 |
||
|
  |
Q&A |
Q. IPSec とは何ですか?
A. IPSec はインターネット経由で安全かつ機密を守りながら通信を行うための、オープンな規格によるフレームワークです。IPSec は IETF(Internet Engineering Task Force)によって開発された規格をベースとし、パブリック ネットワークを経由したデータ通信の機密性、完全性、および信用を保証するものです。IPSec を使用することにより、ネットワーク全体にわたってセキュリティ ポリシーを設定するために必要な、標準規格ベースかつ柔軟なソリューションが可能になります。
Q. Cisco Secure VPN Client v.1.1 とは何ですか?
A. Cisco Secure VPN Client は、デスクトップ ユーザがリモート サイトに対して IPSec トンネルを作成するためのソフトウェア コンポーネントです。これを使用することにより、インターネットなどのレイヤ 3 パブリック IP ネットワークを経由した、セキュア クライアントから IOS IPSec へのゲートウェイ コミュニケーションが可能になります。このコミュニケーションは VPN (仮想プライベートネットワーク) あるいはエクストラネットで最も頻繁に使用されます。Cisco Secure VPN Client 1.1 は、Windows 95、98、および NT に対応し(バリアントについては後述)、IOS または PIX ヘッドエンド端末デバイスが必要です。
Q. どのようなシステム要件がありますか?
A. Pentium プロセッサを備えた PC 互換コンピュータで次の条件を満たすものが必要です。
- Microsoft® Windows® 95 (4.00.950 B、4.00.950C)、Microsoft® Windows® 98 (98、98SE)、またはMicrosoft® Windows® NT 4.0(Service Pack 4,5,6 インストール済み)
- 18 MB のハードディスク空き容量
- 16 MB の RAM(Windows 95)または 32 MB の RAM(Windows NT)
- ソフトウェア インストールのための CD-ROM ドライブまたは高密度フロッピー ドライブ
- 内蔵⁄外付けモデム(暗号化なし)またはネットワークへの接続
Q. クライアントはどのような規格をサポートしていますか?
A. Cisco Secure VPN Client 1.1 は、次の規格をサポートしています。
- IPSec RFC 2401-2410, 2451:
- AH (Authentication Header)
- ESP (Encapsulating Security Payload)
- IKE (ISAKMP/Oakley) キー
- AH (Authentication Header)
- X.509 v3 証明書
- FIPS PUB 46-1: Data Encryption Standard
- RFC 1321: MD5 Message Digest Algorithm
- FIPS PUB 180-1: Secure Hash Standard
- PKCS #7: Cryptographic Message Syntax Standard
- PKCS #10: Certification Request Syntax Standard
Q. どのような暗号化アルゴリズムとキー長がサポートされていますか?
A. Cisco Secure VPN Client 1.1 は DES および 3DES 暗号化アルゴリズムをサポートしています。56DES イメージは米国およびカナダ外への輸出用で、Cisco IOS は 56DES と 3DES の両方をサポートしています。3DES は 一般に金融機関その他の機関に対して輸出可能ですが、政府機関を対象とする場合にはライセンスが必要です。
Q. ソフトウェアを購入するには、どうすればよいですか?
A. Cisco Secure VPN Client 1.1 には DES バージョンと 3DES バージョンがあり、100 ユーザまで、1,000 ユーザまで、および無制限の 3 種類のライセンスが用意されています。SMARTnet 契約があれば、Cisco Secure VPN Software の無制限ライセンスを 7100 ISM、7200 ISA、および 1700 VPN モジュールとして無償でダウンロードできます。
Q. X.509 デジタル認証はサポートしていますか?また、デジタル認証はどのようにして取得できますか?
A. Cisco Secure VPN Client 1.1 は、Cisco IOS および Cisco Secure PIX Firewall と同じ CA(認証権限者)を使用しており、カスタマは自分の CA を使用することも、証明書ベンダまたはサービスから個別に証明書を購入することもできます。現在使用可能なのは Windows 2000 Certificate Services、Verisign Onsite、および Cisco SCEP(Simple Certificate Enrollment Protocol)を使用した Entrust VPN Connector です。将来のリリースでは Baltimore もサポートされる予定です。
Q. Cisco Secure VPN Client 1.1 はダイヤルアップと LAN 接続のどちらにも対応していますか?
A. Cisco Secure VPN Client は、LAN アダプタ、モデム、PC カードなどの標準的な Microsoft Windows 通信デバイスに対応し、ダイヤルアップと LAN 環境のどちらでも使用できます。ただしトークンリングと ATM ネットワーク アダプタはサポートされていません。
Q. IP InSight とは何ですか?
A. IP InSight Client は SLA(サービスレベル契約)を維持するための、接続に関する統計値を取得します。このクライアントは次バージョンのCisco SLA Manager と互換性があります。
Q. 自社のユーザに対するポリシーを設定することはできますか?
A. システム管理者はポリシーの定義と保護が行えます。ポリシーは読み取り専用として書き出すことができ、この場合にはクライアント側に読み込んだものについてエンドユーザが変更を加えることはできません。
Q. Cisco Secure VPN Client はダイナミック IP アドレッシングをサポートしていますか?
A. Cisco Secure VPN Client 1.1 は、Cisco IOS ゲートウェイや Cisco Secure PIX Firewall など、IPSec 終端ホストに保存された IP アドレスプールによってダイナミック IP アドレッシングをサポートしています。
Q. Cisco Secure VPN Client 1.1 は AAA 経由のユーザ認証をサポートしますか?
A. サポートします。現在は XAUTH 経由でサポートされています。
Q. XAUTH とは何ですか?
A. XAUTH は eXtended AUTHentication の略で、リモート ユーザによる RADIUS/ TACACS+ サーバでの認証です。XAUTH を使用することにより、IPSec トンネルのユーザベースでの認証を行えます。事前共有キーまたは証明書を使用した場合、何らかの形の認証が存在しないかぎり、デバイスを不正にコントロールできるようになれば、その不正ユーザはセキュリティの確保されたネットワークにアクセスできるようになります。XAUTH を使用すると、ユーザ名とパスワード⁄パスコードが別に必要とされるようになるため、このリスクは解消します。XAUTH は既存のトークン カードとも互換性があります。
Q. どのバージョンの VPN Client が XAUTHをサポートしていますか?
A. バージョン 1.1 でサポートされています。
Q. Cisco Secure VPN Client 1.1 は L2TP をサポートしていますか?
A. 現在 L2TP はサポートされておらず、予定もありません。
Q. Windows 以外のプラットフォームで IPSec に対応したソフトウェアはありますか?
A. Cisco Secure VPN Client 1.1 プラットフォームでは Windows 以外のプラットフォームをサポートしていません。
ただし Cisco VPN Client 3.x に関しては Windows 版と Linux 版が存在します。Solaris 版と Macintosh 版も計画されています。
現在、サポートしているプラットフォームは、以下のとおりです。
- Microsoft ® Windows ® 95 (OSR2 以上)、Windows 98、またはWindows 98 セカンド バージョン
- Windows ME
- Windows NT ® (Service Pack 3 以上)
- Windows 2000
- Windows XP
現在 VPN Client 3.0 からの VPN 接続を終端できるヘッドエンド VPN デバイスは次のとおりです。
- Cisco PIX 6.x、CVPN3000 3.x.
- IOS では、IOS 12.1(7) T リリースで 3.x のクライアントをサポートする予定です。
Q. Cisco Secure VPN Client 1.1 は、どのようにシスコ ルータでサポートされていますか?
A. シスコ ルータは、IPSec イメージを使って構成されています。このルータは、他の IPSec 対応デバイスと同様にクライアントとのやり取りを行います。IKE(Internet Key Exchange)を行うために IOS ルータは、X.509 証明書を IPSec クライアントとの間で交換します。
Q. コンフィグレーションおよび設計ガイドはどこにありますか?
A. http://www.cisco.com/warp/public/cc/so/neso/sqso/eqso/dplip_in.htm にあります(英語になります)。
Q. Cisco Secure VPN Client を購入した場合、TAC ヘルプにはアクセスできますか?
A. できます。Cisco Secure VPN Client 1.1 は TAC に完全に対応しています。
Q. 終端デバイス(PIX または IOS ルータ)に SMARTnet を購入した場合、v1.1 はダウンロードできますか?
A. できます。VPN Client のバージョン 1.0 を購入している場合には、CCO からクライアントをダウンロードできます。
Q. バージョン 1.0 を持っていて 1.1 にアップグレードしたい場合、SMARTnet 契約を所持している必要がありますか?
A. あります。無償アップグレードには SMARTnet 契約が必要です。
Q. Cisco Secure VPN Client はどこからダウンロードできますか?
A. DES バージョンは http://www.cisco.com/pcgi-bin/tablebuild.pl/vpnclient-crypto からダウンロードできます。3DES バージョンをダウンロードする場合はまず http://www.cisco.com/wwl/export/crypto/download.html に目を通してください。次に http://www.cisco.com/cgi%dbin/Software/Crypto/crypto_main.pl へ行き、製品を選択してください。強力な暗号化ソフトウェアに申し込んで許可されたら、それが有効になるまで 4 時間待ってください。その後に http://www.cisco.com/pcgi-bin/tablebuild.pl/vpnclient-crypto-strong に進むことができます。
Q. Cisco Secure VPN 1.1 Client はどの PKI 製品に対応していますか?
A. VeriSign、Entrust(VPN Connector が SCEP プロトコルをサポート)、Baltimore、Netscape、および Microsoft など、大半の証明権限者製品に対応しています。
Q. Cisco Secure VPN Client バージョン 1.1 を実行するには、どのバージョンの PIX が必要ですか?
A. バージョン 5.1(1) 以上が必要です。
Q. Cisco Secure VPN Client バージョン 1.1 を実行するには、どのバージョンの IOS が必要ですか?
A. バージョン 12.1(1) T、12.1(2)、およびそれ以上でサポートされています。
Q. Cisco Secure VPN Client の 3DES バージョンを入手できませんがなぜですか?
A. 3DES の暗号化は規制されており、輸出には申請が必要です。DES VPN クライアントの機能は、より強力な暗号化(3DES)がサポートされていないだけで、他は 3DES クライアント とまったく同じです。ただし 3DES クライアントのテストおよびデモには、輸出許可を得る必要はありません。
Q. VPN Client は NAT を経由することができますか?
A. バージョン 1.1 は NAT(many-to-many)を経由しますが PAT(many-to-one)は経由できません。Cisco VPN Client バージョン 3.x には、PAT およびエクストラネット環境でスムーズに動作するためのさまざまな機能が用意されています。
Q. Cisco Secure VPN Client は今後の VPN Client 3000 製品ラインにどのように適合する予定ですか?Cisco Secure VPN Client バージョン 1.1 は単になくなりますか、それとも新しいリリースが予定されていますか?
A. Cisco Secure VPN Client バージョン 1.1 は、Cisco Secure VPN Client バージョン 3.x に置き換えられています。バージョン 3.x は、すべてのシスコ製の VPN ゲートウェイ プラットフォーム (PIX、Cisco IOS、VPN 3000、および VPN5000) をサポートしています。Cisco IOS と VPN 5000 は、2002 年初期にサポートされる予定です。Cisco Secure VPN Client は、すべての Cisco IOS プラットフォームが Cisco VPN Unified Client Framework をサポートするようになり次第、販売終了となります。
シスコでは、Cisco VPN 3.x Client の使用を推奨しています。
 |
更新日:2002年1月9日 |