FTDでのセキュアクライアント(AnyConnect)リモートアクセスVPNの設定
はじめに
このドキュメントでは、セキュアファイアウォール脅威対策のセキュアクライアント(AnyConnect)リモートアクセスVPNの設定について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- VPN、TLS、およびIKEv2の基礎知識
- 基本的な認証、許可、アカウンティング(AAA)、およびRADIUSの知識
- Secure Firewall Management Centerの経験
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- セキュアファイアウォール脅威対策(SFTD)7.2.5
- Secure Firewall Management Center(SFMC)7.2.9
- セキュアクライアント(AnyConnect)5.1.6
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
バックグラウンド情報
このドキュメントでは、リモートアクセスVPNでTransport Layer Security(TLS)とInternet Key Exchange version 2(IKEv2)の使用を可能にする、セキュアファイアウォール脅威対策(FTD)バージョン7.2.5以降の設定例を紹介します。 クライアントとして、複数のプラットフォームでサポートされているセキュアクライアント(AnyConnect)を使用できます。
コンフィギュレーション
1. 前提条件
Secure Firewall Management Centerでリモートアクセスウィザードを実行するには、次の手順を実行します。
- サーバ認証に使用する証明書を作成します。
- ユーザ認証用にRADIUSサーバまたはLDAPサーバを設定します。
- VPNユーザ用のアドレスプールを作成します。
- 異なるプラットフォームのAnyConnectイメージをアップロードします。
a) SSL証明書のインポート
証明書は、Secure Clientを設定する際に不可欠です。Webブラウザでのエラーを回避するために、証明書にはDNS名やIPアドレスを含むサブジェクト代替名(SAN)拡張が必要です。
証明書の手動登録には制限があります。
- SFTDでは、CSRを生成する前にCA証明書が必要です。
- CSRが外部で生成されると手動の方法が失敗するため、別の方法を使用する必要があります(PKCS12)。
SFTDアプライアンスで証明書を取得する方法はいくつかありますが、安全で簡単な方法は、証明書署名要求(CSR)を作成し、認証局(CA)で署名し、公開キーに対して発行された証明書をインポートすることです。これはCSR内にあります。
完了する手順:
- Objects > Object Management > PKI > Cert Enrollmentに移動し、Add Cert Enrollmentをクリックします。
- Enrollment Typeを選択し、Certificate Authority (CA) certificate(CSRの署名に使用される証明書)を貼り付けます。
- 次に、2番目のタブに移動し、カスタムFQDNを選択して、必要なすべてのフィールドに入力します。次に例を示します。
- 3番目のタブで、Key Typeを選択し、nameとsizeを選択します。RSAでは、2048ビット以上です。
- Saveをクリックし、Devices > Certificates > Addの順に選択します。
- 次に、Deviceを選択し、Cert Enrollmentで作成したばかりのトラストポイントを選択して、Addをクリックします。
- 後で、トラストポイント名の横にある
アイコンをクリックし、はいをクリックします。その後、CSRをCAにコピーして署名します。証明書は、通常のHTTPSサーバと同じ属性を持つ必要があります。 - CAからBase64形式の証明書を受信したら、Browse Identity Certificateを選択し、ディスクから選択してImportをクリックします。これが成功すると、次のように表示されます。
b) RADIUSサーバの設定
- Objects > Object Management > RADIUS Server Group > Add RADIUS Server Group > +の順に選択します。
- 名前を入力し、IPアドレスと共有秘密を追加して、保存をクリックします。
- その後、サーバがリストに表示されます。
c) VPNユーザ用のアドレスプールの作成
- Objects > Object Management > Address Pools > IPv4 Pools > Add IPv4 Poolsの順に選択します。
- 名前と範囲を入力します。マスクは必要ありません。
d) XMLプロファイルの作成
- シスコのサイトからプロファイルエディタをダウンロードして開きます。
- Server List > Add...の順に移動します。
- Display NameとFQDNを入力します。サーバリストでエントリを確認できます。
- OK、File > Save as...の順にクリックします。
e) AnyConnectイメージのアップロード
- シスコサイトからpkgイメージをダウンロードします。
- Objects > Object Management > VPN > AnyConnect File > Add AnyConnect Fileの順に選択します。
- 名前を入力し、ディスクからPKGファイルを選択して、Saveをクリックします。
- 独自の要件に基づいてパッケージを追加します。
2. リモートアクセスウィザード
- Devices > VPN > Remote Access > Add a new configurationの順に移動します。
- プロファイルに名前を付け、FTDデバイスを選択します。
- Connection Profileステップで、Connection Profile Nameと入力し、前に作成したAuthentication ServerとAddress Poolsを選択します。
- Edit Group Policyをクリックし、AnyConnectタブでClient Profileを選択してからSaveをクリックします。
- 次のページでAnyConnect Imagesを選択し、Nextをクリックします。
- 次の画面で、Network Interface and Device Certificatesを選択します。
- すべてが正しく設定されたら、FinishをクリックしてからDeployをクリックします。
- これにより、設定全体が証明書およびAnyConnectパッケージとともにFTDアプライアンスにコピーされます。
Connection
FTDに接続するには、ブラウザを開き、外部インターフェイスをポイントするDNS名またはIPアドレスを入力する必要があります。次に、RADIUSサーバに保存されたクレデンシャルを使用してログインし、画面で手順を実行します。 AnyConnectをインストールしたら、AnyConnectウィンドウに同じアドレスを入力し、Connectをクリックします。
制限事項
現在、FTDではサポートされていませんが、ASAでは使用可能です。
-
FTDposture VPNは、動的認証またはRADIUS認可変更(CoA)によるグループポリシーの変更をサポートしていません
- AnyConnectのカスタマイズ(機能拡張:Cisco Bug ID CSCvq87631)
- AnyConnectスクリプト(機能拡張:Cisco Bug ID CSCvt58044)
- AnyConnectのローカリゼーション
- WSAの統合
- RAとL2L VPNの同時IKEv2ダイナミック暗号マップ(機能拡張:Cisco Bug ID CSCvr52047)
- TACACS、Kerberos:KCD認証およびRSA SDI(機能拡張:Cisco Bug ID CSCvx55859)
- ブラウザプロキシ
セキュリティに関する考慮事項
デフォルトでは、sysopt connection permit-vpnoptionは無効になっています。これは、アクセスコントロールポリシーを介して外部インターフェイスのアドレスプールから送信されるトラフィックを許可する必要があることを意味します。プレフィルタまたはアクセスコントロールルールはVPNトラフィックのみを許可するために追加されますが、クリアテキストトラフィックがルールの基準に一致した場合は、誤って許可されます。
この問題には2つのアプローチがあります。TACが推奨するオプションは、まず外部インターフェイスに対してアンチスプーフィングを有効にする(ASAではUnicast Reverse Path Forwarding(uRPF)と呼ばれていました)ことです。次に、sysopt connection permit-vpnを有効にして、Snort検査を完全にバイパスします。最初のオプションでは、VPNユーザとの間で送受信されるトラフィックを通常の方法で検査できます。
a) uRPFの有効化
- リモートアクセスユーザに使用されるネットワークのヌルルートを、セクションCで定義されるように作成します。Devices > Device Management > Edit > Routing > Static Routeに移動し、Add routeを選択します。
- 次に、VPN接続が終端されるインターフェイスでuRPFをイネーブルにします。これを確認するには、Devices > Device Management > Edit > Interfaces > Edit > Advanced > Security Configuration > Enable Anti Spoofingの順に移動します。
ユーザが接続されると、そのユーザの32ビットルートがルーティングテーブルにインストールされます。uRFPによって廃棄されたプールの未使用のIPアドレスを発信元とするクリアテキストトラフィック。アンチスプーフィングの説明を表示するには、『ファイアウォールの脅威対策におけるセキュリティ設定パラメータの設定』を参照してください。
b) sysopt connection permit-vpnオプションをイネーブルにする
- ウィザードを実行するか、Devices > VPN > Remote Access > VPN Profile > Access Interfacesの順に選択して実行します。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
7.0 |
16-Jun-2026
|
スペルチェック、スペース、文法の一部、および概要に対する若干の変更を更新。 |
6.0 |
05-Dec-2024
|
代替テキスト、リンクターゲット、文法、およびフォーマットが更新されました。 |
5.0 |
25-Nov-2024
|
命名規則の変更とGUIへの反映 |
4.0 |
05-Dec-2023
|
再認定 |
3.0 |
16-Dec-2022
|
書き換え書式の更新:再認定 |
2.0 |
08-Nov-2022
|
更新された書式と修正済みのスペル
再認定 |
1.0 |
07-Nov-2017
|
初版 |
フィードバック