VPN Client ユーザ ガイド Mac OS X 版 Release 4.6
VPN Client について
VPN Client について
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VPN Client について

接続テクノロジー

VPN Client の基本動作

VPN Client の機能

プログラム機能

認証機能

IPSec 機能

VPN Client IPSec 属性

VPN Client について

Cisco VPN Client Mac OS X 版は、バージョン 10.2 以降のオペレーティング システムを搭載する Macintosh コンピュータ上で動作するソフトウェア アプリケーションです。リモート PC 上の VPN Client は、企業ネットワーク上の Cisco VPN 装置またはサービス プロバイダーと通信するときに、インターネット上でセキュア接続を確立します。この接続により、バーチャル プライベート ネットワーク(VPN)が構築され、オンサイトのユーザと同じようにプライベート ネットワークにアクセスできます。

次の VPN 装置では、VPN Client から開始された VPN 接続を終端できます。

Easy VPN サーバ機能をサポートする Cisco IOS 装置

VPN 3000 シリーズ コンセントレータ

Cisco PIX Firewall シリーズ、バージョン 6.2 以降

VPN Client Mac OS X 版では、グラフィカル ユーザ インターフェイスを使用して、プライベート ネットワークへの VPN 接続の確立、接続エントリ、証明書、イベント ロギングの管理、およびトンネル ルーティング データの表示を行えます。

VPN Client Mac OS X 版は、コマンドライン インターフェイス(CLI)を使用して管理することもできます。Darwin を実行している場合や、VPN Client を CLI から管理する場合には、『Cisco VPN Client アドミニストレータ ガイド』を参照してください。

接続テクノロジー

VPN Client では、次のテクノロジーを使用してインターネットに接続できます。

POTS(Plain Old Telephone Service; 一般電話サービス):ダイヤルアップ モデムを使用して接続します。

ISDN(Integrated Services Digital Network; サービス統合デジタル ネットワーク):ダイヤルアップ モデムを使用して接続します。

ケーブル:常時接続されたケーブル モデムを使用します。

DSL(Digital Subscriber Line; デジタル加入者回線):常時接続された DSL モデムを使用します。

VPN Client は、LAN に直接接続されている PC 上でも使用できます。

VPN Client の基本動作

VPN Client は Cisco VPN 装置と連携して、ユーザのコンピュータとプライベート ネットワーク間に、トンネルと呼ばれるセキュア接続を確立します。また、Internet Key Exchange(IKE)、および Internet Protocol Security(IPSec)というトンネリング プロトコルを使用して、セキュア接続の確立と管理を行います。

VPN 接続が確立されるときの手順は、次のとおりです。

トンネル パラメータのネゴシエーション(アドレス、アルゴリズム、存続時間)

パラメータに応じた VPN トンネルの確立

ユーザの認証(ユーザ名、グループ名とパスワード、X.509 デジタル証明書による認証)

ユーザのアクセス権の確立(アクセス時間、接続時間、許可する接続先、許可するプロトコル)

暗号化および復号化に必要なセキュリティ キーの管理

トンネルを経由するデータの認証、暗号化、および復号化

たとえば、ユーザが自社宛ての E メールをリモート PC から読む場合、リモート接続は次のように行われます。


ステップ 1 インターネットに接続します。

ステップ 2 VPN Client を起動します。

ステップ 3 インターネットを経由して、ユーザの組織のプライベート ネットワークへのセキュアな接続を確立します。

ステップ 4 E メールを開くと、次の処理が実行されます。

Cisco VPN 装置は、次のように動作します。

IPSec を使用して E メールのメッセージを暗号化します。

このメッセージをトンネルを経由してユーザの VPN Client に送信します。

VPN Client は、次のように動作します。

受信したメッセージを復号化し、ユーザがリモート PC 上で読めるようにします。

IPSec を使用してこのメッセージを処理し、メッセージを Cisco VPN 装置を経由してプライベート ネットワークに戻します。


 

VPN Client の機

この後の各表は、VPN Client の機能を示しています。

表 1-1 は、VPN Client の主な機能を示しています。

 

表 1-1 VPN Client の主な機能

機能
説明

オペレーティング システム

Mac OS バージョン 10.2 以降

接続タイプ

同期シリアル PPP

インターネットに接続されたイーサネット

DSL


) VPN Client Mac OS X 版は、Bluetooth 無線テクノロジーに対応していません。


プロトコル

IP

トンネル プロトコル

IPSec

ユーザ認証

RADIUS

RSA SecurID

VPN サーバ内部ユーザ リスト

PKI デジタル証明書

NT ドメイン(Windows NT)

プログラム機能

VPN Client では、 表 1-2 に示すプログラム機能をサポートしています。

 

表 1-2 プログラム機能

プログラム機能
説明

サポートされているサーバ

Easy VPN サーバ機能をサポートする Cisco IOS 装置

VPN 3000 シリーズ コンセントレータ

Cisco PIX Firewall シリーズ、バージョン 6.2 以降

サポートされるインターフェイス

グラフィカル ユーザ インターフェイス

コマンドライン インターフェイス

オンライン ヘルプ

ブラウザ ベースの状況依存ヘルプ


) オンライン ヘルプを参照するには、Microsoft の Internet Explorer が必要です。


ローカル LAN アクセス

中央サイトからアクセスが認可されている場合、中央サイトの VPN サーバにセキュア ゲートウェイを経由して接続している間に、ローカル LAN 上のリソースにアクセスできます。

VPN Client 自動設定オプション

構成ファイルをインポートできます。

イベント ロギング

VPN Client ログで、表示と分析用にイベントが収集されます。

NAT 透過性(NAT-T)

VPN Client および VPN 装置が、IPSec over UDP をいつ使用する必要があるかを自動的に検知し、PAT(ポート アドレス変換)環境で正常に機能するようにします。

中央制御バックアップ サーバ リストの更新

接続の確立時にバックアップ VPN サーバ リストが作成されます。この機能は VPN 装置上で設定され、VPN Client で実行されます。各接続エントリのバックアップ サーバは、[バックアップサーバ]タブに表示されます。

MTU サイズの設定

ユーザの環境に最適なサイズが自動的に設定されます。ただし、ユーザが手動で MTU サイズを設定することもできます。MTU サイズを調整する手順については、『VPN Client アドミニストレータ ガイド』を参照してください。

ダイナミック DNS(DDNS ホスト名取得)のサポート

VPN Client は、接続の確立時に VPN 装置にホスト名を送信します。すると、VPN 装置はそのホスト名を DHCP 要求に含めて送信できるようになります。その結果、DNS サーバのデータベースが更新され、新しいホスト名と VPN Client アドレスが追加されます。

接続時の、VPN サーバからのソフトウェア更新通知

通知による起

VPN サーバの通知によって、アップグレード ソフトウェアを保持するロケーション サイトを起動できます。

アラート(理由を示して削除)

接続の切断時に、VPN Client から理由コードまたは理由の説明が示されます。VPN Client は、クライアントにより実行される接続の切断、コンセントレータにより実行される接続の切断、および IPSec の削除において、理由を示して削除する機能をサポートしています。

GUI の VPN Client を使用している場合は、接続の切断の理由を説明するポップアップ メッセージが表示されます。メッセージは、Notifications ログに追加され、IPSec ログ(Log Viewer ウィンドウ)に記録されます。

コマンドラインの Client を使用している場合は、メッセージが端末に表示され、IPSec ログに記録されます。

接続が切断されない IPSec の削除では、イベント メッセージが IPSec ログ ファイルに記録されますが、端末には表示されません。


) 接続先の VPN Concentrator で、バージョン 4.0 以降のソフトウェアが動作している必要があります。


一SA

VPN 接続ごとに単一セキュリティ結合(SA)をサポートする機能。スプリット トンネリング ネットワークごとにホストとネットワーク間のセキュリティ結合(SA)のペアを作成する代わりに、「ホストとすべてのネットワーク間」方式を使用します。この方式では、スプリット トンネリングが使用されているかどうかに関係なく、すべてのネットワーク トラフィックに対して、トンネルを 1 つずつ作成します。

起動時の接続

この機能を使用すると、VPN Client の起動時にユーザがデフォルトのユーザ プロファイルに接続できます。この機能は、[VPN Client] タブの[プリファレンス]メニューで有効にできます。

VPN Client API

VPN Client には、シスコ提供のコマンドライン インターフェイスやグラフィカル インターフェイスを使用せずに VPN Client のタスクを実行するための Application Programming Interface(API; アプリケーション プログラミング インターフェイス)が用意されています。この API には、編集可能な形式の、プログラマ向けユーザ ガイドが付属しています。

証機能

VPN Client では、 表 1-3 に示す認証機能をサポートしています。

 

表 1-3 認証機能

認証機能
説明

中央サイトの VPN 装置を使用するユーザ認

VPN 装置のデータベースを使用する内部認証

RADIUS(Remote Authentication Dial-In User Service)

NT ドメイン(Windows NT)

RSA(旧 SDI)SecurID または SoftID

証明書管理

証明書ストアの証明書を管理できるようにします。

認証機関(CA)

PKI SCEP 登録をサポートする CA

ピア証明書の識別名の確認

VPN Client が、盗まれた有効な証明書やハイジャックされた IP アドレスを使用して無効なゲートウェイに接続できないようにします。ピア証明書のドメイン名の確認が失敗すると、VPN Client の接続も失敗します。

IPSec 機能

VPN Client では、 表 1-4 に示す IPSec 機能をサポートしています。

 

表 1-4 IPSec 機能

IPSec 機能
説明

トンネル プロトコル

IPSec

過的トンネリング

NAT と PAT に使用する IPSec over UDP

NAT と PAT に使用する IPSec over TCP

キー管理プロトコル

IKE(Internet Key Exchange)

IKE キープアライブ

ピアの継続的な存在をモニタリングし、VPN Client の継続的な存在をピアに報告するツール。これにより、ピアが存在しなくなったときに、VPN Client からユーザに通知されます。もう 1 つのタイプのキープアライブが、NAT ポートを継続的にアクティブ状態に保ちます。

スプリット トンネリング

クリア テキストのパケットは直接インターネット上で、暗号化されたパケットは IPSec トンネル経由で、同時に送信できます。トンネル トラフィックに必要なネットワーク リストが、VPN 装置から VPN Client に提供されます。ユーザは VPN Client でスプリット トンネリングを有効にし、VPN 装置でネットワーク リストを設定します。

スプリット DNS のサポート

DNS パケットを、ISP の外部 DNS のドメインにインターネット経由でクリア テキストのまま、または企業 DNS のドメインに IPSec トンネル経由で送信できます。VPN サーバから VPN Client に、プライベート ネットワーク内の宛先へパケットをトンネリングするときに必要なドメイン リストが提供されます。たとえば、corporate.com 宛のパケットのクエリーは、トンネル経由でプライベート ネットワーク上の DNS に転送されます。また、myfavoritesearch.com 宛のパケットのクエリーは、ISP の DNS で処理されます。この機能は、VPN サーバ(VPN Concentrator)側で設定され、VPN Client 側ではデフォルトで有効になります。スプリット DNS を使用するには、スプリット トンネリングも設定しておく必要があります。

VPN Client IPSec 属性

VPN Client では、 表 1-5 に示す IPSec 属性をサポートしています。

 

表 1-5 IPSec 属性

IPSec 属性
説明

Main モードおよび Aggressive モード

ISAKMP Security Association(SA)を確立するときの Phase 1 のネゴシエートの方法

証アルゴリズム

HMAC(Hashed Message Authentication Coding)で、MD5(Message Digest 5)ハッシュ関数を使用するもの

HMAC で、SHA-1(Secure Hash Algorithm)ハッシュ関数を使用するもの

認証モード

事前共有キー

相互グループ認証

X.509 デジタル証明書

Diffie-Hellman グループ

グループ 1 = 768 ビット素数係数

グループ 2 = 1024 ビット素数係数

グループ 5 = 1536 ビット素数係数


) DH グループ 5 の詳細は、『Cisco VPN Client アドミニストレータ ガイド』を参照してください。


暗号化アルゴリズム

56 ビット DES(データ暗号化規格)

168 ビット Triple-DES

AES 128 ビットおよび 256 ビット

拡張認証(XAUTH)

IKE 内でユーザを認証できます。この認証は、IPSec 装置が相互に認証し合う通常の IKE Phase 1 認証に追加されます。IKE 内の拡張認証交換は、既存の IKE 認証に置き換わるものではありません。

モード設

ISAKMP Configuration Method とも呼ばれます。

Tunnel Encapsulation モード

IPSec over UDP(NAT/PAT)

IPSec over TCP(NAT/PAT)

LZS を使用する IP 圧縮(IPCOMP)

データ圧縮アルゴリズム