リモート アクセス VPN の概要
Device Manager では、セキュアクライアントソフトウェアを使用して SSL 経由でリモートアクセス VPN を設定できます。
セキュアクライアントが Threat Defense デバイスと SSL VPN 接続をネゴシエートする際、Transport Layer Security(TLS)または Datagram Transport Layer Security(DTLS)を使用して接続します。DTLS により、一部の SSL 接続で発生する遅延および帯域幅の問題が回避され、パケット遅延の影響を受けやすいリアルタイム アプリケーションのパフォーマンスが向上します。クライアントおよび Threat Defense デバイスは、使用する TLS/DTLS バージョンをネゴシエートします。DTLS はクライアントがサポートする場合に使用されます。
デバイス モデル別の同時 VPN セッションの最大数
デバイス モデルに基づいて、1 台のデバイスで許可される同時リモート アクセス VPN セッション数に上限が設けられます。この限度は、システム パフォーマンスが許容できないレベルにまで低下することがないように設定されています。キャパシティ プランニングの際は次の限度を考慮してください。
デバイス モデル |
最大同時リモート アクセス VPN セッション数 |
---|---|
Firepower 1010 |
75 |
Firepower 1120 |
150 |
Firepower 1140 |
400 |
Cisco Secure Firewall 1210CE/1210CP |
200 |
Cisco Secure Firewall 1220CX |
300 |
Cisco Secure Firewall 1230 |
500 |
Cisco Secure Firewall 1240 |
1000 |
Cisco Secure Firewall 1250 |
1500 |
Secure Firewall 3110 |
3000 |
Secure Firewall 3120 |
6000 |
Secure Firewall 3130 |
15,000 |
Secure Firewall 3140 |
20,000 |
Firepower 4100 シリーズ、すべてのモデル |
10,000 |
Firepower 9300 appliance、すべてのモデル |
20,000 |
Threat Defense Virtual: FTDv5 |
50 |
Threat Defense Virtual:FTDv10、FTDv20、FTDv30 |
250 |
Threat Defense Virtual: FTDv50 |
750 |
Threat Defense Virtual:FTDv100 |
10,000 |
ISA 3000 |
25 |
セキュアクライアント ソフトウェアのダウンロード
リモートアクセス VPN を設定するには、セキュアクライアント ソフトウェアをワークステーションにダウンロードする必要があります。VPN を定義するときに、これらのパッケージをアップロードする必要があります。
最新の機能、バグ修正、セキュリティ パッチを確保するには、最新の セキュアクライアント バージョンをダウンロードする必要があります。脅威に対する防御 デバイスのパッケージは定期的に更新してください。
![]() (注) |
Windows、Mac、Linux の各オペレーティングシステムごとに 1 つの セキュアクライアント パッケージをアップロードできます。1 つの OS タイプに対して複数のバージョンをアップロードすることはできません。 |
セキュアクライアント ソフトウェアパッケージは software.cisco.com から取得します。クライアントの「フル インストール パッケージ」バージョンをダウンロードしてください。
セキュアクライアント ソフトウェアのインストール方法
VPN 接続を完了するには、ユーザーは セキュアクライアント ソフトウェアをインストールする必要があります。既存のソフトウェア配布方式を使用して、ソフトウェアを直接インストールできます。または、Threat Defense デバイスから セキュアクライアントを直接インストールすることもできます。
ソフトウェアをインストールするには、ユーザにワークステーションでの管理者権限が必要です。
セキュアクライアントがすでにインストールされている場合、新しい セキュアクライアント バージョンがアップロードされると、ユーザーが次に VPN 接続を行った際、新しいバージョンが セキュアクライアント によって検出され、更新されたクライアント ソフトウェアのダウンロードとインストールを指示するメッセージが自動的に表示されます。この自動化により、ソフトウェアの配布が容易になります。
ソフトウェアの最初のインストールをThreat Defense デバイスからユーザに行ってもらう場合、以下の手順を実行するようにユーザに指示します。
![]() (注) |
Android および iOS のユーザーは、適切な App Store から セキュアクライアント をダウンロードする必要があります。 |
手順
ステップ 1 |
Webブラウザを使用して、https://ravpn-address を開きます。ravpn-address は、VPN接続を許可する外部インターフェイスのIPアドレスまたはホスト名です。 このインターフェイスは、リモート アクセス VPN を設定する際に指定します。ログインを指示するメッセージがユーザに示されます。 リモートアクセス VPN 接続用のポートを変更した場合、ユーザは URL にカスタムポートを含める必要があります。たとえば、ポートを 4443 に変更した場合は、https://ravpn.example.com:4443 のような URL にします。 |
ステップ 2 |
サイトにログインします。 ユーザは、リモート アクセス VPN 用に設定されたディレクトリ サーバを使用して認証されます。続行するには、ログインが正常に行われる必要があります。 ログインが成功すると、システムは、必要となる セキュアクライアントのバージョンがインストールされているかを確認します。セキュアクライアントがユーザーのコンピュータにないか、下位のバージョンである場合、システムは自動的に セキュアクライアント ソフトウェアのインストールを開始します。 インストールが終了すると、セキュアクライアント がリモートアクセス VPN 接続を完了します。 |
RADIUS およびグループ ポリシーを使用したユーザの権限および属性の制御
外部 RADIUS サーバまたは 脅威に対する防御 デバイスで定義されているグループ ポリシーから、RA VPN 接続にユーザの認可属性(ユーザの権利または権限とも呼ばれる)を適用できます。脅威に対する防御 デバイスがグループポリシーに設定されている属性と競合する外部 AAA サーバーから属性を受信した場合は、AAA サーバーからの属性が常に優先されます。
脅威に対する防御 デバイスは、次の順序で属性を適用します。
-
AAAサーバ上で定義されたユーザ属性: ユーザ認証や認可が成功すると、サーバからこの属性が返されます。
-
脅威に対する防御 デバイス上で設定されているグループ ポリシー:RADIUS サーバからユーザの RADIUS CLASS 属性 IETF-Class-25(OU=group-policy)の値が返された場合は、脅威に対する防御 デバイスはそのユーザを同じ名前のグループ ポリシーに入れて、そのグループ ポリシーの属性のうち、サーバから返されないものを適用します。
-
接続プロファイルによって割り当てられたグループ ポリシー:接続プロファイルには、接続の事前設定が含まれているほか、認証前にユーザに適用されるデフォルトのグループ ポリシーが含まれています。脅威に対する防御 デバイスに接続するすべてのユーザは、最初にこのグループに所属します。このグループでは、AAA サーバから返されるユーザ属性、またはユーザに割り当てられたグループポリシーにはない属性が定義されています。
Threat Defense デバイスは、ベンダーID 3076のRADIUS属性をサポートします。使用するRADIUSサーバにこれらの属性が定義されていない場合は、手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベンダー コード(3076)を使用します。
次のトピックでは、サポートされている属性値について、値が RADIUS サーバで定義されるかどうか、または RADIUS サーバにシステムが送信する値であるかどうかに基づいて説明します。
RADIUS サーバに送信された属性
RADIUS属性146および150は、認証および許可の要求のために脅威に対する防御 デバイスからRADIUSサーバに送信されます。次の 4 つの属性はすべて、アカウンティング開始、中間アップデート、および終了の要求の場合に 脅威に対する防御 デバイスから RADIUS サーバに送信されます。
属性 |
属性番号 |
シンタックス、タイプ |
シングルまたはマルチ値 |
説明または値 |
---|---|---|---|---|
クライアント タイプ(Client Type) |
150 |
整数 |
シングル |
VPN に接続しているクライアントのタイプは次のとおりです。
|
セッション タイプ |
151 |
整数 |
シングル |
接続のタイプ:
|
Tunnel Group Name |
146 |
文字列 |
シングル |
脅威に対する防御 デバイスで定義されているセッションの確立に使用された接続プロファイルの名前。名前には 1 ~ 253 文字を使用できます。 |
RADIUS サーバから受信した属性
次のユーザ認可属性が 脅威に対する防御 デバイスから RADIUS サーバに送信されます。
属性 |
属性番号 |
シンタックス、タイプ |
シングルまたはマルチ値 |
説明または値 |
---|---|---|---|---|
Access-List-Inbound |
86 |
文字列 |
シングル |
アクセスリスト属性の両方が、脅威に対する防御 デバイスで設定されている ACL の名前を使用します。スマート CLI 拡張アクセス リストのオブジェクト タイプを使用して、これらの ACL を作成します( を選択します)。 これらのACLは、着信(脅威に対する防御 デバイスに入るトラフィック)または発信(脅威に対する防御 デバイスから出るトラフィック)方向のトラフィックフローを制御します。 |
Access-List-Outbound |
87 |
文字列 |
シングル |
|
Address-Pools |
217 |
文字列 |
シングル |
サブネットを識別する脅威に対する防御 デバイスで定義されたネットワークオブジェクトの名前。RA VPNに接続するクライアントのアドレスプールとして使用されます。[オブジェクト]ページでネットワークオブジェクトを定義します。 |
Banner1 |
15 |
文字列 |
シングル |
ユーザがログインしたときに表示されるバナー。 |
Banner2 |
36 |
文字列 |
シングル |
ユーザがログインしたときに表示されるバナーの 2 番目の部分。Banner2 が Banner1 に追加されます。 |
Group-Policy |
25 |
文字列 |
シングル |
接続に使用されるグループポリシー。RA VPN [グループポリシー]ページでグループポリシーを作成する必要があります。次のいずれかの形式を使用できます。
|
Simultaneous-Logins |
2 |
整数 |
シングル |
ユーザが確立を許可されている個別の同時接続数。0 ~ 2147483647。 |
VLAN |
140 |
整数 |
シングル |
ユーザの接続を制限する VLAN。0 ~ 4094。脅威に対する防御 デバイスのサブインターフェイスでも、この VLAN を設定する必要があります。 |
二要素認証
RA VPNの二要素認証を設定できます。二要素認証を使用する場合、ユーザはユーザ名とスタティック パスワードに加えて、RSA トークンや Duo パスコードなどの追加項目を指定する必要があります。二要素認証が 2 番目の認証ソースを使用することと異なるのは、1 つの認証ソースで 2 つの要素が設定され、RSA/Duo サーバとの関係がプライマリ認証ソースに関連付けられている点です。Duo LDAPは例外で、Duo LDAPサーバをセカンダリ認証ソースとして設定します。
システムは、2 番目の要素のためにモバイルにプッシュされる RSA トークンと Duo パスコードを、ニ要素認証プロセスの最初の要素としての RADIUS サーバまたは AD サーバと組み合わせることでテストされています。
RSA 二要素認証
次のいずれかのアプローチを使用して RSA を設定できます。RSA 側の設定の詳細については、RSA のマニュアルを参照してください。
-
Device Manager で RADIUS サーバーとして RSA サーバーを直接定義し、RA VPN のプライマリ認証ソースとしてサーバーを使用します。
このアプローチを使用する場合、ユーザは RSA RADIUS サーバで設定されているユーザ名を使用して認証する必要があります。また、パスワードとトークンをカンマで区切り(password、token)、パスワードと 1 回限りの一時的な RSA トークンを連結します。
この設定では、認証サービスを提供するために(Cisco ISE で供給されるような)個別の RADIUS サーバを使用することが一般的です。2 番目の RADIUS サーバを認証サーバとして設定し、必要に応じてアカウンティングサーバを設定します。
-
RSA サーバを、直接統合をサポートする RADIUS または AD サーバと統合し、プライマリ認証ソースとして非 RSA RADIUS または AD サーバを使用するように RA VPN を設定します。この場合、RADIUS/AD サーバは RSA-SDI を使用して、クライアントと RSA サーバ間の二要素認証を委任およびオーケストレーションします。
このアプローチを使用する場合、ユーザは非 RSA RADIUS または AD サーバで設定されているユーザ名を使用して認証する必要があります。また、パスワードとトークンをカンマで区切り(password、token)、パスワードと 1 回限りの一時的な RSA トークンを連結します。
この設定では、RSA 以外の RADIUS サーバを認証サーバとして設定し、必要に応じてアカウンティング サーバとしても設定します。
RADIUS を使用した Duo 二要素認証
Duo RADIUS サーバはプライマリ認証ソースとして設定できます。このアプローチでは、Duo RADIUS 認証プロキシを使用します。
Duo の設定手順の詳細については、https://duo.com/docs/cisco-firepower を参照してください。
次に、別の RADIUS サーバまたは AD サーバを最初の認証ファクタとして使用し、Duo クラウドサービスを 2 番目の認証ファクタとして使用するため、プロキシサーバ向けの認証要求を転送するように Duo を設定します。
このアプローチを使用する場合、ユーザは、Duo 認証プロキシおよび関連する RADIUS/AD サーバの両方で設定されているユーザ名と、RADIUS/AD サーバで設定されたユーザ名のパスワード(その後に次のいずれかの Duo コードが続く)を使用して認証する必要があります。
-
Duo-passcode。my-password,12345 など
-
push。my-password,pushなど。push は、ユーザによるインストールと登録が完了している Duo モバイル アプリに認証をプッシュ送信するように Duo に指示する場合に使用します。
-
sms。my-password,smsなど。smsを使用して、新しいパスコードのバッチを含むSMSメッセージをユーザのモバイルデバイスに送信するようにDuoに指示します。sms を使用すると、ユーザの認証試行は失敗します。その後、ユーザは再認証し、2 番目の認証ファクタとして新しいパスコードを入力する必要があります。
-
phone。my-password,phoneなど。phone は、電話コールバック認証を実行するように Duo に指示する場合に使用します。
ユーザ名/パスワードが認証されると、Duo 認証プロキシは Duo クラウド サービスに連絡し、Duo クラウド サービスは、その要求が設定されている有効なプロキシ デバイスからのものであることを検証してから、指示に従ってユーザのモバイル デバイスに一時的なパスコードをプッシュ送信します。ユーザがこのパスコードを受け入れると、セッションは Duo で認証済みとマークされ、RA VPN が確立されます。
LDAP を使用した Duo 二要素認証
プライマリソースとしての Microsoft Active Directory(AD)または RADIUS サーバとともに、セカンダリ認証ソースとして Duo LDAP サーバを使用できます。Duo LDAP を使用すると、セカンダリ認証により、プライマリ認証が Duo パスコード、プッシュ通知、または電話コールで検証されます。
脅威に対する防御 デバイスは、ポート TCP/636 経由で LDAPS を使用して、Duo LDAP と通信します。
Duo LDAP サーバは認証サービスのみを提供し、アイデンティティサービスを提供しないことに注意してください。そのため、プライマリ認証ソースとして Duo LDAP を使用する場合、どのダッシュボードにも RA VPN 接続に関連付けられているユーザ名は表示されず、これらのユーザに対してアクセス コントロール ルールを作成することはできません。
このアプローチを使用する場合は、RADIUS/AD サーバと Duo LDAP サーバの両方で設定されているユーザ名を使用して認証する必要があります。セキュアクライアント によってログインするように求められた場合は、プライマリ [パスワード(Password)] フィールドに RADIUS/AD のパスワードを入力します。[セカンダリパスワード(Secondary Password)] では、次のいずれかを使用して Duo で認証します。詳細については、https://guide.duo.com/anyconnectを参照してください。
-
[Duoパスコード(Duo passcode)]:Duo Mobile で生成され、SMS を介して送信され、ハードウェア トークンによって生成されるパスコード、または管理者によって提供されるパスコードを使用して、認証します。1234567 などです。
-
[プッシュ(push)]:Duo Mobile アプリをインストールしてアクティブにしている場合は、ログイン要求を電話機にプッシュします。要求を確認し、[承認(Approve)] をタップしてログインします。
-
[電話(phone)]:電話機のコールバックを使用して認証します。
-
[sms]:Duo パスコードをテキスト メッセージで要求します。ログイン試行は失敗します。新しいパスコードを使用して再度ログインします。
Duo LDAP の詳細な説明と例については、Duo LDAP を使用した二要素認証の設定方法を参照してください。