CHAPTER 9 シナリオ:SSL VPN クライアン トレス 接 続 この 章 では 適 応 型 セキュリティ アプライアンスを 使 用 して ソフトウェア ク ライアントなしで(クライアントレス)リモート アクセス SSL VPN 接 続 を 受 け 入 れる 方 法 について 説 明 します クライアントレス SSL VPN を 使 用 すると Web ブラウザを 使 用 して インターネットを 越 えてセキュアな 接 続 (トンネル)を 作 成 できます この 方 法 を 行 うと オフサイトのユーザにソフトウェア クライア ントまたはハードウェア クライアントを 使 用 せずに セキュアなアクセスを 提 供 できます この 章 には 次 の 項 があります クライアントレス SSL VPN について(P.9-2) ブラウザベースの SSL VPN アクセスを 使 用 するネットワークの 例 (P.9-4) クライアントレス SSL VPN シナリオの 実 装 (P.9-5) 次 の 作 業 (P.9-20) 9-1
クライアントレス SSL VPN について 第 9 章 クライアントレス SSL VPN について クライアント SSL VPN 接 続 を 使 用 すると インターネット 上 のほぼすべてのコ ンピュータから 豊 富 な Web リソースと Web 対 応 アプリケーションにセキュア かつ 簡 単 にアクセスできます 次 のものが 含 まれます 内 部 Web サイト Web 対 応 アプリケーション NT/Active Directory および FTP ファイル 共 有 POP3S IMAP4S SMTPS などの 電 子 メール プロキシ MS Outlook Web Access MAPI アプリケーション アクセス( 他 の TCP ベースのアプリケーションにアクセ スするためのポート 転 送 )とスマート トンネル クライアントレス SSL VPN は Secure Sockets Layer Protocol(SSL)とその 後 継 プロトコルである Transport Layer Security(TLSI)を 使 用 して リモート ユーザ と 中 央 サイトで 設 定 した サポートされている 特 定 の 内 部 リソースの 間 にセ キュアな 接 続 を 提 供 します 適 応 型 セキュリティ アプライアンスが プロキシ する 必 要 がある 接 続 を 認 識 し HTTP サーバが 認 証 サブシステムと 情 報 をやり とりしてユーザを 認 証 します ネットワーク 管 理 者 は グループ 単 位 でクライアントレス SSL VPN のユーザに リソースへのアクセス 権 限 を 付 与 します クライアントレス SSL VPN 接 続 のセキュリティに 関 する 検 討 事 項 適 応 型 セキュリティ アプライアンス 上 のクライアントレス SSL VPN 接 続 は 特 に SSL 対 応 サーバと 情 報 をやりとりする 方 法 と 証 明 書 の 確 認 に 関 して リモー ト アクセス IPsec 接 続 とは 異 なります クライアントレス SSL VPN 接 続 では 適 応 型 セキュリティ アプライアンスがエ ンドユーザの Web ブラウザとターゲット Web サーバ 間 のプロキシの 役 割 を 果 た します ユーザが SSL 対 応 Web サーバに 接 続 すると 適 応 型 セキュリティ アプ ライアンスがセキュアな 接 続 を 確 立 し サーバの SSL 証 明 書 を 確 認 します エ ンドユーザのブラウザが 提 示 される 証 明 書 を 受 け 取 ることはないため エンド ユーザのブラウザから 証 明 書 を 調 べて 確 認 することはできません 9-2
第 9 章 クライアントレス SSL VPN について 適 応 型 セキュリティ アプライアンス 上 の 現 在 のクライアントレス SSL VPN の 実 装 では 有 効 期 限 が 切 れた 証 明 書 を 提 示 したサイトとの 通 信 は 許 可 されていませ ん また 適 応 型 セキュリティ アプライアンスは 信 頼 されている CA 証 明 書 の 確 認 を 行 いません そのため ユーザは SSL 対 応 Web サーバと 通 信 する 前 に SSL 対 応 Web サーバが 提 供 する 証 明 書 を 解 析 することはできません SSL 証 明 書 についてのリスクを 最 小 限 に 抑 えるには 次 の 方 法 があります 1. クライアントレス SSL VPN アクセスを 必 要 とするすべてのユーザで 構 成 さ れるグループ ポリシーを 設 定 し そのグループ ポリシーに 対 してのみイ ネーブルにする 2. たとえば クライアントレス SSL VPN 接 続 を 使 用 してアクセスできるリ ソースを 制 限 するなどして クライアントレス SSL VPN ユーザのインター ネット アクセスを 制 限 する これを 実 行 すると インターネット 上 の 一 般 的 なコンテンツへのアクセスが 制 限 されることがあります その 場 合 クラ イアントレス SSL VPN ユーザがアクセスできるようにする 内 部 ネット ワーク 上 の 特 定 のターゲットへのリンクを 設 定 できます 3. ユーザを 教 育 する SSL 対 応 サイトがプライベート ネットワーク 内 部 にない 場 合 は クライアントレス SSL VPN 接 続 を 介 してそのサイトにアクセスし ないでください そのようなサイトにアクセスするには 個 別 のブラウザ ウィンドウを 開 き そのブラウザを 使 用 して 提 示 された 証 明 書 を 参 照 しま す 適 応 型 セキュリティ アプライアンスは クライアントレス SSL VPN 接 続 用 の 次 の 機 能 をサポートしていません NAT グローバルに 一 意 の IP アドレスの 必 要 性 を 低 下 させます PAT 複 数 のアウトバウンド セッションが 単 一 の IP アドレスから 発 信 され ているように 見 せることを 許 可 します 9-3
第 9 章 ブラウザベースの SSL VPN アクセスを 使 用 するネットワークの 例 ブラウザベースの SSL VPN アクセスを 使 用 するネットワー クの 例 図 9-1 に Web ブラウザを 使 用 して インターネットを 越 えて SSL VPN 接 続 要 求 を 受 け 入 れるように 設 定 されている 適 応 型 セキュリティ アプライアンスを 示 します 図 9-1 SSL VPN 接 続 のネットワーク レイアウト DNS 10.10.10.163 Cisco AnyConnect VPN 10.10.10.0 Cisco AnyConnect VPN WINS 10.10.10.133 VPN 191803 9-4
第 9 章 クライアントレス SSL VPN シナリオの 実 装 クライアントレス SSL VPN シナリオの 実 装 この 項 では Web ブラウザからの SSL VPN 要 求 を 受 け 入 れるように 適 応 型 セ キュリティ アプライアンスを 設 定 する 方 法 について 説 明 します 設 定 内 容 の 例 で 使 われる 値 は 図 9-1 に 示 すリモートアクセス シナリオのものです この 項 は 次 の 内 容 で 構 成 されています 収 集 する 情 報 (P.9-5) ASDM の 起 動 (P.9-6) ブラウザベースの SSL VPN 接 続 用 の ASA 5505 の 設 定 (P.9-9) SSL VPN インターフェイスの 指 定 (P.9-10) ユーザ 認 証 方 式 の 指 定 (P.9-11) グループ ポリシーの 指 定 (P.9-13) リモート ユーザ 用 のブックマーク リストの 作 成 (P.9-14) 設 定 の 確 認 (P.9-19) 収 集 する 情 報 リモート アクセス IPsec VPN 接 続 を 受 け 入 れるように 適 応 型 セキュリティ アプ ライアンスを 設 定 する 手 順 を 開 始 する 前 に 次 の 情 報 を 手 元 に 用 意 してくださ い リモート ユーザが 接 続 する 適 応 型 セキュリティ アプライアンスのインター フェイス 名 リモート ユーザがこのインターフェイスに 接 続 すると SSL VPN ポータル ページが 表 示 されます デジタル 証 明 書 ASA 5505 は デフォルトで 自 己 署 名 証 明 書 を 生 成 します セキュリティを 強 化 し ブラウザの 警 告 メッセージが 表 示 されないようにするため システ ムを 本 番 環 境 に 設 置 する 前 に 公 的 に 信 頼 されている SSL VPN 証 明 書 を 購 入 することができます ローカル 認 証 データベースを 作 成 するときに 使 用 するユーザのリスト( 認 証 用 に AAA サーバを 使 用 している 場 合 を 除 く) 認 証 に AAA サーバを 使 用 する 場 合 AAA サーバ グループ 名 AAA サーバ 上 のグループ ポリシーに 関 する 次 の 情 報 : - サーバ グループ 名 9-5
クライアントレス SSL VPN シナリオの 実 装 第 9 章 - 使 用 する 認 証 プロトコル(TACACS SDI NT Kerberos LDAP) - AAA サーバの IP アドレス - 認 証 に 使 用 する 適 応 型 セキュリティ アプライアンスのインターフェイ ス - AAA サーバで 認 証 を 行 うための 秘 密 鍵 リモート ユーザが 接 続 を 確 立 したときに SSL VPN ポータル ページに 表 示 する 内 部 Web サイトまたはページのリスト これは ユーザが 初 めて 接 続 を 確 立 したときに 表 示 されるページなので リモート ユーザが 最 も 頻 繁 に 使 用 するターゲットを 含 める 必 要 があります ASDM の 起 動 この 項 では ASDM Launcher ソフトウェアを 使 用 して ASDM を 起 動 する 方 法 に ついて 説 明 します ASDM Launcher ソフトウェアがインストールされていない 場 合 は P.5-7 の ASDM Launcher のインストール を 参 照 してください Web ブラウザまたは Java を 使 用 して ASDM に 直 接 アクセスする 場 合 は P.5-10 の Web ブラウザを 使 用 した ASDM の 起 動 を 参 照 してください ASDM Launcher ソフトウェアを 使 用 して ASDM を 起 動 するには 次 の 手 順 に 従 います ステップ 1 デスクトップから Cisco ASDM Launcher ソフトウェアを 起 動 します ダイアログボックスが 表 示 されます 9-6
第 9 章 クライアントレス SSL VPN シナリオの 実 装 ステップ 2 ステップ 3 適 応 型 セキュリティ アプライアンスの IP アドレスまたはホスト 名 を 入 力 しま す Username と Password のフィールドは 空 白 のままにしておきます ( 注 ) デフォルトでは Cisco ASDM Launcher に Username と Password は 設 定 さ れていません ステップ 4 ステップ 5 OK をクリックします 証 明 書 の 受 け 入 れ 要 求 を 含 むセキュリティ 警 告 が 表 示 された 場 合 は Yes を クリックします ASA が アップデートされたソフトウェアがあるかどうか 確 認 し ある 場 合 は 自 動 的 にダウンロードします メイン ASDM ウィンドウが 表 示 されます 9-7
クライアントレス SSL VPN シナリオの 実 装 第 9 章 9-8
第 9 章 クライアントレス SSL VPN シナリオの 実 装 ブラウザベースの SSL VPN 接 続 用 の ASA 5505 の 設 定 ブラウザベースの SSL VPN の 設 定 用 のプロセスを 開 始 するには 次 の 手 順 に 従 います ステップ 1 メイン ASDM ウィンドウで Wizards ドロップダウン メニューから SSL VPN Wizard を 選 択 します SSL VPN Feature Step 1 画 面 が 表 示 されます ステップ 2 SSL VPN Wizard の Step 1 で 次 の 手 順 に 従 います a. Browser-based SSL VPN (Web VPN) チェックボックスをオンにします b. Next をクリックして 続 行 します 9-9
クライアントレス SSL VPN シナリオの 実 装 第 9 章 SSL VPN インターフェイスの 指 定 SSL VPN Wizard の Step 2 で 次 の 手 順 に 従 います ステップ 1 リモート ユーザが 接 続 する 接 続 名 を 指 定 します ステップ 2 ステップ 3 SSL VPN Interface ドロップダウン リストから リモート ユーザが 接 続 するイン ターフェイスを 選 択 します ユーザがこのインターフェイスへの 接 続 を 確 立 する と SSL VPN ポータル ページが 表 示 されます Certificate ドロップダウン リストから ASA を 認 証 するために ASA がリモート ユーザに 送 信 する 証 明 書 を 選 択 します 9-10
第 9 章 クライアントレス SSL VPN シナリオの 実 装 ( 注 ) ASA 5505 は デフォルトで 自 己 署 名 証 明 書 を 生 成 します セキュリティを 強 化 し ブラウザの 警 告 メッセージが 表 示 されないようにするため システムを 本 番 環 境 に 設 置 する 前 に 公 的 に 信 頼 されている SSL VPN 証 明 書 を 購 入 することが できます ユーザ 認 証 方 式 の 指 定 ユーザの 認 証 は ローカル 認 証 データベース または 外 部 の Authentication, Authorization, and Accounting(AAA; 認 証 認 可 アカウンティング)サーバを 使 用 して 実 行 できます(AAA サーバには RADIUS TACACS+ SDI NT Kerberos および LDAP があります) SSL VPN Wizard の Step 3 で 次 の 手 順 に 従 います ステップ 1 AAA サーバまたはサーバ グループを 認 証 に 使 用 している 場 合 次 の 手 順 に 従 い ます a. Authenticate Using an AAA Server Group オプション ボタンをクリックしま す 9-11
クライアントレス SSL VPN シナリオの 実 装 第 9 章 b. 事 前 設 定 されているサーバ グループを Authenticate using an AAA Server Group ドロップダウン リストから 選 択 するか New をクリックして 新 しい AAA サーバ グループを 追 加 します 新 しい AAA サーバ グループを 作 成 するには New をクリックします New Authentication Server Group ダイアログボックスが 表 示 されます このダイアログボックスで 次 の 内 容 を 指 定 します - サーバ グループ 名 - 使 用 する 認 証 プロトコル(TACACS SDI NT Kerberos LDAP) - AAA サーバの IP アドレス - 適 応 型 セキュリティ アプライアンスのインターフェイス - AAA サーバと 通 信 するときに 使 用 する 秘 密 鍵 OK をクリックします 9-12
第 9 章 クライアントレス SSL VPN シナリオの 実 装 ステップ 2 ローカル ユーザ データベースを 使 用 してユーザを 認 証 する 場 合 次 の 手 順 で 新 しいユーザ アカウントを 作 成 できます ASDM 設 定 インターフェイスを 使 用 し て 後 でユーザを 追 加 することもできます 新 しいユーザを 追 加 するには ユーザ 名 とパスワードを 入 力 し Add をクリック します ステップ 3 新 しいユーザの 追 加 が 終 了 したら Next をクリックして 続 行 します グループ ポリシーの 指 定 SSL VPN Wizard の Step 4 で 次 の 手 順 に 従 ってグループ ポリシーを 指 定 します ステップ 1 Create new group policy オプション ボタンをクリックして グループ 名 を 指 定 し ます または Modify an existing group policy オプション ボタンをクリックして ドロップダウ ン リストからグループを 選 択 します 9-13
クライアントレス SSL VPN シナリオの 実 装 第 9 章 ステップ 2 Next をクリックします リモート ユーザ 用 のブックマーク リストの 作 成 ユーザが 簡 単 にアクセスできるように URL のリストを 指 定 して ポータル ペー ジ つまりブラウザベースのクライアントが 適 応 型 セキュリティ アプライアン スへの VPN 接 続 を 確 立 したときに 表 示 される 特 別 な Web ページを 作 成 できま す SSL VPN Wizard の Step 5 で 次 の 手 順 に 従 って VPN ポータル ページに 表 示 す る URL を 指 定 します 9-14
第 9 章 クライアントレス SSL VPN シナリオの 実 装 ステップ 1 既 存 のブックマーク リストを 指 定 するには ドロップダウン リストからブック マーク リスト 名 を 選 択 します 新 しいリストを 追 加 するか 既 存 のリストを 編 集 するには Manage をクリック します Configure GUI Customization Objects ダイアログボックスが 表 示 されます 9-15
クライアントレス SSL VPN シナリオの 実 装 第 9 章 ステップ 2 新 しいブックマーク リストを 作 成 するには Add をクリックします 既 存 のブックマーク リストを 編 集 するには リストを 選 択 して Edit をクリック します Add Bookmark List ダイアログボックスが 表 示 されます 9-16
第 9 章 クライアントレス SSL VPN シナリオの 実 装 ステップ 3 ステップ 4 URL List Name ボックスで 作 成 するブックマーク リスト 名 を 指 定 します この 名 前 は VPN ポータル ページのタイトルとして 使 用 されます Add をクリックして 新 しい URL をブックマーク リストに 追 加 します Add Bookmark Entry ダイアログボックスが 表 示 されます ステップ 5 ステップ 6 Bookmark Title フィールドで リストのタイトルを 指 定 します URL Value ドロップダウン リストから 指 定 する URL のタイプを 選 択 します たとえば http https ftp などです 9-17
クライアントレス SSL VPN シナリオの 実 装 第 9 章 次 に ページの 完 全 な URL を 指 定 します ステップ 7 ステップ 8 ステップ 9 OK をクリックして Add Bookmark List ダイアログボックスに 戻 ります ブックマーク リストの 追 加 が 終 了 したら OK をクリックして Configure GUI Customization Objects ダイアログボックスに 戻 ります ブックマーク リストの 追 加 および 編 集 が 終 了 したら OK をクリックして SSL VPN Wizard の Step 5 に 戻 ります ステップ 10 Bookmark List ドロップダウン リストから この VPN グループのブックマーク リスト 名 を 選 択 します ステップ 11 Next をクリックして 続 行 します 9-18
第 9 章 クライアントレス SSL VPN シナリオの 実 装 設 定 の 確 認 SSL VPN Wizard の Step 7 で 設 定 内 容 が 正 しいことを 確 認 します 表 示 される 設 定 は 次 のようになります 適 切 に 設 定 されている 場 合 は Finish をクリックして 適 応 型 セキュリティ アプ ライアンスに 変 更 内 容 を 適 用 します 次 にデバイスを 起 動 するときに 適 用 されるように 設 定 変 更 をスタートアップ コンフィギュレーションに 保 存 する 場 合 は File メニューから Save をクリック します または ASDM を 終 了 するときに 設 定 変 更 を 半 永 久 的 に 保 存 するよう に 求 められます 設 定 変 更 を 保 存 しない 場 合 は 次 にデバイスを 起 動 するときに 変 更 前 の 設 定 がそ のまま 適 用 されます 9-19
次 の 作 業 第 9 章 次 の 作 業 クライアントレス SSL VPN 環 境 だけに 適 応 型 セキュリティ アプライアンスを 配 置 する 場 合 は これで 初 期 設 定 が 終 了 しました さらに 次 の 手 順 を 実 行 するこ ともできます 実 行 内 容 詳 細 な 設 定 およびオプション 機 能 と 拡 張 機 能 の 設 定 日 常 的 な 運 用 について 参 照 先 Cisco Security Appliance Command Line Configuration Guide Cisco Security Appliance Command Reference Cisco Security Appliance Logging Configuration and System Log Messages 複 数 のアプリケーションに 適 応 型 セキュリティ アプライアンスを 設 定 できま す 次 の 項 では 適 応 型 セキュリティ アプライアンスの 他 の 一 般 的 なアプリケー ションの 設 定 手 順 について 説 明 します 実 行 内 容 参 照 先 DMZ 内 の Web サーバを 保 護 するた 第 6 章 シナリオ:DMZ 設 定 めの 適 応 型 セキュリティ アプライ アンスの 設 定 リモートアクセス VPN の 設 定 AnyConnect VPN の 設 定 サイトツーサイト VPN の 設 定 第 7 章 シナリオ:IPsec リモートアクセ ス VPN 設 定 第 9 章 シナリオ:SSL VPN クライアン トレス 接 続 第 10 章 シナリオ:サイトツーサイト VPN 設 定 9-20