SDMによるCisco IOSでのCSDの設定

ダウンロード オプション

  • PDF     (2.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (3.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (4.3 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2019 年 2 月 20 日
Document ID:70791

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    Secure Sockets Layer(SSL)VPN(Cisco WebVPN)のセッションがセキュアであっても、クッキー、ブラウザ ファイル、E メールの添付ファイルが、セッション完了後もクライアントに残ったままになっています。Cisco Secure Desktop(CSD)では、セッションのデータを暗号化した形式でクライアントのディスクの特別な vault 領域に書き込んで、SSL VPN セッションの本来のセキュリティを強化します。さらに、このデータは SSL VPN セッションが終了したときにディスクから削除されます。このドキュメントでは、Cisco IOS(R) ルータでの CSD の設定例について説明します。

    CSD をサポートするシスコのデバイス プラットフォームには次のものがあります。

    • Cisco IOS ルータ バージョン 12.4(6)T 以降

    • Cisco 870、1811、1841、2801、2811、2821、2851、3725、3745、3825、3845、7200、および 7301 ルータ

    • Cisco VPN 3000 シリーズ コンセントレータ バージョン 4.7 以降

    • Cisco ASA 5500 シリーズ セキュリティ アプライアンス バージョン 7.1 以降

    • Cisco Catalyst および Cisco 7600 シリーズ用 Cisco WebVPN サービス モジュール バージョン 1.2 以降

    前提条件

    要件

    この設定を行う前に、次の要件が満たされていることを確認します。

    Cisco IOS ルータの要件

    • Advanced Image 12.4(6T) 以降が導入された Cisco IOS ルータ

    • Cisco Router Secure Device Manager(SDM)2.3 以降

    • 管理ステーションに IOS パッケージ用の CSD

    • ルータの自己署名デジタル証明書または認証局(CA)による認証

      注:デジタル証明書を使用する場合は、必ずルータのホスト名、ドメイン名、日付/時刻/タイムゾーンを正しく設定してください。

    • ルータのイネーブル シークレット パスワード

    • ルータで DNS がイネーブルになっている。一部の WebVPN サービスが正しく動作するためには、DNS が必要です。

    クライアント コンピュータの要件

    • リモート クライアントには、ローカルの管理者権限があること。これは必須事項ではありませんが、重要な推奨事項です。

    • リモート クライアントには、Java Runtime Environment(JRE)バージョン 1.4 以降が必要です。

    • リモート クライアント ブラウザ:Internet Explorer 6.0、Netscape 7.1、Mozilla 1.7、Safari 1.2.2、Firefox 1.0 のいずれか

    • リモート クライアントでクッキーがイネーブルにされており、ポップアップが許可されていること。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • バージョン 12.9(T) の Cisco IOS ルータ 3825

    • SDM バージョン 2.3.1

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    ネットワーク図

    このドキュメントでは、次のネットワーク セットアップを使用します。

    この例では、Cisco 3825 シリーズ ルータを使用して、社内のイントラネットに安全にアクセスできるようにしています。Cisco 3825 シリーズ ルータでは、設定可能な CSD 機能とその特性により SSL VPN 接続のセキュリティが向上しています。クライアントは、次の3つのSSL VPN方式のいずれかを使用してCSD対応ルータに接続できます。クライアントレスSSL VPN(WebVPN)、シンクライアントSSL VPN(ポートフォワーディング)、またはSSL VPNクライアント(フルトンネリングSVC)。

    csd-ios-2.gif

    関連製品

    この設定は、次のバージョンのハードウェアとソフトウェアにも使用できます。

    • Cisco ルータ プラットフォーム 870、1811、1841、2801、2811、2821、2851、3725、3745、3825、3845、7200、および 7301

    • Cisco IOS Advanced Security Image バージョン 12.4(6)T 以降

    表記法

    ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

    設定

    WebVPN ゲートウェイを使用すると、ユーザはいずれかの SSL VPN テクノロジーでルータに接続できるようになります。WebVPN ゲートウェイには複数の WebVPN コンテキストを割り当てることができますが、各デバイスで IP アドレスごとに指定できる WebVPN ゲートウェイは 1 つだけです。各コンテキストは、一意の名前で識別します。グループ ポリシーによって、特定の WebVPN コンテキストで使用可能な設定済みリソースが識別されます。

    IOS ルータでの CSD の設定は、次の 2 つのフェーズで行います。

    フェーズ 1:SDM を使用してルータを CSD 設定用に準備する。

    1. WebVPN ゲートウェイ、WebVPN コンテキスト、およびグループ ポリシーを設定する。

      注:この手順はオプションであり、このドキュメントでは詳しく説明していません。使用しているルータにすでに SSL VPN テクノロジーのいずれかが設定されている場合は、このステップを省略してください。

    2. WebVPN のコンテキストで CSD を有効にする。

    フェーズ 2:Web ブラウザを使用して CSD を設定する。

    1. Windows のロケーションを定義する。

    2. ロケーションの基準を識別する。

    3. Windows のロケーションのモジュールと機能を設定する。

    4. Windows CE、Macintosh、および Linux の機能を設定する。

    フェーズ 1:SDM を使用してルータを CSD 設定用に準備する。

    CSD は、SDM を使用して、または command-line interface(CLI; コマンドライン インターフェイス)から設定できます。 この設定では、SDM と Web ブラウザを使用します。

    これらのステップは、使用している IOS ルータで CSD を設定するために実行します。

    フェーズ 1:ステップ 1:WebVPN ゲートウェイ、WebVPN コンテキスト、およびグループ ポリシーを設定する。

    この操作は、WebVPN Wizard を使用して行います。

    1. SDMを開き、[Configure] > [VPN] > [WebVPN]に移動します。Create WebVPN タブをクリックして、Create a new WebVPN オプション ボタンをチェックします。[Launch the selected task] をクリックします。

      csd-ios_1.gif

    2. WebVPN Wizard の画面に、設定可能なパラメータのリストが表示されます。[next] をクリックします。

      csd-ios_2.gif

    3. WebVPN ゲートウェイの IP アドレス、サービスの一意の名前、デジタル証明書の情報を入力します。[next] をクリックします。

      csd-ios_3.gif

    4. この WebVPN ゲートウェイに対する認証のためのユーザ アカウントが作成できます。ローカルのアカウント、あるいは、外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバで作成されたアカウントのいずれも使用できます。この例では、ルータでローカルのアカウントを使用しています。Locally on this router オプション ボタンをチェックして、Add をクリックします。

      csd-ios_4.gif

    5. Add an Account の画面で新しいユーザのアカウント情報を入力して、OK をクリックします。

      csd-ios_5.gif

    6. ユーザを作成したら、User Authentication のページで Next をクリックします。

      csd-ios_6.gif

    7. Configure Intranet Websites の画面では、WebVPN ゲートウェイのユーザがアクセスできる Web サイトを設定できます。このドキュメントでは CSD の設定に重点を置いているため、このページの説明については割愛します。[next] をクリックします。

      csd-ios_7.gif

    8. 次の WebVPN Wizard の画面では、フルトンネル SSL VPN クライアントをイネーブルにするための選択操作を行えますが、このドキュメントの目的は CSD をイネーブルにすることです。Enable Full Tunnel のチェックを外して、Next をクリックします。

      csd-ios_8.gif

    9. ユーザに表示される WebVPN Portal Page の外観をカスタマイズできます。この場合はデフォルトのままにしています。[next] をクリックします。

      csd-ios_9.gif

    10. Wizard に、この一連の操作の最後の画面が表示されます。ここでは、WebVPN ゲートウェイの設定の要約が表示されます。Finish をクリックし、応答が表示されたら OK をクリックします。

      csd-ios_10.gif

    フェーズ 1:ステップ 2:WebVPN のコンテキストで CSD を有効にする。

    WebVPN Wizard を使用して、WebVPN コンテキストの中で CSD をイネーブルにします。

    1. WebVPN Wizard の拡張機能を使用して、新しく作成したコンテキストで CSD をイネーブルにします。CSD のパッケージをまだインストールしていない場合は、この Wizard からインストールできます。

      1. SDM で Configuration タブをクリックします。

      2. ナビゲーションペインで、[VPN] > [WebVPN]をクリックします

      3. [Create WebVPN] タブをクリックします。

      4. Configure advance features for an existing WebVPN オプション ボタンをチェックします。

      5. [Launch the selected task]ボタンをクリックします。

        csd-ios_11.gif

    2. Advanced WebVPN Wizard の最初のページが表示されます。[next] をクリックします。

      csd-ios_12.gif

    3. WebVPN とユーザ グループをフィールドのドロップダウン ボックスから選択します。選択した対象に Advanced WebVPN Wizard の機能が適用されます。[next] をクリックします。

      csd-ios_13.gif

    4. Select Advanced Features 画面では、リスト表示されたテクノロジーから必要なものを選択できます。

      1. Cisco Secure Desktop をチェックします。

      2. この例では、Clientless Mode を選択しています。

      3. 表示されている他のテクノロジーを選択すると、別のウィンドウが開いて、関連する情報を入力できるようになります。

      4. [Next] ボタンをクリックします。

      csd-ios_14.gif

    5. Configure Intranet Websites の画面では、ユーザがアクセスできる Web サイト リソースを設定できます。Outlook Web Access(OWA)などの社内の Web サイトを追加できます。

      csd-ios_15.gif

    6. Enable Cisco Secure Desktop (CSD) 画面では、このコンテキストで CSD をイネーブルにできます。Install Cisco Secure Desktop (CSD) の隣のボックスをチェックして、Browse をクリックします。

      csd-ios_16.gif

    7. Select CSD Location の領域で、My Computer をチェックします。

      1. Browse ボタンをクリックします。

      2. 管理ワークステーションにある CSD IOS パッケージ ファイルを選択します。

      3. OK ボタンをクリックします。

      4. [Next] ボタンをクリックします。

      csd-ios_17.gif

    8. Summary of the Configuration 画面が表示されます。Finish ボタンをクリックします。

      csd-ios_18.gif

    9. CSD パッケージ ファイルが正しくインストールされたことを確認したら、OK をクリックします。

      csd-ios_19.gif

    フェーズ 2:Web ブラウザを使用して CSD を設定する。

    これらのステップは、使用している Web ブラウザで CSD を設定するために実行します。

    フェーズ 2:ステップ 1:Windows のロケーションを定義する。

    Windows のロケーションを定義します。

    1. Web ブラウザで https://WebVPNgateway_IP Address/csd_admin.html を開きます。たとえば、https:/192.168.0.37/csd_admin.html になります。

    2. ユーザ名として admin と入力します。

      1. パスワードを入力します。これはルータのイネーブル シークレット パスワードです。

      2. [Login] をクリックする。

      csd-ios_20.gif

    3. ルータから提示された証明書を受け入れ、ドロップダウン ボックスからコンテキストを選択して、Go をクリックします。

      csd-ios_21.gif

    4. Secure Desktop Manager for WebVPN 画面が表示されます。

      csd-ios_22.gif

    5. 左側のペインから Windows Location Settings を選択します。

      1. Location name の隣にあるボックスにカーソルを置き、ロケーション名を入力します。

      2. [Add] をクリックします。

      3. この例では、3つのロケーション名を示します。オフィス、自宅、および安全でない。新しいロケーションを追加するたびに、左側のペインが拡がって、そのロケーションの設定可能なパラメータが表示されます。

      csd-ios_23.gif

    6. Windows ロケーションを作成したら、左側のペインの最上部にある Save をクリックします。

      注:  Web ブラウザから接続解除されると設定が失われるため、設定は頻繁に保存するようにします。

      csd-ios_24.gif

    フェーズ 2:ステップ 2:ロケーションの基準を識別する。

    Windows のロケーションを互いに区別するには、各ロケーションに特有の基準を割り当てます。これにより、CSD は、特定の Windows ロケーションにどの機能を割り当てるかが判断できます。

    1. 左側のペインで Office をクリックします。

      1. Windows ロケーションは、証明書の基準、IP の基準、ファイル、レジストリの基準で識別できます。また、これらのクライアントに対して Secure Desktop や Cache Cleaner を選択することもできます。これらのユーザは社内のオフィスワーカーであるため、IP の基準で識別します。

      2. From ボックスと To ボックスに IP アドレスの範囲を入力します。

      3. [Add] をクリックします。[Use Module:Secure Desktop.

      4. 応答が表示されたら、Save をクリックし、続いて OK をクリックします。

      csd-ios_25.gif

    2. 左側のペインから 2 つ目の Windows ロケーション設定である Home をクリックします。

      1. 使用モジュールを確認してください:Secure Desktopがチェックされています。

      2. これらのクライアントを識別するファイルが配布されます。これらのユーザに対して証明書やレジストリの基準を配布するように選択することもできます。

      3. Enable identification using File or Registry criteria をチェックします。

      4. [Add] をクリックします。

      csd-ios_26.gif

    3. ダイアログ ボックスで、File を選択して、ファイルのパスを入力します。

      1. このファイルは、Home のクライアントすべてに配布する必要があります。

      2. Exists オプション ボタンをチェックします。

      3. 応答が表示されたら、OK をクリックし、続いて Save をクリックします。

      csd-ios_27.gif

    4. Insecure ロケーションの識別情報を設定するには、識別のための基準を何も割り当てないようにするだけです。

      1. 左側のペインで Insecure をクリックします。

      2. すべての基準のチェックを外した状態にします。

      3. [Use Module:Secure Desktop.

      4. 応答が表示されたら、Save をクリックし、続いて OK をクリックします。

      csd-ios_28.gif

    フェーズ 2:ステップ 3:Windows のロケーションのモジュールと機能を設定する。

    各 Windows ロケーションに対して CSD 機能を設定します。

    1. Office の下にある VPN Feature Policy をクリックします。これらは信頼されている社内クライアントであるため、CSD もキャッシュ クリーナもイネーブルになっていません。設定できる他のパラメータはありません。

      csd-ios_29.gif

    2. 次のように機能を有効にします。

      1. 左側のペインで、Home の下の VPN Feature Policy を選択します。

      2. Home ユーザは、ある基準を満たせば会社の LAN へのアクセスが許可されます。

      3. 各アクセス方式の下で、ON if criteria are matched を選択します。

      csd-ios_30.gif

    3. Web Browsing について、省略記号のボタンをクリックして、該当する基準を選択します。ダイアログボックスで [OK] をクリックします。

      csd-ios_31.gif

    4. 同様の方法で、他のアクセス方法についても設定できます。

      1. Home の下で、Keystroke Logger を選択します。

      2. Check for keystroke loggers をチェックします。

      3. 応答が表示されたら、Save をクリックし、続いて OK をクリックします。

      csd-ios_32.gif

    5. Windows ロケーション Home の下で、Cache Cleaner を選択します。このスクリーン ショットに表示されているように、デフォルトの設定のままにします。

      csd-ios_33.gif

    6. Home の下で、Secure Desktop General を選択します。Suggest application uninstall upon Secure Desktop closing をチェックします。このスクリーン ショットに表示されているように、他のパラメータはすべてデフォルトの設定のままにします。

      csd-ios_34.gif

    7. Home の Secure Desktop Settings について、Allow e-mail applications to work transparently を選択します。応答が表示されたら、Save をクリックし、続いて OK をクリックします。

      csd-ios_35.gif

    8. Secure Desktop Browser の設定は、これらのユーザに会社の Web サイトをお気に入りに事前設定してアクセスさせたいかどうかによって変わります。

      1. Insecure の下にある VPN Feature Policy をクリックします。

      2. これらは信頼されているユーザではないため、Web ブラウジングだけを許可します。

      3. Web Browsing のドロップダウン メニューから ON を選択します。

      4. 他のアクセスについては、OFF に設定します。

      csd-ios_36.gif

    9. Check for keystroke loggers チェック ボックスをチェックします。

      csd-ios_37.gif

    10. Insecure にキャッシュ クリーナを設定します。

      1. Clean the whole cache in addition to the current session cache (IE only) チェック ボックスをチェックします。

      2. 他の設定はデフォルトのままにしておきます。

      csd-ios_38.gif

    11. Insecure の下で、Secure Desktop General を選択します。

      1. 無活動タイムアウトを 2 分に減らします。

      2. Force application uninstall upon Secure Desktop closing チェック ボックスをチェックします。

      csd-ios_39.gif

    12. Insecure の下で Secure Desktop Settings を選択し、次に示すように非常に制限された設定を行います。

      csd-ios_40.gif

    13. Secure Desktop Browser を選択します。Home Page フィールドに、これらのクライアントがホーム ページとする Web サイトを入力します。

      csd-ios_41.gif

    フェーズ 2:ステップ 4:Windows CE、Macintosh、および Linux の機能を設定する。

    Windows CE、Macintosh、および Linux 向けに CSD 機能を設定します。

    1. Secure Desktop Manager の下で Windows CE を選択します。Windows CE には一部の VPN 機能しかありません。Web Browsing を ON に設定します。

      csd-ios_42.gif

    2. Mac & Linux Cache Cleanerを選択します

      1. Macintosh と Linux のオペレーティングシステムがアクセスできるのは、CSD のキャッシュ クリーナとしての機能だけです。これらは次の図で示すように設定します。

      2. 応答が表示されたら、Save をクリックし、続いて OK をクリックします。

      csd-ios_43.gif

    確認

    CSD の動作テスト

    SSL をイネーブルにしたブラウザで https://WebVPN_Gateway_IP Address にアクセスして WebVPN ゲートウェイに接続し、CSD の動作をテストします。

    注:異なるWebVPNコンテキスト(例:https://192.168.0.37/cisco)を作成した場合は、コンテキストの一意の名前を必ず使用してください

    csd-ios_44.gif

    コマンド

    いくつかの show コマンドは WebVPN に関連しています。これらのコマンドをコマンドライン インターフェイス(CLI)で実行して、統計情報や他の情報を表示できます。show コマンドの詳細については、「WebVPN 設定の検証」を参照してください。

    注:CLI Analyzer(登録ユーザ専用)では、特定のshowコマンドがサポートされます。CLIアナライザを使用して、showコマンド出力の分析を表示します。

    トラブルシュート

    コマンド

    いくつかの debug コマンドは、WebVPN に関連しています。これらのコマンドの詳細については、「WebVPN の Debug コマンドの使用」を参照してください。

    注:debugコマンドを使用する、シスコデバイスに悪影響が及ぶ可能性があります。debug コマンドを使用する前に、「debug コマンドの重要な情報」を参照してください。

    clear コマンドの詳細については、『WebVPN clear コマンドの使用方法』を参照してください。

    関連情報

    更新履歴

    改定 発行日 コメント
    1.0
    20-Feb-2019
    初版

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています