このドキュメントの目的は、シスコビジネスに初めて参加する方に、バーチャルプライベートネットワーク(VPN)のベストプラクティスの概要を説明することです。
ずっと前に事務所で働けたのは君だけだったらしい。あなたが思い出す日に、仕事の問題を解決するために週末にオフィスに向かわなければならない日に戻って。オフィスにいない限り、会社のリソースからデータを取得する方法はありませんでした。その日は過ぎた。今日の時代には、外出先でも作業ができます。自宅、別のオフィス、コーヒーショップ、さらには別の国からビジネスを行う。欠点は、ハッカーが常にあなたの機密データを取り込むことを望んでいるということです。パブリックインターネットを使用するだけでは安全ではありません。セキュリティだけでなく柔軟性を得るために何ができるか?VPNをセットアップします。
VPN接続を使用すると、ユーザはインターネットなどのパブリックまたは共有ネットワークを経由し、プライベートネットワークとそのリソースを保護するために、基盤となるネットワークインフラストラクチャへのセキュアな接続を確保することで、プライベートネットワークとの間でデータの送受信を行うことができます。
VPNトンネルは、暗号化を使用してデータを安全に送信し、データをエンコードし、認証を使用してクライアントのIDを確保できるプライベートネットワークを確立します。企業オフィスでは、従業員がオフィスの外からでもプライベートネットワークにアクセスできるようにすることが有用で必要であるため、VPN接続を使用することが多くあります。
通常、サイト間VPNはネットワーク全体を相互に接続します。ネットワークを拡張し、ある場所からコンピュータリソースを他の場所で利用できるようにします。VPN対応ルータを使用することで、企業はインターネットなどのパブリックネットワークを介して複数の固定サイトを接続できます。
VPN用に設定されたクライアントからサイトへのクライアントは、リモートホストまたはクライアントが同じローカルネットワーク上に配置されているかのように動作できます。ルータがインターネット接続用に設定された後、ルータとエンドポイントの間にVPN接続を設定できます。VPNクライアントは、接続を確立するために一致する設定の要件に加えて、VPNルータの設定に依存します。また、VPNクライアントアプリケーションの一部はプラットフォーム固有であり、オペレーティングシステム(OS)のバージョンによっても異なります。設定が完全に同じでないと、通信できません。
VPNは、次のいずれかを使用して設定できます。
これまでVPNをセットアップしたことのない場合は、この記事を通して多くの新しい情報を入手できます。このガイドはステップバイステップのガイドではなく、参照用の概要の詳細です。したがって、この記事を読んでから、ネットワーク上でVPNをセットアップすることをお勧めします。この記事では、特定の手順に関するリンクを提供しています。
TheGreenBow、OpenVPN、Shrew Soft、EZ VPNなどのシスコ以外のサードパーティ製品は、シスコではサポートされていません。これらはガイダンスの目的でのみ含まれています。この記事を超えてサポートが必要な場合は、サードパーティにサポートを依頼してください。
VPNの動作の詳細については、ここをクリックしてください。
Cisco Business RV34xシリーズルータは、AnyConnectを使用してSSL VPNをサポートします。RV160およびRV260には、別のSSL VPNであるOpenVPNを使用するオプションがあります。SSL VPNサーバを使用すると、リモートユーザはWebブラウザを使用してセキュアVPNトンネルを確立できます。この機能により、ネイティブのHTTP(Hypertext Transfer Protocol)over SSL Hypertext Transfer Protocol Secure(HTTPS)ブラウザサポートを使用して、幅広いWebリソースやWeb対応アプリケーションに簡単にアクセスできます。
SSL VPNを使用すると、ネットワークトラフィックを暗号化して、セキュアで認証されたパスを使用して、制限されたネットワークにリモートからアクセスできます。
SSLでアクセスを設定するには、次の2つのオプションがあります。
このドキュメントには、AnyConnectに関する記事へのリンクがあります。AnyConnectの概要については、ここをクリックしてください。
Easy VPN(EZVPN)、TheGreenBow、およびShrew Softは、インターネットプロトコルセキュリティ(IPSec)VPNです。IPSec VPNは、2つのピア間またはクライアントからサイトへのセキュアなトンネルを提供します。機密と見なされるパケットは、これらのセキュアなトンネルを介して送信する必要があります。これらの機密パケットを保護するには、ハッシュアルゴリズム、暗号化アルゴリズム、キーのライフタイム、およびモードなどのパラメータを、これらのトンネルの特性を指定して定義する必要があります。次に、IPSecピアは、このような機密パケットを検出すると、適切なセキュアトンネルをセットアップし、このトンネルを介してパケットをリモートピアに送信します。
ファイアウォールまたはルータにIPsecを実装すると、境界を通過するすべてのトラフィックに適用できる強力なセキュリティが提供されます。企業またはワークグループ内のトラフィックは、セキュリティ関連の処理のオーバーヘッドを受けません。
VPNトンネルの両端が正常に暗号化されて確立されるためには、両方とも暗号化、復号化、および認証の方法について合意する必要があります。IPsecプロファイルは、IPsecの中央設定で、自動モードでのフェーズIおよびIIネゴシエーション用の暗号化、認証、およびDiffie-Hellman(DH)グループなどのアルゴリズムを定義します。
IPsecの重要なコンポーネントには、インターネットキーエクスチェンジ(IKE)フェーズ1とフェーズ2があります。
IKEフェーズ1の基本的な目的は、IPSecピアを認証し、ピア間にセキュアなチャネルを設定してIKE交換を有効にすることです。IKEフェーズ1では、次の機能を実行します。
IKEフェーズ2の目的は、IPSec SAをネゴシエートしてIPSecトンネルを設定することです。IKEフェーズ2では、次の機能を実行します。
IPSecポリシーでPerfect Forward Secrecy(PFS;完全転送秘密)が指定されている場合、新しいDH交換がクイックモードごとに実行され、より高いエントロピー(鍵材料の寿命)を持つ鍵材料が提供され、暗号化攻撃に対する耐性がが向上します。各DH交換には大きな累乗が必要なため、CPU使用率が増加し、パフォーマンスコストが大幅に削減されます。
PPTPは、パブリックネットワーク間にVPNトンネルを作成するために使用されるネットワークプロトコルです。PPTPサーバは、Virtual Private Dialup Network(VPDN;バーチャルプライベートダイヤルアップネットワーク)サーバとも呼ばれます。PPTPは高速で、モバイルデバイスで動作する機能を持つため、他のプロトコルで使用される場合があります。ただし、他のタイプのVPNほどセキュアではないことに注意してください。PPTPタイプのアカウントに接続するには、複数の方法があります。詳細については、リンクをクリックしてください。
Generic Routing Encapsulation(GRE;総称ルーティングカプセル化)は、カプセル化を使用して1つのプロトコルのパケットを別のプロトコルに転送する単純な一般的なアプローチを提供するトンネリングプロトコルです。
GREはペイロード、つまり外部IPパケット内の宛先ネットワークに配信する必要がある内部パケットをカプセル化します。GREトンネルは、トンネルの送信元アドレスとトンネルの宛先アドレスによって識別される2つのエンドポイントを持つ仮想ポイントツーポイントリンクとして動作します。
トンネルエンドポイントは、カプセル化されたパケットを中間IPネットワーク経由でルーティングすることによって、GREトンネルを介してペイロードを送信します。途中にある他のIPルータは、ペイロード(内部パケット)を解析しません。外部IPパケットは、GREトンネルエンドポイントに転送されるときにだけ解析されます。トンネルエンドポイントに到達すると、GREカプセル化が削除され、ペイロードがパケットの最終宛先に転送されます。
ネットワーク内のデータグラムのカプセル化は、送信元サーバがパケットが宛先ホストに到達するために行うルートに影響を与えたい場合など、複数の理由で行われます。送信元サーバは、カプセル化サーバとも呼ばれます。
IP-in-IPカプセル化では、外部IPヘッダーを既存のIPヘッダーに挿入します。外部IPヘッダーの送信元アドレスと宛先アドレスは、IP-in-IPトンネルのエンドポイントをポイントします。IPヘッダーのスタックは、パケットを転送するルータのループバックアドレスをネットワーク管理者が認識している限り、パケットを宛先への所定のパスに転送するために使用されます。
このトンネリングメカニズムは、ほとんどのネットワークアーキテクチャのアベイラビリティと遅延を決定するために使用できます。送信元から宛先までのパス全体をヘッダーに含める必要はありませんが、パケットを転送するためにネットワークのセグメントを選択できることに注意してください。
L2TPは、トンネルするトラフィックの暗号化メカニズムを提供しません。代わりに、IPSecなどの他のセキュリティプロトコルを使用してデータを暗号化します。
L2TPトンネルは、L2TP Access Concentrator(LAC)とL2TP Network Server(LNS)の間で確立されます。 IPSec トンネルもこれらのデバイス間で確立され、すべての L2TP トンネルのトラフィックは IPSec を使用して暗号化されます。
L2TPに関するいくつかの重要な用語:
L2TPの詳細については、次のリンクをクリックしてください。
RV34X | RV32X | RV160X/RV260X | |
---|---|---|---|
IPSec(IKEv1) | |||
シュレウソフト | あり | あり | あり |
グリーンボウ | あり | あり | あり |
Mac内蔵クライアント | あり | あり | なし |
iPhone/iPad | あり | あり | なし |
Android | あり | あり | あり |
L2TP/IPSec | はい(PAP) | × | なし |
PPTP | はい(PAP) | 可能* | はい(PAP) |
その他 | |||
AnyConnect | あり | なし | なし |
Openvpn | なし | あり | あり |
IKEv2 | |||
Windows | 可能* | なし | 可能* |
Mac | あり | なし | あり |
iPhone | あり | なし | あり |
Android | あり | なし | あり |
VPNテクノロジー |
サポートされているデバイス |
サポートされるクライアント* |
詳細と注意事項 |
---|---|---|---|
IPSec(IKEv1) |
RV34X、RV32X、RV160X/RV260X |
Native:Mac、iPhone、iPad、Android その他:EasyVPN(Cisco VPN Client)、ShrewSoft、Greenbow |
セットアップ、トラブルシューティング、およびサポートが簡単です。すべてのルータで使用でき、セットアップが簡単で(ほとんどの場合)、トラブルシューティングに最適なロギングがあります。ほとんどのデバイスが含まれます。そのため、ShrewSoft(無料で作業)とGreenbow(無料ではなく作業)を推奨します。 Windowsには純粋なIPSecネイティブVPNクライアントがないため、ShrewSoftクライアントとGreenbowクライアントがオプションとして用意されています。ShrewSoftとGreenbowにとっては、もう少し複雑ですが、難しいことではありません。初めて設定すると、クライアントプロファイルをエクスポートし、他のクライアントにインポートできます。 RV160X/RV260Xルータの場合、Easy VPNオプションがないため、Mac、iPhone、またはiPadでは動作しないサードパーティクライアントオプションを使用する必要があります。ただし、ShrewSoft、Greenbow、およびAndroidクライアントを接続するように設定できます。Mac、iPhone、およびiPadクライアントの場合は、IKEv2を推奨します(以下を参照)。 |
AnyConnect |
RV34X |
Windows、Mac、iPhone、iPad、Android |
お客様の中には、完全なシスコソリューションを要求する方もいらっしゃいますが、それだけです。設定は簡単で、ロギングもありますが、ログを理解するのは困難です。コストの増加に対するクライアントライセンス要件が必要シスコの完全なソリューションであり、更新されています。トラブルシューティングはIPSecほど簡単ではありませんが、他のVPNオプションよりも優れています。 |
L2TP/IPSec |
RV34X |
Native:Windows |
これは、Windowsで組み込みのVPNクライアントを使用する必要があるお客様に推奨されるものです。これに関する2つの注意点は次のとおりです。 |
IPSec(IKEv2) |
RV34X、RV160X/RV260X |
Native:Windows、Mac、iPhone、iPad、Android |
IKEv2用のWindowsネイティブクライアントには証明書認証が必要です。これは、ルータとすべてのクライアントの両方が同じCA(または別の信頼できるCA)からの証明書を持つ必要があるためです。 IKEv2を使用する場合は、Mac、iPhone、iPad、およびAndroidデバイス用にそれを設定し、通常はWindowsマシン(ShrewSoft、Greenbow、またはL2TP/IPSec)用にIKEv1を設定します。 |
オープンVPN |
RV32X、RV160X/RV260X |
クライアントはオープンVPNです |
セットアップが困難で、トラブルシューティングとサポートが困難RV160X/RV260XおよびRV320でサポート。特に証明書を使用する場合は、セットアップはIPSecまたはAnyConnectよりも複雑です。ルータには有用なログがなく、クライアントログに依存しているため、トラブルシューティングが困難です。また、OpenVPN Clientのバージョン更新では、どの証明書を受け入れたかについては警告なしに変更されています。また、これはChromebookでは動作せず、IPSecソリューションに移行する必要があることも判明しました。 |
*特定のハードウェアとソフトウェアの組み合わせがある場合は、可能な限り多くの組み合わせをテストしてください。それ以外の場合は、最新のテストバージョンに関するデバイス別構成ガイドを参照してください。
Webサイトを訪問したことがあり、セキュリティが確保されていないことを警告されたことはありますか。プライベート情報が安全で、安全ではないという安心感を与えることはありません。サイトが安全な場合、サイト名の前に閉じたロックアイコンが表示されます。これは、サイトが安全に確認された記号です。このロックアイコンが閉じていることを確認します。VPNについても同様です。
VPNをセットアップする場合は、認証局(CA)から証明書を取得する必要があります。 証明書はサードパーティサイトから購入され、認証に使用されます。これは、サイトが安全であることを証明する公式な方法です。基本的に、CAは正当なビジネスであり、信頼できることを検証する信頼できるソースです。VPNの場合は、低レベルの証明書が最小限のコストで必要になります。CAによってチェックアウトされ、情報を確認すると、証明書が発行されます。この証明書は、コンピュータ上のファイルとしてダウンロードできます。その後、ルータ(またはVPNサーバ)に移動し、そこにアップロードできます。
CAは、デジタル証明書を発行するときに公開キーインフラストラクチャ(PKI)を使用します。これは、公開キーまたは秘密キーの暗号化を使用してセキュリティを確保します。CAは、証明書要求の管理とデジタル証明書の発行を担当します。いくつかのサードパーティCAには、IdenTrust、Comodo、GoDaddy、GlobalSign、GeoTrust、およびVerisignがあります。
VPN内のすべてのゲートウェイが同じアルゴリズムを使用することが重要です。使用しない場合は、通信できなくなります。簡単に説明できるように、すべての証明書を同じ信頼できるサードパーティから購入することをお勧めします。これにより、手動で更新する必要があるため、複数の証明書の管理が容易になります。
注:通常、クライアントはVPNを使用するために証明書を必要としません。ルータを介した確認のためだけに使用されます。ただし、OpenVPNではクライアント証明書が必要です。
一部のスモールビジネスでは、簡単に証明書の代わりにパスワードまたは事前共有キーを使用することを選択しています。これは安全性が低いですが、無償で設定できます。
証明書の詳細については、次のリンクを参照してください。
ローカルルータとリモートルータでは、VPN接続に使用される事前共有キー(PSK)/パスワード/証明書、およびセキュリティ設定がすべて一致していることを確認することが重要です。1つ以上のルータがネットワークアドレス変換(NAT)を使用している場合、ほとんどのCiscoビジネスルータが使用しています。ローカルルータとリモートルータのVPN接続に対してファイアウォールの除外を行う必要があります。
詳細については、次のサイト間記事を参照してください。
クライアント側でVPNを設定する前に、ルータでVPNを設定する必要があります。
クリックすると、次のルータ設定の記事が表示されます。
クライアントからサイトへのVPN接続では、インターネットからのクライアントはサーバに接続して、サーバの背後にある企業ネットワークまたはLANにアクセスできますが、ネットワークとそのリソースのセキュリティは維持されます。この機能は、新しいVPNトンネルを作成し、VPNクライアントソフトウェアを使用して、プライバシーとセキュリティを犠牲にすることなく、テレワーカーや出張者がネットワークにアクセスできるようにするため、非常に便利です。次の記事は、RV34xシリーズルータに固有のものです。
ユーザグループは、同じサービスセットを共有するユーザの集合に対してルータ上に作成されます。これらのユーザグループには、VPNへのアクセス方法に関する権限のリストなど、グループのオプションが含まれています。デバイスに応じて、PPTP、サイト間IPSec VPN、およびクライアントとサイト間IPSec VPNを許可できます。たとえば、RV260にはOpenVPNを含むオプションがありますが、L2TPはサポートされていません。RV340シリーズには、SSL VPN用のAnyConnect、およびキャプティブポータルまたはEZ VPNが搭載されています。
これらの設定を使用すると、権限のあるユーザだけがネットワークにアクセスできるように、管理者が制御およびフィルタリングできます。Shrew SoftとTheGreenBowは、ダウンロードできる最も一般的なVPN Clientの2つです。VPNトンネルを正常に確立するには、ルータのVPN設定に基づいてVPNを設定する必要があります。次の記事では、ユーザグループの作成について具体的に説明します。
VPNのユーザグループを設定する場合は、デフォルトの管理者アカウントを管理者グループに残し、VPNの新しいユーザアカウントとユーザグループを作成してください。管理者アカウントを別のグループに移動すると、ルータにログインできなくなります。その結果、工場出荷時のリセットを行い、そのルータの設定を再度行う必要があります。デフォルトの管理者アカウントは管理者グループだけに残します。
ユーザアカウントは、PPTP、VPNクライアント、Webグラフィカルユーザインターフェイス(GUI)ログイン、およびSecure Sockets Layer Virtual Private Network(SSLVPN)などのさまざまなサービスに対してローカルデータベースを使用してローカルユーザの認証を許可するためにルータ上に作成されます。 これにより、管理者は、ネットワークにアクセスする権限のあるユーザだけを制御およびフィルタリングできます。次の記事では、ユーザアカウントの作成について具体的に説明します。
クライアントからサイトへのVPN接続では、インターネットからのクライアントはサーバに接続して、サーバの背後にある企業ネットワークまたはLANにアクセスできますが、ネットワークとそのリソースのセキュリティは維持されます。この機能は、プライバシーとセキュリティを犠牲にすることなく、VPNクライアントソフトウェアを使用してテレワーカーや出張者がネットワークにアクセスできる新しいVPNトンネルを作成するため、非常に便利です。VPNは、データが送受信されるときにデータを暗号化および復号化するように設定されます。
AnyConnectアプリケーションはSSL VPNで動作し、特にRV34xルータで使用されます。他のRVシリーズのルータでは使用できません。バージョン1.0.3.15以降では、ルータライセンスは不要ですが、VPNのクライアント側でライセンスを購入する必要があります。Cisco AnyConnectセキュアモビリティクライアントの詳細については、ここをクリックしてください。インストールの手順については、次の記事から選択してください。
すべてのRVシリーズルータでクライアントからサイトへのVPNに使用できるサードパーティアプリケーションがあります。前述のとおり、シスコはこれらのアプリケーションをサポートしていません。この情報は、ガイダンスとして提供されています。
GreenBow VPN Clientは、ホストデバイスがクライアント間IPsecトンネルまたはSSLのセキュアな接続を設定できるようにするサードパーティ製VPNクライアントアプリケーションです。これは、サポートを含む有料アプリケーションです。
OpenVPNは、SSL VPN用にセットアップおよび使用できる無料のオープンソースアプリケーションです。クライアント/サーバ接続を使用して、インターネット経由でサーバとリモートクライアントロケーション間のセキュアな通信を提供します。
Shrew Softは、IPsec VPNにもセットアップして使用できる、無料のオープンソースアプリケーションです。クライアント/サーバ接続を使用して、インターネット経由でサーバとリモートクライアントロケーション間のセキュアな通信を提供します。
Easy VPNはRV32xルータで一般的に使用されました。次に、参照用の情報を示します。
最新のCisco Businessルータには、セットアップ手順をガイドするVPNセットアップウィザードが付属しています。VPNセットアップウィザードを使用すると、基本的なLAN-to-LANおよびリモートアクセスVPN接続を設定し、事前共有キーまたはデジタル証明書を認証に割り当てることができます。詳細については、次の記事を参照してください。
この記事では、VPNについて理解を深め、ヒントを参考にして進むことができます。これで、自分で設定する準備が整いました。時間をかけてリンクを表示し、Cisco BusinessルータでVPNを設定する最適な方法を決定します。