CHAPTER 4 シナリオ : サイトツーサイト VPN の設定 この章では セキュリティアプライアンスを使用してサイトツーサイト VPN を作成する方法について説明します セキュリティアプライアンスが提供するサイトツーサイト VPN 機能を使用すると ネットワークセキュリティを維持しながら 低コストな公衆インターネット接続で ビジネスネットワークを世界中のビジネスパートナー およびリモートオフィスに拡張できます VPN 接続を使用すると あるロケーションから別のロケーションに セキュアな接続 ( トンネル ) でデータを送信できます まず 接続の両端が認証され 次に 2 つのサイト間で送信されるすべてのデータが自動的に暗号化されます 次の項目について説明します サイトツーサイト VPN ネットワークトポロジの例 (P.4-2) サイトツーサイトのシナリオの実装 (P.4-3) VPN 接続の反対側の設定 (P.4-14) 次の手順 (P.4-15) 4-1
サイトツーサイト VPN ネットワークトポロジの例 第 4 章 サイトツーサイト VPN ネットワークトポロジの例 図 4-1 で 2 つのセキュリティアプライアンス間の VPN トンネルの例を示します 図 4-1 サイトツーサイト VPN の設定シナリオのネットワークレイアウト A B 10.10.10.0 1 209.165.200.226 209.165.200.236 2 10.20.20.0 132066 図 4-1 で示すような VPN サイトツーサイト配置の作成では 接続のそれぞれの端で 1 つずつ 合計 2 つのセキュリティアプライアンスを設定する必要があります 4-2
第 4 章 サイトツーサイトのシナリオの実装 サイトツーサイトのシナリオの実装 この項では 図 4-1 で示したリモートアクセスのシナリオのパラメータ例を使用して サイトツーサイト VPN 配置でセキュリティアプライアンスを設定する方法を示します 次の項目について取り上げます 必要な情報 (P.4-3) サイトツーサイト VPN の設定 (P.4-3) 必要な情報 この設定手順を開始する前に 次の情報を収集します リモートセキュリティアプライアンスピアの IP アドレス トンネルを使用してリモートサイトのリソースと通信することを許可するローカルホストおよびネットワークの IP アドレス トンネルを使用してローカルリソースと通信することを許可するリモートホストおよびネットワークの IP アドレス サイトツーサイト VPN の設定 この項では ASDM VPN Wizard を使用してサイトツーサイト VPN の設定をセキュリティアプライアンスに行う方法について説明します 次のトピックについて取り上げます ASDM の起動 (P.4-4) ローカルサイトでのセキュリティアプライアンスの設定 (P.4-5) リモート VPN ピアに関する情報の入力 (P.4-7) IKE ポリシーの設定 (P.4-8) IPSec 暗号化および認証パラメータの設定 (P.4-10) ホストおよびネットワークの指定 (P.4-11) VPN アトリビュートの確認とウィザードの完了 (P.4-12) 次の各項では 各設定ステップの実行方法について詳しく説明します 4-3
サイトツーサイトのシナリオの実装 第 4 章 ASDM の起動 Web ブラウザで ASDM を実行するには 次のように工場出荷時のデフォルトの IP アドレスをアドレスフィールドに入力します https://192.168.1.1/admin/ ( 注 ) s を追加して https にすることに注意してください 追加しないと 接続が失敗します HTTPS(HTTP over SSL) は ブラウザとセキュリティアプライアンスとの間でセキュアな接続を提供します ASDM のメインウィンドウが表示されます 4-4
第 4 章 サイトツーサイトのシナリオの実装 ローカルサイトでのセキュリティアプライアンスの設定 ( 注 ) これ以降 最初のサイトのセキュリティアプライアンスを セキュリティアプライアンス 1 と呼びます セキュリティアプライアンス 1 を設定するには 次の手順を実行します ステップ 1 ASDM のメインウィンドウの Wizards ドロップダウンメニューで VPN Wizard オプションを選択します 最初の VPN Wizard 画面が表示されます VPN Wizard の Step 1 で 次の手順を実行します a. Site-to-Site VPN オプションボタンをクリックします ( 注 ) Site-to-Site VPN オプションは 2 つの IPsec セキュリティゲートウェイを接続します これには セキュリティアプライアンス VPN コンセントレータ またはサイトツーサイト IPsec 接続をサポートするその他のデバイスが含まれます b. ドロップダウンリストで 現在の VPN トンネルに対してイネーブルにするインターフェイスとして Outside を選択します 4-5
サイトツーサイトのシナリオの実装 第 4 章 c. Next をクリックして続行します 4-6
第 4 章 サイトツーサイトのシナリオの実装 リモート VPN ピアに関する情報の入力 VPN ピアは 設定している接続の反対側にあるシステムで 通常 リモートサイトにあります ( 注 ) これ以降 このシナリオでは リモート VPN ピアをセキュリティアプライアンス 2 と呼びます VPN Wizard の Step 2 で 次の手順を実行します ステップ 1 ステップ 2 ピア IP アドレス ( セキュリティアプライアンス 2 の IP アドレス このシナリオでは 209.165.200.236) とトンネルグループ名 ( たとえば Cisco ) を入力します 次の手順のいずれかを実行して 使用する認証の種類を指定します 認証にスタティックな事前共有キーを使用するには Pre-Shared Key オプションボタンをクリックし 事前共有キー ( たとえば Cisco ) を入力します このキーは セキュリティアプライアンス間の IPsec ネゴシエーションに使用されます ( 注 ) リモートサイトでセキュリティアプライアンス 2 を設定するとき VPN ピアはセキュリティアプライアンス 1 になります ここで使用するものと同じ事前共有キー (Cisco) を入力してください Challenge/Response Authentication オプションボタンをクリックして その認証方式が使用されるようにします 認証にデジタル証明書を使用するには Certificate オプションボタンをクリックし ドロップダウンリストで Certificate Signing Algorithm を選択します 次に 事前設定されたトラストポイント名をドロップダウンリストで選択します 認証にデジタル証明書を使用する必要があるものの トラストポイント名をまだ設定していない場合は 他の 2 つのオプションのいずれかを使用してウィザードを続行してかまいません 認証設定は 標準の ASDM 画面を使用して後で変更できます 4-7
サイトツーサイトのシナリオの実装 第 4 章 ステップ 3 Next をクリックして続行します IKE ポリシーの設定 IKE は 暗号化方式を含むネゴシエーションプロトコルで データを保護し 機密性を保証します また ピアのアイデンティティも保証する認証方式でもあります ほとんどの場合 ASDM のデフォルト値で 2 つのピア間でセキュアな VPN トンネルを確立できます VPN Wizard の Step 3 で 次の手順を実行します 4-8
第 4 章 サイトツーサイトのシナリオの実装 ステップ 1 IKE セキュリティアソシエーションで セキュリティアプライアンスが使用する暗号化アルゴリズム (DES 3DES または AES) 認証アルゴリズム (MD5 または SHA) および Diffie-Hellman グループ (1 2 または 5) をクリックします ( 注 ) セキュリティアプライアンス 2 を設定するときは セキュリティアプライアンス 1 で選択した各オプションの値を正確に入力する必要があります 暗号化の不一致は VPN トンネル障害のよくある原因で 設定プロセスを遅らせる原因になります ステップ 2 Next をクリックして続行します 4-9
サイトツーサイトのシナリオの実装 第 4 章 IPSec 暗号化および認証パラメータの設定 VPN Wizard の Step 4 で 次の手順を実行します ステップ 1 ドロップダウンリストで 暗号化アルゴリズム (DES 3DES または AES) および認証アルゴリズム (MD5 または SHA) を選択します ステップ 2 Next をクリックして続行します 4-10
第 4 章 サイトツーサイトのシナリオの実装 ホストおよびネットワークの指定 この IPsec トンネルを使用してリモートサイトピアと通信することを許可するローカルサイトのホストおよびネットワークを指定します ホストおよびネットワークを動的に追加または削除するには それぞれ Add または Delete をクリックします 現在のシナリオでは Network A(10.10.10.0) からのトラフィックはセキュリティアプライアンス 1 で暗号化され VPN トンネルを使用して送信されます また この IPsec トンネルを使用してローカルのホストおよびネットワークにアクセスすることを許可するリモートサイトのホストおよびネットワークも指定します ホストおよびネットワークを動的に追加または削除するには それぞれ Add または Delete をクリックします このシナリオでは セキュリティアプライアンス 1 のリモートネットワークは Network B(10.20.20.0) なので このネットワークからの暗号化されたトラフィックは トンネルを使用できます VPN Wizard の Step 5 で 次の手順を実行します ステップ 1 ステップ 2 ステップ 3 ステップ 4 Source 領域の Type ドロップダウンリストで IP Address を選択します ローカルの IP アドレスとネットマスクを それぞれ IP Address フィールドおよび Netmask フィールドに入力します Destination 領域の Type ドロップダウンリストで IP Address を選択します リモートのホストまたはネットワークの IP アドレスとネットマスクを入力します 4-11
サイトツーサイトのシナリオの実装 第 4 章 ステップ 5 Next をクリックして続行します VPN アトリビュートの確認とウィザードの完了 VPN Wizard の Step 6 で ここで作成した VPN トンネルの設定リストを確認します 設定が正しいことを確認したら Finish をクリックし 変更をセキュリティアプライアンスに適用します 4-12
第 4 章 サイトツーサイトのシナリオの実装 ステップ 6 設定変更をスタートアップ設定に保存して デバイスが次回起動するときに変更が適用されるようにするには File メニューで Save をクリックします この操作を行わない場合は ASDM を終了するときに 設定変更を永続的に保存するように求められます 設定変更を保存しないと 次回のデバイス起動時に古い設定が有効になります これで セキュリティアプライアンス 1 の設定プロセスは終わりです 4-13
VPN 接続の反対側の設定 第 4 章 VPN 接続の反対側の設定 これで ローカルなセキュリティアプライアンスが設定されました 次に リモートサイトのセキュリティアプライアンスを設定する必要があります リモートサイトでは VPN ピアとして機能するように 2 番目のセキュリティアプライアンスを設定します ローカルなセキュリティアプライアンスの設定手順のうち P.4-5 の ローカルサイトでのセキュリティアプライアンスの設定 から P.4-12 の VPN アトリビュートの確認とウィザードの完了 までを使用します ( 注 ) セキュリティアプライアンス 2 を設定するときは セキュリティアプライアンス 1 で選択した各オプションと同じ値を 正確に入力する必要があります 不一致は VPN トンネル設定エラーのよくある原因です 4-14
第 4 章 次の手順 次の手順 サイトツーサイト VPN 環境に セキュリティアプライアンスを配置するだけの場合は これで初期設定は終わりです このほかに 次の手順について 実行する必要があるかどうかを検討してください 作業内容設定の調整およびオプション機能と高度な機能の設定日常のオペレーションの学習 参照先 Cisco Security Appliance Command Line Configuration Guide Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages セキュリティアプライアンスは 複数のアプリケーション用に設定できます 次の項で その他の一般的なアプリケーション用にセキュリティアプライアンスを設定する手順を説明します 作業内容 DMZ 内の Web サーバを保護するセキュリティアプライアンスの設定 リモートアクセス VPN の設定 参照先 第 2 章 シナリオ :DMZ の設定 第 3 章 シナリオ :IPsec リモートアクセス VPN の設定 4-15
次の手順 第 4 章 4-16