概要
Secure Sockets Layer (SSL) VPN (Cisco WebVPN)セッションがセキュアであるが、クライアントはまだクッキーを、ブラウザー ファイル食べるかもしれ、セッションの後に残る電子メールの添付ファイルは完了しました。 Cisco Secure Desktop (CSD)はクライアントのディスクの特派員地下エリアへ暗号化された形式にセッションデータを書くことによって SSL VPN セッションの固有セキュリティを拡張します。 さらに、このデータは SSL VPN セッションの終わりにディスクから取除かれます。 この資料は Cisco IOS ® ルータの CSD のための設定 例を表記したものです。
CSD は次の Ciscoデバイス プラットフォームでサポートされます:
-
Cisco IOS ルータ バージョン 12.4(6)T および それ 以降
-
Cisco 870,1811,1841、2801、2811 人、2821 人、2851 人、3725 人、3745 人、3825 人、3845 人、7200 人および 7301 人のルータ
-
Cisco VPN 3000 シリーズ コンセントレータ バージョン 4.7 および それ 以降
-
Cisco ASA 5500 シリーズ セキュリティ アプライアンス バージョン 7.1 および それ 以降
-
Cisco Catalyst および Cisco 7600 シリーズ バージョン 1.2 および それ 以降のための Cisco WebVPN サービス モジュール
前提条件
要件
この設定を行う前に、次の要件が満たされていることを確認します。
Cisco IOS ルータのための必要条件
-
高度イメージ 12.4(6T) またはそれ以降の Cisco IOS ルータ
-
Ciscoルータ セキュア デバイスマネージャ(SDM) 2.3 またはより高い
-
管理ステーションの IOS パッケージのための CSD のコピー
-
認証局(CA)のルータ 自己署名 デジタル認証か認証
注: デジタル証明書を使用する、ルータのホスト名-、ドメイン名および日付/時間/時間帯を正しく設定 したことを確かめて下さい。
-
ルータの enable secret password
-
ルータで有効に なる DNS。 WebVPN 何人かサービスは DNS がきちんとはたらくように要求します。
クライアント コンピュータのための必要条件
-
リモートクライアントはローカル管理権限があるはずです; それが必要となりませんが、非常に提案されます。
-
リモートクライアントは Javaランタイム環境 (JRE) バージョン 1.4 または それ 以上がなければなりません。
-
リモートクライアント ブラウザ: Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2、または Firefox 1.0
-
有効に なる リモートクライアントで許可されるクッキーおよび Popups
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
ネットワーク図
このドキュメントでは、次のネットワーク構成を使用しています。
この例は会社のイントラネットに安全なアクセスを許可するのにルータを Cisco 3825 シリーズ使用します。 Cisco 3825 シリーズ ルータは設定可能な CSD 機能および特性の SSL VPN 接続のセキュリティを強化します。 クライアントはこの 3 つの SSL VPN メソッドの 1 つによって CSD 有効に された ルータに接続できます: Clientless SSL VPN (WebVPN)、シン クライアント SSL VPN (ポート フォワーディング)、または SSL VPN Client (完全なトンネリング SVC)。
関連製品
この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。
-
Ciscoルータプラットフォーム 870,1811,1841,2801,2811,2821 2851,3725,3745.3825,3845、7200 および 7301
-
Cisco IOS 拡張セキュリティ イメージ バージョン 12.4(6)T およびそれ以降
表記法
文書の表記法に関する詳細については Ciscoテクニカル情報 規定を参照して下さい。
設定
WebVPN ゲートウェイはユーザが SSL VPN テクノロジーの 1 つによってルータに接続することを可能にします。 WebVPN 複数のコンテキストが WebVPN ゲートウェイに接続することができるが、デバイスで IP アドレスごとの WebVPN 1 つのゲートウェイだけ割り当てられます。 各コンテキストは固有の名前によって識別されます。 グループ ポリシーは WebVPN 特定のコンテキストに利用可能 な設定されたリソースを識別します。
IOSルータの CSD の設定は 2 フェーズに達成されます:
フェーズ I: SDM の CSD 設定のルータを準備をして下さい
-
WebVPN WebVPN ゲートウェイ、コンテキストおよびグループ ポリシーを設定して下さい。
注: このステップはオプションで、この資料で極めて詳細にカバーされません。 既に SSL VPN テクノロジーの 1 つのためのルータを設定している場合、このステップを省略して下さい。
-
WebVPN コンテキストの CSD を有効に して下さい。
フェーズ II: Webブラウザを使用する設定 CSD。
-
Windows 場所を定義して下さい。
-
Location 基準を識別して下さい。
-
Configure ウィンドウ 位置 モジュールおよび機能。
-
Windows CE、マッキントッシュおよび Linux 機能を設定して下さい。
フェーズ I: SDM の CSD 設定のルータを準備をして下さい。
CSD は SDM でまたは Command Line Interface (CLI)から設定することができます。 この設定は SDM および Webブラウザを使用します。
これらのステップが IOSルータの CSD の設定を完了するのに使用されています。
フェーズ I: ステップ 1: WebVPN WebVPN ゲートウェイ、コンテキストおよびグループ ポリシーを設定して下さい。
このタスクを完了するのに WebVPN ウィザードを使用できます。
-
SDM を開き、設定 > VPN > WebVPN に行って下さい。 作成 WebVPN タブをクリックし、作成を WebVPN 新しい Radio ボタン チェックして下さい。 [Launch the selected task] をクリックします。
-
WebVPN ウィザードスクリーンは設定できるパラメータをリストします。 [Next] をクリックします。
-
WebVPN ゲートウェイのための IP アドレスを、サービスおよびデジタル認証 情報の固有の名前入力して下さい。 [Next] をクリックします。
-
WebVPN このゲートウェイへの認証のためのユーザアカウントは作成することができます。 外部認証、許可および会計(AAA)サーバで作成されるローカルアカウントかアカウントを使用できます。 この例はルータのローカルアカウントを使用します。 Radio ボタンをこのルータでローカルでチェックし、『Add』 をクリック して下さい。
-
追加の新規 ユーザ向けのアカウント情報をアカウント 画面入力し、『OK』 をクリック して下さい。
-
ユーザを作成した後、ユーザ認証 ページで『Next』 をクリック して下さい。
-
設定 イントラネットWebサイトは WebVPN ゲートウェイのユーザに利用可能 な Webサイトを設定するために割り当てを選別します。 この文書のフォーカスが CSD の設定であるので、このページを無視して下さい。 [Next] をクリックします。
-
WebVPN 次のウィザードスクリーンが選択が完全なトンネル SSL VPN Client を有効に するようにするがこの資料のフォーカスは CSD を有効に する方法をです。 イネーブルの十分にトンネル伝送し、『Next』 をクリック しますチェックを外して下さい。
-
ユーザに WebVPN 門脈ページの外観をカスタマイズできます。 この場合、既定の外観は受け入れられます。 [Next] をクリックします。
-
ウィザードはこのシリーズの最後の画面を表示する。 それは WebVPN ゲートウェイのための設定の要約を表示します。 、プロンプト表示された場合『Finish』 をクリック し、『OK』 をクリック して下さい。
フェーズ I: ステップ 2: WebVPN コンテキストのイネーブル CSD。
WebVPN コンテキストの CSD を有効に するのに WebVPN ウィザードを使用して下さい。
-
新しく作成されたコンテキストのための CSD を有効に するのに WebVPN ウィザードの進んだ機能を使用して下さい。 ウィザードはまだインストールされていない場合 CSD をインストールする機会を実装します提供します。
-
SDM で、Configure タブをクリックして下さい。
-
ナビゲーションペインで、> WebVPN 『VPN』 をクリック して下さい。
-
作成 WebVPN タブをクリックして下さい。
-
WebVPN 既存の Radio ボタンがあるように設定前進機能を確認して下さい。
-
選択したタスクの起動 ボタンをクリックして下さい。
-
高度 WebVPN ウィザード ディスプレイのためのウェルカム画面。 [Next] をクリックします。
-
フィールドのドロップダウン ボックスから WebVPN およびユーザグループを選択して下さい。 高度 WebVPN ウィザード 機能は選択に加えられます。 [Next] をクリックします。
-
『Advanced Features』 を選択 画面はリストされたテクノロジーから選択することを可能にします。
-
Cisco Secure Desktop をチェックして下さい。
-
この例では、選択は Clientless モードです。
-
の他のリストされたテクノロジー選択する場合関連情報の入力を可能にするために、追加ウィンドウは開きます。
-
[Next] ボタンをクリックします。
-
設定 イントラネットWebサイト 画面はユーザに利用可能がほしいと思う Webサイト リソースを設定することを可能にします。 Outlook Web アクセス(OWA)のような会社の内部 Webサイトを追加できます。
-
イネーブル Cisco Secure Desktop (CSD)画面では、このコンテキストのための CSD を有効に する機会があります。 インストール Cisco Secure Desktop (CSD)の側のボックスをチェックし、『Browse』 をクリック して下さい。
-
選定された CSD Location エリアから、マイ コンピュータをチェックして下さい。
-
Browse ボタンをクリックして下さい。
-
管理 ワークステーションの CSD IOS パッケージ ファイルを選択して下さい。
-
[OK] ボタンをクリックします。
-
[Next] ボタンをクリックします。
-
Configuration 画面 ディスプレイの要約。 Finish ボタンをクリックして下さい。
-
CSD パッケージ ファイルのインストールに成功したことがわかると『OK』 をクリック して下さい。
フェーズ II: Webブラウザを使用する設定 CSD。
これらのステップが Webブラウザの CSD の設定を完了するのに使用されています。
フェーズ II: ステップ 1: Windows 場所を定義して下さい。
Windows 場所を定義して下さい。
-
https://WebVPNgateway_IP アドレス/csd_admin.html で Webブラウザを、たとえば、https:/192.168.0.37/csd_admin.html 開いて下さい。
-
ユーザ名 admin を入力して下さい。
-
ルータの enable secret であるパスワードを入力して下さい。
-
[Login]をクリックします。
-
ルータによって提供される証明書を受け入れドロップダウン ボックスからコンテキストを選択し、『Go』 をクリック して下さい。
-
WebVPN のための Secure Desktop マネージャは開きます。
-
左ペインから、ロケーション設定を『Windows』 を選択 して下さい。
-
カーソルをボックスに Location 名前の隣に置き、位置名前を入力して下さい。
-
[Add] をクリックします。
-
この例では、3 つの位置名前は表記されます: オフィス、ホーム、および不確か。 新しい場所が追加されるたびに、左ペインはその位置のための構成可能パラメータと拡張します。
-
Windows 場所を作成した後、左ペインの上で『SAVE』 をクリック して下さい。
注: Webブラウザから切断されるようになる場合設定が失われるのでコンフィギュレーションを頻繁に保存して下さい。
フェーズ II: ステップ 2: Location 基準を識別して下さい
Windows 場所を互いと区別するために、各位置に特定の基準を割り当てて下さい。 これは CSD が特定のウィンドウに位置をか適用する機能のどれを判別することを可能にします。
-
左ペインで、オフィスをクリックして下さい。
-
証明書 基準、IP 基準、ファイル、またはレジストリ 基準の Windows 位置を識別できます。 また Secure Desktop を選択するか、またはこれらのクライアントのための洗剤をキャッシュできます。 これらのユーザが内部 内勤 者であるので、IP 基準とそれらを識別して下さい。
-
ボックスからおよびにで IP アドレス範囲を入力して下さい。
-
[Add] をクリックします。 使用 モジュールのチェックを外して下さい: Secure Desktop。
-
プロンプト表示された場合、『SAVE』 をクリック し、『OK』 をクリック して下さい。
-
左ペインで、第 2 Windows ロケーション設定 ホームをクリックして下さい。
-
使用 モジュールを確かめて下さい: Secure Desktop はチェックされます。
-
ファイルは配られますこれらのクライアントを特定する。 これらのユーザ向けの証明書やレジストリ 基準を配ることを選択する可能性があります。
-
ファイルまたはレジストリ 基準を使用してイネーブル 識別をチェックして下さい。
-
[Add] をクリックします。
-
ダイアログボックスで、『File』 を選択 し、ファイルにパスを入力して下さい。
-
このファイルはすべてのホーム クライアントに配る必要があります。
-
Radio ボタン 存在をチェックして下さい。
-
プロンプト表示された場合、『OK』 をクリック し、『SAVE』 をクリック して下さい。
-
不確かな場所の識別を設定するために、識別基準を単に適用しないで下さい。
-
左ペインの不確かクリックして下さい。
-
すべての基準をチェックを外される残して下さい。
-
使用 モジュールをチェックして下さい: Secure Desktop。
-
プロンプト表示された場合、『SAVE』 をクリック し、『OK』 をクリック して下さい。
フェーズ II: ステップ3: Configure ウィンドウ 位置 モジュールおよび機能。
各 Windows 位置のための CSD 機能を設定して下さい。
-
オフィスの下で、機能 ポリシーを『VPN』 をクリック して下さい。 これらが信頼された内部クライアント、ではないので CSD もキャッシュ洗剤も有効に なりました。 他のパラメータのどれも利用可能ではないです。
-
示されているように機能をつけて下さい。
-
左ペインで、ホームの下で機能 ポリシーを『VPN』 を選択 して下さい。
-
ホーム ユーザーはクライアントがある特定の条件を満たす場合コーポレートLAN へのアクセスを許可されます。
-
アクセスの各方式の下で、条件が満たされる場合『ON』 を選択 して下さい。
-
Web ブラウジングに関しては、省略記号ボタンをクリックし、一致する必要がある基準を選択して下さい。 ダイアログボックスで [OK] をクリックします。
-
他のアクセス方式を同じように設定できます。
-
ホームの下で、キーストローク ロガーを選択して下さい。
-
チェックマークをの隣に確認しますキーストローク ロガーがあるように置いて下さい。
-
プロンプト表示された場合、『SAVE』 をクリック し、『OK』 をクリック して下さい。
-
Home ウィンドウ 位置の下で、洗剤を『Cache』 を選択 して下さい。 スクリーン ショットに示すようにデフォルト設定を残して下さい。
-
ホームの下で、Secure Desktop 一般を選択して下さい。 チェックはアプリケーションが Secure Desktop 閉じた上でアンインストールすることを提案します。 スクリーン ショットに示すようにデフォルト設定で他のパラメータをすべて残して下さい。
-
ホームの下の Secure Desktop 設定に関しては、透過的にはたらくために割り当て E メール アプリケーションを選択して下さい。 プロンプト表示された場合、『SAVE』 をクリック し、『OK』 をクリック して下さい。
-
Secure Desktop ブラウザの設定はこれらのユーザに前もって構成されたお気に入りが付いている会社 Webサイトにアクセスしてほしいかどうか依存しています。
-
不確かの下で、機能 ポリシーを『VPN』 を選択 して下さい。
-
これらが信頼されたユーザではないので、Web ブラウジングだけ許可して下さい。
-
Web ブラウジングのためのドロップダウン メニューから『ON』 を選択 して下さい。
-
他のアクセスはすべて OFF に設定 されます。
-
キーストローク ロガー チェックボックスがあるようにチェックを確認して下さい。
-
不確かのためのキャッシュ洗剤を設定して下さい。
-
現在のセッション キャッシュ(IE だけ)チェックボックスに加えてきれいの全体キャッシュ チェックして下さい。
-
デフォルトで他の設定を残して下さい。
-
不確かの下で、Secure Desktop 一般を選択して下さい。
-
2 分にタイムアウト非アクティブを減らして下さい。
-
強制アプリケーションをアンインストールします Secure Desktop 閉じるチェックボックスにチェックして下さい。
-
Secure Desktop 設定を不確かの下で選択し、示されているように非常に制限する設定を行って下さい。
-
Secure Desktop ブラウザを選択して下さい。 Home ページ フィールドでは、これらのクライアントがホームページのためにガイドされる Webサイトを入力して下さい。
フェーズ II: ステップ 4: 設定 Windows CE、マッキントッシュおよび Linux 機能。
Windows CE、マッキントッシュおよび Linux のための CSD 機能を設定して下さい。
-
Secure Desktop マネージャの下で CE を『Windows』 を選択 して下さい。Windows CE は VPN 機能を制限しました。 Web ブラウジングをオンにして下さい。
-
Mac 及び Linux キャッシュ洗剤を選択して下さい。
-
マッキントッシュおよび Linux オペレーティング システムに CSD のキャッシュ洗剤側面にだけアクセスできます。 グラフィックに示すようにそれらを設定して下さい。
-
プロンプト表示された場合、『SAVE』 をクリック し、『OK』 をクリック して下さい。
確認
CSD オペレーションをテストして下さい
https://WebVPN_Gateway_IP アドレスで SSL によって有効に される ブラウザとの WebVPN ゲートウェイに接続によって CSD のオペレーションをテストして下さい。
注: WebVPN 異なるコンテキストを、たとえば、https://192.168.0.37/cisco 作成した場合コンテキストの固有の名前を使用するために忘れないようにして下さい。
コマンド
いくつかの show コマンドは WebVPN に関連しています。 これらのコマンドをコマンドライン インターフェイス(CLI)で実行して、統計情報や他の情報を表示できます。 show コマンドの詳細については、「WebVPN 設定の検証」を参照してください。
注: CLI アナライザ(登録ユーザのみ)はある種のshowコマンドをサポートします。 showコマンド出力の分析を表示するのに CLI アナライザを使用して下さい。
トラブルシューティング
コマンド
いくつかの debug コマンドは、WebVPN に関連しています。 これらのコマンドの詳細については、「WebVPN の Debug コマンドの使用」を参照してください。
注: debug コマンドを使用すると、シスコ デバイスに悪影響が及ぶ可能性があります。 debug コマンドを使用する前に、「debug コマンドの重要な情報」を参照してください。
clear コマンドに関する詳細については、参照しま WebVPN Clear コマンドを使用します。
関連情報