VPN Client ユーザ ガイド Windows 版 Release 4.0
Cisco VPN Client の概要
Cisco VPN Client の概要
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco VPN Client の概要

VPN Client の動作

接続テクノロジー

VPN Client の機能

プログラム機能

認証機能

ファイアウォール機能

IPSec 機能

VPN Client IPSec 属性

サポートされる Windows 機能

Cisco VPN Client の概要

Cisco VPN Client Windows 版(このユーザ ガイドでは VPN Client と呼びます)は、Microsoft®
Windows® ベースの PC で実行されるソフトウェアです。リモート PC 上の VPN Client は、企業ネットワーク上の Cisco Easy VPN サーバまたはサービス プロバイダーと通信するときに、インターネット上でセキュア接続を確立します。このセキュア接続を通じてオンサイトのユーザと同じようにプライベート ネットワークにアクセスできるようになり、バーチャル プライベート ネットワークが構築されます。サーバでは、受信接続を確立する前に、その接続に最新のポリシーが指定されているかが検証されます。Cisco IOS、VPN 3000 シリーズ コンセントレータ、および PIX 中央サイト サーバは、VPN Client からの VPN 接続を解除できます。

リモート ユーザ(低速または高速)として、まず、インターネットに接続します。次に、VPN Client を使用して、その VPN Client をサポートしている Cisco VPN サーバを経由でプライベート企業ネットワークに安全にアクセスします。

VPN Client は、[プログラム]メニューから選択可能な次のアプリケーションで構成されています。

図 1-1 InstallShield ウィザードを使用してインストールされる VPN Client アプリケーション

 

各アプリケーションには、次のような機能があります。

[ヘルプ]:アプリケーションの使用法を説明するオンライン マニュアルを表示します。

[SetMTU]:最大伝送ユニットのサイズを手動で変更できるようにします(『VPN Client アドミニストレータ ガイド』の第 6 章を参照)。

[VPN Client]:VPN サーバへの接続の設定、接続の開始、VPN サーバへの接続を認証するための証明書への登録、ログからのイベントの表示を行えるようにします。

[Uninstall VPN Client]:VPN Client をシステムから安全に削除し、接続と証明書の設定を保存できるようにします。


) VPN Client は InstallShield ウィザードまたは Microsoft Installer からインストールできます。 Microsoft Installer から VPN Client をインストールすると、図 1-1 に示す[プログラム]メニューには[Uninstall VPN Client]アプリケーションは表示されません。


VPN Client の動作

VPN Client は Cisco VPN サーバと連携して、ユーザのコンピュータとプライベート ネットワーク間に、トンネルと呼ばれるセキュア接続を確立します。VPN Client は、Internet Key Exchange(IKE)、および Internet Protocol Security(IPSec)のトンネリング プロトコルを使用してセキュア接続を確立し、その管理を行います。この接続は、次のような手順で確立されます。

トンネル パラメータのネゴシエーション:アドレス、アルゴリズム、存続時間など。

パラメータの内容に合わせたトンネルの確立。

ユーザの認証:ユーザ名、グループ名、パスワード、および X.509 デジタル証明書を使用して、ユーザが、申告したとおりのユーザかどうかを確認します。

ユーザ アクセス権の確立:アクセス時間、接続時間、許可する接続先、許可するプロトコルなど。

暗号化と復号化用のセキュリティ キーの管理。

トンネルを経由するデータの認証、暗号化、および復号化。

たとえば、リモート PC を使用して会社の E メールを読むときには、インターネットに接続してから VPN Client を起動すると、インターネット経由で会社のプライベート ネットワークとのセキュア接続が確立されます。E メールを開くときには、Cisco VPN サーバにより、IPSec を使用して E メール メッセージが暗号化されます。次に、メッセージは、トンネル経由で VPN Client に送信され、リモート PC 上で読めるように復号化されます。その E メール メッセージに返信する場合、メッセージは、VPN Client により IPSec を使用して処理され、Cisco VPN サーバ経由でプライベート ネットワークに戻されます。

接続テクノロジー

VPN Client では、次のテクノロジーを使用してインターネットに接続できます。

POTS(Plain Old Telephone Service; 一般電話サービス):ダイヤルアップ モデムを使用して接続します。

ISDN(Integrated Services Digital Network; サービス統合デジタル ネットワーク):ダイヤルアップ モデムを使用して接続します。

ケーブル:常時接続されたケーブル モデムを使用します。

DSL(Digital Subscriber Line; デジタル加入者回線):常時接続された DSL モデムを使用します。

VPN Client は、LAN に直接接続されている PC 上でも使用できます。

VPN Client の機能

この後の各表は、VPN Client の機能を示しています。

表 1-1 は、VPN Client の主な機能を示しています。

 

表 1-1 VPN Client の主な機能

機能
説明

オペレーティング システム

Windows 98、Windows NT、Windows ME、Windows 2000、Windows XP

接続の種類

非同期シリアル PPP

インターネットに接続されたイーサネット

プロトコル

IP

トンネル プロトコル

IPSec

ユーザ認証

RADIUS

RSA SecurID

VPN サーバ内部ユーザ リスト

PKI デジタル証明書

スマート カード

NT ドメイン(Windows NT)

プログラム機能

VPN Client は、 表 1-2 に示すプログラム機能をサポートします。

 

表 1-2 プログラム機能

プログラム機能
説明

オンライン ヘルプ

ブラウザ ベースの状況依存ヘルプ

サポートされるサーバ

Easy VPN サーバ機能をサポートする Cisco IOS デバイス

VPN 3000 シリーズ コンセントレータ

Cisco PIX Firewall シリーズ、バージョン 6.2 以降

サポートされるインターフェイス

グラフィカル ユーザ インターフェイス

コマンドライン インターフェイス

ローカル LAN アクセス

セキュア ゲートウェイを経由で中央サイトの VPN サーバに接続し、ローカル LAN 上のリソースにアクセスする機能(中央サイトにより許可されている場合)。

自動 VPN Client 設定オプション

コンフィギュレーション ファイルのインポート機能。

イベント ロギング

VPN Client ログで、表示と分析用にイベントが収集されます。

NAT 透過性(NAT-T)

VPN Client および VPN 装置が、IPSec over UDP をいつ使用する必要があるかを自動的に検知し、PAT(ポート アドレス変換)環境で正常に機能するようにします。

中央制御バックアップ サーバ リストの更新

VPN Client で、接続の確立時にバックアップ VPN サーバ リストが作成されます。 この機能は VPN 装置上で設定され、VPN Client で実行されます。 各接続エントリのバックアップ サーバは、[バックアップサーバ]タブに表示されます。

MTU サイズの設定

VPN Client で、環境に最適な最大伝送ユニット(MTU)サイズが自動的に設定されます。ユーザが手作業で MTU サイズを設定することもできますMTU サイズを調整する手順については、『VPN Client アドミニストレータ ガイド』を参照してください。

ダイナミック DNS(DDNS ホスト名取得)のサポート

VPN Client は、接続の確立時に VPN 装置にホスト名を送信します。 すると、VPN 装置はそのホスト名を DHCP 要求に含めて送信できるようになります。 その結果、DNS サーバのデータベースが更新され、新しいホスト名と VPN Client アドレスが追加されます。

Application Launcher

VPN Client から、アプリケーション、またはサードパーティのダイヤラーを起動する機能。

アンインストール パッケージ(InstallShield)

InstallShield インストール パッケージを使用する 5000 VPN Client の自動アンインストール。

自動ダイヤルアップ接続

Microsoft Dial-Up Networking、または他のいずれかのサードパーティ製リモート アクセス ダイヤラー経由の自動接続。

通知

接続時の、VPN サーバからのソフトウェア更新通知。

通知による起動

VPN サーバの通知によって、アップグレード ソフトウェアを保持するロケーション サイトを起動する機能。

自動開始

保護された無線 VPN 接続をシームレスに自動開始する機能。

バーチャル アダプタ

このソフトウェア専用ドライバは、Windows 2000 と Windows XP で使用可能で、システム内でアプリケーションの不適合の問題を解決するためのインターフェイスとして機能します。

アラート(理由を示して削除)

VPN 3000 Concentrator により実行された接続解除の理由が明らかな場合、その情報が VPN Client によりユーザに表示されます。
VPN 3000 Concentrator(リリース 4.0)により VPN Client との接続が解除され、トンネルが切断されると、接続解除の理由を示すポップアップ ウィンドウが表示され、[通知]ログと IPSec ログ ファイルにメッセージが記録されます。 接続が切断されない IPSec の削除の場合は、イベント メッセージはログ ファイルにのみ表示されます。

単一 SA

VPN 接続ごとに SA を 1 つサポートする機能。 スプリット トンネリング ネットワークごとにホストとネットワーク間のセキュリティ結合(SA)のペアを作成する代わりに、「ホストとすべてのネットワーク間」方式を使用します。この方式では、スプリット トンネリングが使用されているかどうかに関係なく、すべてのネットワーク トラフィックに対して、トンネルを 1 つずつ作成します。

サードパーティ クライアント ソフトウェアとの共存

Microsoft、Nortel、Checkpoint、Intel、および他の VPN クライアントとの互換性。VPN Client がインストールされている場合に、他の VPN 製品を一緒に使用する機能。

この機能によって、各 VPN クライアントが同時接続することは できません

認証機能

VPN Client では、 表 1-3 に示す認証機能をサポートしています。

 

表 1-3 認証機能

認証機能
説明

中央サイトの VPN 装置を使用するユーザ認証

VPN 装置のデータベースを使用する内部認証

RADIUS(Remote Authentication Dial-In User Service)

NT ドメイン(Windows NT)

RSA(旧 SDI) SecurID または SoftID

認証機関(CA)

PKI SCEP 登録をサポートする CA。

Entrust Entelligence

Entrust Entelligence 証明書を使用する機能。

証明書管理

証明書ストアの証明書を管理できるようにします。

スマート カード

証明書を備えたスマート カードの使用を認証する機能。

ピア証明書の認定者名の検証

VPN Client が、盗まれた有効な証明書と IP アドレスを使用して、無効なゲートウェイに接続できないようにします。 ピア証明書のドメイン名の確認が失敗すると、VPN Client の接続も失敗します。

ファイアウォール機能

VPN Client では、 表 1-4 に示すファイアウォール機能をサポートしています。

 

表 1-4 ファイアウォール機能

ファイアウォール機能
説明

ファイアウォールのサポート

Cisco Integrated Firewall

Cisco Intrusion Prevention Security Agent

ZoneAlarmPro 2.6.3.57 以上

ZoneAlarm 2.6.3.57 以上

ZoneLabs Integrity 1.0 以上

BlackIce Agent および BlackIce Defender 2.5 以上

Sygate Personal Firewall および Sygate Personal Firewall Pro、バージョン 5.0、ビルド 1175 以上

Centralized Protection Policy

VPN Concentrator から VPN Client に送信されたファイアウォール ポリシーのサポート

Stateful Firewall

コマンドラインが使用可能または使用不可の Stateful Firewall。

ICMP 権限

VPN Client で設定可能。

IPSec 機能

VPN Client では、 表 1-5 に示す IPSec 機能をサポートしています。

 

表 1-5 IPSec 機能

IPSec 機能
説明

トンネル プロトコル

IPSec

透過的トンネリング

NAT および PAT 用の IPSec over UDP

NAT、PAT、およびファイアウォール用の IPSec over TCP

キー管理プロトコル

Internet Key Exchange(IKE)

IKE キープアライブ

ピアの継続的な存在をモニタリングし、VPN Client の継続的な存在をピアに報告するツール。これにより、ピアが存在しなくなったときに、VPN Client からユーザに通知されます。もう 1 つのタイプのキープアライブが、NAT ポートを継続的にアクティブ状態に保ちます。

スプリット トンネリング

パケットを、クリア テキストのまま、または暗号化して、IPSec トンネル経由でインターネット上で同時転送する機能。トンネル トラフィックに必要なネットワーク リストが、VPN 装置から VPN Client に提供されます。 スプリット トンネリングの有効化、およびネットワーク リストの設定は、VPN 装置で行います。

スプリット DNS のサポート

クリア テキストの DNS パケットを、インターネット上で、ISP の外部 DNS を使用するドメインに転送したり、企業 DNS を使用するドメインに IPSec トンネル経由で転送したりする機能。VPN Server から VPN Client に、プライベート ネットワーク内の宛先へパケットをトンネリングするときに必要なドメイン リストが提供されます。たとえば、corporate.com 宛のパケットのクエリーは、トンネル経由でプライベート ネットワーク上の DNS に転送されます。また、myfavoritesearch.com 宛のパケットのクエリーは、ISP の DNS を使用して処理されます。この機能は、VPN Server(VPN Concentrator)側で設定し、VPN Client 側ではデフォルトのまま使用可能にしておきます。スプリット DNS を使用するには、スプリット トンネリングも設定しておく必要があります。

LZS データ圧縮

モデム ユーザが利用する機能。

VPN Client IPSec 属性

VPN Client では、 表 1-6 に示す IPSec 属性をサポートしています。

 

表 1-6 IPSec 属性

IPSec 属性
説明

Main モードと Aggressive モード

ISAKMP Security Association(SA)を確立するときの Phase 1 のネゴシエートの方法。

認証アルゴリズム

HMAC(Hashed Message Authentication Coding)で、MD5
(Message Digest 5)ハッシュ関数を使用するもの

HMAC で、SHA-1(Secure Hash Algorithm)ハッシュ関数を使用するもの

認証モード

事前共有キー

X.509 デジタル証明書

Diffie-Hellman Groups

1

2

5

暗号化アルゴリズム

56 ビット DES(データ暗号化規格)

168 ビット Triple-DES

AES 128 ビットおよび 256 ビット

拡張認証(XAUTH)

IKE 内でユーザを認証する機能。 この認証は、IPSec 装置が相互に認証し合う通常の IKE Phase 1 認証に追加されます。 IKE 内の拡張認証交換は、既存の IKE 認証に置き換わるものではありません。

モード設定

ISAKMP Configuration Method とも呼ばれます。

トンネル カプセル化モード

IPSec over UDP(NAT/PAT)

IPSec over TCP(NAT/PAT)

IPSec over NAT-T

LZS を使用する IP 圧縮
(IPCOMP)

データ圧縮アルゴリズム

サポートされる Windows 機能

VPN Client では、 表 1-7 に示す Windows NT、Windows 2000、および Windows XP の機能をサポートしています。

 

表 1-7 Windows NT 機能

Windows NT 機能
説明

パスワード期限切れ情報

NT ユーザ データベースを参照する RADIUS サーバを使用して認証する際の、パスワード期限切れ情報。ユーザがログインする際に、VPN Concentrator から、パスワードが期限切れであることを知らせ、新しいパスワードの入力とその確認を求めるメッセージが送信されます。正式リリース前の 3.5 VPN Client では、PIN の入力とその確認がユーザに要求されます。リリース 3.5 以上の VPN Client では、パスワードの入力とその確認がユーザに要求されます。

Start before logon

Windows NT プラットフォーム(Windows NT 4.0、Windows 2000、および Windows XP システムなど)にログオンする前に、VPN 接続を確立する機能。

ログオフ時の VPN 接続の自動解除

Windows NT プラットフォームをログオフするときに自動接続解除を有効または無効にする機能。この機能を無効にすると、ローミング プロファイルの同期が可能になります。