のリモート アクセス VPN Firepower Threat Defense

Firepower Threat Defense リモート アクセス VPN の概要

Firepower Threat Defense は、リモート アクセス SSL と IPsec-IKEv2 VPN をサポートするセキュアなゲートウェイ機能を提供します。完全なトンネル クライアントである AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] は、セキュリティ ゲートウェイへのセキュアな SSL および IPsec-IKEv2 接続をリモート ユーザーに提供します。AnyConnect はエンドポイント デバイスでサポートされている唯一のクライアントで、Firepower Threat Defense デバイスへのリモート VPN 接続が可能です。このクライアントにより、ネットワーク管理者がリモート コンピュータにクライアントをインストールして設定しなくても、リモート ユーザーは SSL または IPsec-IKEv2 VPN クライアントを活用できます。Windows、Mac、および Linux 用の AnyConnect モバイル クライアントは、接続時にセキュア ゲートウェイから展開されます。Apple iOS デバイスおよび Android デバイス用の AnyConnect アプリは、当該プラットフォームのアプリ ストアからインストールされます。

Firepower Management Center の [リモートアクセスVPNポリシー(Remote Access VPN Policy)] ウィザードを使用して、SSL と IPsec-IKEv2 リモート アクセス VPN を基本機能とともに迅速かつ容易にセットアップします。次に、必要に応じてポリシー設定を強化し、Firepower Threat Defense セキュア ゲートウェイ デバイスに展開します。

リモート アクセス VPN ポリシーを使用して、次の設定を構成できます。

次の例を使用して、VPN ユーザーに限定帯域幅を割り当てたり、ユーザー ID ベースのアクセス コントロール ルールに VPN ID を使用したりできます。

リモート アクセス VPN の機能

次の項では、Firepower Threat Defense のリモート アクセス VPN の機能について説明します。

  • Cisco AnyConnect セキュア モビリティ クライアントを使用した SSL および IPsec-IKEv2 リモート アクセス。

  • Firepower Management Center IPv4 トンネル上の IPv6 など、すべての組み合わせがサポートされています。

  • FMC と FDM の両方での設定サポート。デバイス固有のオーバーライド。

  • Firepower Management Center および FTD 両方の HA 環境をサポート。

  • 複数のインターフェイスと複数の AAA サーバーのサポート。

  • Rapid Threat Containment では、RADIUS CoA または RADIUS ダイナミック認証の使用がサポートされています。

  • VPN ロード バランシング。

AAA

  • 自己署名または CA 署名のアイデンティティ証明書を使用したサーバー認証。

  • RADIUS サーバー、LDAP、または AD を使用する AAA ユーザー名とパスワードベースのリモート認証。

  • RADIUS グループとユーザー承認属性、および RADIUS アカウンティング。

  • 二重認証では、セカンダリ認証での他の AAA サーバーの使用がサポートされています。

  • VPN ID を使用した NGFW アクセス制御の統合。

VPN トンネリング

  • アドレス割り当て

  • スプリット トンネリング

  • スプリット DNS

  • クライアント ファイアウォール ACL

  • 最大接続およびアイドル時間のセッション タイムアウト

モニタリング(Monitoring)

  • 期間、クライアント アプリケーションなどのさまざまな特性によって VPN ユーザーを表示する新しい VPN ダッシュボード ウィジェット。

  • ユーザー名や OS プラットフォームなどの認証情報を含むリモート アクセス VPN イベント。

  • FTD 統合 CLI により利用可能なトンネル統計。

AnyConnect のコンポーネント

AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient]導入

リモート アクセス VPN ポリシーに、接続エンドポイントに配布するための AnyConnect クライアントイメージおよび AnyConnect クライアント プロファイルを含めることができます。または、クライアント ソフトウェアを他の方法で配布できます。『Cisco AnyConnect Secure Mobility Client Administrator Guide』の該当するバージョンで、「Deploy AnyConnect」の章を参照してください。

事前にクライアントがインストールされていない場合、リモート ユーザーは、SSL または IPsec-IKEv2 VPN 接続を受け入れるように設定されているインターフェイスの IP アドレスをブラウザに入力します。セキュリティ アプライアンスが http:// 要求を https:// にリダイレクトするように設定されている場合を除いて、リモート ユーザーは https://address の形式で URL を入力する必要があります。URL を入力すると、ブラウザがそのインターフェイスに接続して、ログイン画面が表示されます。

ユーザー ログイン後、セキュア ゲートウェイは VPN クライアントを必要としているとユーザーを識別すると、リモート コンピュータのオペレーティング システムに一致するクライアントをダウンロードします。ダウンロード後、クライアントは自動的にインストールと設定を行い、セキュアな接続を確立します。接続の終了時には、(セキュリティ アプライアンスの設定に応じて)そのまま残るか、または自動的にアンインストールを実行します。以前にインストールされたクライアントの場合、ログイン後、Firepower Threat Defense セキュリティ ゲートウェイはクライアントのバージョンを検査し、必要に応じてアップグレードします。

AnyConnect Secure Mobility Client[AnyConnectSecureMobilityClient] 操作

クライアントがセキュリティ アプライアンスとの接続をネゴシエートする場合、クライアントは、Transport Layer Security(TLS)、および任意で Datagram Transport Layer Security(DTLS)を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

IPsec-IKEv2 VPN クライアントがセキュア ゲートウェイへの接続を開始すると、インターネットキーエクスチェンジ(IKE)によるデバイスの認証と、続く IKE 拡張認証(Xauth)によるユーザ認証からなるネゴシエーションが行われます。グループ プロファイルが VPN クライアントにプッシュされ、IPsec セキュリティ アソシエーション(SA)が作成されて VPN が完了します。

AnyConnect クライアント プロファイル およびエディタ

AnyConnect クライアント プロファイルは、設定パラメータのグループで、動作や表示の設定に VPN クライアントが使用する XML ファイル内に保存されます。これらのパラメータ(XML タグ)には、ホスト コンピュータの名前とアドレス、および追加のクライアント機能を有効にする設定が含まれています。

AnyConnect プロファイル エディタを使用してプロファイルを設定できます。このエディタは、AnyConnect ソフトウェア パッケージの一部として利用できる便利な GUI ベースの設定ツールです。これは、Firepower Management Center の外部から実行する独立したプログラムです。

リモート アクセス VPN 認証

リモート アクセス VPN サーバー認証

Firepower Threat Defense セキュア ゲートウェイは、VPN クライアントのエンドポイントに対して自身を特定し、認証するために必ず証明書を使用します。

ウィザードを使用してリモート アクセス VPN 構成を設定するときに、選択した証明書を対象の Firepower Threat Defense デバイスに登録できます。ウィザードの [アクセスおよび証明書(Access & Certificate)] フェーズで、[選択した証明書オブジェクトをターゲットデバイスに登録する(Enroll the selected certificate object on the target devices)] オプションを選択します。証明書の登録は、指定したデバイス上で自動的に開始されます。リモート アクセス VPN の構成が完了すると、デバイス証明書のホームページで登録した証明書のステータスを確認できます。ステータスは、証明書の登録が成功したかどうかを明確に示します。これで、リモート アクセス VPN の設定が完了し、導入の準備ができました。

PKI の登録とも呼ばれる、セキュア ゲートウェイの証明書の取得については、Firepower Threat Defense Certificate ベースの認証で説明しています。この章には、ゲートウェイ証明書の設定、登録、および管理の詳細な説明が含まれています。

リモート アクセス VPN のクライアント AAA

SSL と IPsec-IKEv2 の両方について、リモート ユーザー認証はユーザー名とパスワードのみ、証明書のみ、あるいはこの両方を使用して実行されます。


(注)  

展開でクライアント証明書を使用している場合は、Firepower Threat Defense または Firepower Management Center に関係なく、クライアントのプラットフォームにこれらの証明書を追加する必要があります。クライアントに証明書を入力するために、SCEP や CA サービスなどの機能は提供されません。

AAA サーバーでは、セキュア ゲートウェイとして機能する管理対象デバイスが、ユーザーの身元(認証)、ユーザーが許可されていること(認可)、およびユーザーが行ったこと(アカウンティング)を確認できます。AAA サーバの例としては、RADIUS、LDAP/AD、TACACS+、Kerberos などがあります。Firepower Threat Defense デバイス上のリモート アクセス VPN では、AD、LDAP、および RADIUS AAA サーバーが認証のためにサポートされています。

認証サーバーとアカウンティング サーバーには、RADIUS サーバーのみを構成して使用できます。

リモートアクセス VPN の認可の詳細については、「権限および属性のポリシー実施の概要」の項を参照してください。

リモート アクセス VPN ポリシーを追加または編集する前に、指定するレルムおよび RADIUS サーバー グループを設定する必要があります。詳細については、レルムおよびレルムディレクトリの作成およびRADIUS サーバー グループを参照してください。

DNS が設定されていないと、デバイスは AAA サーバー名、名前付き URL、および FQDN またはホスト名を持つ CA サーバーを解決できません。解決できるのは IP アドレスのみです。

リモート ユーザーから提供されるログイン情報は、LDAP または AD レルムまたは RADIUS サーバー グループによって検証されます。これらのエンティティは、Firepower Threat Defense セキュア ゲートウェイと統合されます。


(注)  

ユーザーが認証ソースとして Active Directory を使用して RA VPN で認証を受ける場合、ユーザーは自分のユーザー名を使用してログインする必要があります。domain\username または username@domain 形式は失敗します。(Active Directory はこのユーザー名をログオン名、または場合によっては sAMAccountName と呼んでいます)。詳細については、MSDN でユーザーの名前付け属性を参照してください。

認証に RADIUS を使用する場合、ユーザーは前述のどの形式でもログインできます。

VPN 接続経由で認証されると、リモート ユーザーには VPN ID が適用されます。この VPN ID は、そのリモート ユーザーに属しているネットワーク トラフィックを認識し、フィルタリングするために Firepower Threat Defense のセキュア ゲートウェイ上のアイデンティティ ポリシーで使用されます。

アイデンティティ ポリシーはアクセス コントロール ポリシーと関連付けられ、これにより、誰がネットワーク リソースにアクセスできるかが決まります。リモート ユーザーがブロックされるか、またはネットワーク リソースにアクセスできるかはこのようにして決まります。

詳細については、 アイデンティティ ポリシーについておよびアクセス コントロール ポリシーのセクションを参照してください。

権限および属性のポリシー実施の概要

Firepower Threat Defense デバイスは、外部認証サーバーおよび/または承認 AAA サーバー(RADIUS)から、あるいは Firepower Threat Defense デバイス上のグループ ポリシーから、ユーザー承認属性(ユーザーの権利または権限とも呼ばれる)を VPN 接続に適用することをサポートしています。Firepower Threat Defense デバイスがグループ ポリシーに設定されている属性と競合する外部 AAA サーバーから属性を受信した場合は、AAA サーバーからの属性が常に優先されます。

Firepower Threat Defense デバイスは次の順序で属性を適用します。

  1. 外部 AAA サーバー上のユーザー属性:ユーザー認証や認可が成功すると、サーバーからこの属性が返されます。

  2. Firepower Threat Defense デバイス上で設定されているグループ ポリシー:RADIUS サーバーからユーザーの RADIUS CLASS 属性 IETF-Class-25(OU=group-policy)の値が返された場合は、Firepower Threat Defense デバイスはそのユーザーを同じ名前のグループ ポリシーに入れて、そのグループ ポリシーの属性のうち、サーバーから返されないものを適用します。

  3. 接続プロファイル(トンネル グループと呼ばれる)で割り当てられたグループ ポリシー:接続プロファイルには、接続の事前設定と、認証前にユーザーに適用されるデフォルトのグループ ポリシーが含まれています。


(注)  
Firepower Threat Defense デバイスは、デフォルトのグループ ポリシー DfltGrpPolicy から継承したシステム デフォルト属性をサポートしていません。前述のとおり、ユーザー属性または AAA サーバーのグループ ポリシーによって上書きされない場合、接続プロファイルに割り当てられたグループ ポリシーの属性がユーザー セッションに使用されます。

AAA サーバー接続の概要

LDAP、AD、および RADIUS AAA サーバーは、ユーザー識別処理のみの場合、VPN 認証のみの場合、またはそれら両方の場合に、Firepower Threat Defense デバイスから到達できる必要があります。AAA サーバーは、次のアクティビティのためにリモートアクセス VPN で使用されます。

  • ユーザー識別処理:サーバーは管理インターフェイスを介して到達できる必要があります。

    Firepower Threat Defense デバイスの管理インターフェイスには、VPN で使用される通常のインターフェイスとは別のルーティングプロセスと設定があります。

  • VPN 認証:サーバーは通常のインターフェイス(診断インターフェイスまたはデータインターフェイス)のいずれかを介して到達できる必要があります。

    通常のインターフェイスでは、2 つのルーティング テーブルが使用されます。診断インターフェイス用および管理専用に設定されたその他のインターフェイス用の管理専用ルーティング テーブルと、データ インターフェイスに使用されるデータ ルーティング テーブルです。ルート ルックアップが完了すると、管理専用ルーティング テーブルが最初にチェックされ、次にデータ ルーティング テーブルがチェックされます。最初の照合は、AAA サーバーに到達するように選択されます。


    (注)  

    データ インターフェイスに AAA サーバーを配置する場合は、管理専用ルーティング ポリシーがデータ インターフェイス宛てのトラフィックと一致しないようにしてください。たとえば、診断インターフェイスを介するデフォルト ルートがある場合、トラフィックが決してデータ ルーティング テーブルにフォールバックしないように注意してください。show route management-only コマンドと show route コマンドを使用してルーティングの決定を確認します。

同じ AAA サーバー上の両方のアクティビティについて、ユーザー識別処理用の管理インターフェイスを介してサーバーに到達可能にすることに加え、次のいずれかを実行して、同じ AAA サーバーへの VPN 認証アクセスを確保します。

  • 管理インターフェイスと同じサブネット上の IP アドレスを使用して診断インターフェイスを有効にして設定し、インターフェイスを介した AAA サーバへのルートを設定します。診断インターフェイスのアクセスは、VPN アクティビティ、識別処理のための管理インターフェイスのアクセスに使用されます。


    (注)  

    このように構成すると、診断インターフェイスおよび管理インターフェイスと同じサブネット上にデータ インターフェイスを設定することもできません。管理インターフェイスとデータ インターフェイスが同じネットワーク上に必要な場合(たとえば、デバイス自体をゲートウェイとして使用する場合)でも、診断インターフェイスは無効のままでなければならないため、このソリューションを使用できません。

  • AAA サーバーへのデータ インターフェイスを介してルートを設定します。データ インターフェイスのアクセスは、VPN アクティビティ、ユーザ識別処理のための管理インターフェイスのアクセスに使用されます。

さまざまなインターフェイスの詳細については、Firepower Threat Defense の通常のファイアウォール インターフェイスを参照してください。

展開後、次の CLI コマンドを使用して、Firepower Threat Defense デバイスからの AAA サーバー接続をモニターおよびトラブルシューティングします。

  • show aaa-server AAA サーバーの統計情報を表示します。

  • show route management-only 管理専用ルーティング テーブル エントリを表示します。

  • show network show network-static-routes は管理インターフェイスのデフォルトルートとスタティックルートを表示します。

  • show route データ トラフィックのルーティング テーブル エントリを表示します。

  • ping system traceroute system は管理インターフェイスを介して AAA サーバーへのパスを確認します。

  • ping interface ifname traceroute destination 診断インターフェイスとデータインターフェイスを介して AAA サーバーへのパスを確認します。

  • test aaa-server authenticationtest aaa-server authorization は AAA サーバーでの認証と許可をテストします。

  • clear aaa-server statistics groupname または clear aaa-server statistics protocol protocol はグループ別またはプロトコル別に AAA サーバーの統計情報をクリアします。

  • aaa-server groupname active host hostname は障害が発生した AAA サーバーをアクティブ化します。または、 aaa-server groupname fail host hostname で AAA サーバーを不合格にします。

  • debug ldap level debug aaa authentication debug aaa authorization debug aaa accounting

リモートアクセス VPN のライセンス要件

FTD ライセンス

FTD リモートアクセス VPN には、高度暗号化、および AnyConnect の次のライセンスのいずれかが必要です。

  • AnyConnect Plus

  • AnyConnect Apex

  • AnyConnect VPN のみ

リモートアクセス VPN の要件と前提条件

モデルのサポート

FTD

サポートされるドメイン

任意

ユーザの役割

管理者

リモート アクセス VPN のガイドラインと制限事項

リモート アクセス VPN ポリシーの設定

  • 新しいリモートアクセス VPN ポリシーは、ウィザードを使用してのみ追加できます。ウィザードのすべての手順を実行して新しいポリシーを作成する必要があります。ウィザードを完了する前にキャンセルすると、ポリシーは保存されません。

  • 2 人のユーザーが同時にリモート アクセス VPN ポリシーを編集することはできません。ただし、Web インターフェイスでは同時編集が防止されません。これが発生した場合、最後に保存された設定が保持されます。

  • リモート アクセス VPN ポリシーがそのデバイスに割り当てられている場合、あるドメインから別のドメインに Firepower Threat Defense デバイスを移動することはできません。

  • クラスタ モードの FirePOWER 9300 および 4100 シリーズは、リモート アクセス VPN の設定をサポートしていません。

  • 誤って設定された FTD NAT ルールがあると、リモート アクセス VPN 接続が失敗する可能性があります。

  • IKE ポート 500/4500 または SSL ポート 443 が使用されている場合、またはアクティブな PAT 変換がある場合は、これらのポートでサービスを開始できないため、AnyConnect IPSec-IKEv2 または SSL リモート アクセス VPN を同じポートに設定することはできません。これらのポートは、リモート アクセス VPN を設定する前に Firepower Threat Defense デバイスで使用しないようにする必要があります。

  • ウィザードを使用してリモート アクセス VPN を設定しているときは、インライン証明書登録オブジェクトを作成できますが、それらを使用してアイデンティティ証明書をインストールすることはできません。証明書登録オブジェクトは、リモート アクセス VPN ゲートウェイとして設定されている Firepower Threat Defense デバイスでアイデンティティ証明書を生成するために使用されます。デバイスにリモート アクセス VPN 設定を展開する前に、デバイスにアイデンティティ証明書をインストールします。証明書登録オブジェクトに基づいてアイデンティティ証明書をインストールする方法の詳細については、オブジェクト マネージャを参照してください。

  • リモート アクセス VPN ポリシーの設定を変更した後は、Firepower Threat Defense デバイスに変更を再展開します。設定変更の展開にかかる時間は、ポリシーとルールの複雑さ、デバイスに送信する設定のタイプと量、メモリとデバイス モデルなど、複数の要因によって異なります。リモート アクセス VPN ポリシーの変更を展開する前に、設定変更を展開するためのベストプラクティスを確認してください。

  • ECMP ゾーンインターフェイスは、リモートアクセス VPN(IPsec と SSL の両方)では使用できません。セキュリティゾーンまたはインターフェイスグループに属するすべての RA VPN インターフェイスが 1 つ以上の ECMP ゾーンにも属している場合、RA VPN 設定の展開は失敗します。ただし、セキュリティゾーンまたはインターフェイスグループに属する RA VPN インターフェイスの一部が 1 つ以上の ECMP ゾーンにも属している場合、それらのインターフェイスを除外して RA VPN 設定を展開できます。

同時 VPN セッションのキャパシティプランニング(ハードウェアモデル)

同時 VPN セッションの最大数は、プラットフォーム固有の制限に準拠し、ライセンスには依存しません。デバイス モデルに基づいて、1 台のデバイスで許可される同時リモート アクセス VPN セッション数に上限が設けられます。この制限は、システム パフォーマンスが許容できないレベルに低下しないように設計されています。これらの制限は、キャパシティ プランニングに使用します。

デバイス モデル

最大同時リモート アクセス VPN セッション数

Firepower 2110

1500

Firepower 2120

3500

Firepower 2130

7500

Firepower 2140

10000

他のハードウェア モデルの容量については、セールス担当者にお問い合わせください。


(注)  
プラットフォームごとのセッション数の上限に達すると、FTD デバイスが VPN 接続を拒否します。Syslog メッセージが示され、接続が拒否されます。Syslog メッセージ ガイドで Syslog メッセージ「%ASA-4-113029」と「and %ASA-4-113038」を参照してください。詳細については、http://www.cisco.com/c/en/us/td/docs/security/asa/syslog-guide/syslogs.htmlを参照してください。

VPN の暗号使用方法の制御

DES よりも高度な暗号方式を使用しないようにするため、Firepower Management Center の次の場所で、展開前チェックを使用することもできます。

[デバイス(Devices)] > [プラットフォーム設定(Platform Settings)] > [SSL 設定(SSL Settings)]

[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] > [詳細(Advanced)] > [IPsec]

SSL 設定と IPsec の詳細については、SSL 設定およびリモート アクセス VPN の [IPsec/IKEv2パラメータ(IPsec/IKEv2 Parameters)] の設定を参照してください。

認証、認可、アカウンティング

  • Firepower Threat Defense デバイスは、システム統合認証サーバーのみを使用するリモート アクセス VPN ユーザーの認証をサポートしており、ローカル ユーザー データベースはサポートされていません。

  • LDAP または AD の認可とアカウンティングは、リモート アクセス VPN ではサポートされていません。リモート アクセス VPN ポリシーでは、RADIUS サーバー グループのみを承認サーバーまたはアカウンティング サーバーとして構成できます。

  • リモート アクセス VPN を使用するには、トポロジ内の各デバイスで DNS を設定します。DNS がないと、デバイスは AAA サーバー名、名前付き URL、および FQDN またはホスト名を持つ CA サーバーを解決できません。解決できるのは IP アドレスのみです。

    プラットフォームの設定を使用して DNS を設定できます。詳細については、DNS の設定およびDNS サーバー グループ オブジェクトを参照してください。

クライアント証明書

  • 展開でクライアント証明書を使用している場合は、Firepower Threat Defense または Firepower Management Center に関係なく、クライアントのプラットフォームにこれらの証明書を追加する必要があります。クライアントに証明書を入力するために、SCEP や CA サービスなどの機能は提供されません。

AnyConnect のサポート対象外の機能

サポートされている VPN クライアントは、Cisco AnyConnect Secure Mobility Client のみです。それ以外のクライアントまたはネイティブ VPN はサポートされていません。クライアントレス VPN は、Web ブラウザを使用して AnyConnect クライアントの展開に使用されるだけで、VPN 接続としてはサポートされていません。

FTD セキュア ゲートウェイに接続する場合、次の AnyConnect 機能はサポートされていません。

  • セキュア モビリティ、ネットワーク アクセス管理、およびコア VPN 機能と VPN クライアント プロファイルを超えたその他のすべての AnyConnect モジュールとそのプロファイル。

  • Hostscan およびエンドポイント ポスチャ アセスメント と、クライアント ポスチャに基づくダイナミック アクセス ポリシーなどのポスチャ派生機能。

  • AnyConnect のカスタマイズとローカリゼーションのサポート。FTD デバイスは、これらの機能のために AnyConnect を設定するために必要なファイルを設定または展開しません。

  • AnyConnect クライアントのカスタム属性は、FTD ではサポートされません。したがって、デスクトップ クライアントでの遅延アップグレード、モバイル クライアントでのアプリケーションごとの VPN といった、カスタム属性を使用するすべての機能はサポートされません。

  • ローカル認証では、VPN ユーザーを FTD セキュア ゲートウェイで設定することはできません。

    ローカル CA では、セキュア ゲートウェイは認証局として動作できません。

  • SAML 2.0 を使用したシングル サインオン

  • TACACS、Kerberos(KCD 認証および RSA SDI)

  • LDAP 認証(LDAP 属性マップ)

  • ブラウザ プロキシ

  • VPN ロード バランシング。

新規リモート アクセス VPN 接続の設定

ここでは、VPN ゲートウェイとして Firepower Threat Defense デバイスを使用したり、VPN クライアントとして Cisco AnyConnect を使用したりして、新しいリモート アクセスを設定する手順について説明します。

操作内容

詳細

ステップ 1

ガイドラインと前提条件を確認します。

リモート アクセス VPN のガイドラインと制限事項

リモート アクセス VPN を設定するための前提条件

ステップ 2

ウィザードを使用して新しいリモート アクセス VPN ポリシーを作成します。

新しいリモート アクセス VPN ポリシーの作成

ステップ 3

デバイスに展開されているアクセス コントロール ポリシーを更新します。

Firepower Threat Defense デバイスのアクセス コントロール ポリシーの更新

ステップ 4

(オプション)NAT がデバイスで設定されている場合は、NAT 免除ルールを設定します。

(任意)NAT 免除の設定

ステップ 5

DNS を設定します。

DNS の設定

ステップ 6

AnyConnect クライアント プロファイルを追加します。

AnyConnect クライアント プロファイル XML ファイルの追加

ステップ 7

リモート アクセス VPN ポリシーを展開します。

設定変更の展開

ステップ 8

(オプション)リモート アクセス VPN ポリシー設定を確認します。

設定の確認

リモート アクセス VPN を設定するための前提条件

  • Firepower Threat Defense デバイスを展開し、Firepower Management Center を設定して、輸出規制対象の機能を有効にした必要なライセンスを持つデバイスを管理します。詳細については、VPN ライセンスを参照してください。

  • リモート アクセス VPN ゲートウェイとして機能する各 Firepower Threat Defense デバイスにアイデンティティ証明書を取得するために使用する証明書登録オブジェクトを設定します。

  • RADIUS サーバー グループ オブジェクトと、リモート アクセス VPN ポリシーで使用されている AD または LDAP レルムを設定します。

  • リモート アクセス VPN 設定が機能するように AAA サーバーに Firepower Threat Defense デバイスからアクセスできることを確認します。AAA サーバーへの接続を確実にするために、ルーティングを設定します([デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [ルーティング(Routing)])。

    リモート アクセス VPN の二重認証の場合は、二重認証設定が機能するようにプライマリとセカンダリの両方の認証サーバーに Firepower Threat Defense デバイスからアクセスできることを確認します。

  • Firepower Threat Defense のリモート アクセス VPN を有効にするため、AnyConnect Plus、AnyConnect Apex、または AnyConnect VPN Only のうちいずれかの Cisco AnyConnect ライセンスを購入します。

  • シスコのソフトウェア ダウンロード センターから最新の AnyConnect イメージ ファイルをダウンロードします。

    Firepower Management Center の Web インターフェイスで、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [VPN] > [AnyConnect ファイル(AnyConnect File)] に移動し、新しいAnyConnect クライアント イメージ ファイルを追加します。

  • ユーザーが VPN 接続のためにアクセスするネットワーク インターフェイスを含む、セキュリティゾーンまたはインターフェイスグループを作成します。インターフェイス オブジェクト:インターフェイスグループとセキュリティ ゾーン を参照してください。

  • AnyConnect プロファイル エディタをシスコのソフトウェア ダウンロード センターからダウンロードし、AnyConnect クライアント プロファイルを作成します。スタンドアロン プロファイル エディタを使用して、新しい AnyConnect プロファイルを作成したり、既存の AnyConnect プロファイルを変更したりできます。

新しいリモート アクセス VPN ポリシーの作成

新しいリモート アクセス VPN ポリシーを追加できるのはリモート アクセス VPN ポリシー ウィザードを使用する場合のみです。このウィザードは、基本的な機能を持つリモート アクセス VPN をすばやく、簡単にセットアップできるようにします。さらに、必要に応じて追加の属性を指定することでポリシー設定を強化して Firepower Threat Defense のセキュア ゲートウェイ デバイスに展開できます。

始める前に

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

[追加( Add)]をクリックし、基本的なポリシー設定を行うウィザードを使用して新しいリモートアクセス VPN ポリシーを作成します。

ウィザードのすべての手順を実行して新しいポリシーを作成する必要があります。ウィザードを完了する前にキャンセルすると、ポリシーは保存されません。
ステップ 3

[ターゲット デバイス(Target Devices)] と [プロトコル(Protocols)] を選択します。

選択した Firepower Threat Defense デバイスは、VPN クライアント ユーザーのリモート アクセス VPN ゲートウェイとして機能します。リストからデバイスを選択するか、または新しいデバイスを追加します。

新しいリモートアクセス VPN ポリシーを作成するときに Firepower Threat Defense デバイスを追加したり、後で変更したりできます。「リモートアクセス VPN ポリシーのターゲットデバイスの設定」を参照してください。

SSL または IPSec-IKEv2、あるいはその両方の VPN プロトコルを選択できます。Firepower Threat Defense は、VPN トンネルを経由するパブリックネットワークを介してセキュアな接続を確立するために両方のプロトコルをサポートしています。

(注)   

Firepower Threat Defense は、NULL 暗号化を使用する IPSec トンネルをサポートしていません。IPSec-IKEv2 を選択した場合は、IPSec IKEv2 プロポーザルに NULL 暗号化を選択しないでください。「IKEv2 IPsec プロポーザル オブジェクトの設定」を参照してください。

SSL 設定については、SSL 設定を参照してください。

ステップ 4

[接続プロファイル(Connection Profile)] および [グループポリシー(Group Policy)] 設定を設定します。

接続プロファイルでは、リモート ユーザーが VPN デバイスに接続する方法を定義するパラメータ セットを指定します。パラメータには、認証、VPN クライアントへのアドレスの割り当てとグループ ポリシーの設定および属性が含まれています。Firepower Threat Defense デバイスは、リモート アクセス VPN ポリシーを設定する際の DefaultWEBVPNGroup というデフォルトの接続プロファイルを提供します。

詳細については、接続プロファイルの設定を参照してください。

グループ ポリシーはグループ ポリシー オブジェクト内に保存される属性と値の一連のペアで、VPN ユーザーに対してリモート アクセス VPN のエクスペリエンスを定義します。グループ ポリシーを使用して、ユーザー認証プロファイル、IP アドレス、AnyConnect 設定、VLAN マッピング、およびユーザー セッション設定などの属性を設定します。RADIUS 承認サーバーがグループ ポリシーを割り当てるか、または現在の接続プロファイルから取得されます。

詳細については、グループ ポリシーの設定を参照してください。

ステップ 5

VPN ユーザーがリモート アクセス VPN への接続に使用する [AnyConnect クライアント イメージ(AnyConnect Client Image)] を選択します。

Cisco AnyConnect セキュア モビリティ クライアントは Firepower Threat Defense デバイスへのセキュアな SSL 接続または IPSec(IKEv2)接続を提供し、これにより、リモート ユーザーによる企業リソースへのフル VPN プロファイリングが可能となります。Firepower Threat Defense デバイスにリモート アクセス VPN ポリシーを展開したら、VPN ユーザーは設定したデバイス インターフェイスの IP アドレスをブラウザに入力し、AnyConnect クライアントをダウンロードしてインストールできるようになります。

ステップ 6

[ネットワーク インターフェイスとアイデンティティ証明書(Network Interface and Identity Certificate)] を選択します。

インターフェイス オブジェクトは、ネットワークをセグメント化してトラフィック フローを管理し、分類しやすくします。セキュリティ ゾーン オブジェクトはインターフェイスをグループ化します。これらのグループは複数のデバイスにまたがることがあります。また、単一のデバイスに複数のゾーンインターフェイス オブジェクトを設定することもできます。インターフェイス オブジェクトには次の 2 つのタイプがあります。

  • セキュリティ ゾーン:インターフェイスは、1 つのセキュリティ ゾーンにのみ属することができます。

  • インターフェイス グループ:インターフェイスは複数のインターフェイスグループ(および 1 つのセキュリティ ゾーン)に属することができます。
ステップ 7

リモート アクセス VPN ポリシー設定の [概要(Summary)] を表示します。

[概要(Summary)] ページには、これまでに設定したすべてのリモート アクセス VPN 設定が表示され、選択したデバイスにリモート アクセス VPN ポリシーを展開する前に実行する必要がある追加設定へのリンクが示されます。

必要に応じて、[戻る(Back)] をクリックして設定に変更を加えます。

ステップ 8

リモート アクセス VPN ポリシーの基本設定を完了するには、[終了(Finish)] をクリックします。

ウィザードを使用してリモート アクセス VPN ポリシーを完了すると、ポリシー リスト ページに戻ります。DNS 設定をセットアップし、VPN ユーザーのアクセス制御を設定し、NAT の免除を有効にして(必要な場合)、基本的な RA VPN のポリシー設定を完了します。次に、設定を展開し、VPN 接続を確立します。

Firepower Threat Defense デバイスのアクセス コントロール ポリシーの更新

リモート アクセス VPN ポリシーを展開する前に、VPN トラフィックを許可するルールを使用してターゲットの Firepower Threat Defense デバイス上でアクセス コントロール ポリシーを更新する必要があります。ルールは、定義済み VPN プール ネットワークの送信元と社内ネットワークの宛先を持つ外部インターフェイスを通過するすべてのトラフィックを許可する必要があります。


(注)  

[復号されたトラフィックのアクセス コントロール ポリシーをバイパスする(sysopt permit-vpn)(Bypass Access Control policy for decrypted traffic (sysopt permit-vpn))] オプションを選択した場合は、リモート アクセス VPN のアクセス コントロール ポリシーを更新する必要はありません。

すべての VPN 接続のオプションを有効または無効にします。このオプションを無効にする場合は、トラフィックがアクセス コントロール ポリシーまたはプレフィルタポリシーによって許可されていることを確認してください。

詳細については、リモートアクセス VPN のアクセス インターフェイスの設定を参照してください。

始める前に

リモート アクセス VPN ポリシー ウィザードを使用してリモート アクセス VPN ポリシーの設定を実行します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[ポリシー(Policies)] > [アクセス制御(Access Control)] を選択します。

ステップ 2

リモート アクセス VPN ポリシーが展開されるターゲット デバイスに割り当てられているアクセス コントロール ポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

新しいルールを追加するには、[ルールの追加(Add Rule)] をクリックします。

ステップ 4

ルールの [名前(Name)] を指定し、[有効(Enabled)] を選択します。

ステップ 5

[アクション(Action)]、[許可(Allow)]、または [信頼(Allow)] を選択します。

ステップ 6

[ゾーン(Zones)] タブで次の項目を選択します。

  1. [使用可能なゾーン(Available Zones)] から外部ゾーンを選択し、[送信元に追加(Add to Source)] をクリックします。

  2. [使用可能なゾーン(Available Zones)] から内部ゾーンを選択し、[宛先に追加(Add to Destination)] をクリックします。

ステップ 7

[ネットワーク(Networks)] タブで次の項目を選択します。

  1. 使用可能なネットワークから内部ネットワーク(内部インターフェイスまたは社内ネットワーク)を選択し、[宛先に追加(Add to Destination)] をクリックします。

  2. 使用可能なネットワークから VPN アドレス プール ネットワークを選択し、[送信元ネットワークに追加(Add to Source Networks)] をクリックします。

ステップ 8

その他の必要なアクセス制御ルールを設定して [追加(Add)] をクリックします。

ステップ 9

ルールとアクセス コントロール ポリシーを保存します。

(任意)NAT 免除の設定

NAT 免除を使用すると、アドレスは変換から除外され、変換済みのホストとリモート ホストの両方が保護されたホストとの接続を開始できるようになります。アイデンティティ NAT と同様に、特定のインターフェイスでホストの変換を制限するのではなく、すべてのインターフェイスを経由する接続に NAT 免除を使用する必要があります。ただし、NAT 免除では変換対象の実際のアドレスを決定するときに実際のアドレスおよび宛先アドレスを指定できます(ポリシー NAT と類似)。アクセス リストのポートを考慮するには、スタティック アイデンティティ NAT を使用します。

始める前に

リモート アクセス VPN ポリシーが展開されているターゲット デバイスに NAT が設定されているかどうかを確認します。NAT がターゲット デバイスで有効になっている場合、NAT ポリシーを定義して VPN トラフィックを対象外にする必要があります。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [NAT] をクリックします。

ステップ 2

更新する NAT ポリシーを選択するか、または [新しいポリシー(New Policy)] > [脅威対策NAT(Threat Defense NAT)] をクリックし、すべてのインターフェイスへの接続を許可する NAT ルールを含む NAT ポリシーを作成します。

ステップ 3

[ルールの追加(Add Rule)] をクリックして NAT ルールを追加します。

ステップ 4

[NAT ルールの追加(Add NAT Rule)] ウィンドウで、次を選択します。

  1. [NAT ルール(NAT Rule)] に [手動 NAT ルール(Manual NAT Rule)] を選択します。

  2. [タイプ(Type)] に [スタティック(Static)] を選択します。

  3. [インターフェイス オブジェクト(Interface Objects)] をクリックし、送信元と宛先のインターフェイス オブジェクトを選択します。

(注)   

このインターフェイス オブジェクトは、リモート アクセス VPN ポリシーで選択したインターフェイスと同じである必要があります。

詳細については、リモートアクセス VPN のアクセス インターフェイスの設定を参照してください。

  1. [変換(Translation)] をクリックし、送信元と宛先のネットワークを選択します。

    • [元の送信元(Original Source)] および [変換済み送信元(Translated Source)]

    • [元の宛先(Original Destination)] および [変換済み宛先(Translated Destination)]

ステップ 5

[詳細(Advanced)] タブで [宛先インターフェイスでプロキシ ARP を使用しない(Do not proxy ARP on Destination interface)] を選択します。

[宛先インターフェイスでプロキシ ARP を使用しない(Do not proxy ARP on Destination Interface)]:マッピング IP アドレスへの着信パケットのプロキシ ARP を無効にします。マッピングインターフェイスと同じネットワーク上のアドレスを使用した場合、システムはプロキシ ARP を使用してマッピングアドレスのすべての ARP 要求に応答することで、マッピングアドレスを宛先とするトラフィックを代行受信します。この方法だと、デバイスがその他のネットワークのゲートウェイになる必要がないため、ルーティングが簡略化されます。プロキシ ARP は必要に応じて無効にできます。無効にする場合、上流に位置するルータに適切なルートが設定されている必要があります。

ステップ 6

[OK] をクリックします。

DNS の設定

リモート アクセス VPN を使用するには、Firepower Threat Defense の各デバイスで DNS を設定します。DNS がないと、デバイスは AAA サーバー名、名前付き URL、FQDN またはホスト名を持つ CA サーバーを解決できません。IP アドレスのみを解決できます。

手順

ステップ 1

DNS サーバーの詳細とドメインルックアップ インターフェイスを [プラットフォーム設定(Platform Settings)] を使用して設定します。詳細については、DNS の設定およびDNS サーバー グループ オブジェクトを参照してください。
ステップ 2

VNP ネットワーク経由で DNS サーバーに到達可能な場合は、リモート アクセス VPN トンネルを介して DNS トラフィックを許可するためのスプリット トンネルをグループ ポリシーに設定します。詳細については、グループ ポリシー オブジェクトの設定を参照してください。

AnyConnect クライアント プロファイル XML ファイルの追加

AnyConnect クライアント プロファイルは、設定パラメータのグループで、動作や表示の設定にクライアントが使用する XML ファイル内に保存されます。これらのパラメータ(XML タグ)には、ホスト コンピュータの名前とアドレス、および追加のクライアント機能を有効にする設定が含まれています。

AnyConnect プロファイル エディタを使用すると、AnyConnect クライアント プロファイルを作成できます。このエディタは、AnyConnect ソフトウェア パッケージの一部として利用できる GUI ベースの設定ツールです。これは、Firepower Management Center の外部で実行する独立したプログラムです。AnyConnect プロファイル エディタの使用の詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』を参照してください。

始める前に

Firepower Threat Defense リモート アクセス VPN ポリシーには VPN クライアントに割り当てる AnyConnect クライアント プロファイルが必要です。クライアント プロファイルはグループ ポリシーに関連付けられます。

AnyConnect プロファイル エディタはシスコのソフトウェア ダウンロード センターからダウンロードします。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)]。

ステップ 2

リモートアクセス VPN ポリシーを選択し、[編集(Edit)] をクリックします。

リモート アクセス VPN のポリシーに設定されている接続プロファイルのリストが表示されます。
ステップ 3

AnyConnect クライアントプロファイルを更新する接続プロファイルを選択し、[編集(Edit)] をクリックします。

ステップ 4

[追加(Add)] をクリックしてグループポリシーを追加するか、または [グループポリシーの編集(Edit Group Policy)] > [全般(General)] > [AnyConnect] をクリックします。

ステップ 5

リストからクライアント プロファイルを選択するか、または [追加(Add)] アイコンをクリックして新しいプロファイルを追加します。

  1. AnyConnect プロファイルの [名前(Name)] を指定します。

  2. [参照(Browse)] をクリックし、AnyConnect プロファイルの XML ファイルを選択します。

    (注)   

    二要素認証の場合、AnyConnect クライアント プロファイル XML ファイルでタイムアウトが 60 秒以上に更新されていることを確認してください。

  3. [保存(Save)] をクリックします。

(任意)スプリット トンネリングの設定

スプリット トンネルではセキュア トンネル経由のリモート ネットワークへの VPN 接続が可能ですが、VPN トンネル外のネットワークにも接続できます。VPN ユーザーがリモートアクセス VPN に接続されている間、外部ネットワークにアクセスできるようにするには、スプリット トンネルを設定します。スプリットトンネル リストを設定するには、標準アクセス リストまたは拡張アクセス リストを作成する必要があります。

詳細については、グループ ポリシーの設定を参照してください。

手順

ステップ 1

[デバイス(Devices)] > [VP ] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

接続プロファイルを選択し、[編集(Edit)] をクリックします。

ステップ 4

[追加(Add)] をクリックしてグループポリシーを追加します。または、[グループポリシーの編集(Edit Group Policy)] > [全般(General)] > [スプリットトンネリング(Split Tunneling)] をクリックします。

ステップ 5

[IPv4スプリットトンネリング(IPv4 Split Tunneling)] または [IPv6スプリットトンネリング(IPv6 Split Tunneling)] リストから、[以下に指定したネットワークを除外する(Exclude networksspecified below)] を選択し、VPN トラフィックから除外するネットワークを選択します。

スプリット トンネリング オプションをこのままにした場合、エンドポイントからのすべてのトラフィックは VPN 接続経由で送信されます。
ステップ 6

[標準アクセスリスト(Standard Access List)] または [拡張アクセスリスト(Extended Access List)] をクリックし、ドロップダウンからアクセス リストを選択するか、新しいアクセス リストを追加します。

ステップ 7

新しい標準アクセス リストまたは拡張アクセス リストを追加する場合は、次の手順を実行します。

  1. 新しいアクセス リストの [名前(Name)] を指定し、[追加(Add)] をクリックします。

  2. [アクション(Action)] から [許可(Allow)] を選択します。

  3. VPN トンネル上で許可するネットワーク トラフィックを選択し、[追加(Add)] をクリックします。

ステップ 8

[保存(Save)] をクリックします。

設定の確認

手順

ステップ 1

外部ネットワークのマシンで Web ブラウザを開きます。
ステップ 2

リモート アクセス VPN ゲートウェイとして設定されている FTD デバイスの URL を入力します。
ステップ 3

プロンプトが表示されたらユーザー名とパスワードを入力し、[ログオン(Logon)] をクリックします。

(注)   

システムに AnyConnect がインストールされている場合は、VPN に自動的に接続されます。

AnyConnect がインストールされていない場合は、AnyConnect クライアントをダウンロードするように求められます。
ステップ 4

まだインストールされていない場合は AnyConnect をダウンロードし、VPN に接続します。

AnyConnect クライアントは自身をインストールします。認証が成功すると、Firepower Threat Defense リモート アクセス VPN ゲートウェイに接続されます。該当するアイデンティティ ポリシーまたは QoS ポリシーは、リモート アクセス VPN ポリシーの設定に従って適用されます。

リモートアクセス VPN ポリシーのターゲットデバイスの設定

新しいリモートアクセス VPN ポリシーを作成するときにターゲットデバイスを追加したり、後で変更したりできます。

手順

ステップ 1

[Devices] > [VPN] > [Remote Access] を選択します。

ステップ 2

編集するリモートアクセス VPN ポリシーの横にある をクリックします。

ステップ 3

[ポリシーの割り当て(Policy Assignment)] をクリックします。

ステップ 4

次のいずれかを実行します。

  • デバイス、ハイアベイラビリティペア、またはデバイスグループをポリシーに割り当てるには、[Available Devices)] リストで選択し、[Add] をクリックします。表示されているデバイスをドラッグアンドドロップして選択することもできます。
  • デバイスの割り当てを削除するには、[選択されたデバイス(Selected Device)] リストのデバイス、高可用性ペア、またはデバイスグループの横にある をクリックします。
ステップ 5

[OK] をクリックします。

次のタスク

その他のリモートアクセス VPN の設定

接続プロファイルの設定

リモート アクセス VPN ポリシーには、特定のデバイスを対象とする接続プロファイルが含まれています。これらのポリシーはトンネル自体の作成に関連しています。たとえば AAA を行う方法、アドレス(DHCP やアドレス プール)を VPN クライアントに割り当てる方法などです。また、Firepower Threat Defense デバイスで設定された(または AAA サーバーから得られる)グループ ポリシーで識別されるユーザー属性も、これらに含まれます。また、デバイスには DefaultWEBVPNGroup という名前のデフォルト接続プロファイルもあります。ウィザードを使って設定された接続プロファイルがリストに表示されます。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

リストから既存のリモート アクセス VPN ポリシーを選択し、対応する [編集(Edit)] アイコンをクリックします。

ステップ 3

[接続プロファイル(Connection Profile)] を選択し、[編集(Edit)] をクリックします。

[接続プロファイルの編集(edit connection profile)] ページが表示されます。
ステップ 4

(任意)複数の接続プロファイルを追加します。

複数の接続プロファイルの設定
ステップ 5

VPN クライアントの IP アドレスを設定します。

VPN クライアントの IP アドレスの設定
ステップ 6

(任意)リモート アクセス VPN の AAA 設定を更新します。

リモートアクセス VPN の AAA 設定
ステップ 7

(任意)エイリアスを作成または更新します。

接続プロファイルのエイリアスの作成または更新
ステップ 8

接続プロファイルを保存します。

複数の接続プロファイルの設定

別のグループの VPN ユーザーに異なる権限を付与する場合は、各ユーザー グループの特定の接続プロファイルまたはグループ ポリシーを設定することができます。たとえば、経理グループ、カスタマー サポート グループ、および MIS(経営情報システム)グループが、プライベート ネットワークのそれぞれ異なる部分にアクセスできるようにする場合が考えられます。また、MIS に所属する特定のユーザには、他の MIS ユーザにはアクセスできないシステムにアクセスを許可する場合があります。接続プロファイルとグループ ポリシーにより、このような柔軟な設定を安全に実行することができます。

リモート アクセス ポリシー ウィザードを使用して VPN ポリシーを作成する場合に設定できる接続プロファイルは 1 つのみです。接続プロファイルは後で追加できます。また、デバイスには DefaultWEBVPNGroup という名前のデフォルト接続プロファイルもあります。

始める前に

リモート アクセス ポリシー ウィザードを使用し、接続プロファイルでリモート アクセス VPN が設定されていることを確認します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

既存のリモート アクセス ポリシーがリストされます。
ステップ 2

リモートアクセス VPN ポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

[追加(Add)] をクリックし、[接続プロファイルの追加(Add Connection Profile)] ウィンドウで次の項目を指定します。

  1. [接続プロファイル(Connection Profile)]:リモート ユーザーが VPN 接続のために使用する名前を指定します。接続プロファイルにはリモート ユーザーによる VPN デバイスへの接続方法を定義する一連のパラメータが含まれます。

  2. [クライアントアドレスの割り当て(Client Address Assignment)]:リモート クライアントの IP アドレスは、ローカルの IP アドレス プール、DHCP サーバー、および AAA サーバーから割り当てられます。

  3. [AAA]:セキュア VPN ゲートウェイとして機能する管理対象デバイスが、どのユーザーに(認証)、何を許可し(承認)、そのユーザーが何を実行したか(アカウンティング)を判断できるように AAA サーバーを設定します。

  4. [エイリアス(Aliases)]:接続プロファイルの代替名または URL を指定します。リモート アクセス VPN 管理者は、エイリアス名とエイリアス URL を有効または無効にできます。VPN ユーザーは、AnyConnect VPN クライアントを使用して Firepower Threat Defense デバイスのリモート アクセス VPN に接続する場合にエイリアス名を使用できます。

ステップ 4

[保存(Save)] をクリックします。

VPN クライアントの IP アドレスの設定

クライアント アドレスの割り当ては、リモート アクセス VPN ユーザー用の IP アドレスを割り当てる手段です。

リモート VPN クライアントの IP アドレスは、ローカルの IP アドレス プール、DHCP サーバー、および AAA サーバーから割り当てように設定できます。最初に AAA サーバーが割り当てられ、その後で他のものが割り当てられます。[詳細(Advanced)] タブで [クライアントアドレスの割り当て(Client Address Assignment)] ポリシーを設定して、割り当て基準を定義します。この接続プロファイルに関連付けられているグループ ポリシーやシステムのデフォルト グループ ポリシーである [DfltGrpPolicy] で定義された IP プールが存在しない場合、 この接続プロファイルで定義されている IP プールのみが使用されます。

[IPv4 アドレス プール(IPv4 Address Pools)]:SSL VPN クライアントは、Firepower Threat Defense デバイスに接続したときに新しい IP アドレスを受け取ります。アドレス プールでは、リモート クライアントが受け取ることのできるアドレス範囲が定義されます。既存の IP アドレス プールを選択します。IPv4 および IPv6 アドレスそれぞれに最大 6 つのプールを追加できます。


(注)  
Firepower Management Center の既存の IP プールから IP アドレスを使用するか、または [追加(Add)] オプションを使用して新しいプールを作成できます。また、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [アドレス プール(Address Pools)] パスを使用して、Firepower Management Center に IP プールを作成することもできます。詳細については、アドレス プールを参照してください。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

既存のリモート アクセス ポリシーがリストされます。
ステップ 2

リモートアクセス VPN ポリシーを選択し、[編集(Edit)] をクリックします。
ステップ 3

更新する接続プロファイルを選択し、[編集(Edit)] > [クライアントアドレスの割り当て(Client Address Assignment)] をクリックします。

ステップ 4

[アドレスプール(Address Pools)] で次の項目を選択します。

  1. [追加(Add)] をクリックして IP アドレスを追加し、[IPv4] または [IPv6] を選択して対応するアドレスプールを追加します。利用可能なプールから IP アドレス プールを選択し、[追加(Add)] をクリックします。

    (注)   
    複数の Firepower Threat Defense デバイス間でリモート アクセス VPN ポリシーを共有する場合は、すべてのデバイスが同じアドレス プールを共有することに留意してください。ただし、デバイスレベルのオブジェクト オーバーライドを使用して、グローバル定義をデバイスごとの一意なアドレス プールに置き換える場合を除きます。NAT を使用していないデバイスでアドレスが重複しないようにするには、一意なアドレス プールが必要です。

  2. 新しい IPv4 または IPv6 アドレス プールを追加するには、[アドレスプール(Address Pools)] ウィンドウで [追加(Add)] アイコンを選択します。IPv4 プールを選択する場合は、開始と終了の IP アドレスを提供します。新しい IPv6 アドレス プールを含めることを選択する場合は、1 ~ 16384 の範囲の [アドレス数(Number of Addresses)] を入力します。オブジェクトが多数のデバイス間で共有される場合は、IP アドレスの競合を回避するために、[オーバーライドを許可(Allow Overrides)] オプションを選択します。詳細については、アドレス プールを参照してください。

  3. [OK] をクリックします。

ステップ 5

[DHCPサーバー(DHCP Servers)] で次の項目を選択します。

(注)   
DHCP サーバー アドレスは、IPv4 アドレスでのみ設定可能です。

  1. 名前と DHCP(Dynamic Host Configuration Protocol)のサーバー アドレスをネットワーク オブジェクトとして指定します。[追加(Add)] をクリックして、オブジェクトリストからサーバーを選択します。DHCP サーバーを削除するには、[削除(Delete)] をクリックします。

  2. 新しいネットワークオブジェクトを追加するには、[新しいオブジェクト(New Objects)] ページで [追加(Add)] をクリックします。新しいオブジェクト名、説明、ネットワークを入力し、必要に応じて [オーバーライドを許可(Allow Overrides)] オプションを選択します。詳細については、ネットワーク オブジェクトの作成およびオブジェクトのオーバーライドの許可を参照してください。

  3. [OK] をクリックします。

ステップ 6

[保存(Save)] をクリックします。

リモートアクセス VPN の AAA 設定

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

リストから既存のリモート アクセス VPN ポリシーを選択し、対応する [編集(Edit)] アイコンをクリックします。

ステップ 3

AAA 設定が更新されるように接続プロファイルを選択し、[編集(Edit)] > [AAA] をクリックします。

ステップ 4

[認証(Authentication)] で次の項目を選択します。

  • [Authentication Method]:ユーザーに対してネットワークとネットワーク サービスへのアクセスを許可する前に、ユーザーの識別方法を決定します。有効なユーザー クレデンシャル(通常は、ユーザー名とパスワード)を要求することで、アクセスが制御されます。また、クライアントからの証明書も含まれます。

    [認証方式(Authentication Method)] の選択に応じて、次のようになります。

    • [AAA only]:[Authentication Server] に [RADIUS] を選択した場合、デフォルトで許可サーバーは同じ値になります。ドロップダウン リストから [アカウンティング サーバー(Accounting Server)] を選択します。認証サーバー ドロップダウン リストから [AD] と [LDAP] を選択した場合は常に、[許可サーバー(Authorization Server)] と [アカウンティング サーバー(Accounting Server)] をそれぞれ手動で選択する必要があります。

    • [Client Certificate Only]:各ユーザーはクライアント証明書を使用して認証されます。クライアント証明書は、VPN クライアント エンドポイントで設定する必要があります。デフォルトでは、ユーザー名はクライアント証明書フィールド CN および OU から派生します。クライアント証明書の他のフィールドにユーザー名が指定されている場合は、[プライマリ(Primary)] と [セカンダリ(Secondary)] フィールドを使用して適切なフィールドをマップします。

      クライアント証明書のユーザー名が含まれる [マップ固有フィールド(Map Specific Field)] オプションを選択すると、[プライマリ(Primary)] および [セカンダリ(Secondary)] フィールドに [CN(一般名)(CN (Common Name))] と [OU(組織ユニット)(OU (Organisational Unit))] のデフォルト値がそれぞれ表示されます。[DN全体をユーザー名として使用(Use entire DN as username)] オプションを選択した場合、ユーザー ID が自動的に取得されます。識別名(DN)は、個々のフィールドから構成される一意の識別子であり、ユーザーを接続プロファイルと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。

      [Map specific field] オプションに関連する [Primary] フィールドと [Secondary] フィールドには、次の共通の値が含まれています。

      • C(国)

      • CN(一般名)

      • DNQ(DN 修飾子)

      • EA(電子メール アドレス)

      • GENQ(世代識別子)

      • GN(姓名の名)

      • I(イニシャル)

      • L(地名)

      • N(名前)

      • O(組織)

      • OU(組織ユニット)

      • SER(シリアル番号)

      • SN(姓名の姓)

      • SP(都道府県)

      • T(タイトル)

      • UID(ユーザ ID)

      • UPN(ユーザー プリンシパル名)

    • [Client Certificate & AAA]:各ユーザーはクライアント証明書とAAAサーバーの両方を使用して認証されます。認証に必要な証明書と AAA 設定を選択します。

      どの認証方式を選択する場合にも、[ユーザーが承認データベースに存在するときにのみ接続を許可(Allow connection only if user exists in authorization database)] を選択または選択解除します。

  • [Authentication Server]:認証とは、ユーザーに対してネットワークとネットワークサービスへのアクセスを許可する前に、ユーザーの識別を行う方法です。認証には、有効なユーザー クレデンシャル、証明書、またはその両方が必要です。認証は、単独で使用することも、認可およびアカウンティングとともに使用することもできます。

    認証サーバーを選択(または追加して選択)します。

  • 以前にリモートアクセス VPN ユーザーを認証するように設定した LDAP または AD レルムか RADIUS サーバーグループを選択します。

  • [Use secondary authentication]:VPN セッションのセキュリティを強化するため、プライマリ認証の他にセカンダリ認証を設定します。セカンダリ認証は、[AAA のみ(AAA only)] と [クライアント証明書と AAA(Client Certificate & AAA)] の認証方式にのみ適用されます。

    セカンダリ認証はオプションの機能であり、2 つのセットのユーザー名とパスワードを AnyConnect ログイン画面に入力するには VPN ユーザーが必要です。認証サーバーまたはクライアント証明書からセカンダリ ユーザー名を事前入力するように設定することもできます。リモート アクセス VPN 認証は、プライマリとセカンダリの両方の認証が成功した場合にのみ許可されます。いずれの認証サーバーに到達できない場合、1 つの認証が失敗すると、VPN 認証が拒否されます。

    セカンダリ認証の設定前に、2 つ目のユーザー名とパスワードのセカンダリ認証のサーバー グループ(AAA サーバー)を設定する必要があります。たとえば、プライマリ認証サーバーを LDAP または Active Directory レルムに、セカンダリ認証を RADIUS サーバーに設定できます。

    (注)   

    デフォルトでは、セカンダリ認証は必要ありません。

    [Authentication Server]:VPN ユーザーのセカンダリ ユーザー名とパスワードを提供するセカンダリ認証サーバー。

    [セカンダリ認証のユーザー名(Username for secondary authentication)] で次の項目を選択します。

    • [プロンプト(Prompt)]:VPN ゲートウェイへのログイン中にユーザー名とパスワードを入力するようユーザーに要求します。

    • [プライマリ認証ユーザー名を使用(Use primary authentication username)]:プライマリとセカンダリの両方の認証にプライマリ認証サーバーからユーザー名が取得されます。パスワードは 2 つ入力する必要があります。

    • [クライアント証明書からのユーザー名をマップ(Map username from client certificate)]:クライアント証明書からセカンダリ ユーザー名が事前に入力されます。

      • クライアント証明書のユーザー名を含む [固有のフィールドをマップ(Map specific field)] オプションを選択する場合。[プライマリ(Primary)] フィールドと [セカンダリ(Secondary)] フィールドには、デフォルト値の [CN(共通名)(CN (Common Name))] と [組織ユニット(OU)(OU (Organisational Unit))] がそれぞれ表示されます。[DN(識別名)全体をユーザー名として使用(Use entire DN (Distinguished Name) as username)] オプションを選択した場合はユーザー ID が自動的に取得されます。

        プライマリとセカンダリのフィールドのマッピングの詳細については、「認証方式」の説明を参照してください。

      • [ユーザー ログイン ウィンドウに証明書からユーザー名を事前に入力(Prefill username from certificate on user login window)]:ユーザーが AnyConnect VPN クライアント経由で接続したときにクライアント証明書からセカンダリ ユーザー名を事前に入力します。

        • [ログイン ウィンドウでユーザー名を非表示にする(Hide username in login window)]:セカンダリ ユーザー名はクライアント証明書から事前に入力されますがユーザーには表示されず、ユーザーが事前に入力されたユーザー名を変更しないようにします。

    • [VPN セッションのセカンダリ ユーザー名を使用(Use secondary username for VPN session)]:VPN セッション中のユーザー アクティビティのレポートにセカンダリ ユーザー名を使用します。

ステップ 5

[認可(Authorization)] で次の項目を選択します。

  • [Authorization Server]:認証の完了後、認可によって、認証済みの各ユーザーが使用できるサービスおよびコマンドが制御されます。認可は、ユーザーが実行を認可されていることを示す属性のセット、実際の機能、および制限事項をアセンブルすることによって機能します。認可を使用しない場合は、認証が単独で、認証済みのすべてのユーザーに対して同じアクセス権を提供します。認可には、認証が必要です。 RADIUS サーバーのみが承認サービスでサポートされます。

    リモート アクセス VPN 認可の仕組みについては、権限および属性のポリシー実施の概要を参照してください。

    リモート アクセス VPN ユーザーを承認するように事前設定された RADIUS サーバー グループ オブジェクトを入力または選択します。

    RADIUS サーバーが接続プロファイルのユーザー承認用に構成されている場合、リモート アクセス VPN システムの管理者は、ユーザーまたはユーザー グループに複数の承認属性を構成できます。RADIUS サーバーに構成される承認属性は、ユーザーまたはユーザー グループに固有にできます。ユーザーが認証されると、これらの特定の承認属性が Firepower Threat Defense デバイスにプッシュされます。

    (注)   

    許可サーバーから所得した AAA サーバー属性は、グループ ポリシーまたは接続プロファイルで事前に設定されていた可能性がある属性値を上書きします。

  • 必要な場合は、[ユーザーが承認データベースに存在するときにのみ接続を許可(Allow connection only if user exists in authorization database)] をオンにします。

    有効にすると、システムは正常に接続するために、クライアントのユーザー名が承認データベース内に存在することを確認します。ユーザー名が承認データベース内に存在しない場合、接続が拒否されます。
ステップ 6

[アカウンティング(Accounting)] で次の項目を選択します。

  • [Accounting Server]:アカウンティングは、ユーザーがアクセスしているサービス、およびユーザーが消費しているネットワーク リソース量を追跡するために使用されます。AAA アカウンティングがアクティブになると、ネットワーク アクセス サーバーはユーザー アクティビティを RADIUS サーバーに報告します。アカウンティング情報には、セッションの開始時刻と停止時刻、ユーザー名、セッションごとのデバイスを通過したバイト数、使用されたサービス、および各セッションの時間が含まれています。このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。アカウンティングは、単独で使用するか、認証および認可とともに使用することができます。

    リモート アクセス VPN セッションを構成するために使用される RADIUS サーバー グループ オブジェクトを指定します。
ステップ 7

[詳細設定(Advanced Settings)] で次の項目を選択します。

  • [Strip Realm from username]:ユーザー名を AAA サーバーに渡す前に、ユーザー名からレルムを削除するために選択します。たとえば、このオプションを選択して、domain\username を指定した場合、ユーザー名からドメインが削除され、認証用の AAA サーバーに送信されます。デフォルトでは、このオプションはオフになっています。

  • [Strip Group from username]:ユーザー名を AAA サーバーに渡す前に、ユーザー名からグループを削除するために選択します。デフォルトでは、このオプションはオフになっています。

    (注)   

    レルムとは管理ドメインのことです。これらのオプションを有効にすると、ユーザ名だけに基づいて認証できます。これらのオプションを任意に組み合わせて有効にできます。ただし、サーバーが区切り文字を解析できない場合は、両方のチェックボックスをオンにする必要があります。

  • [Password Management]:リモートアクセス VPN ユーザーのパスワードを管理できるようにします。パスワードが期限切れになる前に通知するか、パスワードが期限切れになる日に通知するかを選択します。

ステップ 8

[保存(Save)] をクリックします。

Firepower Threat Defense の RADIUS サーバー属性

Firepower Threat Defense デバイスは、リモート アクセス VPN ポリシーで認証および/または承認のために設定された外部 RADIUS サーバーから、VPN 接続にユーザー承認属性(ユーザーの権利または権限とも呼ばれる)を適用することをサポートしています。


(注)  

Firepower Threat Defense デバイスはベンダー ID 3076 の属性をサポートしています。

次のユーザー認可属性が Firepower Threat Defense デバイスから RADIUS サーバーに送信されます。

  • RADIUS 属性 146 および 150 は、認証および認可の要求の場合に Firepower Threat Defense デバイスから RADIUS サーバーに送信されます。

  • 3 つの属性(146、150、151)はすべて、アカウンティングの開始、暫定更新、および停止要求のために、Firepower Threat Defense デバイスから RADIUS サーバーに送信されます。

表 1. Firepower Threat Defense から RADIU サーバーに送信される RADIUS 属性

属性

属性番号

構文、タイプ

シングルまたはマルチ値

説明または値

接続プロファイル名またはトンネル グループ名。

146

文字列

シングル

1 ~ 253 文字

クライアント タイプ(Client Type)

150

整数

シングル

2 = AnyConnect クライアント SSL VPN、6 = AnyConnect クライアント IPsec VPN(IKEv2)

セッション タイプ

151

整数

シングル

1 = AnyConnect クライアント SSL VPN、2 = AnyConnect クライアント IPsec VPN(IKEv2)
表 2. サポートされる RADIUS 認証属性

属性名

FTD

属性番号

構文/タイプ

シングルまたはマルチ値

説明または値

Access-Hours

Y

1

文字列

シングル

時間範囲の名前(Business-hours など)

Access-List-Inbound

Y

86

文字列

シングル

アクセスリスト属性の両方が、FTD デバイスで設定されている ACL の名前を使用します。スマート CLI 拡張アクセスリストのオブジェクトタイプを使用して、これらの ACL を作成します([デバイス(Device)] > [詳細設定(Advanced Configuration)] > [スマートCLI(Smart CLI)] > [オブジェクト(Object)] を選択します)。

これらの ACL は、着信( FTD デバイスに入るトラフィック)または発信(FTD デバイスから出るトラフィック)方向のトラフィックフローを制御します。

Access-List-Outbound

Y

87

文字列

シングル

Address-Pools

Y

217

文字列

シングル

FTD デバイスで定義されたネットワークオブジェクトの名前。RA VPN へのクライアント接続のアドレスプールとして使用されるサブネットを識別します。[Objects] ページでネットワークオブジェクトを定義します。

Allow-Network-Extension-Mode

Y

64

ブール

シングル

0 = 無効1 = 有効

Authenticated-User-Idle-Timeout

Y

50

整数

シングル

1 ~ 35791394 分

Authorization-DN-Field

Y

67

文字列

シングル

有効な値:UID、OU、O、CN、L、SP、C、EA、T、N、GN、SN、I、GENQ、DNQ、SER、use-entire-name

Authorization-Required

66

整数

シングル

0 = いいえ
1 = はい

Authorization-Type

Y

65

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP

Banner1

Y

15

文字列

シングル

Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)に対して表示されるバナー文字列

Banner2

Y

36

文字列

シングル

Cisco VPN リモート アクセス セッション(IPsec IKEv1、AnyConnect SSL-TLS/DTLS/IKEv2、およびクライアントレス SSL)に対して表示されるバナー文字列。Banner2 文字列は Banner1 文字列に連結されます(設定されている場合)。

Cisco-IP-Phone-Bypass

Y

51

整数

シングル

0 = 無効1 = 有効

Cisco-LEAP-Bypass

Y

75

整数

シングル

0 = 無効1 = 有効

Client Type

Y

150

整数

シングル

1 = Cisco VPN Client(IKEv1)
2 = AnyConnect Client SSL VPN
3 = Clientless SSL VPN
4 = Cut-Through-Proxy
5 = L2TP/IPsec SSL VPN
6 = AnyConnect Client IPsec VPN(IKEv2)

Client-Type-Version-Limiting

Y

77

文字列

シングル

IPsec VPN のバージョン番号を示す文字列

DHCP-Network-Scope

Y

61

文字列

シングル

IP アドレス

Extended-Authentication-On-Rekey

Y

122

整数

シングル

0 = 無効1 = 有効

Framed-Interface-Id

Y

96

文字列

シングル

割り当てられた IPv6 インターフェイス ID。完全に割り当てられた IPv6 アドレスを作成するために、Framed-IPv6-Prefix と組み合わせます。例:Framed-Interface-ID=1:1:1:1 と Framed-IPv6-Prefix=2001:0db8::/64 を組み合わせると、IP アドレス 2001:0db8::1:1:1:1 が得られます。

Framed-IPv6-Prefix

Y

97

文字列

シングル

割り当てられた IPv6 プレフィックスと長さ。完全に割り当てられた IPv6 アドレスを作成するために、Framed-Interface-Id と組み合わせます。例:プレフィックス 2001:0db8::/64 と Framed-Interface-Id=1:1:1:1 を組み合わせると、IP アドレス 2001:0db8::1:1:1:1 が得られます。この属性を使用して、フレームインターフェイス Id を使用せずに IP アドレスを割り当てることができます。これには、プレフィックス長/128 を使用して完全な IPv6 アドレスを割り当てます(たとえば、フレーム化された IPv6 プレフィックス = 2001: 0db8:: 1/128)。

Group-Policy

Y

25

文字列

シングル

リモート アクセス VPN セッションのグループ ポリシーを設定します。次の形式のいずれかを使用できます。

  • グループ ポリシー名

  • OU=グループ ポリシー名

  • OU=グループ ポリシー名;

IE-Proxy-Bypass-Local

83

整数

シングル

0 = なし
1 = ローカル

IE-Proxy-Exception-List

82

文字列

シングル

改行(\n)区切りの DNS ドメインのリスト

IE-Proxy-PAC-URL

Y

133

文字列

シングル

PAC アドレス文字列

IE-Proxy-Server

80

文字列

シングル

IP アドレス

IE-Proxy-Server-Policy

81

整数

シングル

1 = 変更なし
2 = プロキシなし
3 = 自動検出
4 = コンセントレータ設定を使用する

IKE-KeepAlive-Confidence-Interval

Y

68

整数

シングル

10 ~ 300 秒

IKE-Keepalive-Retry-Interval

Y

84

整数

シングル

2 ~ 10 秒

IKE-Keep-Alives

Y

41

ブール

シングル

0 = 無効1 = 有効

Intercept-DHCP-Configure-Msg

Y

62

ブール

シングル

0 = 無効1 = 有効

IPsec-Allow-Passwd-Store

Y

16

ブール

シングル

0 = 無効1 = 有効

IPsec-Authentication

13

整数

シングル

0 = なし
1 = RADIUS
2 = LDAP(認可のみ)
3 = NT ドメイン
4 = SDI
5 = 内部
6 = RADIUS での Expiry 認証
7 = Kerberos/Active Directory

IPsec-Auth-On-Rekey

Y

42

ブール

シングル

0 = 無効1 = 有効

IPsec-Backup-Server-List

Y

60

文字列

シングル

サーバー アドレス(スペース区切り)

IPsec-Backup-Servers

Y

59

文字列

シングル

1 = クライアントが設定したリストを使用する
2 = クライアント リストをディセーブルにして消去する
3 = バックアップ サーバー リストを使用する

IPsec-Client-Firewall-Filter-Name

57

文字列

シングル

クライアントにファイアウォール ポリシーとして配信するフィルタの名前を指定します。

IPsec-Client-Firewall-Filter-Optional

Y

58

整数

シングル

0 = 必須
1 = オプション

IPsec-Default-Domain

Y

28

文字列

シングル

クライアントに送信するデフォルト ドメイン名を 1 つだけ指定します(1 ~ 255 文字)。

IPsec-IKE-Peer-ID-Check

Y

40

整数

シングル

1 = 必須
2 = ピア証明書でサポートされる場合
3 = チェックしない

IPsec-IP-Compression

Y

39

整数

シングル

0 = 無効1 = 有効

IPsec-Mode-Config

Y

31

ブール

シングル

0 = 無効1 = 有効

IPsec-Over-UDP

Y

34

ブール

シングル

0 = 無効1 = 有効

IPsec-Over-UDP-Port

Y

35

整数

シングル

4001 ~ 49151。デフォルトは 10000 です。

IPsec-Required-Client-Firewall-Capability

Y

56

整数

シングル

0 = なし
1 = リモート FW Are-You-There(AYT)で定義されているポリシー
2 = Policy pushed CPP
4 = サーバーからのポリシー

IPsec-Sec-Association

12

文字列

シングル

セキュリティ アソシエーションの名前

IPsec-Split-DNS-Names

Y

29

文字列

シングル

クライアントに送信するセカンダリ ドメイン名のリストを指定します(1 ~ 255 文字)。

IPsec-Split-Tunneling-Policy

Y

55

整数

シングル

0 = スプリット トンネリングなし
1 = スプリット トンネリング
2 = ローカル LAN を許可

IPsec-Split-Tunnel-List

Y

27

文字列

シングル

スプリット トンネルの包含リストを記述したネットワークまたは ACL の名前を指定します。

IPsec-Tunnel-Type

Y

30

整数

シングル

1 = LAN-to-LAN
2 = リモート アクセス

IPsec-User-Group-Lock

33

ブール

シングル

0 = 無効1 = 有効

IPv6-Address-Pools

Y

218

文字列

シングル

IP ローカル プール IPv6 の名前

IPv6-VPN-Filter

Y

219

文字列

シングル

ACL 値

L2TP-Encryption

21

整数

シングル

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

L2TP-MPPC-Compression

38

整数

シングル

0 = 無効1 = 有効

Member-Of

Y

145

文字列

シングル

カンマ区切りの文字列。例: 


Engineering, Sales

ダイナミック アクセス ポリシーで使用できる管理属性。グループ ポリシーは設定されません。

MS-Client-Subnet-Mask

Y

63

ブール

シングル

IP アドレス

NAC-Default-ACL

92

文字列

ACL

NAC-Enable

89

整数

シングル

0 = いいえ
1 = はい

NAC-Revalidation-Timer

91

整数

シングル

300 ~ 86400 秒

NAC-Settings

Y

141

文字列

シングル

NAC ポリシーの名前

NAC-Status-Query-Timer

90

整数

シングル

30 ~ 1800 秒

Perfect-Forward-Secrecy-Enable

Y

88

ブール

シングル

0 = いいえ
1 = はい

PPTP-Encryption

20

整数

シングル

ビットマップ:
1 = 暗号化が必要
2 = 40 ビット
4 = 128 ビット
8 = ステートレスが必要
15 = 40/128 ビットで暗号化/ステートレスが必要

PPTP-MPPC-Compression

37

整数

シングル

0 = 無効1 = 有効

Primary-DNS

対応

5

文字列

シングル

IP アドレス

Primary-WINS

Y

7

文字列

シングル

IP アドレス

Privilege-Level

Y

220

整数

シングル

0 ~ 15 の整数。

Required-Client- Firewall-Vendor-Code

Y

45

整数

シングル

1 = Cisco Systems(Cisco Integrated Client を使用)
2 = Zone Labs
3 = NetworkICE
4 = Sygate
5 = Cisco Systems(Cisco Intrusion Prevention Security Agent を使用)

Required-Client-Firewall-Description

Y

47

文字列

シングル

文字列

Required-Client-Firewall-Product-Code

Y

46

整数

シングル

シスコ製品:

1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC)

Zone Labs 製品:
1 = Zone Alarm
2 = Zone AlarmPro
3 = Zone Labs Integrity

NetworkICE 製品:
1 = BlackIce Defender/Agent

Sygate 製品:
1 = Personal Firewall
2 = Personal Firewall Pro
3 = Security Agent

Required-Individual-User-Auth

Y

49

整数

シングル

0 = 無効1 = 有効

Require-HW-Client-Auth

Y

48

ブール

シングル

0 = 無効1 = 有効

Secondary-DNS

Y

6

文字列

シングル

IP アドレス

Secondary-WINS

Y

8

文字列

シングル

IP アドレス

SEP-Card-Assignment

9

整数

シングル

未使用

Session Subtype

Y

152

整数

シングル

0 = なし
1 =クライアントレス
 2 =クライアント
3 =クライアントのみ

Session Subtype が適用されるのは、Session Type(151)属性の値が 1、2、3、または 4 の場合のみです。

Session Type

Y

151

整数

シングル

0 = なし
1 = AnyConnect Client SSL VPN
2 = AnyConnect Client IPSec VPN(IKEv2)
3 = クライアントレス SSL VPN
4 = クライントレス電子メール プロキシ
5 = Cisco VPN Client(IKEv1)
6 = IKEv1 LAN-LAN
7 = IKEv2 LAN-LAN
8 = VPN ロード バランシング

Simultaneous-Logins

Y

2

整数

シングル

0-2147483647

Smart-Tunnel

Y

136

文字列

シングル

スマート トンネルの名前

Smart-Tunnel-Auto

Y

138

整数

シングル

0 = ディセーブル
1 = イネーブル
2 = 自動スタート

Smart-Tunnel-Auto-Signon-Enable

Y

139

文字列

シングル

ドメイン名が付加された Smart Tunnel Auto Signon リストの名前

Strip-Realm

Y

135

ブール

シングル

0 = 無効1 = 有効

SVC-Ask

Y

131

文字列

シングル

0 = ディセーブル
1 = イネーブル
3 = デフォルト サービスをイネーブルにする
5 = デフォルト クライアントレスをイネーブルにする
(2 と 4 は使用しない)

SVC-Ask-Timeout

Y

132

整数

シングル

5 ~ 120 秒

SVC-DPD-Interval-Client

Y

108

整数

シングル

0 = オフ 
5 ~ 3600 秒

SVC-DPD-Interval-Gateway

Y

109

整数

シングル

0 = オフ
5 ~ 3600 秒

SVC-DTLS

Y

123

整数

シングル

0 = False
1 = True

SVC-Keepalive

Y

107

整数

シングル

0 = オフ
15 ~ 600 秒

SVC-Modules

Y

127

文字列

シングル

文字列(モジュールの名前)

SVC-MTU

Y

125

整数

シングル

MTU 値
 256 ~ 1406 バイト

SVC-Profiles

Y

128

文字列

シングル

文字列(プロファイルの名前)

SVC-Rekey-Time

Y

110

整数

シングル

0 = ディセーブル
1 ~ 10080 分

Tunnel Group Name

Y

146

文字列

シングル

1 ~ 253 文字

Tunnel-Group-Lock

Y

85

文字列

シングル

トンネル グループの名前または「none」

Tunneling-Protocols

Y

11

整数

シングル

1 = PPTP 2 = L2TP 4 = IPSec (IKEv1) 8 = L2TP/IPSec 16 = WebVPN 32 = SVC 64 = IPsec (IKEv2) 8 と 4 は相互排他。0 ~ 11、16 ~ 27、32 ~ 43、48 ~ 59 は有効な値。

Use-Client-Address

17

ブール

シングル

0 = 無効1 = 有効

VLAN

Y

140

整数

シングル

0 ~ 4094

WebVPN-Access-List

Y

73

文字列

シングル

アクセス リスト名

WebVPN ACL

Y

73

文字列

シングル

デバイスの WebVPN ACL 名

WebVPN-ActiveX-Relay

Y

137

整数

シングル

0 = 無効
その他 = 有効

WebVPN-Apply-ACL

Y

102

整数

シングル

0 = 無効1 = 有効

WebVPN-Auto-HTTP-Signon

Y

124

文字列

シングル

予約済み

WebVPN-Citrix-Metaframe-Enable

Y

101

整数

シングル

0 = 無効1 = 有効

WebVPN-Content-Filter-Parameters

Y

69

整数

シングル

1 = Java ActiveX
2 = Java スクリプト
4 = イメージ
8 = イメージに含まれるクッキー

WebVPN-Customization

Y

113

文字列

シングル

カスタマイゼーションの名前

WebVPN-Default-Homepage

Y

76

文字列

シングル

URL(たとえば http://example-example.com)

WebVPN-Deny-Message

Y

116

文字列

シングル

有効な文字列(500 文字以内)

WebVPN-Download_Max-Size

Y

157

整数

シングル

0x7fffffff

WebVPN-File-Access-Enable

Y

94

整数

シングル

0 = 無効1 = 有効

WebVPN-File-Server-Browsing-Enable

Y

96

整数

シングル

0 = 無効1 = 有効

WebVPN-File-Server-Entry-Enable

Y

95

整数

シングル

0 = 無効1 = 有効

WebVPN-Group-based-HTTP/HTTPS-Proxy-Exception-List

Y

78

文字列

シングル

オプションのワイルドカード(*)を使用したカンマ区切りの DNS/IP(たとえば、*.cisco.com、192.168.1.*、wwwin.cisco.com)

WebVPN-Hidden-Shares

Y

126

整数

シングル

0 = なし
1 = 表示される

WebVPN-Home-Page-Use-Smart-Tunnel

Y

228

ブール

シングル

クライアントレス ホーム ページをスマート トンネル経由で表示する場合にイネーブルにします。

WebVPN-HTML-Filter

Y

69

Bitmap

シングル

1 = Java ActiveX
2 = スクリプト
4 = イメージ
8 = クッキー

WebVPN-HTTP-Compression

Y

120

整数

シングル

0 = オフ
1 = デフレート圧縮

WebVPN-HTTP-Proxy-IP-Address

Y

74

文字列

シングル

http= または https= プレフィックス付きの、カンマ区切りの DNS/IP:ポート(例:http=10.10.10.10:80、https=11.11.11.11:443)

WebVPN-Idle-Timeout-Alert-Interval

Y

148

整数

シングル

0 ~ 30。0 = ディセーブル。

WebVPN-Keepalive-Ignore

Y

121

整数

シングル

0 ~ 900

WebVPN-Macro-Substitution

Y

223

文字列

シングル

無制限。

WebVPN-Macro-Substitution

Y

224

文字列

シングル

無制限。

WebVPN-Port-Forwarding-Enable

Y

97

整数

シングル

0 = 無効1 = 有効

WebVPN-Port-Forwarding-Exchange-Proxy-Enable

Y

98

整数

シングル

0 = 無効1 = 有効

WebVPN-Port-Forwarding-HTTP-Proxy

Y

99

整数

シングル

0 = 無効1 = 有効

WebVPN-Port-Forwarding-List

Y

72

文字列

シングル

ポート転送リスト名

WebVPN-Port-Forwarding-Name

Y

79

文字列

シングル

名前の文字列(例、「Corporate-Apps」)。

このテキストでクライアントレス ポータル ホーム ページのデフォルト文字列「Application Access」が置き換えられます。

WebVPN-Post-Max-Size

Y

159

整数

シングル

0x7fffffff

WebVPN-Session-Timeout-Alert-Interval

Y

149

整数

シングル

0 ~ 30。0 = ディセーブル。

WebVPN Smart-Card-Removal-Disconnect

Y

225

ブール

シングル

0 = 無効1 = 有効

WebVPN-Smart-Tunnel

Y

136

文字列

シングル

スマート トンネルの名前

WebVPN-Smart-Tunnel-Auto-Sign-On

Y

139

文字列

シングル

ドメイン名が付加されたスマート トンネル自動サインオン リストの名前

WebVPN-Smart-Tunnel-Auto-Start

Y

138

整数

シングル

0 = 無効1 = 有効2 = 自動スタート

WebVPN-Smart-Tunnel-Tunnel-Policy

Y

227

文字列

シングル

「e ネットワーク名」、「i ネットワーク名」、「a」のいずれか。ここで、ネットワーク名は、スマート トンネル ネットワークのリストの名前です。e はトンネルが除外されることを示し、i はトンネルが指定されることを示し、a はすべてのトンネルを示します。

WebVPN-SSL-VPN-Client-Enable

Y

103

整数

シングル

0 = 無効1 = 有効

WebVPN-SSL-VPN-Client-Keep- Installation

Y

105

整数

シングル

0 = 無効1 = 有効

WebVPN-SSL-VPN-Client-Required

Y

104

整数

シングル

0 = 無効1 = 有効

WebVPN-SSO-Server-Name

Y

114

文字列

シングル

有効な文字列

WebVPN-Storage-Key

Y

162

文字列

シングル

WebVPN-Storage-Objects

Y

161

文字列

シングル

WebVPN-SVC-Keepalive-Frequency

Y

107

整数

シングル

15 ~ 600 秒、0=オフ

WebVPN-SVC-Client-DPD-Frequency

Y

108

整数

シングル

5 ~ 3600 秒、0=オフ

WebVPN-SVC-DTLS-Enable

Y

123

整数

シングル

0 = 無効1 = 有効

WebVPN-SVC-DTLS-MTU

Y

125

整数

シングル

MTU 値は 256 ~ 1406 バイトです。

WebVPN-SVC-Gateway-DPD-Frequency

Y

109

整数

シングル

5 ~ 3600 秒、0=オフ

WebVPN-SVC-Rekey-Time

Y

110

整数

シングル

4 ~ 10080 分、0=オフ

WebVPN-SVC-Rekey-Method

Y

111

整数

シングル

0(オフ)、1(SSL)、2(新しいトンネル)

WebVPN-SVC-Compression

Y

112

整数

シングル

0(オフ)、1(デフォルトの圧縮)

WebVPN-UNIX-Group-ID (GID)

Y

222

整数

シングル

UNIX での有効なグループ ID

WebVPN-UNIX-User-ID (UIDs)

Y

221

整数

シングル

UNIX での有効なユーザー ID

WebVPN-Upload-Max-Size

Y

158

整数

シングル

0x7fffffff

WebVPN-URL-Entry-Enable

Y

93

整数

シングル

0 = 無効1 = 有効

WebVPN-URL-List

Y

71

文字列

シングル

URL リスト名

WebVPN-User-Storage

Y

160

文字列

シングル

WebVPN-VDI

Y

163

文字列

シングル

設定のリスト

表 3. 送信される RADIUS 属性 Firepower Threat Defense

属性

属性番号

構文、タイプ

シングルまたはマルチ値

説明または値

Address-Pools

217

文字列

シングル

FTD デバイスで定義されたネットワークオブジェクトの名前。RA VPN へのクライアント接続のアドレスプールとして使用されるサブネットを識別します。[Objects] ページでネットワークオブジェクトを定義します。

Banner1

15

文字列

シングル

ユーザーがログインしたときに表示されるバナー。

Banner2

36

文字列

シングル

ユーザーがログインするときに表示されるバナーの 2 番目の部分。Banner2 は Banner1 に付加されます。

Downloadable ACLs

Cisco-AV-Pair

merge-dacl {before-avpair | after-avpair}

Cisco-AV-Pair 構成でサポートされます。

Filter ACLs

86、87

文字列

シングル

フィルタ ACL は、RADIUS サーバーで ACL 名で参照されます。ACL 設定が Firepower Threat Defense デバイス上にすでに存在していて、RADIUS 承認時に使用できるようにする必要があります。

86 = アクセスリスト-インバウンド

87 = アクセスリスト-アウトバウンド

Group-Policy

25

文字列

シングル

接続に使用されるグループポリシー。RA VPN の [Group Policy] ページでグループポリシーを作成する必要があります。次の形式のいずれかを使用できます。

  • グループ ポリシー名

  • OU=グループ ポリシー名

  • OU=グループ ポリシー名;

Simultaneous-Logins

2

整数

シングル

ユーザーが確立を許可されている個別の同時接続数。0 ~ 2147483647。

VLAN

140

整数

シングル

ユーザーの接続を制限する VLAN。0 ~ 4094。FTD デバイスのサブインターフェイスでも、この VLAN を設定する必要があります。

接続プロファイルのエイリアスの作成または更新

エイリアスには、特定の接続プロファイルの代替名または URL が含まれます。リモート アクセス VPN 管理者は、エイリアス名とエイリアス URL を有効または無効にできます。VPN ユーザは、Firepower Threat Defense デバイスに接続するときにエイリアス名を選択できます。このデバイスに設定されているすべての接続のエイリアス名の表示をオンまたはオフにできます。また、リモート アクセス VPN 接続の開始時にエンドポイントが選択できるエイリアス URL のリストを設定することもできます。ユーザーがエイリアス URL を使用して接続すると、システムはエイリアス URL と一致する接続プロファイルを使用して自動的にそのユーザーをログに記録します。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。

ステップ 3

[接続プロファイル(Connection Profile)] を選択し、[編集(Edit)] をクリックします。

ステップ 4

[エイリアス(Aliases)] をクリックします。

ステップ 5

エイリアス名を追加するには、次の手順を実行します。

  1. [エイリアス名(Alias Names)] の [追加(Add)] をクリックします。

  2. [エイリアス名(Alias Name)] を指定します。

  3. エイリアスを有効にするには、各ウィンドウで [有効(Enabled)] チェックボックスをオンにします。

  4. [OK] をクリックします。

ステップ 6

エイリアス URL を追加するには、次の手順を実行します。

  1. [エイリアスURL(Alias URL)] の [追加(Add)] をクリックします。

  2. リストから [エイリアスURL(Alias URL)] を選択するか、新しい URL オブジェクトを作成します。詳細については、URL オブジェクトの作成を参照してください。

  3. エイリアスを有効にするには、各ウィンドウで [有効(Enabled)] チェックボックスをオンにします。

  4. [OK] をクリックします。

  • エイリアス名またはエイリアス URL を編集するには、[編集(Edit)] をクリックします。

  • エイリアス名またはエイリアス URL を削除するには、その行で [削除(Delete)] をクリックします。

ステップ 7

[保存(Save)] をクリックします。

リモートアクセス VPN のアクセス インターフェイスの設定

[アクセス インターフェイス(Access Interface)] テーブルには、デバイス インターフェイスを含むインターフェイス グループとセキュリティ ゾーンが示されています。これらは、リモート アクセス SSL または IPsec IKEv2 VPN 接続用に設定されています。このテーブルには、各インターフェイス グループまたはセキュリティ ゾーン、インターフェイスで使用されるインターフェイス トラストポイント、および Datagram Transport Layer Security(DTLS)が有効かどうかが表示されます。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

リストから既存のリモート アクセス VPN ポリシーを選択し、対応する [編集(Edit)] アイコンをクリックします。

ステップ 3

[アクセスインターフェイス(Access Interface)] をクリックします。

ステップ 4

アクセスインターフェイスを追加するには、[追加(Add)] を選択し、[アクセスインターフェイスの追加(Add Access Interface)] ウィンドウで以下に対する値を指定します。

  1. [アクセスインターフェイス(Access Interface)]:インターフェイスが属するインターフェイス グループまたはセキュリティ ゾーンを選択します。

    インターフェイス グループまたはセキュリティ ゾーンは、ルーテッド タイプでなければなりません。他のインターフェイス タイプは、リモート アクセス VPN 接続ではサポートされていません。

  2. 次のオプションを選択して、アクセス インターフェイスに [プロトコル(Protocol)] オブジェクトを関連付けます。

    • [IPSet-IKEv2の有効化(Enable IPSet-IKEv2)]:IKEv2 設定を有効にするには、このオプションを選択します。

    • [SSL の有効化(Enable SSL)]:SSL 設定を有効にするには、このオプションを選択します。

      • [Datagram Transport Layer Security の有効化(Enable Datagram Transport Layer Security)] を選択します。

        選択すると、インターフェイスで Datagram Transport Layer Security(DTLS)がイネーブルになり、AnyConnect VPN Client は 2 つの同時トンネル(SSL トンネルと DTLS トンネル)を使用して SSL VPN 接続を確立できます。

        DTLS を有効にすると、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。

        AnyConnect VPN クライアントの SSL 設定を指定するには、グループ ポリシー AnyConnect オプションを参照してください。

      • [インターフェイス固有のアイデンティティ証明書を設定する(Configure Interface Specific Identity Certificate)] チェックボックスをオンにして、ドロップダウン リストから [インターフェイスアイデンティティ証明書(Interface Identity Certificate)] を選択します。

        [インターフェイスアイデンティティ証明書(Interface Identity Certificate)] を選択しないと、[トラストポイント(Trustpoint)] がデフォルトで使用されます。

        [インターフェイスアイデンティティ証明書(Interface Identity Certificate)] または [トラストポイント(Trustpoint)] を選択しないと、[SSLグローバルアイデンティティ証明書(SSL Global Identity Certificate)] がデフォルトで使用されます。

  3. [OK] をクリックして変更を保存します。

ステップ 5

[アクセス設定(Access Settings)] で次の項目を選択します。

  • [ユーザーがログイン中に接続プロファイルを選択することを許可する(Allow Users to select connection profile while logging in)]:複数の接続プロファイルがある場合、このオプションを選択すると、ユーザーはログイン時に正しい接続プロファイルを選択できます。このオプションを IPsec-IKEv2 VPN に選択する必要があります。
ステップ 6

[SSL設定(SSL Settings)] で次のオプションを使用します。

  • [Web アクセス ポート番号(Web Access Port Number)]:VPN セッションで使用するポート。デフォルト ポートは 443 です。

  • [DTLS ポート番号(DTLS Port Number)]:DTLS 接続に使用する UDP ポート。デフォルト ポートは 443 です。

  • [SSLグローバルアイデンティティ証明書(SSL Global Identity Certificate)]:[インターフェイス固有のアイデンティティ証明書(Interface Specific Identity Certificate)] が提供されていない場合、選択した [SSLグローバルアイデンティティ証明書(SSL Global Identity Certificate)] がすべての関連インターフェイスに使用されます。

ステップ 7

[IPsec-IKEv2設定(IPsec-IKEv2 Settings)] の場合、リストから [IKEv2アイデンティティ証明書(IKEv2 Identity Certificate)] を選択するか、アイデンティティ証明書を追加します。

ステップ 8

[VPNトラフィックのアクセスコントロール(Access Control for VPN Traffic)] セクションで、アクセス コントロール ポリシーをバイパスする場合に次のオプションを選択します。

  • [復号されたトラフィック(sysopt permit-vpn)に対するバイパス アクセス コントロール ポリシー(Bypass Access Control policy for decrypted traffic (sysopt permit-vpn))]:デフォルトでは、復号されたトラフィックは、アクセス コントロール ポリシーのインスペクションの対象になります。復号されたトラフィック オプションに対してバイパス アクセス コントロール ポリシーを有効にすると、ACL インスペクションがバイパスされますが、AAA サーバーからダウンロードされた VPN フィルタ ACL と認証 ACL は、VPN トラフィックに引き続き適用されます。

    (注)   

    このオプションを選択した場合は、Firepower Threat Defense デバイスのアクセス コントロール ポリシーの更新 で指定したリモート アクセス VPN のアクセス コントロール ポリシーを更新する必要はありません。

ステップ 9

[保存(Save)] をクリックしてアクセス インターフェイスの変更を保存します。

リモート アクセス VPN の高度なオプションの設定

Cisco AnyConnect セキュア モビリティ クライアント イメージ

Cisco AnyConnect セキュア モビリティ クライアント イメージ

Cisco AnyConnect セキュア モビリティ クライアントは Firepower Threat Defense デバイスへのセキュアな SSL 接続または IPsec(IKEv2)接続を提供し、これにより、リモート ユーザによる企業リソースへのフル VPN プロファイリングが可能となります。インストール済みのクライアントがない場合、リモート ユーザは、クライアントレス VPN 接続を受け入れるように設定されたインターフェイスの IP アドレスをブラウザに入力し、AnyConnect クライアントをダウンロードしてインストールすることができます。Firepower Threat Defense デバイスは、リモート コンピュータのオペレーティング システムに適合するクライアントをダウンロードします。ダウンロード後に、クライアントがインストールされてセキュアな接続が確立されます。すでにクライアントがインストールされている場合は、ユーザーの認証時に Firepower Threat Defense デバイスがクライアントのバージョンを検査し、必要に応じてクライアントをアップグレードします。

リモート アクセス VPN 管理者は、新規または追加の AnyConnect クライアント イメージを VPN ポリシーに関連付けます。管理者は、サポート対象外または期限切れで不要になったクライアント パッケージの関連付けを解除できます。

Firepower Management Center は、ファイル パッケージ名を使用してオペレーティング システムの種類を判別します。ユーザーがオペレーティング システム情報を示さずにファイルの名前を変更した場合は、有効なオペレーティング システム タイプをリスト ボックスから選択する必要があります。

シスコのソフトウェア ダウンロード センターを参照して AnyConnect クライアント イメージ ファイルをダウンロードします。

Firepower Management Center への Cisco AnyConnect Mobility クライアント イメージの追加

[AnyConnectファイル(AnyConnect File)] オブジェクトを使用して、Cisco AnyConnect Mobility クライアント イメージを Firepower Management Center にアップロードすることもできます。詳細については、FTD ファイル オブジェクトを参照してください。クライアント イメージの詳細については、Cisco AnyConnect セキュア モビリティ クライアント イメージ を参照してください。

特定のクライアントイメージを表示するには、[再注文の表示(Show re-order)] リンクをクリックします。


(注)  

すでにインストールされている Cisco AnyConnect クライアントイメージを削除するには、その行の [削除(Delete)] をクリックします。

手順

ステップ 1

Firepower Management Center Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)]、リストされている RA VPN ポリシーを選択および編集し、[詳細設定(Advanced)] タブを選択します。 を選択します

ステップ 2

[AnyConnect イメージ(AnyConnect Images)] ダイアログの [使用可能な AnyConnect イメージ(Available AnyConnect Images)] 部分で [追加(Add)] をクリックします。

ステップ 3

使用可能な AnyConnect イメージの [名前(Name)]、[ファイル名(File Name)]、および [説明(Description)] を入力します。

ステップ 4

[参照(Browse)] をクリックして、アップロードするクライアント イメージを選択する場所に移動します。

ステップ 5

[保存(Save)] をクリックしてイメージを Firepower Management Center にアップロードします。

クライアント イメージを Firepower Management Center にアップロードすると、オペレーティング システムに Firepower Management Center にアップロードされたイメージのプラットフォーム情報が表示されます。

リモート アクセス VPN クライアントに対する AnyConnect イメージの更新

シスコのソフトウェア ダウンロード センターで新しい AnyConnect クライアント更新を入手できる場合は、そのパッケージを手動でダウンロードしてリモート アクセス VPN ポリシーに追加します。それにより、オペレーティング システムに応じて VPN クライアント システム上で新しい AnyConnect パッケージがアップグレードされます。

始める前に

この項の手順は、Firepower Threat Defense VPN ゲートウェイに接続しているリモート アクセス VPN クライアントに新しい AnyConnect クライアント イメージを更新するのに役立ちます。AnyConnect のイメージを更新する前に、次の設定が完了していることを確認します。

  • シスコのソフトウェア ダウンロード センターから最新の AnyConnect イメージ ファイルをダウンロードします。

  • Firepower Management Center の Web インターフェイスで、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [VPN] > [AnyConnect ファイル(AnyConnect File)] に移動し、新しいAnyConnect クライアント イメージ ファイルを追加します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リストから既存のリモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

[詳細(Advanced)] > [AnyConnect クライアント イメージ(AnyConnect Client Image)] >[追加(Add)] をクリックします。

ステップ 4

[利用可能なAnyConnectイメージ(Available AnyConnect Images)] からクライアント イメージ ファイルを選択し、[追加(Add)] をクリックします。

必要な AnyConnect クライアントイメージが表示されていない場合は、[追加(Add)] をクリックして参照し、イメージをアップロードします。

ステップ 5

リモート アクセス VPN ポリシーを保存します。

リモート アクセス VPN ポリシーの変更が展開されると、リモート アクセス VPN ゲートウェイとして設定されている Firepower Threat Defense デバイスで新しい AnyConnect クライアント イメージが更新されます。新しい VPN ユーザーが VPN ゲートウェイに接続すると、クライアント イメージのオペレーティング システムに応じて、新しい AnyConnect クライアント イメージがダウンロードされます。既存の VPN ユーザーの場合、AnyConnect クライアント イメージは次の VPN セッションで更新されます。

リモート アクセス VPN のアドレス割り当てポリシー

Firepower Threat Defense デバイスは、IPv4 または IPv6 ポリシーを使用して、リモート アクセス VPN クライアントに IP アドレスを割り当てることができます。複数のアドレス割り当て方式を設定すると、Firepower Threat Defense デバイスは IP アドレスが見つかるまで各オプションを試行します。

IPv4 または IPv6 ポリシー

IPv4 または IPv6 ポリシーを使用すると、リモート アクセス VPN クライアントへの IP アドレスに対応できます。まず、IPv4 ポリシーを試してから、次に IPv6 ポリシーを試す必要があります。

  • [承認サーバを使用(Use Authorization Server)]:ユーザごとに外部承認サーバからアドレスを取得します。IP アドレスが設定された承認サーバを使用している場合は、この方式を使用することをお勧めします。アドレス割り当ては、RADIUS ベースの承認サーバでのみサポートされています。AD/LDAP ではサポートされていません。この方法は、IPv4 と IPv6 の両方の割り当てポリシーで使用できます。

  • [DHCP を使用(Use DHCP)]:接続プロファイルに設定された DHCP サーバから IP アドレスを取得します。グループ ポリシーで DHCP ネットワーク範囲を設定することによって、DHCP サーバが使用できる IP アドレスの範囲を定義することもできます。DHCP を使用する場合は、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [ネットワーク(Network)] ペインでサーバーを設定します。この方法は IPv4 の割り当てポリシーに使用できます。

    DHCP ネットワーク範囲の構成の詳細については、グループ ポリシー一般オプションを参照してください。

  • [内部アドレス プールを使用(Use an internal address pool)]:内部的に設定されたアドレス プールは、最も設定が簡単なアドレス プール割り当て方式です。この方式を使用する場合は、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [アドレスプール(Address Pools)] ペインで IP アドレス プールを作成し、接続プロファイルで同じものを選択します。この方法は、IPv4 と IPv6 の両方の割り当てポリシーで使用できます。

  • [IP アドレスが解放された後時間が経ってから IP アドレスを再利用する(Reuse an IP address so many minutes after it is released)]:IP アドレスがアドレス プールに戻った後、IP アドレスの再使用を遅らせます。遅延時間を設けることにより、IP アドレスがすぐに再割り当てされることによって発生する問題がファイアウォールで生じないようにできます。デフォルトでは、遅延はゼロに設定されています。つまり、Firepower Threat Defense デバイスは IP アドレスの再使用の際に遅延を課しません。遅延時間を延長する場合は、IP アドレスを再割り当てするまでの時間を 0 ~ 480 の範囲で指定します。この設定要素は、IPv4 割り当てポリシーで使用できます。

証明書マップの設定

証明書マップを使用して、証明書フィールドの内容に基づいて接続プロファイルとユーザー証明書をマッチングするルールを定義できます。証明書マップは、セキュア ゲートウェイでの証明書認証に使用されます。

ルール、または証明書マップは、FTD 証明書のマップ オブジェクトについてで定義されます。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

リストから既存のリモート アクセス VPN ポリシーを選択し、対応する [編集(Edit)] アイコンをクリックします。

ステップ 3

[詳細(Advanced)] > [証明書マップ(Certificate Maps)] をクリックします。

ステップ 4

[証明書グループ照合の全般設定(General Settings for Certificate Group Matching)] ペインで次のオプションを選択します。

優先順位に基づいて選択されます。つまり、最初の選択候補で一致するものが見つからなかった場合、オプション リストの次の候補がマッチングされます。ルールが満たされると、マッピングが実行されます。ルールが満たされない場合、デフォルトの接続プロファイル(下に表示されている)がこの接続に使用されます。次のいずれか、またはすべてのオプションを選択して、認証を確立し、クライアントにマッピングする必要のある接続プロファイル(トンネル グループ)を決定します。

  • グループ URL と証明書マップが異なる接続プロファイルと一致する場合、グループ URL を使用します

  • [設定されているルールを使用して証明書を接続プロファイルと照合(Use the configured rules to match a certificate to a Connection Profile)]:接続プロファイル マップで定義されているルールを使用するには、これを有効にします。

(注)   

証明書マッピングを設定することは、証明書に基づく認証を意味します。設定されている認証方法に関係なく、リモート ユーザーはクライアント証明書を提供するよう求められます。
ステップ 5

[証明書から接続プロファイルへのマップ(Certificate to Connection Profile Map)] セクションで、[マッピングの追加(Add Mapping)] をクリックし、このポリシーの証明書から接続プロファイルへのマッピングを作成します。

  1. [証明書マップ(Certificate Map)] オブジェクトを選択するか、作成します。

  2. 証明書マップ オブジェクトのルールが満たされた場合に使用する必要のある [接続プロファイル(Connection Profile)] を選択します。

  3. [OK] をクリックして、マッピングを作成します。

ステップ 6

[保存(Save)] をクリックします。

グループ ポリシーの設定

グループ ポリシーはグループ ポリシー オブジェクト内に保存される属性と値の一連のペアで、リモート アクセス VPN のエクスペリエンスを定義します。たとえば、グループ ポリシー オブジェクトで、アドレス、プロトコル、接続設定などの一般的な属性を設定します。

ユーザーに適用されるグループ ポリシーは VPN トンネルが確立される際に決定されます。RADIUS 承認サーバーがグループ ポリシーを割り当てるか、または現在の接続プロファイルから取得されます。


(注)  

FTD にグループポリシー属性の継承はありません。ユーザーについては、グループ ポリシー オブジェクトが全体として使用されます。ログイン時に AAA サーバで特定されたグループ ポリシー オブジェクトが使用されるか、またはこれが指定されていない場合は、VPN 接続に対して設定されたデフォルトのグループ ポリシーが使用されます。指定されたデフォルトのグループ ポリシーはデフォルト値に設定できますが、これは、接続プロファイルに割り当てられ、他のグループ ポリシーがユーザーに対して特定されていない場合にのみ使用されます。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

リストから既存のリモート アクセス VPN ポリシーを選択し、対応する [編集(Edit)] アイコンをクリックします。

ステップ 3

[詳細(Advanced)] > [グループ ポリシー(Group Policies)] をクリックします。

ステップ 4

このリモート アクセス VPN ポリシーに関連付けるグループ ポリシーをさらに選択します。これらは、リモート アクセス VPN ポリシー作成中に割り当てられたデフォルトのグループ ポリシーを凌駕するものです。[追加(Add)] をクリックします。

[更新(Refresh)] と [検索(Search)] ユーティリティを使用して、グループ ポリシーを検索します。必要に応じて、新しいグループ ポリシー オブジェクトを追加します。

ステップ 5

利用可能なグループ ポリシーから [グループポリシー(group policies)] を選択し、[追加(Add)] をクリックして選択します。

ステップ 6

[OK] をクリックして、グループ ポリシーの選択を完了します。

リモート アクセス VPN の IPsec の設定

IPsec 設定は、リモート アクセス VPN ポリシーを設定する際に、VPN プロトコルとして IPsec を選択した場合にのみ適用可能です。そうでない場合は、[アクセス インターフェイスの編集(Edit Access Interface)] ダイアログボックスを使用して、IKEv2 を有効にすることができます。詳細については、リモートアクセス VPN のアクセス インターフェイスの設定を参照してください。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。

ステップ 3

[詳細設定(Advanced)] をクリックします。

IPsec 設定のリストは、画面左側のナビゲーション ウィンドウに表示されます。
ステップ 4

ナビゲーション ウィンドウを使用して、次の IPsec オプションを編集します。

  1. 暗号マップ(Crypto Maps):[暗号マップ(Crypto Maps)] ページには、IKEv2 プロトコルが有効になっているインターフェイス グループがリストされます。暗号マップは、IKEv2 プロトコルが有効になっているインターフェイス用に自動生成されます。暗号マップを編集するには、リモート アクセス VPN 暗号マップの設定を参照してください。[アクセスインターフェイス(Access Interface)] で、選択した VPN ポリシーのインターフェイスグループを追加または削除できます。詳細については、リモートアクセス VPN のアクセス インターフェイスの設定を参照してください。

  2. IKE ポリシー(IKE Policy):[IKE ポリシー(IKE Policy)] ページには、AnyConnect エンドポイントが IPsec プロトコルを使用して接続している場合、選択した VPN ポリシーに適用可能なすべての IKE ポリシー オブジェクトがリストされます。詳細については、リモート アクセス VPN での IKE ポリシーを参照してください。新しい IKE ポリシーを追加するには、IKEv2 ポリシー オブジェクトの設定を参照してください。FTD がサポートしているのは AnyConnect IKEv2 のみです。サードパーティ標準の IKEv2 クライアントはサポートされていません。

  3. [IPsec/IKEv2 パラメータ(IPsec/IKEv2 Parameters)]:[IPsec/IKEv2 パラメータ(IPsec/IKEv2 Parameters)] ページでは、IKEv2 セッション設定、IKEv2 セキュリティ アソシエーション設定、IPsec 設定、および NAT 透過設定を変更できます。詳細については、リモート アクセス VPN の [IPsec/IKEv2パラメータ(IPsec/IKEv2 Parameters)] の設定を参照してください。

ステップ 5

[保存(Save)] をクリックします。

リモート アクセス VPN 暗号マップの設定

暗号マップは、IPsec-IKEv2 プロトコルが有効になっているインターフェイス用に自動生成されます。[アクセスインターフェイス(Access Interface)] で、選択した VPN ポリシーのインターフェイスグループを追加または削除できます。詳細については、リモートアクセス VPN のアクセス インターフェイスの設定を参照してください。

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。

ステップ 3

[詳細設定(Advanced)] > [暗号マップ(Crypto Maps)] をクリックし、テーブルの行を選択し、[編集(Edit)] をクリックして暗号マップのオプションを編集します。

ステップ 4

[IKEv2 IPsecプロポーザル(IKEv2 IPsec Proposals)] を選択し、トランスフォーム セットを選択して、トンネル内のトラフィックの保護に使用される認証アルゴリズムおよび暗号化アルゴリズムを指定します。

ステップ 5

[リバースルートインジェクションを有効にする(Enable Reverse Route Injection)] を選択し、スタティック ルートは、リモート トンネル エンドポイントで保護されているネットワークとホストのルーティング プロセスに自動的に挿入されます。

ステップ 6

[クライアントサービスの有効化(Enable Client Services)] を選択し、ポート番号を指定します。

クライアント サービス サーバーは、HTTPS(SSL)アクセスを提供します。これにより、AnyConnect ダウンロードは、ソフトウェア アップグレード、プロファイル、ローカリゼーションおよびカスタマイゼーション ファイル、CSD、SCEP、および AnyConnect クライアントが必要とするその他のファイル ダウンロードを受信できます。このオプションを選択した場合は、クライアント サービスのポート番号を指定します。クライアント サービス サーバを有効にしない場合、ユーザは、AnyConnect クライアントが必要する可能性があるこれらのファイルをダウンロードできません。

(注)   

同じデバイスで実行する SSL VPN に対して同じポートを使用できます。SSL VPN を設定した場合でも、IPsec-IKEv2 クライアントで SSL を介してファイルをダウンロードするには、このオプションを選択する必要があります。
ステップ 7

[Perfect Forward Secrecyの有効化(Enable Perfect Forward Secrecy)] を選択し、[係数グループ(Modulus Group)] を選択します。

暗号化された交換ごとに一意のセッション キーを生成および使用するために、Perfect Forward Secrecy(PFS)を使用します。固有のセッション キーを使用することで、後続の復号から交換が保護されます。また、交換全体が記録されていて、攻撃者がエンドポイント デバイスで使用されている事前共有キーや秘密キーを入手している場合であっても保護されます。このオプションを選択する場合は、[係数グループ(Modulus Group)] リストで、PFS セッション キーの生成時に使用する Diffie-Hellman キー導出アルゴリズムも選択します。

係数グループは、2 つの IPsec ピア間の共有秘密キーを互いに送信することなく取得するために使用する Diffie-Hellman グループです。係数が大きいほどセキュリティが強化されますが、処理時間が長くなります。2 つのピアに、一致する係数グループが設定されている必要があります。リモート アクセス VPN 設定を許可する係数グループを選択します。

  • [1]:Diffie-Hellman グループ 1(768 ビット係数)。

  • [2]:Diffie-Hellman グループ 2(1024 ビット係数)。

  • [5]:Diffie-Hellman グループ 5(1536 ビット係数。128 ビット キーの保護に推奨されるが、グループ 14 の方がより強力)。AES 暗号化を使用する場合は、このグループ(またはそれ以上)を使用します。

  • [14]:Diffie-Hellman グループ 14(2048 ビット係数。128 ビット キーの保護に推奨される)。

  • [19]:Diffie-Hellman グループ 19(256 ビットの楕円曲線フィールド サイズ)。

  • [20]:Diffie-Hellman グループ 20(384 ビットの楕円曲線フィールド サイズ)。

  • [21]:Diffie-Hellman グループ 21(521 ビットの楕円曲線フィールド サイズ)。

  • [24]:Diffie-Hellman グループ 24(2048 ビット係数および 256 ビット素数位数サブグループ)。
ステップ 8

[ライフタイム継続時間(秒数)(Lifetime Duration (seconds))] を指定します。

セキュリティ アソシエーション(SA)のライフタイム(秒数)。このライフタイムを超えると、SA の期限が切れ、2 つのピア間で再ネゴシエーションを行う必要があります。一般的に、一定の限度に達するまで、ライフタイムが短いほど、IKE ネゴシエーションがセキュアになります。ただし、ライフタイムが長いと、今後の IPsec セキュリティ アソシエーションのセットアップが、短いライフタイムの場合よりも迅速に行われます。

120 ~ 2147483647 秒の値を指定できます。デフォルトは 28800 秒です。
ステップ 9

[ライフタイムのサイズ(KB)(Lifetime Size (kbytes))] を指定します。

特定のセキュリティ アソシエーションが期限切れになる前にそのセキュリティ アソシエーションを使用して IPsec ピア間を通過できるトラフィック量(KB 単位)。

10 ~ 2147483647 KB の値を指定できます。デフォルトは 4,608,000 KB です。無限のデータを指定することはできません。
ステップ 10

次の [ESPv3設定(ESPv3 Settings)] を選択します。

  • [着信ICMPのエラーメッセージを検証(Validate incoming ICMP error messages)]:IPsec トンネルを介して受信され、プライベート ネットワーク上の内部ホストが宛先の ICMP エラー メッセージを検証するかどうかを選択します。

  • [「フラグメント禁止」ポリシーを有効にする(Enable 'Do Not Fragment' Policy)]:IP ヘッダーに Do-Not-Fragment(DF)ビット セットを使用する大量のパケットを IPsec サブシステムがどのように処理するかを定義し、[ポリシー(Policy)] リストからいずれかの項目を選択します。

    • コピー(Copy):DF ビットを保持します。

    • クリア(Clear):DF ビットを無視します。

    • 設定(Set):DF ビットを設定して使用します。

  • [トラフィックフロー機密保持(TFC)パケットを有効にする(Enable Traffic Flow Confidentiality (TFC) Packets)]:トンネルを通過するトラフィック プロファイルをマスクするダミーの TFC パケットを有効にします。[バースト(Burst)]、[ペイロード サイズ(Payload Size)]、および [タイムアウト(Timeout)] パラメータを使用して、指定した SA で不定期にランダムな長さのパケットを生成します。

    (注)   

    トラフィックフロー機密保持(TFC)パケットを有効にすると、VPN トンネルがアイドル状態になることが防止されます。そのため、TFC パケットを有効にすると、グループポリシーで設定された VPN アイドルタイムアウトが期待どおりに機能しません。

    • バースト(Burst):1 ~ 16 バイトの値を指定します。

    • ペイロード サイズ(Payload Size):64 ~ 1024 バイトの値を指定します。

    • タイムアウト(Timeout):10 ~ 60 秒の値を指定します。
ステップ 11

[OK] をクリックします。

リモート アクセス VPN での IKE ポリシー

Internet Key Exchange(IKE、インターネット キー エクスチェンジ)は、IPsec ピアの認証、IPsec 暗号キーのネゴシエーションと配布、および IPsec Security Association(SA、セキュリティ アソシエーション)の自動的な確立に使用されるキー管理プロトコルです。IKE ネゴシエーションは 2 つのフェーズで構成されています。フェーズ 1 では、2 つの IKE ピア間のセキュリティ アソシエーションをネゴシエートします。これにより、ピアはフェーズ 2 で安全に通信できるようになります。フェーズ 2 のネゴシエーションでは、IKE によって IPsec などの他のアプリケーション用の SA が確立されます。両方のフェーズで接続のネゴシエーション時にプロポーザルが使用されます。IKE プロポーザルは、2 つのピア間のネゴシエーションを保護するためにこれらのピアで使用されるアルゴリズムのセットです。IKE ネゴシエーションは、共通(共有)IKE ポリシーに合意している各ピアによって開始されます。このポリシーは、後続の IKE ネゴシエーションを保護するために使用されるセキュリティ パラメータを示します。


(注)  
FTD は、リモート アクセス VPN では IKEv2 のみサポートします。

IKEv1 とは異なり、IKEv2 プロポーザルでは、1 つのポリシーで複数のアルゴリズムとモジュラス グループを選択できます。フェーズ 1 のネゴシエーションでピアを選択するため、作成する IKE プロポーザルの数を 1 つにすることは可能ですが、複数の異なる IKE プロポーザルを作成して、最も望ましいオプションを高い優先順位に設定することも検討してください。IKEv2 では、ポリシー オブジェクトは認証の指定は行わず、他のポリシーで認証の要件を定義する必要があります。

リモート アクセス IPsec VPN を設定する際には IKE ポリシーが必要です。

リモート アクセス VPN IKE ポリシーの設定

IKE ポリシー テーブルには、IPsec プロトコルを使用して AnyConnect のエンドポイントを接続するとき、選択した VPN 設定に利用可能なすべての IKE ポリシー オブジェクトを記述します。詳細については、リモート アクセス VPN での IKE ポリシーを参照してください。


(注)  
FTD では、リモート アクセス VPN の IKEv2 のみに対応しています。
手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。

ステップ 3

[詳細設定(Advanced)] > [IKEポリシー(IKE Policy)] をクリックします。

ステップ 4

[追加(Add)] をクリックして、利用可能な IKEv2 ポリシーから選択するか、新しい IKEv2 ポリシーを追加して、次の項目を指定します。

  • [Name(名前)]:IKEv2 ポリシーの名前。

  • [説明(Description)]:IKEv2 ポリシーの任意の説明

  • [優先度(Priority)]:このプライオリティ値によって、共通のセキュリティ アソシエーション(SA)の検出試行時に、ネゴシエーションする 2 つのピアを比較することで、IKE ポリシーの順序が決定します。

  • [ライフタイム(Lifetime)]:セキュリティ アソシエーション(SA)のライフタイム(秒数)。

  • [整合性(Integrity)]:IKEv2 ポリシーで使用されるハッシュ アルゴリズムの整合性アルゴリズム部分です。

  • [暗号化(Encryption)]:フェーズ 2 ネゴシエーションを保護するためのフェーズ 1 SA の確立に使用される暗号化アルゴリズムです。

  • [PRFハッシュ(PRF Hash)]:IKE ポリシーに使用されるハッシュ アルゴリズムの疑似乱数関数(PRF)部分です。IKEv2 では、これらの要素に異なるアルゴリズムを指定できます。

  • [DHグループ(DH Group)]:暗号化に使用する Diffie-Hellman グループです。

ステップ 5

[保存(Save)] をクリックします。

リモート アクセス VPN の [IPsec/IKEv2パラメータ(IPsec/IKEv2 Parameters)] の設定

手順

ステップ 1

[デバイス(Devices)] > [VPN] > [リモートアクセス(Remote Access)]を選択します。

ステップ 2

使用可能な VPN ポリシーのリストから、設定を変更するポリシーを選択します。

ステップ 3

[詳細設定(Advanced)] > [IPsec] > [IPsec/IKEv2パラメータ(IPsec/IKEv2 Parameters)] をクリックします。

ステップ 4

[IKEv2セッション設定(IKEv2 Session Settings)] で次の項目を選択します。

  • [ピアに送信されるID(Identity Sent to Peers)]:IKE ネゴシエーションでピアが自身の識別に使用する ID を選択します。

    • [自動(Auto)]:接続タイプごとの IKE ネゴシエーションを決定します。事前共有キー用の IP アドレス、証明書認証のための Cert DN(非対応)。

    • [IPアドレス(IP address)]:ISAKMP 識別情報を交換するホストの IP アドレスを使用します。

    • ホスト名(Hostname):ISAKMP 識別情報を交換するホストの完全修飾ドメイン名(FQDN))を使用します。この名前は、ホスト名とドメイン名で構成されます。

  • [トンネルの切断時の通知を有効にする(Enable Notification on Tunnel Disconnect]:管理者は、SA で受信された着信パケットがその SA のトラフィック セレクタと一致しない場合のピアへの IKE 通知の送信を有効または無効にすることができます。デフォルトでは、[この通知を送信する(Sending this notification)] は無効になっています。

  • [すべてのセッションが終了するまでデバイスの再起動を許可しない(Do not allow device reboot until all sessions are terminated)]:オンにすると、すべてのアクティブなセッションが自主的に終了してからシステムが再起動されます。デフォルトでは、無効になっています。

ステップ 5

[IKEv2セキュリティアソシエーションIKEv(SA)の設定(IKEv2 Security Association (SA) Settings)] で次の項目を選択します。

  • [クッキーチャレンジ(Cookie Challenge)]:SA 開始パケットに応答してピア デバイスにクッキー チャレンジを送信するかどうかを選択します。阻止サービス妨害(DoS)攻撃に役立つことがあります。デフォルトでは、使用可能な SA の 50% がネゴシエーション中である場合にクッキー チャレンジを使用します。次のオプションのいずれか 1 つを選択します。

    • [カスタム(Custom)]:[着信クッキーチャレンジのしきい値(Threshold to Challenge Incoming Cookies)] を指定します。これは許可されるネゴシエーション中の SA の総数の割合です。この設定を指定すると、以降の SA ネゴシエーションに対してクッキー チャレンジがトリガーされます。範囲は 0 ~ 100% です。デフォルトは 50% です。

    • [常時(Always)]:ピア デバイスにクッキー チャレンジを常に送信します。

    • [不可(Never)]:ピア デバイスにクッキー チャレンジを送信しません。

  • [許可されるネゴシエーション中のSAの数(Number of SAs Allowed in Negotiation)]:一時点でのネゴシエーション中 SA の総数を制限します。クッキー チャレンジと共に使用する場合は、有効なクロス チェックが実行されるようにするため、クッキー チャレンジのしきい値をこの制限値よりも低くしてください。デフォルトは 100 % です。

  • [許可されるSAの最大数(Maximum number of SAs Allowed)]:許可される IKEv2 接続の数を制限します。

ステップ 6

[IPsec設定(IPsec Settings)] で次の項目を選択します。

  • [暗号化の前にフラグメンテーションを有効にする(Enable Fragmentation Before Encryption)]:このオプションは、IP フラグメンテーションをサポートしていない NAT デバイス間をトラフィックが通過できるようにします。このオプションを使用しても、IP フラグメンテーションをサポートしていない NAT デバイスの動作が妨げられることはありません。

  • [パスの最大伝送ユニットのエージング(Path Maximum Transmission Unit Aging)]:PMTU(パスの最大伝送ユニット)のエージング(SA(セキュリティ アソシエーション)のリセット PMTU までのインターバル)が可能であるかを確認します。

  • [値のリセット間隔(Value Reset Interval)]:SA(セキュリティ アソシエーション)の PMTU 値が元の値にリセットされるまでの時間(分)を入力します。有効範囲は 10 ~ 30 分です。デフォルトは無制限です。

ステップ 7

[NAT設定(NAT Settings)] で次の項目を選択します。

  • [キープアライブメッセージトラバーサル(Keepalive Messages Traversal)]:NAT キープアライブ メッセージ トラバーサルを有効にするかどうかを設定します。VPN 接続ハブとスポークとの間にデバイス(中間デバイス)が配置されている場合、キープアライブ メッセージを転送するために NAT トラバーサル キープアライブを使用します。このデバイスでは、IPsec フローで NAT を実行します。このオプションを選択する場合は、セッションがアクティブであることを示すためにスポークと中間デバイス間でキープアライブ信号が送信される間隔(秒)を設定します。値は 10 ~ 3600 秒となります。デフォルトは 20 秒です。

  • [間隔(Interval)]:NAT キープ アライブ間隔を 10 ~ 3600 秒に設定します。デフォルトは 20 秒です。

ステップ 8

[保存(Save)] をクリックします。

リモート アクセス VPN の AAA の設定のカスタマイズ

ここでは、リモート アクセス VPN の AAA プリファレンスのカスタマイズについて説明します。詳細については、リモートアクセス VPN の AAA 設定を参照してください。

クライアント証明書を使用した VPN ユーザーの認証

ウィザードを使用するか、またはポリシーを後で編集することによって新しいリモート アクセス VPN ポリシーを作成するときに、クライアント証明書を使用してリモート アクセス VPN 認証を設定できます。

始める前に

VPN ゲートウェイとして機能する各 Firepower Threat Defense デバイスにアイデンティティ証明書を取得するために使用する証明書登録オブジェクトを設定します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。または、[追加(Add)] をクリックして、新しいリモートアクセス VPN ポリシーを作成します。

ステップ 3

新しいリモート アクセス VPN ポリシーには、接続プロファイルの設定時に認証を設定します。既存の設定の場合は、クライアント プロファイルが含まれている接続プロファイルを選択し、[編集(Edit)] をクリックします。

ステップ 4

[AAA] > [認証方式(Authentication Method)] > [クライアント証明書のみ(Client Certificate Only)] をクリックします。

この認証方式では、ユーザーはクライアント証明書を使用して認証されます。VPN クライアント エンドポイントで設定する必要があります。デフォルトでは、ユーザー名はクライアント証明書フィールド CN および OU からそれぞれ派生します。クライアント証明書の他のフィールドにユーザー名が指定されている場合は、[プライマリ(Primary)] と [セカンダリ(Secondary)] フィールドを使用して適切なフィールドをマップします。

クライアント証明書のユーザー名を含む [固有のフィールドをマップ(Map specific field)] オプションを選択する場合。[プライマリ(Primary)] フィールドと [セカンダリ(Secondary)] フィールドには、デフォルト値の [CN(共通名)(CN (Common Name))] [組織ユニット(OU)(OU (Organisational Unit))] がそれぞれ表示されます。[DN全体をユーザー名として使用(Use entire DN as username)] オプションを選択した場合、ユーザー ID が自動的に取得されます。識別名(DN)は、個々のフィールドから構成される一意の識別子であり、ユーザーを接続プロファイルと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。

  • [固有のフィールドをマップ(Map specific field)] オプションに関連する [プライマリ(Primary)] フィールドと [セカンダリ(Secondary)] フィールドには、次の共通の値が含まれています。

    • C(国)

    • CN(一般名)

    • DNQ(DN 修飾子)

    • EA(電子メール アドレス)

    • GENQ(世代識別子)

    • GN(姓名の名)

    • I(イニシャル)

    • L(地名)

    • N(名前)

    • O(組織)

    • OU(組織ユニット)

    • SER(シリアル番号)

    • SN(姓名の姓)

    • SP(都道府県)

    • T(タイトル)

    • UID(ユーザ ID)

    • UPN(ユーザー プリンシパル名)

  • どの認証方式を選択する場合にも、[ユーザーが承認データベースに存在するときにのみ接続を許可(Allow connection only if user exists in authorization database)] を選択または選択解除します。

詳細については、リモートアクセス VPN の AAA 設定を参照してください。

クライアント証明書と AAA サーバー経由でのリモート アクセス VPN のログインの設定

クライアント証明書と認証サーバーの両方を使用するようにリモート アクセス VPN 認証が設定されている場合、VPN クライアント認証はクライアント証明書の検証と AAA サーバーの両方を使用して実行されます。

始める前に

  • VPN ゲートウェイとして機能する各 Firepower Threat Defense デバイスのアイデンティティ証明書を取得するために使用される証明書登録オブジェクトを設定します。

  • RADIUS サーバー グループ オブジェクトと、このリモート アクセス VPN ポリシーで使用されている AD または LDAP レルムを設定します。

  • リモート アクセス VPN 設定が機能するように AAA サーバーに Firepower Threat Defense デバイスからアクセスできることを確認します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

既存のリモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。または、[追加(Add)] をクリックして、新しいリモートアクセス VPN ポリシーを作成します。

ステップ 3

新しいリモート アクセス VPN ポリシーには、接続プロファイルの設定時に認証を設定します。既存の設定の場合は、クライアント プロファイルが含まれている接続プロファイルを選択し、[編集(Edit)] をクリックします。

ステップ 4

[AAA] > [認証方式(Authentication Method)]、[クライアント証明書とAAA(Client Certificate & AAA)] をクリックします。

  • [認証方式(Authentication Method)] の選択に応じて、次のようになります。

    [クライアント認証と AAA(Client Certificate & AAA)]:両方のタイプの認証が実行されます。

    • [AAA]:[認証サーバー(Authentication Server)] に [RADIUS] を選択した場合、デフォルトで許可サーバーは同じ値になります。ドロップダウン リストから [アカウンティング サーバー(Accounting Server)] を選択します。認証サーバー ドロップダウン リストから [AD] と [LDAP] を選択した場合は常に、[許可サーバー(Authorization Server)] と [アカウンティング サーバー(Accounting Server)] をそれぞれ手動で選択する必要があります。

    • [クライアント証明書(Client Certificate)]:ユーザーはクライアント証明書を使用して認証されます。クライアント証明書は、VPN クライアント エンドポイントで設定する必要があります。デフォルトでは、ユーザ名はクライアント証明書フィールド CN および OU からそれぞれ派生します。クライアント証明書の他のフィールドにユーザ名が指定されている場合は、[プライマリ(Primary)] と [セカンダリ(Secondary)] フィールドを使用して適切なフィールドをマップします。

      クライアント証明書のユーザー名を含む [固有のフィールドをマップ(Map specific field)] オプションを選択する場合。[プライマリ(Primary)] フィールドと [セカンダリ(Secondary)] フィールドには、デフォルト値の [CN(共通名)(CN (Common Name))] と [組織ユニット(OU)(OU (Organisational Unit))] がそれぞれ表示されます。[DN全体をユーザー名として使用(Use entire DN as username)] オプションを選択した場合、ユーザー ID が自動的に取得されます。識別名(DN)は、個々のフィールドから構成される一意の識別子であり、ユーザーを接続プロファイルと照合するときに識別子として使用できます。DN ルールは、拡張証明書認証に使用されます。

      [固有のフィールドをマップ(Map specific field)] オプションに関連する [プライマリ(Primary)] フィールドと [セカンダリ(Secondary)] フィールドには、次の共通の値が含まれています。

      • C(国)

      • CN(一般名)

      • DNQ(DN 修飾子)

      • EA(電子メール アドレス)

      • GENQ(世代識別子)

      • GN(姓名の名)

      • I(イニシャル)

      • L(地名)

      • N(名前)

      • O(組織)

      • OU(組織ユニット)

      • SER(シリアル番号)

      • SN(姓名の姓)

      • SP(都道府県)

      • T(タイトル)

      • UID(ユーザ ID)

      • UPN(ユーザー プリンシパル名)

    • どの認証方式を選択する場合にも、[ユーザーが承認データベースに存在するときにのみ接続を許可(Allow connection only if user exists in authorization database)] を選択または選択解除します。

詳細については、リモートアクセス VPN の AAA 設定を参照してください。

VPN セッションでのパスワード変更の管理

パスワードの管理では、リモート アクセス VPN 管理者がリモート アクセス VPN ユーザーのパスワード期限切れの通知を設定できます。パスワード管理は、 AAA のみとクライアント証明書と AAA の認証設定の AAA 設定で使用できます。詳細については、リモートアクセス VPN の AAA 設定を参照してください。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

AAA の設定が含まれている接続プロファイルを選択し、[編集(Edit)] をクリックします。

ステップ 4

[AAA] > [詳細設定(Advanced Settings)] > [パスワード管理(Password Management)] を選択します。

ステップ 5

[パスワード管理の有効化(Enable Password Management)] を選択し、次のいずれかを選択します。

  • [Notify User(ユーザー通知)]:パスワードの有効期限が切れる前にユーザーに通知します。ボックスに日数を指定します。

  • [パスワードの有効期限の日にユーザーに通知(Notify user on the day password expires)]:パスワードが期限切れになる当日にユーザーに通知します。
ステップ 6

[保存(Save)] をクリックします。

承認を得るための LDAP または Active Directory の設定

認証に LDAP サーバーまたは Active Directory(AD)サーバーを使用してリモート アクセス VPN を設定する場合は、FlexConfig オブジェクトを使用して属性マップを設定する必要があります。これは、Firepower Management Center の Web インターフェイス上では属性マップが直接サポートされていないためです。

始める前に

LDAP または AD のレルム オブジェクトが作成されていることを確認します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

認証サーバーとして、LDAP または AD レルム オブジェクトを含むリモート アクセス VPN ポリシーを作成します。または、既存のリモート アクセス VPN の設定を編集し、LDAP または AD レルムを認証サーバーとして選択します。
ステップ 3

[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [FlexConfig] > [FlexConfig オブジェクト(FlexConfig Object)] を選択します。

ステップ 4

FlexConfig ポリシーを作成し、次の 2 つの FlexConfig オブジェクトを作成して追加セクションに割り当てます。

FlexConfig ポリシーの設定を参照してください。

  1. [展開タイプ(Deployment type)] を [1 回(Once)]、[タイプ(Type)] を [後ろに付加(Append)] にして、LDAP 属性マップの FlexConfig オブジェクトを作成します。

    オブジェクトの本文には、次を入力します。 
    lda attribute-map <LDAP_Map_for_VPN_Access>
          map-name  memberOf Group-Policy
          map-value memberOf CN=APP-SSL-VPN Managers,CN=Users,OU=stbu,DC=cisco,DC=com LabAdminAccessGroupPolicy
          map-value memberOf CN=cisco-Eng,CN=Users,OU=stbu,DC=cisco,DC=com VPNAccessGroupPolicy

  2. [展開タイプ(Deployment type)] を [毎回(Everytime)]、[タイプ(Type)] を [後ろに付加(Append)] にして、LDAP 属性マップを LDAP AAA サーバーに関連付ける FlexConfig オブジェクト属性を作成します。

    (注)   

    このマッピングは、LDAP 属性マップの割り当てが Firepower Management Center によって拒否されるため、その割り当てを元に戻すために必要です。

    オブジェクトの本文領域に次を入力します。

    aaa-server <LDAP/AD_Realm_name> host <AD Server IP>
          ldap-attribute-map <LDAP_Map_for_VPN_Access>
          exit

    リモート アクセス VPN ポリシーの設定に追加した接続プロファイルの AAA サーバーの設定に使用した LDAP レルム名と同じ AAA サーバーを使用します。

詳細については、FlexConfig テキスト オブジェクトの設定を参照してください。

  1. [保存(Save)] をクリックします。

FlexConfig ポリシー内での FlexConfig オブジェクトの順序が、LDAP 属性マップの FlexConfig オブジェクトの後に AAA サーバー オブジェクトが続いていることを確認します。

これは、LDAP 属性マップを設定し、それを Firepower Threat Defense デバイス上の LDAP サーバー設定と関連付けます。

RADIUS サーバーへのアカウンティング レコードの送信

リモート アクセス VPN のアカウンティング レコードは、ユーザーがアクセスしたサービスやユーザーが使用したネットワーク リソースの量を VPN 管理者が追跡するのに役立ちます。アカウンティング情報には、ユーザー セッションの開始時刻と停止時刻、ユーザー名、セッションごとのデバイスを通過したバイト数、使用されたサービス、および各セッションの時間が含まれています。このデータを、ネットワーク管理、クライアント請求、または監査のために分析できます。

アカウンティングは、単独で使用するか、認証および認可とともに使用することができます。AAA アカウンティングをアクティブ化すると、ネットワーク アクセス サーバーは設定されたアカウンティング サーバーにユーザー アクティビティをレポートします。RADIUS サーバーはアカウンティング サーバーとして設定できます。そのため、ユーザー アクティビティ情報のすべてが Firepower Management Center から RADIUS サーバーに送信されます。

(注)  

リモート アクセス VPN AAA の設定では、認証、許可、およびアカウンティング用に同じ RADIUS サーバーまたは個別の RADIUS サーバーを使用できます。

始める前に

認証要求またはアカウンティング レコードが送信される RADIUS サーバーで RADIUS グループ オブジェクトを設定します。RADIUS サーバー グループのオプションを参照してください。

RADIUS サーバーが Firepower Threat Defense デバイスから到達可能であることを確認します。[デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [ルーティング(Routing)] Firepower Management Center のルーティングを設定し、RADIUS へのサーバーへの接続を確保します。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。または、新しいリモートアクセス VPN ポリシーを作成します。

ステップ 3

AAA の設定が含まれている接続プロファイルを選択し、[編集(Edit)] > [AAA] をクリックします。

ステップ 4

アカウンティング サーバーとして RADIUS サーバーを選択します。

ステップ 5

[保存(Save)] をクリックします。

認証サーバーへのグループ ポリシーの選択の委任

ユーザーに適用されるグループ ポリシーは VPN トンネルが確立される際に決定されます。ウィザードを使用してリモート アクセス VPN ポリシーを作成するときに接続プロファイルのグループ ポリシーを選択するか、または後で接続プロファイルの接続ポリシーを更新することができます。ただし、グループ ポリシーを割り当てるように AAA(RADIUS)サーバーを設定するか、または現在の接続プロファイルから取得されます。Firepower Threat Defense デバイスが設定プロファイルに設定されている属性と競合する外部 AAA サーバから属性を受信した場合は、AAA サーバからの属性が常に優先されます。

IETF RADIUS サーバ 属性 25 を送信してユーザ/ユーザ グループの許可プロファイルを設定し、対応するグループ ポリシー名にマップするように、ISE または RADIUS サーバを構成します。ユーザーまたはユーザー グループに特定のグループ ポリシーを設定すると、ダウンロード可能な ACL をプッシュし、バナーを設定し、VLAN を制限し、セッションに SGT を適用する高度なオプションを設定できます。これらの属性は、VPN 接続が確立した時点でそのグループに含まれているすべてのユーザーに適用されます。

詳細については、『Cisco Identity Services Engine Administrator Guide』の「Configure Standard Authorization Policies」の項およびFirepower Threat Defense の RADIUS サーバー属性を参照してください。

図 1. AAA サーバーによるリモート アクセス VPN グループ ポリシーの選択

許可サーバーによるグループ ポリシーまたはその他の属性の選択のオーバーライド

リモート アクセス VPN ユーザーが VPN に接続すると、接続プロファイル内に設定されているグループ ポリシーとその他の属性がそのユーザーに割り当てられます。ただし、リモート アクセス VPN システムの管理者は、ユーザーまたはユーザー グループの許可プロファイルを設定するように ISE または RADIUS サーバーを設定することによって、グループ ポリシーとその他の属性の選択を認証サーバーに委任できます。ユーザーが認証されると、これらの特定の承認属性が Firepower Threat Defense デバイスにプッシュされます。

始める前に

許可サーバーとして RADIUS を使用たリモート アクセス VPN ポリシーが設定されていることを確認します。

手順
ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

まだ設定されていない場合は、認証サーバーとして RADIUS または ISE を選択します。
ステップ 4

[詳細(Advanced)] > [グループ ポリシー(Group Policies)] を選択し、必要なグループ ポリシーを追加します。グループ ポリシー オブジェクトの詳細については、グループ ポリシー オブジェクトの設定を参照してください。

1 つのグループ ポリシーのみを 1 つの接続プロファイルにマップすることができますが、1 つのリモート アクセス VPN ポリシーには複数のグループ ポリシーを作成できます。これらのグループ ポリシーは、ISE または RADIUS サーバーで参照でき、許可サーバーの許可属性を割り当てることによって接続プロファイル内に設定されているグループ ポリシーをオーバーライドするように設定できます。

ステップ 5

ターゲットの Firepower Threat Defense デバイス上に設定を展開します。

ステップ 6

許可サーバーで、IP アドレスとダウンロード可能な ACL の RADIUS 属性を持つ許可プロファイルを作成します。

リモート アクセスで選択した許可サーバーにグループ ポリシーを設定すると、そのグループ ポリシーは、ユーザーが認証された後にリモート アクセス VPN ユーザーの接続プロファイルに設定されているグループ ポリシーをオーバーライドします。

ユーザー グループへの VPN アクセスの拒否

VPN を使用可能な認証済みのユーザーまたはユーザー グループが不要な場合は、VPN アクセスを拒否するグループ ポリシーを設定できます。リモート アクセス VPN ポリシー内にグループ ポリシーを作成し、許可を行うため、ISE または RADIUS サーバーの設定でそれを参照します。
始める前に

リモート アクセス ポリシー ウィザードを使用してリモート アクセス VPN が設定されており、リモート アクセス VPN ポリシーに認証の設定が行われていることを確認します。

手順
ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

[詳細(Advanced)] > [グループ ポリシー(Group Policies)] をクリックします。

ステップ 4

グループポリシーを選択して [編集(Edit)] をクリックするか、新しいグループポリシーを追加します。
ステップ 5

[詳細(Advanced)] > [セッション設定(Session Settings)] を選択し、[ユーザーごとの同時ログイン(Simultaneous Login Per User)] を 0(ゼロ)に設定します。

これにより、ユーザーまたはユーザー グループは VPN への接続を完全に停止します。
ステップ 6

[保存(Save)] をクリックしてグループ ポリシーを保存した後、リモート アクセス VPN 設定を保存します。

ステップ 7

IETF RADIUS サーバー 属性 25 を送信し、対応するグループ ポリシー名にマップするようにユーザー/ユーザー グループの許可プロファイルを設定して、ISE または RADIUS サーバー サーバーを設定します。
ステップ 8

リモート アクセス VPN ポリシーでは、ISE または RADIUS サーバーを承認サーバーとして構成できます。
ステップ 9

リモート アクセス VPN ポリシーを保存および展開します。

ユーザー グループに対する接続プロファイルの選択の制限

1 つの接続プロファイルをユーザーまたはユーザー グループに適用する場合、接続プロファイルを無効にすることで、AnyConnect VPN クライアントを使用して接続するときに選択するユーザーのグループ エイリアスまたは URL のリストが表示されないようにすることができます。

たとえば、モバイル ユーザー、会社支給のラップトップのユーザー、個人のラップトップのユーザーなど、異なる VPN ユーザー グループに組織が特定の設定を使用する場合は、それらの各ユーザー グループに固有の接続プロファイルを設定し、ユーザーが VPN に接続したときに適切に接続プロファイルを適用することができます。

デフォルトでは、AnyConnect クライアントは Firepower Management Center に設定されており、Firepower Threat Defense に展開されている接続プロファイル(接続プロファイル名別、エイリアス別、またはエイリアス URL 別)のリストを表示します。カスタム接続プロファイルが設定されていない場合、AnyConnect は DefaultWEBVPNGroup 接続プロファイルを表示します。次の手順を使用して、1 つの接続プロファイルをユーザー グループに適用します。

始める前に

  • Firepower Management Center の Web インターフェイスで、リモート アクセス VPN ポリシー ウィザードを使用し、[認証方式(Authentication Method)] を [クライアント証明書のみ(Client Certificate Only)] または [クライアント証明書と AAA(Client Certificate + AAA)] に設定してリモート アクセス VPN を設定します。証明書からユーザー名のフィールドを選択します。

  • 認証のための ISE または RADIUSの サーバーを設定し、グループ ポリシーを認証サーバーに関連付けます。

手順
ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

[アクセスインターフェイス(Access Interfaces)] を選択し、[ログイン時にユーザーによる接続プロファイルの選択を許可(Allow users to select the connection profile while logging in)] を無効にします。

ステップ 4

[詳細(Advanced)]> [証明書マップ(Certificate Maps)] をクリックします。

ステップ 5

[設定したルールを使用して証明書を接続プロファイルと照合する(Use the configured rules to match a certificate to a Connection Profile)] をオンにします。

ステップ 6

[証明書マップ名(Certificate Map Name)] を選択するか、または [追加(Add)] アイコンをクリックして証明書ルールを追加します。

ステップ 7

[接続プロファイル(Connection Profile)] を選択し、[OK] をクリックします。

この設定では、ユーザーが AnyConnect クライアントから接続すると、そのユーザーにはマップされた接続プロファイルが提供され、VPN を使用するように認証されます。

リモート アクセス VPN クライアントでの AnyConnect クライアント プロファイルの更新

AnyConnect クライアント プロファイルは、AnyConnect の一部として VPN クライアント システムに展開される管理者定義のエンドユーザー要件および認証ポリシーを含む XML ファイルです。これでエンドユーザーが事前設定されたネットワーク プロファイルを使用できるようになります。

独立した設定ツールである GUI ベースの AnyConnect プロファイル エディタを使用して AnyConnect クライアント プロファイルを作成します。スタンドアロン プロファイル エディタを使用して、新しい AnyConnect プロファイルを作成したり、既存の AnyConnect プロファイルを変更したりできます。プロファイル エディタはシスコのソフトウェア ダウンロード センターからダウンロードできます。

詳細については、『Cisco AnyConnect Secure Mobility Client Administrator Guide』の該当するリリースの「AnyConnect プロファイル エディタ」の章を参照してください。

始める前に

  • リモート アクセス ポリシー ウィザードを使用してリモート アクセス VPN が設定されており、設定が Firepower Threat Defense デバイスに展開されていることを確認します。新しいリモート アクセス VPN ポリシーの作成を参照してください。

  • Firepower Management Center の Web インターフェイスで、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [VPN] > [AnyConnect ファイル(AnyConnect File)] に移動し、新しいAnyConnect クライアント イメージ を追加します。

手順
ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセス VPN ポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

クライアント プロファイルに含まれている編集すべき接続プロファイルを選択して [編集(Edit)] をクリックします。

ステップ 4

[グループ ポリシーの編集(Edit Group Policy)] > [AnyConnect] > [プロファイル(Profiles)] をクリックします。

ステップ 5

リストからクライアントプロファイルの XML ファイルを選択するか、または [追加(Add)] をクリックして新しいクライアントプロファイルを追加します。

ステップ 6

グループ ポリシーと接続プロファイルを保存し、その後にリモート アクセス VPN ポリシーを保存します。
ステップ 7

変更を展開します。

クライアント プロファイルに加えた変更は、リモート アクセス VPN ゲートウェイに接続したときに VPN クライアント上で更新されます。

RADIUS ダイナミック認証

Firepower Threat Defense は、RADIUS サーバーを使用して、ダイナミック アクセス コントロール リスト(ACL)またはユーザーごとの ACL 名を使用する VPN リモート アクセスおよびファイアウォール カットスルー プロキシ セッションのユーザー許可を実行できます。ダイナミック認証または RADIUS 認可変更(RADIUS CoA)のダイナミック ACL を実装するには、RADIUS サーバーをサポートするように設定する必要があります。ユーザーが認証を試みる場合、RADIUS サーバーによってダウンロード可能 ACL、または ACL 名が Firepower Threat Defense に送信されます。特定のサービスへのアクセスは ACL によって許可されるか拒否されるかのいずれかです。Firepower Threat Defense は認証セッションの期限が切れると ACL を削除します。

RADIUS ダイナミック認証の設定

始める前に:

  • RADIUS サーバーで参照されている場合、セキュリティ ゾーンやインターフェイスグループには 1 つのインターフェイスのみ設定できます。

  • ダイナミック認証が有効になっている RADIUS サーバーでダイナミック認証を機能させるためには、Firepower Threat Defense 6.3 以降が必要です。

  • Firepower Threat Defense 6.2.3 以前のバージョンでは、RADIUS サーバーでのインターフェイスの選択はサポートされていません。展開中、インターフェイス オプションは無視されます。

  • FTD ポスチャ VPN は、動的認可または RADIUS 認可変更(CoA)によるグループポリシーの変更をサポートしていません。

表 4. 手順

操作内容

詳細

ステップ 1

Firepower Management Center Web インターフェイスにログインします。

ステップ 2

ダイナミック認証を使用して、RADIUS サーバー オブジェクトを設定します。

RADIUS サーバー グループのオプション

ステップ 3

認可変更(CoA)が有効になっているインターフェイスを介して ISE サーバーへのルートを設定し、ルーティングまたは特定のインターフェイスを介して Firepower Threat Defense から RADIUS サーバーへの接続を確立します。

RADIUS サーバー グループのオプション

ユーザー制御用 ISE/ISE-PIC の設定

ステップ 4

リモート アクセス VPN ポリシーを設定し、ダイナミック認証を使用して作成した RADIUS サーバ グループ オブジェクトを選択します。

新しいリモート アクセス VPN ポリシーの作成

ステップ 5

DNS サーバーの詳細とドメインルックアップ インターフェイスを [プラットフォーム設定(Platform Settings)] を使用して設定します。

DNS の設定

DNS サーバー グループ オブジェクト

ステップ 6

VNP ネットワーク経由で DNS サーバーに到達可能な場合は、リモート アクセス VPN トンネルを介して DNS トラフィックを許可するためのスプリット トンネルをグループ ポリシーに設定します。

グループ ポリシー オブジェクトの設定

ステップ 7

設定変更を展開します。

設定変更の展開

二要素認証

リモート アクセス VPN に対してニ要素認証を設定することができます。二要素認証を使用する場合、ユーザーはユーザー名とスタティック パスワードに加えて、RSA トークンやパスコードなどの追加項目を指定する必要があります。二要素認証が 2 番目の認証ソースを使用することと異なるのは、1 つの認証ソースで 2 つの要素が設定され、RSA サーバーとの関係がプライマリ認証ソースに関連付けられている点です。

Firepower Threat Defense は、2 番目の要素のために RSA トークンと Duo Mobile への Duo Push 認証要求を、二要素認証プロセスの最初の要素としての RADIUS または AD サーバーとの組み合わせでサポートします。

RSA 二要素認証の設定

このタスクの概要:

 RADIUS サーバーまたは AD サーバーを RSA サーバーの認証エージェントとして設定し、サーバーをリモートアクセス VPN のプライマリ認証ソースとして Firepower Management Center で使用することができます。

この方法を使用する場合、ユーザーは RADIUS または AD サーバーで設定されているユーザー名を使用して認証し、パスワードと 1 回限りの一時的な RSA トークンを連結し、パスワードとトークンをコンマで区切る必要があります(password,token)。

この設定では、認証サービスを提供するために(Cisco ISE で供給されるような)個別の RADIUS サーバーを使用することが一般的です。2 番目の RADIUS サーバーを認証サーバーとして設定し、必要に応じてアカウンティング サーバーとしても設定します。

始める前に:

Firepower Threat Defense に RADIUS 二要素認証を設定する前に、次の設定が完了していることを確認します。

RSA サーバー上で以下の操作を実行します。

  • RADIUS または Active Directory サーバーを認証エージェントとして設定します。

  • 設定(sdconf.rec)ファイルを生成してダウンロードします。

  • トークン プロファイルを作成してトークンをユーザーに割り当て、トークンをユーザーに配布します。トークンをダウンロードして、リモート アクセス VPN クライアント システムにインストールします。

詳細については、RSA SecureID スイートのドキュメントを参照してください。

ISE サーバー上で以下の操作を実行します。

  • RSA サーバで生成した設定(sdconf.rec)ファイルをインポートします。

  • 外部アイデンティティ ソースとして RSA サーバーを追加して、共有秘密を指定します。

表 5. 手順

操作内容

詳細

ステップ 1

Firepower Management Center Web インターフェイスにログインします。

ステップ 2

RADIUS サーバー グループを作成します。

RADIUS サーバー グループのオプション

ステップ 3

RADIUS または AD サーバをホストとして指定して、新しい RADIUS サーバ グループ内に RADIUS サーバ オブジェクトを作成します。タイムアウトの時間は 60 秒以上に設定します。

RADIUS サーバー オプション

(注)   

RADIUS または AD サーバーは、RSA サーバーで認証エージェントとして設定されているサーバーと同じである必要があります。

二要素認証の場合は、AnyConnect クライアントプロファイル XML ファイルでもタイムアウトが 60 秒以上に更新されていることを確認してください。

ステップ 4

ウィザードを使用して新しいリモート アクセス VPN ポリシーを設定するか、既存のリモート アクセス VPN ポリシーを編集します。

新しいリモート アクセス VPN ポリシーの作成

ステップ 5

認証サーバとして RADIUS を選択し、新しく作成した RADIUS サーバ グループを認証サーバとして選択します。

リモートアクセス VPN の AAA 設定

ステップ 7

設定変更を展開します。

設定変更の展開

Duo 二要素認証の設定

このタスクの概要:

Duo RADIUS サーバーはプライマリ認証ソースとして設定できます。このアプローチでは、Duo RADIUS 認証プロキシを使用します。(LDAPS 経由での Duo クラウド サービスとの直接接続は使用できません)。

Duo の設定に関する詳細手順については、https://duo.com/docs/cisco-firepower を参照してください。

その後、最初の認証要素として別の RADIUS サーバー(または AD サーバー)を使用し、2 番目の要素として Duo クラウド サービスを使用するため、プロキシ サーバー宛の認証要求を転送するように Duo を設定します。

このアプローチを使用する場合、Duo クラウドまたは web サーバーと、関連付けられている RADIUS サーバーの両方で設定されたユーザー名を使用してユーザーを認証する必要があります。ユーザは、RADIUS サーバに設定されたパスワードと、その後に次のいずれかの Duo コードを入力する必要があります。

  •   Duo パスコードmy-password,123456 など。

  •   push。たとえば、my-password,push など。push は、ユーザーによるインストールと登録が完了している Duo モバイル アプリに認証をプッシュ送信するように Duo に指示する場合に使用します。

  •   sms。たとえば、my-password,sms など。sms は、ユーザーのモバイルデバイスにパスコードの新しいバッチと SMS メッセージを送信するように Duo に指示する場合に使用します。sms を使用すると、ユーザーの認証試行は失敗します。ユーザーは再認証し、2 番目の要素として新しいパスコードを入力する必要があります。

  • phonemy-password,phone など。電話機のコールバックを使用して認証するには、phone を使用します。

例を含むログインオプションの詳細については、https://guide.duo.com/anyconnect を参照してください。

始める前に:

Firepower Threat Defense で Duo 認証プロキシを使用する RADIUS 二要素認証を設定する前に、次の設定が完了していることを確認します。

  • リモート アクセス VPN ユーザーに対して実行中のプライマリ認証(RADIUS または AD)を設定してから、Duo の展開を開始します。

  • ネットワーク内の Windows または Linux マシンに Duo プロキシ サービスをインストールして、Duo と Firepower Threat Defense リモート アクセス VPN を統合します。また、この Duo プロキシ サーバーは RADIUS サーバーとしても機能します。

    次の場所から最新の Duo 認証プロキシをダウンロードしてインストールします。

  • Duo 認証ファイル authproxy.cfg を設定します。https://duo.com/docs/cisco-firepower#configure-the-proxy ページの指示に従って、認証設定を構成します。

    authproxy.cfg 設定ファイルには、RADIUS または ISE サーバーの詳細、Firepower Threat Defense デバイス、Duo プロキシ サーバーの詳細、統合鍵、秘密鍵、API ホストの詳細を含める必要があります。

  • authproxy.cfg ファイルに正しい API ホスト情報が含まれていることを確認します。

  • [Duoセキュリティ設定(Duo Security Server)] > [Duo管理者パネル(Duo Admin Panel)] > [アプリケーション(Applications)] > [CISCO RADIUS VPN] で、新しくインストールされた Duo プロキシ サーバーのセカンダリ認証ファクタなど、その他の必要な設定を指定します。

表 6. 手順

操作内容

詳細

ステップ 1

Firepower Management Center Web インターフェイスにログインします。

ステップ 2

RADIUS サーバー グループを作成します。

RADIUS サーバー グループのオプション

ステップ 3

RADIUS サーバーをホストとして指定して、新しい RADIUS サーバー グループ内に RADIUS サーバー オブジェクトを作成します。タイムアウトの時間は 60 秒以上に設定します。

RADIUS サーバー オプション

(注)   

二要素認証の場合は、AnyConnect クライアントプロファイル XML ファイルでもタイムアウトが 60 秒以上に更新されていることを確認してください。

ステップ 4

ウィザードを使用して新しいリモート アクセス VPN ポリシーを設定するか、既存のリモート アクセス VPN ポリシーを編集します。

新しいリモート アクセス VPN ポリシーの作成

ステップ 5

認証サーバーとして RADIUS を選択し、Duo プロキシ サーバーを指定して作成した RADIUS サーバー グループを認証サーバーとして選択します。

リモートアクセス VPN の AAA 設定

ステップ 7

設定変更を展開します。

設定変更の展開

セカンダリ認証

Firepower Threat Defense のセカンダリ認証または二重認証は、2 つの異なる認証サーバーを使用して、リモート アクセス VPN 接続にさらにもう 1 つのセキュリティのレイヤを追加します。セカンダリ認証が有効になっている場合、AnyConnect VPN のユーザーは VPN ゲートウェイにログインするために 2 組のクレデンシャルを提供する必要があります。

Firepower Threat Defense リモート アクセス VPN は、AAA のみのセカンダリ認証と、クライアント証明書認証方式および AAA 認証方式をサポートします。

図 2. リモート アクセス VPN セカンダリ認証または二重認証

リモートアクセス VPN のセカンダリ認証の設定

クライアント証明書と認証サーバーの両方を使用するようにリモート アクセス VPN 認証が設定されている場合、VPN クライアント認証はクライアント証明書の検証と AAA サーバーの両方を使用して実行されます。
始める前に

  • 2 つの認証(AAA)サーバーの設定:プライマリおよびセカンダリ認証サーバー、必要な ID 証明書。認証サーバーには、RADIUS サーバー、AD または LDAP レルムを使用できます。

  • リモート アクセス VPN 設定が機能するように AAA サーバーに Firepower Threat Defense デバイスからアクセスできることを確認します。AAA サーバーへの接続を確実にするために、ルーティングを設定します([デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイスの編集(Edit Device)] > [ルーティング(Routing)])。

手順
ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

リモートアクセスポリシーを選択し、[編集(Edit)] をクリックします。または、[追加(Add)] をクリックして、新しいリモートアクセス VPN ポリシーを作成します。

ステップ 3

新しいリモート アクセス VPN ポリシーには、接続プロファイルの設定時に認証を設定します。既存の設定の場合は、クライアント プロファイルが含まれている接続プロファイルを選択し、[編集(Edit)] をクリックします。

ステップ 4

[AAA] > [認証方式(Authentication Method)]、[AAA] または [クライアント証明書とAAA(Client Certificate & AAA)] をクリックします。

  • [認証方式(Authentication Method)] の選択に応じて、次のようになります。

    [クライアント証明書とAAA(Client Certificate & AAA)]:クライアント証明書と AAA サーバーの両方を使用して認証されます。

    • [AAA]:[認証サーバー(Authentication Server)] に [RADIUS] を選択した場合、デフォルトで許可サーバーは同じ値になります。ドロップダウン リストから [アカウンティング サーバー(Accounting Server)] を選択します。認証サーバー ドロップダウン リストから [AD] と [LDAP] を選択した場合は常に、[許可サーバー(Authorization Server)] と [アカウンティング サーバー(Accounting Server)] をそれぞれ手動で選択する必要があります。

    • どの認証方式を選択する場合にも、[ユーザーが承認データベースに存在するときにのみ接続を許可(Allow connection only if user exists in authorization database)] を選択または選択解除します。

  • [セカンダリ認証を使用(Use secondary authentication)]:VPN セッションのセキュリティを強化するため、プライマリ認証の他にセカンダリ認証を設定します。セカンダリ認証は、[AAA のみ(AAA only)] と [クライアント証明書と AAA(Client Certificate & AAA)] の認証方式にのみ適用されます。

    セカンダリ認証はオプションの機能であり、2 つのセットのユーザー名とパスワードを AnyConnect ログイン画面に入力するには VPN ユーザーが必要です。認証サーバーまたはクライアント証明書からセカンダリ ユーザー名を事前入力するように設定することもできます。リモート アクセス VPN 認証は、プライマリとセカンダリの両方の認証が成功した場合にのみ許可されます。いずれの認証サーバーに到達できない場合、1 つの認証が失敗すると、VPN 認証が拒否されます。

    セカンダリ認証の設定前に、2 つ目のユーザー名とパスワードのセカンダリ認証のサーバー グループ(AAA サーバー)を設定する必要があります。たとえば、プライマリ認証サーバーを LDAP または Active Directory レルムに、セカンダリ認証を RADIUS サーバーに設定できます。

    (注)   

    デフォルトでは、セカンダリ認証は必要ありません。

    [認証サーバー(Authentication Server)]:VPN ユーザーのセカンダリ ユーザー名とパスワードを提供するセカンダリ認証サーバー。

    [セカンダリ認証のユーザー名(Username for secondary authentication)] で次の項目を選択します。

    • [プロンプト(Prompt)]:VPN ゲートウェイへのログイン中にユーザー名とパスワードを入力するようユーザーに要求します。

    • [プライマリ認証ユーザー名を使用(Use primary authentication username)]:プライマリとセカンダリの両方の認証にプライマリ認証サーバーからユーザー名が取得されます。パスワードは 2 つ入力する必要があります。

    • [クライアント証明書からのユーザー名をマップ(Map username from client certificate)]:クライアント証明書からセカンダリ ユーザー名が事前に入力されます。

      • クライアント証明書のユーザー名を含む [固有のフィールドをマップ(Map specific field)] オプションを選択する場合。[プライマリ(Primary)] フィールドと [セカンダリ(Secondary)] フィールドには、デフォルト値の [CN(共通名)(CN (Common Name))] と [組織ユニット(OU)(OU (Organisational Unit))] がそれぞれ表示されます。[DN(識別名)全体をユーザー名として使用(Use entire DN (Distinguished Name) as username)] オプションを選択した場合はユーザー ID が自動的に取得されます。

        プライマリとセカンダリのフィールドのマッピングの詳細については、「認証方式」の説明を参照してください。

      • [ユーザー ログイン ウィンドウに証明書からユーザー名を事前に入力(Prefill username from certificate on user login window)]:ユーザーが AnyConnect VPN クライアント経由で接続したときにクライアント証明書からセカンダリ ユーザー名を事前に入力します。

        • [ログイン ウィンドウでユーザー名を非表示にする(Hide username in login window)]:セカンダリ ユーザー名はクライアント証明書から事前に入力されますがユーザーには表示されず、ユーザーが事前に入力されたユーザー名を変更しないようにします。

    • [VPN セッションのセカンダリ ユーザー名を使用(Use secondary username for VPN session)]:VPN セッション中のユーザー アクティビティのレポートにセカンダリ ユーザー名を使用します。

詳細については、リモートアクセス VPN の AAA 設定を参照してください。

リモート アクセス VPN の例

ユーザーあたりの AnyConnect 帯域幅を制限する方法

ここでは、ユーザーが Cisco AnyConnect VPN クライアントを使用して Firepower Threat Defense リモート アクセス VPN ゲートウェイに接続する場合に VPN ユーザーに消費される最大帯域幅を制限する手順について説明します。Firepower Threat Defense で Quality of Service(QoS)ポリシーを使用して最大帯域幅を制限し、単一のユーザーやグループまたは複数のユーザーがリソース全体を引き継ぐことがないようにすることができます。この設定では、重要なトラフィックに優先順位を付け、帯域幅の占有を防止し、ネットワークを管理できます。トラフィックが最大レートを超えると、Firepower Threat Defenseは超過した分のトラフィックをドロップします。

操作内容

詳細

ステップ 1

レルムを作成および設定します。

Active Directory レルムの作成および設定

ステップ 2

新しく作成したレルムで利用可能なユーザーまたはグループの QoS ポリシーおよび QoS ルールを作成します。

QoS ポリシーとルールの作成

ステップ 3

リモート アクセス VPN ポリシーを設定し、ユーザー認証用に新しく作成したレルムを選択します。

リモート アクセス VPN ポリシーの作成または更新

ステップ 4

リモート アクセス VPN ポリシーを展開します。

設定変更の展開

Active Directory レルムの作成および設定

ここでは、レルムを作成し、アクティビティをモニターする VPN ユーザーおよびユーザー グループを指定する手順について説明します。

手順

ステップ 1

Firepower Management Center web インターフェイスで、[システム(System)] > [統合(Integration)] > [レルム(Realms)] を選択します。

ステップ 2

[新しいレルム(New realm)] をクリックして、レルムの詳細を指定し、[OK] をクリックします。

ステップ 3

次のタブに必要な詳細を入力し、[保存(Save)] をクリックします。

  • [ディレクトリ(Directory)]:1 つのレルムに複数のディレクトリを指定できます。この場合、ユーザー制御用のユーザークレデンシャルとグループクレデンシャルを照合するために、そのレルムの [ディレクトリ(Directory)] ページにリストされている順序で、各ドメインコントローラがクエリされます。

    レルム ディレクトリの設定を参照してください。

  • [レルム設定(Realm Configuration)]:レルムの作成中に入力されたレルム設定を更新できます。

  • [ユーザーダッシュボード(User Download)]:ユーザーとグループは、Firepower Management Center のダウンロードに含めることも、ダウンロードから除外することもできます。

ステップ 4

[ステート(State)] を右にスライドし、レルムをユーザー コントロールで使用できるように有効にします。レルムの管理 を参照してください。

ステップ 5

ダウンロードアイコンをクリックし、ユーザーおよびユーザーグループを Firepower Management Center にダウンロードします。ユーザーとグループのダウンロード を参照してください
ステップ 6

[保存(Save)] をクリックします。

QoS ポリシーとルールの作成

管理対象デバイスに展開する QoS ポリシーによりレート制限が決まります。ユーザーまたはユーザー グループが消費できる VPN 帯域幅を制限するようにレルムを選択すると、QoS ポリシーを作成できます。各 QoS ポリシーは、複数のデバイスを対象にすることができます。各デバイスで同時に展開可能な QoS ポリシーは 1 つです。

手順

ステップ 1

Firepower Management Center web インターフェイスで、[デバイス(Devices)] > [QoS] > [新しいポリシー(New Policy)] を選択します。

ステップ 2

[名前(Name)] を入力し、必要に応じて [説明(Description)] を入力します。

ステップ 3

(任意)QoS ポリシーを展開する [使用可能なデバイス(Available Devices)] を選択し、[ポリシーに追加(Add to Policy)] をクリックするか、[選択されたデバイス(Selected Devices)] にドラッグ アンド ドロップします。

(注)   

リモート アクセス VPN ポリシーを展開する同じデバイスを選択します。ポリシーを展開する前に、デバイスを割り当てる必要があります。
ステップ 4

QoS ポリシーの [ルール(Rules)] で、[ルールの追加(Add Rule)] をクリックします。

ステップ 5

[名前(Name)]を入力します。

ステップ 6

ルール コンポーネントを設定します。

  • [有効(Enabled)]:ルールを有効にするかどうかを指定します。

  • [QoSの適用(Apply QoS On)]:レート制限するインターフェイス([宛先インターフェイスオブジェクトのインターフェイス(Interfaces in Destination Interface Objects)] または [送信元インターフェイスオブジェクトのインターフェイス(Interfaces in Source Interface Objects)])を選択します。選択するインターフェイスは、入力されたインターフェイス制約(任意ではなく)と一致する必要があります。

  • [インターフェイスごとのトラフィック制限(Traffic Limit Per Interface)]:ダウンロード制限とアップロード制限を Mbits/sec 単位で入力します。[無制限(Unlimited)] のデフォルト値にすると、一致するトラフィックはその方向でレート制限されません。

  • [ユーザー(Users)]:[ユーザー(Users)] で、新しい作成したレルムおよびユーザーを選択し、VPN トラフィックを制限します。追加する条件に対応する他のタブをクリックします。[QoSの適用(Apply QoS On)] の選択内容に対応する、送信元インターフェイスまたは宛先インターフェイスの条件を設定する必要があります。

  • [コメント(Comments)]:[コメント(Comments)] をクリックし、コメントを追加し、[OK] をクリックします。

ステップ 7

ルールを保存します。

ポリシー エディタで、ルールの位置を設定します。クリックしてドラッグするか、または右クリックメニューを使用してカットアンドペーストを実行します。ルールには 1 から番号が付けられます。システムは、ルール番号の昇順で上から順に、ルールをトラフィックと照合します。トラフィックが一致する最初のルールは、そのトラフィックを処理するルールです。適切なルールの順序を指定することで、ネットワーク トラフィックの処理に必要なリソースが削減され、ルールのプリエンプションを回避できます。

ステップ 8

[保存(Save)] をクリックしてポリシーを保存します。

リモート アクセス VPN ポリシーの作成または更新

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

ウィザードを使用して新しいリモートアクセス VPN ポリシーを作成し、新しく作成したレルムを [認証サーバー(Authentication Server)] として選択します。既存のリモートアクセス VPN ポリシーについては、ポリシーを編集し、次の手順を実行します。

  1. VPN ユーザーに割り当てる接続プロファイルを選択し、[編集(Edit)] をクリックします。

  2. [AAA] > [認証方式(Authentication Method)] > [AAA] または [クライアント証明書とAAA(Client Certificate & AAA)] を選択します。

    (注)   

    SAML シングルサインオン(SS)認証では、ユーザーアイデンティティはサポートされていません。認証にユーザー ID(レルム)を使用する場合は、適切な認証方法を選択します。

  3. [認証サーバー(Authentication Server)] として必要なレルムを選択します。

  4. 必要に応じて他の接続プロファイルオプションを更新し、[保存(Save)] をクリックします。

ステップ 3

リモート アクセス VPN ポリシーに必要な設定を完了し、[保存(Save)] をクリックします。

ユーザー ID ベースのアクセス コントロール ルールに VPN アイデンティティを使用する方法

操作内容

詳細

ステップ 1

レルムを作成および設定します。

Active Directory レルムの作成および設定

ステップ 2

アイデンティティ ポリシーを作成し、アイデンティティ ルールを追加します。

アイデンティティ ポリシーおよびアイデンティティ ルールの作成

ステップ 3

アクセス コントロール ポリシーとアイデンティティ ポリシーを関連付けます。

アイデンティティ ポリシーとアクセス コントロール ポリシーの関連付け

ステップ 4

リモート アクセス VPN ポリシーを設定し、ユーザー認証用に新しく作成したレルムを選択します。

リモート アクセス VPN ポリシーの作成または更新

ステップ 5

リモート アクセス VPN ポリシーを展開します。

設定変更の展開

Active Directory レルムの作成および設定

ここでは、レルムを作成し、アクティビティをモニターする VPN ユーザーおよびユーザー グループを指定する手順について説明します。

手順

ステップ 1

Firepower Management Center web インターフェイスで、[システム(System)] > [統合(Integration)] > [レルム(Realms)] を選択します。

ステップ 2

[新しいレルム(New realm)] をクリックして、レルムの詳細を指定し、[OK] をクリックします。

ステップ 3

次のタブに必要な詳細を入力し、[保存(Save)] をクリックします。

  • [ディレクトリ(Directory)]:1 つのレルムに複数のディレクトリを指定できます。この場合、ユーザー制御用のユーザークレデンシャルとグループクレデンシャルを照合するために、そのレルムの [ディレクトリ(Directory)] ページにリストされている順序で、各ドメインコントローラがクエリされます。

    レルム ディレクトリの設定を参照してください。

  • [レルム設定(Realm Configuration)]:レルムの作成中に入力されたレルム設定を更新できます。

  • [ユーザーダッシュボード(User Download)]:ユーザーとグループは、Firepower Management Center のダウンロードに含めることも、ダウンロードから除外することもできます。

ステップ 4

[ステート(State)] を右にスライドし、レルムをユーザー コントロールで使用できるように有効にします。レルムの管理 を参照してください。

ステップ 5

ダウンロードアイコンをクリックし、ユーザーおよびユーザーグループを Firepower Management Center にダウンロードします。ユーザーとグループのダウンロード を参照してください
ステップ 6

[保存(Save)] をクリックします。

アイデンティティ ポリシーおよびアイデンティティ ルールの作成

アイデンティティ ポリシーには、トラフィックに関連付けられているレルムと認証方式に基づいて、ユーザー認証を実行するアイデンティティ ルールが含まれます。アイデンティティ ルールでは、トラフィックのセットを、レルムおよび認証方式(パッシブ認証、アクティブ認証、または認証なし)と関連付けます。アイデンティティ ルールで呼び出す前に、使用するレルムおよび認証方式を完全に設定しておく必要があります。

手順

ステップ 1

Firepower Management Center web インターフェイスで、[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [アイデンティティ(Identity)] を選択し、[新しいポリシー(New Policy)] をクリックします。

ステップ 2

[名前(Name)] および [説明(Description)] を入力し、[保存(Save)] をクリックします。

ステップ 3

ポリシーにルールを追加するには、[ルールの追加(Add Rule)] をクリックし、[名前(Name)] を入力します。

ステップ 4

ルールを有効にするかどうかを指定します。

ステップ 5

既存のカテゴリにルールを追加するには、ルールを [挿入(Insert)] する場所を指定します。新しいカテゴリを追加するには、[カテゴリの追加(Add Category)] をクリックします。

ステップ 6

リストからルール [アクション(Action)] を選択し、リモート アクセス VPN で設定されているインターフェイスを送信元インターフェイスとして選択します。

ステップ 7

[レルムと設定(Realms & Settings)] をクリックし、[レルム(Realms)] リストからアイデンティティルール用に作成された新しいレルムを選択します。リモート アクセス VPN ポリシーでユーザー認証用に選択したものと同じレルムを選択していることを確認してください。

ステップ 8

選択したレルムでユーザーの優先設定を構成し、その他の必要なルール オプションを選択します。
ステップ 9

[追加(Add)] をクリックして、アイデンティティ ポリシーを保存します。

アイデンティティ ポリシーとアクセス コントロール ポリシーの関連付け

アイデンティティ ポリシーを、リモート アクセス VPN ポリシーが展開される Firepower Threat Defense デバイスに展開されているアクセス コントロール ポリシーに関連付ける必要があります。

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [アクセスコントロール(Access Control)] を選択します。

ステップ 2

必要なアクセス コントロール ポリシーを選択し、[編集(Edit)] をクリックします。

ステップ 3

アクセス コントロール ポリシー エディタで、[詳細(Advanced)] をクリックします。

ステップ 4

[アイデンティティポリシー設定(Identity Policy Settings)] 領域で をクリックします。

代わりに 表示[表示(view)] ボタン が表示される場合、設定は先祖ポリシーから継承されており、設定を変更する権限がありません。 設定がロック解除されている場合は、[Inherit from base policy] をオフにして、編集を有効にします。

ステップ 5

ドロップダウン リストからアイデンティティ ポリシーを選択します。

編集アイコンをクリックすると、アイデンティティポリシーを編集できます。

ステップ 6

[OK] をクリックします。

ステップ 7

[保存(Save)] をクリックして、アクセス コントロール ポリシーを保存します。

リモート アクセス VPN ポリシーの作成または更新

手順

ステップ 1

Firepower Management Center の Web インターフェイスで、[デバイス(Devices)] > [VPN] > [リモート アクセス(Remote Access)] を選択します。

ステップ 2

ウィザードを使用して新しいリモートアクセス VPN ポリシーを作成し、新しく作成したレルムを [認証サーバー(Authentication Server)] として選択します。既存のリモートアクセス VPN ポリシーについては、ポリシーを編集し、次の手順を実行します。

  1. VPN ユーザーに割り当てる接続プロファイルを選択し、[編集(Edit)] をクリックします。

  2. [AAA] > [認証方式(Authentication Method)] > [AAA] または [クライアント証明書とAAA(Client Certificate & AAA)] を選択します。

    (注)   

    SAML シングルサインオン(SS)認証では、ユーザーアイデンティティはサポートされていません。認証にユーザー ID(レルム)を使用する場合は、適切な認証方法を選択します。

  3. [認証サーバー(Authentication Server)] として必要なレルムを選択します。

  4. 必要に応じて他の接続プロファイルオプションを更新し、[保存(Save)] をクリックします。

ステップ 3

リモート アクセス VPN ポリシーに必要な設定を完了し、[保存(Save)] をクリックします。