で設定します。External を選択する場合は、適切なグループ属性が認証された後で提供されるように、外部 RADIUS サーバを設定する必要があります。

ステップ 3 General Parameters タブ | Tunneling Protocols で、IPSec にチェックマークが付いていることを確認します。

ステップ 4 IPSec Parameters タブ | IPSec SA で、Triple-DES 認証を使用する ESP-3DES-MD5 を選択します。または、最低限の安全を保証する DES 認証を使用する ESP-DES-MD5 を選択することもできます。あるいは AES を使用するときは、AES プロトコルの 1 つ、たとえば ESP-AES128-SHA を選択します。AES は、最もセキュアです。


) SA(セキュリティ結合)を作成またはカスタマイズする場合は、Configuration | Policy
Management | Traffic Management | Security Associations 画面を参照してください。


ステップ 5 IPSec > Authentication で、グループ メンバーに対して使用する認証方法、たとえば Internal、または RADIUS を選択します。None または Internal 以外の認証方法を選択した場合は、外部認証サーバを適切に設定し、VPN Client をインストールするための適切な情報をユーザに提供する必要があります。

ステップ 6 ユーザがログインするたびにユーザにパスワードの入力を求めるには、Client Config タブの Allow Password Storage on Client にチェックマークを 付けない ようにお勧めします。このパラメータにチェックマークを付けないことにより、セキュリティが向上します。

ステップ 7 グループを追加するには、 Add をクリックし、設定を保存します。


 

VPN Client ユーザ プロファイルの作成

グループ内の VPN Client ユーザの設定についての詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」をよく読んでください。

Configuration | User Management | Users | Add または Modify 画面を使用して、VPN Client ユーザを設定する手順は、次のとおりです。


ステップ 1 User Name、Password、および Verify Password に入力します。VPN Client ユーザは、VPN Concentrator への接続時に認証用のユーザ名およびパスワードを入力する必要があります。 使用しているプラットフォーム用の 『VPN Client ユーザ ガイド』の第 2 章の「必要な情報の収集」を参照してください。

ステップ 2 Group で、「 IPSec グループの作成 」の項で設定したグループ名を選択します。

ステップ 3 General と IPSec で、他の属性を慎重に確認および設定します。ユーザを追加する場合、Inherit? チェックボックスは基本グループ属性に対応します。ユーザを変更する場合、これらのチェックボックスは、ユーザに割り当てられたグループの属性に対応します。

ステップ 4 Add または Apply をクリックして、設定を保存します。


 

デジタル証明書を使用した認証用の VPN Client ユーザの設定

デジタル証明書を使用した IPSec クライアント接続用に VPN 3000 Concentrator を設定するには、次の手順を実行してください。

IKE RSA をアクティブにします。

VPN 3000 Concentrator の ID 証明書を使用するためのセキュリティ結合(SA)を設定します。

証明書を使用して接続する Client 用の新しいグループを作成します。

VPN Client ユーザを新しいグループに追加します。

詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の次の章を参照してください。

IKE プロポーザルの設定については、「Tunneling Protocols」を参照。

SA の設定については、「Policy Management」を参照。

グループとユーザの設定については、「User Management」を参照。

デジタル証明書を使用した認証用の VPN Client ユーザの設定手順は、次のとおりです。


ステップ 1 Configuration | System | Tunneling Protocols | IPSec | IKE Proposals 画面を使用して、証明書用の IKE プロポーザルをアクティブにします。

a. IKE プローポーザルの 1 つ、たとえば CiscoVPNClient-3DES-MD5-RSA-DH5、
CiscoVPNClient-3DES-SHA-DSA-DH5、または CiscoVPNClient-AES128-SHA をアクティブにします。


) AES を使用するには、AES プロポーザルをリストの最上部に移動させます。また、AES を使用するには、VPN Client のリリース 3.6 以降を実行している必要があります。


b. 標準プロポーザルを変更しない場合は、アクティブ プロポーザルをコピーし、新しい名前を付けます。たとえば、CiscoVPNClient-3DES-MD5-RSA-DH5 をコピーし、「IKE-Proposal for digital certificate use」のような名前を付けます。

c. Security Associations をクリックします。これにより次のステップに進みます。

ステップ 2 Configuration | Policy Management | Traffic Management | Security Associations 画面を使用して、新しい SA を作成します。IKE Proposals 画面の Security Associations リンクを使用できます。

a. 新しい SA を追加します。たとえば、その SA に「Security association for digital certificate use」という名前を付けます。

b. Digital Certificates パラメータを変更して、VPN 3000 Concentrator のデジタル証明書を指定します。変更が必要なのは、このフィールドだけです。

ステップ 3 Configuration | User Management | Groups | Add または Modify 画面を使用して、デジタル証明書を使用するためのグループを設定します。

a. Identity タブでグループの設定に Organizational Unit を使用する場合は、このグループの証明書の OU フィールドと同じグループ名を入力します。たとえば、VPN Client の証明書の OU が Finance である場合は、グループ名として Finance と入力します。OU は、ASN.1 Distinguished
Name(DN)のフィールドです。パスワードを入力して確認します。
または、
証明書のグループ マッチングにポリシーを設定できます。 この方法を使用するときは、Configuration | Policy Management | Certificate Group Matching | Policy の順に選択します。ルールの作成手順については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』を参照するか、オンライン ヘルプを参照してください。

b. IPSec タブ > IPSec SA で、ステップ 2 で作成した IPSec SA を選択します。たとえば、「Security association for digital certificate use」を選択します。

c. IPSec タブ > Authentication で、ユーザ認証に使用する方式を選択します。たとえば、Internal を選択します。外部認証方法、たとえば RADIUS を選択する場合は、外部認証サーバを適切に設定し、使用しているプラットフォーム用の『VPN Client ユーザ ガイド』の第 2 章の「必要な情報の収集」の項で求められている適切なエントリをユーザに提供する必要があります。

d. Add または Apply をクリックして、設定を保存します。

ステップ 4 Configuration | User Management | Users | Add または Modify | Identity 画面を使用して、デジタル証明書に必要な VPN Client ユーザを設定します。

a. ステップ 3 で Group パラメータを使用してセットアップしたグループをグループ名として入力します。たとえば、 Finance と入力します。

b. Add または Apply をクリックし、設定を保存します。


 

デジタル証明書を使用した接続

デジタル証明書を使用して VPN Client 接続エントリを作成するには、デジタル証明書をPublic Key Infrastructure(PKI;公開キー インフラストラクチャ)に登録し、Certificate Authority(CA;認証機関)から承認を受け、1 つ以上の証明書を VPN Client システムにインストールしておく必要があります。これらのことを行っていない場合には、デジタル証明書を取得する必要があります。Certificate
Manager 機能を使用して直接 PKI に登録してデジタル証明書を取得したり、Entrust Entelligence を使用して Entrust プロファイルを取得することができます。現在、次の PKI に対するテストが済んでいます。

Baltimore Technologies(www.baltimoretechnologies.com)の UniCERT

Entrust Technologies(www.entrust.com)の Entrust PKI™ 5.0

VeriSign(www.verisign.com)

RSA KEON 5.7 および 6.0

Microsoft Certificate Services 2.0

Cisco Certificate Store

上記のかっこ内に記載されている Web サイトで、各 PKI で提供されるデジタル証明書に関する情報が提供されています。

VPN Client のファイアウォール ポリシーの設定:Windows の場合

VPN Client では、セキュリティのレベルを高めるために、インターネット上のトラフィックに対して、VPN がサポートしているファイアウォールの動作を堅固にするか、プッシュされたステートフル ファイアウォール ポリシーを受け取るかのいずれかが可能です。ここでは、次の内容について説明します。

VPN Client とファイアウォールの連携動作

インターネット トラフィックに対して VPN Client が実行できるパーソナル ファイアウォール製品のリスト

VPN Concentrator 上での、VPN Client が実行するステートフル ファイアウォール ポリシーの設定方法

概要

ここでは、ネットワーク管理者が、Windows プラットフォーム上で実行されている VPN Client にポリシー情報を知らせるセキュア ゲートウェイとして動作する VPN 3000 Concentrator からパーソナル ファイアウォール機能を制御する方法を簡単に説明します。

オプション設定と必須設定

VPN Concentrator では、指定のファイアウォール設定が VPN Client で使用されるよう、あるいはファイアウォール設定がオプションで使用されるように要求できます。指定のファイアウォール設定がオプションで使用されるようにすると、VPN Client のユーザが、希望するファイアウォールをクライアント PC 上にインストールすることが可能になります。VPN Client は、接続を試みるとき、クライアント PC 上にどのようなファイアウォールがインストールされているかを VPN Concentrator に通知します。すると、VPN Concentrator は、VPN Client がどのファイアウォールを使用しなければならないかという情報を送り返します。ファイアウォール設定がオプションであれば、VPN
Concentrator は、ファイアウォール設定は不一致ではあっても VPN Client がトンネルを確立できることを VPN Client に通知します。こうしたオプション機能により、VPN Client のネットワーク管理者は、必要なファイアウォールを入手およびインストールできて、トンネル接続も維持されます。

ステートフル ファイアウォール(常にオン)

VPN Client の設定オプションであるステートフル ファイアウォール(常にオン)は、VPN Client 上で有効にされます。この設定オプションは、ネゴシエーションされません。VPN Concentrator からのポリシー制御も行われません。VPN Client のユーザは、VPN Client の[オプション]メニューでこのオプションを選択するか、VPN Client がアクティブな間に VPN Client アイコンを右クリックし、このオプションを選択して有効にできます。

この機能が有効になっていると、VPN 接続が有効かどうかにかかわらず、すべてのネットワークからの受信セッションが阻止されます。また、トンネル化されたトラフィックとトンネル化されていないトラフィックの両方に対して、ファイアウォールがアクティブになります。この機能を有効にしているユーザは、PC 上でサーバを動作させることはできません。また、そうしたユーザが使用しているシステムは、PING 要求に対して応答できません。受信トラフィックが阻止される場合の例外が 2 つあります。1 つは、DHCP に対してで、あるポートから DHCP サーバに要求を送信し、違うポートを経由して DHCP サーバからの応答を受信する場合です。DHCP に対しては、ステートフル ファイアウォールは受信トラフィックを許しているからです。もう 1 つは、ESP(VPN データ)に対してです。ステートフル ファイアウォールでは、セキュア ゲートウェイからの ESP トラフィックを許しています。ESP でのルールは、パケット フィルタであり、セッションベースのフィルタではないからです。

ステートフル ファイアウォール(常にオン)は、VPN Client での最も基本的なファイアウォールであり、最高レベルのセキュリティを提供します。ただし、ほとんどすべての受信トラフィックは阻止されますが、送信トラフィックは制限されないので、柔軟性は低くなります。


) 常にオン パーソナル ファイアウォールは、内部(トンネル化された)ネットワークからの受信アクセスを許し、内部のアプリケーションが適切に動作することを保証しながら、トンネル化されていないトラフィックも保護します。


Cisco Integrated Client

Windows プラットフォーム上の VPN Client には、Zone Labs 技術を使用したステートフル ファイアウォールが含まれています。このファイアウォールは、ステートフル ファイアウォール(常にオン)機能と Centralized Protection Policy(次の「Centralized Protection Policy(CPP)」を参照)の両方に使用されます。また、このファイアウォールは VPN Client ユーザには透過的であり、「Cisco Integrated Client ファイアウォール」または CIC と呼ばれています。「常にオン」オプションでは、VPN Client ユーザが、ファイアウォールによる基本的な保護機能を常に有効にしておくことができます。CPP では、ネットワーク管理者が、スプリット トンネリング機能を使用したインターネット トラフィックの送受信に対して実行するルールを指定できます。Tunnel Everything では、すべてのトラフィックが必ずトンネルを介して戻されるので、Tunnel Everything に対して CPP は使用されません。

Centralized Protection Policy(CPP)

Centralized Protection Policy(CPP)は、ファイアウォール プッシュ ポリシー としても知られています。CPP は、VPN Client が VPN Concentrator とトンネル通信するときに、ネットワーク管理者が、インターネット トラフィックを通過させたり、阻止したりするための一連のルールを指定できるようにします。ネットワーク管理者が VPN Concentrator 上でこのポリシーを指定すると、接続ネゴシエーション中にこのポリシーが VPN Client に送信されます。VPN Client はこのポリシーを Cisco Integrated Client に渡し、ポリシーはそこで実行されます。Client ユーザがすでに「常にオン」オプションを選択している場合、トンネルが確立されている間は、インターネット トラフィックを規制するすべての追加ルールも実行されます。

CIC では、ステートフル ファイアウォールのモジュールが含まれているので、ほとんどの設定で全受信トラフィックが阻止され、全送信トラフィック、または特定の TCP ポートと UDP ポートからの送信トラフィックのどちらかが許されます。Cisco Integrated Client、Zone Alarm、および Zone Alarm Pro のファイアウォールでは、ファイアウォール ルールを割り当てることができます。CPP ルールは、スプリット トンネリング接続で有効になります。また、CPP ルールでは、送信接続に関連付けられていなければ、サーバの動作を停止し、すべての受信接続を阻止することで、VPN Client PC をインターネット攻撃から保護できます。

CPP は、許可するポートおよびプロトコルを詳細に設定できるので、ステートフル ファイアウォール(常にオン)機能よりも柔軟性が優れています。

リモート PC 上で設定されたポリシー:Personal Firewall Enforcement

CPP の代替として、ネットワーク管理者は、VPN Client がインストールされている PC と同じ PC にインストールされているパーソナル ファイアウォールに対してポリシーを指定できます。この方法は、PC 上にファイアウォールがセットアップされていて、そのファイアウォールが使用されている場合に適しています。VPN Client は、動作状況を確認するため 30 秒ごとにパーソナル ファイアウォールをポーリングします。もしファイアウォールが動作していなければ、VPN Concentrator へのセキュア接続を終了します。このような場合、VPN Concentrator ではファイアウォール ポリシーが指定されません。VPN Client からファイアウォールへの唯一の通信は、動作しているかどうかを確認するためにポーリングをすることです。この機能は、AYT(Are You There)と呼ばれています。

現在、VPN Client は、次のようなパーソナル ファイアウォールをサポートしています。

BlackIce Defender

Cisco Security Agent

Sygate Personal Firewall

Sygate Personal Firewall Pro

Sygate Security Agent

ZoneAlarm

ZoneAlarmPro

Zone Labs の Integrity Agent および Integrity Server(IA/IS)

Zone Labs の Integrity ソリューションは、Windows プラットフォーム上のリモート PC の安全を確保します。この機能は、次の 4 つのコンポーネントから構成される クライアント/サーバ ソリューションです。

Integrity Server(IS):企業の中枢ネットワーク上に置かれます。IS は、リモートの VPN Client PC 上のファイアウォールに対するポリシーを保持します。ネットワーク管理者は IS 上でポリシーを定義し、IS は、VPN Concentrator により確立されたアクティブなセキュア トンネル経由で、そのポリシーをリモート PC 上の Integrity Agent(IA)にダウンロードします。IS は、確実にポリシーを実行するために PC をモニタします。また IS は、VPN Concentrator と通信して、接続の確立または終了、セッションとユーザ情報の交換、およびステータス情報の報告を行います。

Integrity Agent(IA):リモート PC の IA は、IS から受け取った保護ポリシーを実行し、IS と通信してポリシーとステータス情報を交換します。また IA は、リモート PC 上の VPN Client と通信してサーバ アドレスを取得し、VPN Concentrator とステータス情報を交換します。

VPN Concentrator:ファイアウォール機能をグループ単位で設定する方法を提供します。VPN
Concentrator は、IS の IP アドレス、および他の VPN セッション関連の情報を VPN Client に報告します。VPN Client は、それを IA に渡します。また、VPN Concentrator は IS と通信して、セッションの開始と終了、セッションとユーザ情報の交換、および認証ステータスの要求と取得を行います。

VPN Client:リモート PC の VPN Client は、VPN Concentrator から IS のアドレスと情報を取得し、それを IA に渡します。また VPN Client は、IA のステータス情報を取得および報告し、セッションを終了します。

接続が開始されると、ファイアウォール ポリシーが IS から IA に送信され、その後 IS と IA はハートビート機構により接続を維持します。

ファイアウォール設定のシナリオ

ここでは、ファイアウォール設定の事例を 3 つ紹介します。各図は、VPN Client 上で使用可能なファイアウォール製品とポリシーに加えて、VPN Concentrator 上で使用可能なパラメータ設定についても示しています。

Cisco Integrated Client

図 1-1 は、VPN Client に対して CPP ポリシーをプッシュする Cisco Integrated Client の代表的な設定を示しています。このポリシーは、スプリット トンネリングが使用されている間、インターネットからの受信トラフィックを阻止します。しかし、プライベート ネットワークからのトラフィックは阻止しません。

図 1-1 Cisco Integrated Client

 

リモート ファイアウォール

図 1-2 は、PC 上のパーソナル ファイアウォールにポリシーがセットアップされた例を示しています。このケースでは、Are You There(AYT)がそのポリシーです。VPN Client は、ファイアウォールが動作し続けているかどうかを確認するため、30 秒ごとにファイアウォールをポーリングし、動作していなければ、そのセッションを停止します。

図 1-2 リモート ファイアウォールがポリシーを決定

 

クライアント/サーバ アプローチ

図 1-3 は、Zone Labs Integrity 設定のサンプルを示しています。

図 1-3 クライアント/サーバ:Zone Labs Integrity Server との統合

 

CPP 用のファイアウォールで使用するフィルタとルールの指定

ネットワーク管理者は、VPN Concentrator から VPN Client へファイアウォール ポリシーをプッシュさせるときは、最初に VPN Concentrator 上でそのポリシーを指定する必要があります。この場合、フィルタを作成し、パブリック ネットワーク上のフィルタにルールを追加します。VPN 3000
Concentrator は、メニューから選択して CPP 用に使用できるデフォルト フィルタを提供しています。このフィルタは、「Firewall Filter for VPN Client(Default)」という名前で、全送信トラフィックを許可し、全受信トラフィックを阻止します。

ファイアウォール フィルタは、パケット フィルタではなくセッション フィルタです。これは「allow all outbound/drop all inbound」ルールに対し、CPP ポリシーが、TCP、UDP、および ICMP の 3 つの IP プロトコルからの送信セッションの受信応答 だけを 許可することを意味します。これらのプロトコルだけが、「ステートフル」なプロトコルです。ほとんどのネットワーク管理者は、全受信トラフィックを阻止し、全送信トラフィックを許可するか、特定の TCP ポートと UDP ポートに対してだけ送信トラフィックを制限するルールを使用するでしょう。一般的なフィルタの作成とルールの追加についての詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「Configuration | Policy Management | Traffic Management」を参照してください。

例1-1 VPN Client を Web サーバとして動作させるファイアウォール ポリシー用のフィルタの作成

この例では、すべてのプロトコルへの送信トラフィックを許可し、受信トラフィックは HTTP プロトコルからのものだけを許可するフィルタの追加方法をステップごとに説明します。この方法によって、VPN Client を Web サーバにできます。


ステップ 1 最初に、HTTP だけからの受信トラフィックを許可するルールを作成します。そのためには、
Configuration | Policy Management | Traffic Management | Rules の順に選択します。

ステップ 2 Add をクリックします。

a. Rule Name には、 FW-Allow incoming HTTP のようにわかりやすい名前を入力します。

b. Action は、 Forward を選択します。

c. Protocol は、 TCP を選択します。

d. TCP/UDP Destination Port は、 HTTP (80 ) を選択します。

e. Add をクリックします。

ステップ 3 次に、HTTP からのトラフィックを除く全受信トラフィックを阻止しても、トンネル経由で接続されている間のすべての送信トラフィックを転送するフィルタを追加します。そのためには、Traffic Management で Filters をクリックします。

a. Add Filter ボックスをクリックします。

b. FW-Allow Incoming HTTP のようにわかりやすいフィルタ名を入力し、残りのパラメータはデフォルトを選択します。

c. Add をクリックし、Actions 画面を表示します。

d. この画面では、ルールを Filter 列の Current Rules へ移動させるため、ステップ 2 で作成したルールを強調表示し Add をクリックします。Any Out(forward/out)ルールに対して、同様の操作を実行します。

e. Done をクリックします。

ステップ 4 設定を保存します。

このフィルタは、Base Group および CPP ポリシーの選択をするグループで使用可能になりました。


 

VPN Client 上でファイアウォールを使用させる VPN 3000 Concentrator の設定

ここでは、VPN Client PC 上で VPN Client にパーソナル ファイアウォールを使用させるように、VPN Concentrator を設定する方法を説明します。VPN Client 側でパーソナル ファイアウォール ポリシーを実行するために、VPN 3000 Concentrator 側で、Base Group または特定のユーザ グループを設定します。設定の手順は、次のとおりです。


ステップ 1 Base Group 用のファイアウォールを設定するには、 Configuration | User Management | Base Group を選択します。または、特定のグループのファイアウォールを設定するには、 Configuration | User Management | Groups を選択します。

ステップ 2 ファイアウォールを追加するために、次のいずれか 1 つを実行します。

Base Group に対しては、 Client FW タブを選択します。

ファイアウォールを設定するために新規グループを作成するには、 Add Group をクリックし、次に Client FW タブをクリックします。

既存のグループにファイアウォールを追加するには、グループ名を強調表示して Modify Group をクリックし、 Client FW タブをクリックします。

ステップ 3 ファイアウォールの使用を要求するには、Firewall Setting 属性で Firewall Required を選択します。

ステップ 4 Firewall 属性で、Firewall プルダウン メニューからファイアウォールを選択します。使用しているファイアウォールがリストにない場合は、 Custom を使用する必要があります。

ステップ 5 Firewall Policy を選択します。リモート ファイアウォール(AYT)によって指定されるポリシー、またはプッシュされるポリシー(CPP)のいずれかを選択します(次の項を参照)。

詳細は、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「User Management」の章、または VPN 3000 Concentrator Network Manager のオンライン ヘルプを参照してください。


 

CPP 用 Cisco Integrated Client Firewall(CIC)の設定


ステップ 1 Firewall Setting の Client FW タブで、 Firewall Required を選択します。

ステップ 2 Firewall プルダウン メニューで、 Cisco Integrated Client Firewall を選択します。

ステップ 3 Firewall Policy で Policy Pushed をクリックし、ファイアウォール ポリシーのルールを含むフィルタを選択します。デフォルトのファイアウォール フィルタ、または特別の目的のために設定されたフィルタを選択できます(「CPP 用のファイアウォールで使用するフィルタとルールの指定」を参照)。


 

クライアント/サーバ ファイアウォール:Zone Labs Integrity の設定


ステップ 1 Integrity Server(IS)上でファイアウォール ポリシーを設定します(Zone Labs のマニュアルを参照)。

ステップ 2 VPN Concentrator 上で、Configuration | System | Servers | Firewall Server の順に選択します。Zone Labs
Integrity Server に対して、ホスト名(または IP アドレス)およびポート番号を入力します。

ステップ 3 Configuration | User Management | Base Group、または Groups | Client FW タブ(「CPP 用のファイアウォールで使用するフィルタとルールの指定」を参照)で、次のように設定します。

a. Firewall Setting = Firewall Required

b. Firewall = Zone Labs Integrity

c. Firewall Policy = Policy from Server

ステップ 4 設定を保存します。


 

カスタム ベンダー コード

VPN 3000 Concentrator では、カスタム ファイアウォールを設定できます。現在、VPN Concentrator のメニューから選択できない、サポートされていないファイアウォール設定があります。この機能は、主に将来の使用に備えています。次の表には、現在サポートされているベンダー コード、および製品をリストしてあります。

 

ファイアウォールのトラブルシューティング情報の入手

ここでは、ファイアウォール ネゴシエーションについての情報を入手する 2 つの方法(IPSec Log または VPN Concentrator からの通知)を説明します。

IPSec Log の調査

VPN Client と VPN Concentrator 間のトンネル ネゴシエーションで何が発生したかを知る 1 つの方法は、VPN Client の IPSec ログのメッセージを調査することです。そのためには、Log Viewer を使用します(Log Viewer の使用に関する情報については、『VPN Client ユーザ ガイド Windows 版』の第 5 章を参照)。トンネル ネゴシエーションの間に、VPN Client は、PC にインストールされ動作しているファイアウォールがあれば、そのリストを VPN Concentrator に送り、ファイアウォールの交換を開始します。次に VPN Concentrator は、VPN Concentrator 自体のファイアウォール要件を示すメッセージを VPN Client に送信します。

次にこのファイアウォール交換の例を示します。

最初に、VPN Client から VPN Concentrator への要求の例を示します。

 

次に、VPN Concentrator からの応答の例を示します。

 

通知

VPN Client と VPN Concentrator のファイアウォールの設定が一致しない場合、VPN Concentrator は、VPN Client ユーザが接続を試みるときに VPN Client に通知します。ファイアウォールの設定が必須な場合、その接続の試みは失敗し、ファイアウォールの設定が任意であれば、トンネルは完成します。

図 1-4 ファイアウォールの不一致の通知

 

リモート ユーザへの Client アップデートの通知:すべての VPN Client プラットフォーム

ネットワーク管理者は、VPN Client ユーザのリモート システム上の VPN Client をアップデートする必要があるときは、その旨をユーザに通知できます。この通知には、最新版の Client が存在する場所の情報が含まれます(アップデートは、自動的には行われません)。VPN 3000 Concentrator の Client Update を使用して Client の通知を設定する手順は、次のとおりです。


ステップ 1 Client のアップデートを有効にするには、Configuration | System | Client Update で、 Enable をクリックします。

ステップ 2 Configuration | System | Client Update | Enable 画面で、 Enabled (デフォルト)にチェックマークを付けてから、 Apply をクリックします。

ステップ 3 Configuration | System | Client Update 画面で、 Entries をクリックします。

ステップ 4 Entries 画面で、 Add をクリックします。VPN Concentrator Manager の Configuration | System | Client Update | Entries | Add または Modify 画面が表示されます。

ステップ 5 Client Type に対して、通知対象の次のオペレーティング システムを入力します。

Windows には、すべての Windows ベース プラットフォームが含まれます。

Win9X には、Windows 95、Windows 98、および Windows ME プラットフォームが含まれます。

WinNT には、Windows NT 4.0、Windows 2000、および Windows XP プラットフォームが含まれます。

Linux

Solaris

Mac OS X


) VPN 3000 Concentrator は、Client Update リスト内の各エントリに個別に通知メッセージを送信します。したがって、Client アップデート エントリは重複させないでください。たとえば、値 Windows にはすべての Windows プラットフォームが含まれ、値 WinNT には Windows NT 4.0、Windows 2000、および Windows XP プラットフォームが含まれているため、Windows WinNT の両方を指定しないでください。Client のタイプとバージョンの情報を表示するには、Cisco Systems VPN Client メイン ウィンドウの左上にある錠のアイコンをクリックし、[VPN Client について]を選択してください(Windows 版の場合)。


ステップ 6 URL フィールドに、通知が含まれている URL を入力します。

[VPN Client 通知]の[起動]ボタンをアクティブにするには、HTTP または HTTPS のいずれかのプロトコル、およびアップデートされた VPN Client が存在するサイトのサーバ アドレスがメッセージに含まれている必要があります。このメッセージには、アップデートされた Client のディレクトリとファイル名も含めることができます(たとえば、 http://www.oz.org/upgrades/clientupdate )。リモート ユーザに対して[起動]ボタンをアクティブにしない場合は、メッセージにプロトコルを含める必要はありません。

ステップ 7 Revisions フィールドに、すでに最新のソフトウェアを使用しているためアップデートする必要がない Client のバージョンを、コンマで区切って入力します。たとえば、値「3.6.5 (Rel), 4.0 (Rel ) 」で指定されたリリースではアップデートが不要ですが、その他のリリースの VPN Client は、アップデートする必要があります。

ステップ 8 Add をクリックします。


 

リモート ユーザが最初に VPN 装置に接続したとき、またはユーザが接続状況のメニューの[通知]をクリックしたときに、[通知]ダイアログボックスが表示されます。通知が表示されたら、VPN Client 上で[通知]ダイアログボックスの[起動]をクリックして、デフォルト ブラウザを起動し、アップデートされた Client が存在する URL にアクセスします。

VPN Client 用のローカル LAN アクセスの設定

ケーブルまたは DSL を使用して自宅からアクセスするリモート ユーザは、ホーム ネットワークを使用してファイルとプリンタを共有している場合があります。ネットワーク管理者は、リモート ユーザが(IPSec トンネル経由で)中央サイトへのセキュア接続を維持しつつ、クライアント側の LAN 上のリソ-スにアクセスできるようローカル LAN アクセスを設定できます。

設定を開始する前に、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「Split Tunneling」をよく読んでください。Configuration | User Management | Groups | Add または Modify | IPSec タブについて説明している項を参照してください。

ローカル LAN アクセスの設定の一般的な手順は、次のとおりです。

VPN Client 上でローカル LAN アクセスを有効にする。

VPN 3000 Concentrator 上の特定のグループ内で、ローカル LAN アクセスを有効にする。

アクセス可能なネットワークをネットワーク リストに追加する(または、デフォルトのネットワーク アドレスを使用する)。

VPN Client 用に Entrust Entelligence を設定する手順は、次のとおりです。


ステップ 1 VPN Client で、[ローカル LAN アクセスの許可]を有効にします。

接続エントリを作成または修正しているときに、[トランスポート]タブを表示し、[ローカル LAN アクセスの許可]にチェックマークを付けます。

図 1-5 VPN Client での[ローカル LAN アクセスの許可]の設定

 

ステップ 2 VPN 3000 Concentrator 上で、次の手順で新しいグループを追加するか、既存のグループを変更します。

a. 特定のグループのローカル LAN アクセスを設定するには、Configuration | User Management | Groups を表示します。

b. 新しいグループを追加するには、 Add を選択します。既存のグループに対してローカル LAN を使用可能にするには、 Modify を選択します。

c. Client Config タブを表示します。

d. Split Tunneling Policy 属性の Value で、 Tunnel everything オプション ボタンをクリックし、次に Allow the networks in list to bypass the tunnel をクリックします。これで、VPN Client 上でローカル LAN アクセスが使用可能になります。

e. Split Tunneling Network List の Value で、ローカル LAN アクセス用に作成したネットワーク リストがある場合は、そのネットワーク リストを選択します。

VPN Client Local LAN がデフォルトで、アドレス 0.0.0.0/0.0.0.0 が割り当てられます。この IP アドレスを使用して、そのネットワーク上で設定されたネットワーク アドレスとは関係なく、クラアイアント側の LAN 上のすべてのホストにアクセスできます。このローカル LAN アクセスは、1 つのローカル ネットワークだけに限定されているため、クライアント PC で複数のネットワーク カードを使用している場合は、VPN Client が VPN 接続を確立したネットワークにしかアクセスできません。

ネットワーク リストの作成については、『VPN 3000 シリーズ コンセントレータ リファレンス
I:コンフィギュレーション』の「Configuration | Policy Management | Traffic Management | Network Lists」を参照してください。


) VPN Client の接続が確立され、ローカル LAN アクセス用に設定されると、ローカル LAN 上で名前を使用して印刷したり、ブラウズしたりできません。VPN Client の接続が解除されると、名前を使用した印刷またはブラウズが可能になります。

IP アドレスを使用したブラウズや印刷は可能です。印刷の際に、ネットワーク プリンタのプロパティを変更して、名前の変わりに IP アドレスを使用するようにできます。たとえば、構文
¥¥sharename¥printername の代わりに、¥¥x.x.x.x¥printername を使用します(ここで、x.x.x.x は IP アドレスです)。


名前を使用して印刷またはブラウズするために、LMHOSTS ファイルを使用できます。このファイルを使用するには、LMHOSTS という名前のテキスト ファイルに、IP アドレスとローカル ホスト名を追加し、そのファイルをすべてのローカル PC の ¥Windows ディレクトリに保存します。PC の TCP/IP スタックは、印刷またはブラウズ時に、LMHOSTS ファイル内での IP アドレスとホスト名とのマッピングを使用して名前を解決します。この方法では、すべてのローカル ホストにスタティック IP アドレスが必要です。また、DHCP を使用する場合は、常に同じ IP アドレスを取得するようにローカル ホストを設定する必要があります。

LMHOSTS ファイルの例は、次のとおりです。
192.168.1.100 MKPC
192.168.1.101 SBPC
192.168.1.101 LHPC


Client Backup Server 用の VPN Concentrator の設定

ここでは、VPN Concentrator 上でグループを設定し、バックアップ サーバの新しい情報を VPN Client に自動的にプッシュする方法を説明します。


ステップ 1 VPN Concentrator 上で Configuration | User Management | Group の順に選択します。

ステップ 2 新しいグループを追加するには、 Add をクリックし、既存のグループを変更するには、ボックス内のそのグループを強調表示して、 Modify をクリックします。

ステップ 3 Client Config タブを表示します。

ステップ 4 IPSec Backup Servers に対しては、ドロップダウン メニューから Use List Below を選択します。

ステップ 5 優先順位の高いものから順に、最高 10 までの IPSec バックアップ サーバのリストを入力します。

ステップ 6 IPSec Backup Servers ボックス内に各サーバのアドレス、または名前を 1 行で入力します。

ステップ 7 Apply をクリックし、設定を保存します。


 

VPN Client 用の NAT Traversal の設定

NAT Traversal(NAT-T)は、VPN Concentrator と VPN Client との間に NAT 装置があるときに、VPN Concentrator が VPN Client との IPSec トンネルを確立できるようにします。これは UDP データグラム内に ESP トラフィックをカプセル化することによって実現され、NAT 装置が要求するポート情報が ESP に提供されます。

ネットワーク管理者は、VPN Concentrator 上で NAT-T をグローバルに設定できます。これによって、VPN Concentrator 上で設定されたすべてのグループに対して、NAT-T をアクティブにできます。

グローバル設定

NAT-T をグローバルに設定するには、VPN Concentrator 上で次の手順を実行します。


ステップ 1 Configuration | System | Tunneling Protocols | IPSec | NAT Transparency の順に選択し、 IPSec over NAT-T チェックボックスにチェックマークを付けます。

ステップ 2 Apply をクリックし、設定を保存します。


 

次に VPN Client 上で次のパラメータを設定します。


ステップ 1 新しい接続エントリを作成する場合は、[接続エントリ]の[新規]をクリックします。既存の接続エントリを修正するには、そのエントリを強調表示して、[修正]をクリックします。いずれの場合も、プロパティ ダイアログボックスが表示されます。

ステップ 2 [トランスポート]タブを開きます。

ステップ 3 [透過的トンネリングを有効にする]チェックボックスにチェックマークを付けます。

ステップ 4 [IPSec over UDP(NAT/PAT)]オプション ボタンをクリックします。


 

ブラウザの自動設定:Windows の場合


この機能がサポートされている Web ブラウザは、Microsoft Internet Explorer だけです。


リモート ユーザが VPN Concentrator(セキュア ゲートウェイ)に接続すると、VPN Client では VPN Concentrator からそのユーザの Web ブラウザのプロキシ設定を受け取って、ユーザが所属する組織の環境で動作するように変更できます。この設定は、ユーザがセキュア ゲートウェイに接続されている間だけ有効です。ユーザが接続を解除すると、PC のブラウザ プロキシは自動的に元の設定に変更されます。

この設定は、ネットワーク管理者が VPN Concentrator で行います。VPN Client 用のブラウザのプロキシ設定の手順は、次のとおりです。


ステップ 1 VPN Concentrator 上で Configuration | User Management | Base Group の順に選択します。

ステップ 2 Client Config タブをクリックします。

ステップ 3 Microsoft Client Parameters セクションが表示されるまで下方にスクロールします。

ステップ 4 次のセクションを編集します。

a. 画面の指示に従って、 IP Proxy Server Policy を選択します。選択項目は次のとおりです。これらの選択項目は相互排他です。

Do not modify proxy settings:プロキシ設定を変更しません。

No proxy:VPN Client PC のプロキシ設定を無効にします。

Autodetect proxy:VPN Client PC でのプロキシ サーバ設定の自動検出を有効にします(ただし、変更はしません)。

Use the proxy and server port configured in the IE Proxy Server box:このオプションを選択した場合は、Client Config タブのこのセクションの残りのボックスに必要な情報を入力します。IE Proxy Server ID が必要です。

b. IE Proxy Server ボックスには、プロキシ サーバの名前、コロン(:)、および Internet Explorer を使用しているクライアントのポート番号を続けて入力します。たとえば、
myproxy.mycompany.com:8080 のように入力します。

c. IE Proxy Server Exception List には、プロキシ サーバ経由でアクセスしないようにするアドレスまたはドメインを入力します。このリストは、Internet Explorer の[プロキシの設定]ダイアログボックスの[例外]ボックスのリストと対応しています。www.*.org または 10.10.* などのように、ワイルドカードを入力できます。

d. ローカル要求を許可してプロキシ サーバをバイパスするには、 Bypass Proxy Server for Local Addresses をクリックします。

ステップ 5 設定を保存します。


 


) VPN Client におけるブラウザのプロキシ機能は、次の点で Internet Explorer と異なります。
Internet Explorer では、自動検出ポリシーとプロキシ サーバ/ポートの使用は相互排他ではありません。
VPN Client では、すべてのプロトコルに対して 1 つのプロキシ サーバだけをサポートしていますが、Internet Explorer では、個々のプロトコルに対して 1 つのプロキシ サーバを設定できます。
VPN Client では、Internet Explorer のオプションにある「自動設定スクリプトの使用」はサポートしていません。


VPN Client 用の Entrust Entelligence の設定:Windows の場合

ここでは、VPN Client をセットアップして、Entrust Entelligence にアクセスし、Entrust ID 証明書を取得する方法について説明します。また、VPN Client を Entrust と連携させて使用する場合の情報も記載してあります。Entrust のインストールと設定については、Entrust のマニュアル(『Entrust Entelligence Quick Start Guide』、または Entrust Entelligence オンライン ヘルプ)を参照してください。

VPN Client 用に Entrust Entelligence を設定する手順は、次のとおりです。


ステップ 1 Entrust Entelligence をリモート ユーザの PC にインストールします。

Entrust Entelligence をインストールした後に、VPN Client をインストールしてください。VPN Client で start before logon と Entrust SignOn を同時に使用するときのために、この順序でインストールしておくことが重要です。これら 2 つの機能が両方とも VPN Client 上で設定されているときに発生する現象の情報については、『VPN Client ユーザ ガイド Windows 版』の第 5 章を参照してください。

ステップ 2 Entust Entelligence のインストール中に、Create Entrust Profile Wizard を使用して新しい Entrust プロファイルを作成します。

Entrust Entelligence プロファイルを作成するには、次の情報が必要です。

Entrust Entelligence 参照番号

Entrust Entelligence 許可コード

プロファイルを保存するディレクトリの名前

プロファイルの名前

Entrust 管理者が設定する規則に従ったパスワード

ステップ 3 オプションとして、Entrust のマニュアルの指示に従って Entrust SignOn をインストールします。

a. Entrust SignOn のインストール中に、Entrust Options ダイアログボックスが表示されます(図 1-6を参照)。

b. Always prompt me to confirm this login information にチェックマークが付いていることを確認します。このチェックボックスにチェックマークを付けると、Entrust SignOn login ダイアログボックスが一時停止して、リモート ユーザが NT ログイン情報を入力する前に VPN 接続が確立されます。

図 1-6 Entrust Options SignOn タブ

 

 

ステップ 4 プロファイルの作成後、Entrust Entelligence からログアウトします。

ステップ 5 VPN Client をインストールします。

ステップ 6 Entrust 証明書を使用した認証を含む、新しい接続エントリを作成します。接続エントリの作成方法については、『VPN Client ユーザ ガイド Windows 版』の第 4 章の「認証用の Entrust 証明書の設定」の項を参照してください。


 


) VPN Client では、最新の Entrust DLL ファイルが使用されます。このファイル名は kmpapi32.dll です。Entrust Entelligence バージョン 5.1 を使用している場合、DLL ファイルは最新です。VPN Client システムにバージョン 4.0 または 5.0 がインストールされている場合、DLL ファイルは最新ではありません。

VPN Client の[証明書]メニューに「Entelligence Certificate(Entrust)」が表示されていない場合は、VPN Client に付属の DLL ファイルが最新バージョンではない可能性があります。kmpapi32.dll ファイルを更新するには、そのファイルをリリース メディアから VPN Client システムにコピーし、Windows のデフォルトのシステム ディレクトリに保存します。Windows NT、Windows 2000、および Windows XP システムの場合、このディレクトリは c:¥WinNT¥System32 です。Windows 9x および Windows ME の場合、このディレクトリは ¥Windows¥System です。


スマート カードを使用する認証用の VPN Client のセットアップ:Windows の場合

VPN Client は、スマート カード上に保存された証明書を使用した認証をサポートします。VPN Client ユーザは、接続エントリを作成し、認証用の証明書を選択した後、スマート カードをカード リーダーに挿入する必要があります。VPN Client 接続が開始されると、ユーザは、スマート カードにアクセスするための PIN、またはパスコードを入力するように求められます。秘密鍵はスマート カード上に存在し、PIN またはパスコードを入力しないとアクセスできません。また、ほとんどのケースでは、PIN やパスコードの入力試行回数に制限があり、その回数を超えるとカードがロックされます。

本書では、すべてのスマート カード ベンダーの製品について、VPN Client 認証の設定方法を説明しているわけではありません。認証の設定方法の情報については、スマート カード ベンダーの説明書を参照してください。

一般的な設定手順は、次のとおりです。


ステップ 1 Web ベースの証明書登録を実行しているときは、Key Options のプルダウン メニューからスマート カード プロバイダーを選択します。

ステップ 2 キー使用に対しては、 Signature を選択し、 Create new key set が選択されていることを確認します。

ステップ 3 証明書をインストールします。キーがスマート カード上に生成され、使用している PC 上の
Microsoft ストアに証明書のコピーが保存され、VPN Client の[証明書]タブにリストされます。

ステップ 4 [接続エントリ]>[修正]を選択し、表示されるダイアログボックスで次の操作を行います。

a. [認証]タブを開き、[証明書の認証]オプション ボタンにチェックマークを付けます。

b. [名前]ドロップダウン メニューを表示して、スマートカード証明書をクリックします。


 

この状態では、VPN Client のユーザは、PC の適切なポートに取り付けられたリーダーにスマートカードが挿入され、ユーザが正しい PIN またはパスコードを入力したときにだけ、認証を完了させることができます。


) ほとんどのベンダー製品では、スマート カードが挿入されていないときにも、証明書が[証明書]タブに表示されます。しかし、Aladdin の e-token では、接続が切断されると、リストから証明書が削除されます。e-token が挿入されアクティブのときにだけ、証明書がリストに表示されます。


相互認証の設定

ここでは、管理者が VPN Client システムおよび VPN Concentrator で認証を設定するときに役立つ情報を提供します。これらの情報は、すべての VPN Client プラットフォームに適用されます。

VPN Client システムでの相互グループ認証の設定

グループ認証は、事前共有キーを使用して相互認証を行う方法です。この方法では、VPN Client と中央サイトの VPN 装置はグループ名とパスワードを使用して接続を確認します。これは対称型の認証です。なぜならば、両方の側でネゴシエーション時に同じ認証方法が使用されるからです。事前共有認証は、2 段階で行われます。

最初の段階では、両方の側がセキュリティ パラメータを交換し、セキュアなチャネルを作成します。第 2 段階では、ユーザ認証が行われます。中央サイトの VPN 装置では、ユーザ名とパスワードの入力を要求して、リモート ユーザが中央サイトの VPN 装置に設定されているグループの正規メンバーであることを確認します。

相互グループ認証は、非対称型の認証です。なぜならば、セキュアなトンネルを確立してグループ認証の基盤を形成するときに、両方の側で異なる方法を使用して他方の認証が行われるからです。この方法では、認証は 2 段階で行われます。最初の段階では、中央サイトの VPN 装置は公開鍵(デジタル署名)を使用してその装置自体の認証を行い、両方の側がネゴシエートしてセキュアな通信チャネルを確立します。第 2 段階では、中央サイトの VPN 装置により VPN Client ユーザの実際の認証が行われます。この方法ではピア認証に事前共有キーを使用せず、man-in-the-middle 攻撃を受けにくいため、グループ認証だけの場合よりもセキュリティが向上します。

相互グループ認証を使用するには、リモート ユーザの VPN Client システムにルート証明書がインストールされている必要があります。VPN Client のインストール時に VPN Client システムにルート証明書を保存しておくと、ルート証明書が必要に応じて自動的にインストールされるようになります。証明書は、拡張子なしの rootcert という名前のファイルで、リモート ユーザの VPN Client システムのインストール ディレクトリになければなりません。rootcert ファイルのロード方法の詳細は、リモート ユーザが使用しているプラットフォームのユーザ ガイドに記載されたインストール方法を参照してください。

VPN Concentrator での相互認証の設定

VPN Concentrator で相互認証を行うためには、VPN Client システムと同じ Certificate Authority(CA;認証機関)を使用する必要があります。VPN Concentrator 側では、次のような設定を行う必要があります。


ステップ 1 このマニュアルの第 8 章の表 「VPN Client の有効な IKE プロポーザル」 に示されているような、HYBRID モード認証を許可する IKE プロポーザルを選択します。たとえば、VPN Concentrator で、IKE プロポーザルとして HYBRID-AES256-SHA-RSA を選択します。IKE プロポーザルの設定については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の
「Configuration | Tunneling and Security | IPSec | IKE Proposals」の項
(http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/products_configuration_guide_chapter09186a00801f1e36.html#1137591)を参照してください。


) HYBRID モード認証を含む IKE プロポーザルは、VPN 3000 Concentrator Release 4.1 には含まれていません。ただし、Release 4.6 が同梱されている VPN 3000 Concentrator では、IKE プロポーザルを選択できます。


ステップ 2 VPN Concentrator に ID 証明書がない場合は、CA に証明書を登録する必要があります。証明書の登録方法については、『VPN 3000 シリーズ コンセントレータ リファレンス II:管理とモニタリング』の「Configuration Management」の項(http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/
products_administration_guide_chapter09186a00801f1dc5.html)を参照してください。

ステップ 3 VPN Client の CA 証明書で認証される ID 証明書を使用するように、IPSec SA を設定します。『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「Configuration | Policy
Management | Traffic Management | Security Associations」の項(http://www.cisco.com/en/US/products/hw/
vpndevc/ps2284/products_configuration_guide_chapter09186a00801f1dbb.html#1563342)を参照してください。

ステップ 4 VPN Concentrator 上の VPN グループを、ステップ 3 で設定した新しい IPSec SA を使用するよう設定します。VPN グループの設定については、『VPN 3000 シリーズ コンセントレータ リファレンス I:コンフィギュレーション』の「Configuration | User Management | Groups, IPSec tab」の項
(http://www.cisco.com/en/US/products/hw/vpndevc/ps2284/products_configuration_guide_chapter09186a00801f1df7.html#1907522)を参照してください。