Cisco ASA シリーズリモートアクセスVPN編Cisco ASA 5500 シリーズ A daptive S ecurity A ppliance •AnyConnect (IPSec / SSL VPN) •ステートフルインスペクション

2014年4月9日

Cisco ASA シリーズリモートアクセスVPN編

セキュリティ事業プロダクトセールススペシャリスト

荒島麻依子

シスコシステムズ合同会社

シスコネットワーク基礎トレーニング

Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

目次

•リモートアクセスVPNとは

•シスコのリモートアクセスVPNソリューション

• Cisco AnyConnect セキュアモビリティクライアント

• ASA 5500/5500-X アプライアンス

• Cisco AnyConnectの便利な機能（一例）のご紹介ケーススタディー

•事例紹介

• Partner with Cisco



はじめに

インターネットでの脅威を防ぎ安全なリモートアクセスを実現するために使用されるのがVPNです。

VPN(Virtual Private Network)とは不特定多数が使用する共有ネットワーク上に、あたかも専用線のようなネットワークを作り出すこと。インターネット上の拠点間を専用線のように接続し、のぞき見や改ざんなどの不正アクセスを防ぎ、安全な通信を可能にする技術がVPNだ。パブリックネットワークを使ってプライベートネットワークを実現しようというのである。インターネットを経由しているにもかかわらず、あたかも同一ネットワーク上にいるかのような利便性が得られる。

VPN を実現する主な方法としては、IPsec( Security Architecture for Internet Protocol ) を使用したIPsec-VPNと、SSL(Secure Socket Layer)を使用したSSL-VPNがあります。

IPsec-VPN とSSL-VPN IPsec-VPNとは、IP層で暗号化・認証を行うIPsecを用いてVPNを構築する方法です。一方、SSL-VPNは、リモートアクセス端末と企業イントラネット側のVPN装置間でSSL暗号通信を行うことによりVPNを構築します。

リモートアクセスにおいては、SSL-VPN がIPsec-VPNよりも適していると言えます。（ただし、リモートアクセスのように拠点と不特定多数の地点ではなく、拠点と拠点といった決まった地点を接続する場合には、専用ソフト管理などの運用コストが抑えられるため、高速なIPsec-VPNの方が適しています。）


なぜ、今、リモートアクセスVPNへの関心が高まっているのでしょうか。

自宅・外出先にいながらにして会社でいつも使っているコンピュータやサーバ、アプリケーションなどにアクセスできる環境が必要！！

リモートアクセスVPNの仕組みは10年以上前から普及しているテクノロジーです。

しかしながら最近特に PC＋社内ネットワークがないと業務が遂行できない業務スタイルの普及 BCP対策/ワークスタイル変革の一環として在宅勤務、リモートワークができる環境整備の必要性の高まり

PCの持ち出しは禁止していた企業／組織でもタブレット端末やスマートフォンの採用に伴うモバイルワーク環境の整備の必要性

国内外への出張の復調

がきっかけとなり

リモートアクセスVPN環境があれば対応可能！！


政府・官公庁の動き

『総務省、在宅勤務、情報管理に指針。』

（2013/09/25 日本経済新聞）

『新型インフル対策指針案、自宅待機１週間目安、企業にＢＣＰ求める、政府有識者会議。』

（2013/05/15 日本経済新聞）



ソリューションを構成する製品

インターネット

SSL VPN / IPsec VPNトンネル

メール、Web、ファイル、ビジネスアプリケーション ASA

Any Connect

ソリューション構成製品一覧

１ AnyConnect セキュアモビリティクライアント VPNクライアントソフトウェアデバイスにインストール

２ ASA 5500/ 5500-Xシリーズ VPNコンセントレーター

３ AnyConnect 各種ライセンス（例：Essential、Premium、Mobile等）

AnyConnectによるリモートアクセスVPN機能をASAに搭載するためのASA用ライセンス

BCP対策やテレワークの導入、ワークスタイル変革への対応にともないPCに代表されるモバイル端末のリモートアクセスにはオフィスと変わらない利便性とセキュリティ環境が求められています。ASA＋AnyConnectでお客様の課題解決のご提案が可能です。


リモートアクセスVPN環境 – 整備前と後

非常時、多くの社員が出社困難に…

リモートワーク

作業不可

非常時でも、遠隔拠点から在宅勤務・モバイルワークが可能に

リモートワーク

自宅から、チーム作業継続

本社オフィス本社オフィス

空港・ホテル自宅小規模拠点・

店舗

空港・ホテル自宅小規模拠点・

店舗

Internet



Cisco AnyConnectセキュアモビリティクライアント

圧倒的な導入実績

全世界で

1億ライセンス突破


AnyConnect 対応のパソコン一覧

AnyConnect 3.1の対応OSバージョン

Windows

Windows XP SP3 (32-bit&64-bit) Windows Vista SP1/SP2 (32-bit&64-bit) Windows 7 (32-bit&64-bit) Windows 8 (32-bit&64-bit) ※

Mac

Mac OS X 10.6 (32-bit&64-bit) Mac OS X 10.7 (32-bit&64-bit) Mac OS X 10.8 (32-bit&64-bit) Mac OS X 10.9 (32-bit&64-bit)

Linux Red Hat 6 (32-bit) Ubuntu 9.x、10.x、11.x (32-bit) Ubuntu 12.04, 12.10 (64-bit)

AnyConnectはスマホだけでなく、もちろんパソコンに対応しています。

WindowsやMacの最新OSにも随時対応しています。

※ 2013年10月時点の最新版 AnyConnect 3.1.xでは、Windows RTには対応していません。またWindows 8 の新しいUI(Metroデザイン) では動作しないなどの制限があります。詳細および最新の情報はリリースノートを確認してください。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/release/notes/anyconnect31rn.html#wp43373

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect31/release/notes/anyconnect31rn.html




AnyConnect 対応のスマホ一覧

スマホの端末バージョン AnyConnectアプリの名称

Apple iOS

iPhone/iPod : iOS 4.1以降 Cisco AnyConnect (iTunes App Storeで配信) iPad/iPad mini : iOS4.2.1以降

Android OS

<特定ブランド> Android OS 2.3.3 以降 - Samsung GALAXY - HTC - Kindle

特定ブランド版 AnyConnect(Google Playで配信)※

- Samsung AnyConnect - HTC AnyConnect - Cisco AnyConnect (Kindle Tablet Edition)

<特定ブランド以外> Android OS 4.0以降

ジェネリック版 AnyConnect (Google Playで配信)※

AnyConnect ICS+

※Android OS 向けAnyConnectは、特定ブランド版とジェネリック版では対応している機能が異なります。端末のモデル番号が特定ブランド版にあてはまる場合は、ジェネリック版ではなく特定ブランド版AnyConnectの利用を推奨しています。詳しくはリリースノートを確認してください。

※ ICS版AnyConnectは、Android OS 4.0以降の” Android VPN Framework (AVF) ”の機能が有効な端末で動作します。端末によっては動作しない場合がありますので検証を推奨します。

スマートフォン向けAnyConnectの対応端末は以下の通りです。（2013年10月現在）

詳細および最新の情報はリリースノート(Cisco AnyConnect Secure Mobility Client, Release 3.0.x for Apple iOS、AnyConnect Secure Mobility Client, Release 3.0.x for Android)を確認してください。http://www.cisco.com/en/US/products/ps10884/prod_release_notes_list.html

http://www.cisco.com/en/US/products/ps10884/prod_release_notes_list.html




AnyConnectの主なライセンス

AnyConnect Premium License

AnyConnect Essentials License

AnyConnect Mobile License

【ASA5500-SSL-nn】 nnはユーザ数

【ASA-AC-E-55xx】 55xxは筐体モデル

【ASA-AC-M-55xx】 55xxは筐体モデル

• AnyConnect Essentialsライセンスの機能に加えて、

Clientless SSL-VPN ホストスキャン/ポスチャ

モジュール機能 Cisco Secure Desktop

（VPN接続を安全に行うための各種機能の集まり）

ダイナミックアクセスポリシー（DAP）

Always-On といったASAのVPNで提供できるすべての機能に対応したライセンス。

• 同時接続ユーザ数単位で必要。

• SSL および IPSec VPN 接続用の基本的な AnyConnect 機能に対応。

• ASAの筐体のSSL-VPN接続数の上限までAnyConnectが利用できる安価なライセンス。

• ASAの筐体に1つで良い。

• AnyConnect for iPhone等、モバイルデバイスからのAnyConnectを利用する際に必要となる安価なライセンス。

• ASAの筐体に1つで良い。



リモートアクセス

侵入検知・侵入防止 (IPS)

ファイアウォールマルウェア感染対策

安全なリモートアクセスとネットワーク境界を保護

Cisco ASA 5500シリーズ

Adaptive Security Appliance

• AnyConnect (IPSec / SSL VPN)

•ステートフルインスペクション •仮想ファイアウォール

•カスタマイズシグネチャ •グローバルコリレーション •レピュテーションフィルタ

•ウィルス防御 •ボットネットトラフィック遮断

イントラネット内の防御

IPv6 サポート

ファイアウォール / VPN / IPSを統合


データセンタ大企業支社 SOHO インターネット

エッジ

ASA 5585 SSP-60 (40 Gbps, 350K cps)




ASA 5505 (150 Mbps, 4K cps) ファイアウォール/ VPN / IPS

マルチサービスアプライアンス

VPN:5Gbps

10K Session

VPN:3Gbps

10K Session

VPN:2Gbps

10K Session

VPN:1Gbps

5K Session

VPN:100Mbps

25 Session

ASA 5512-X (1Gbps,10K cps)

VPN:200Mbps

250 Session

VPN:250Mbps

250 Session

ASA 5515-X (1.2Gbps,15K cps)

ASA 5525-X (2Gbps,20K pps)

VPN:300Mbps

750 Session


VPN:400Mbps

2.5K Session


VPN:600Mbps

5K Session

パフォーマンススケーラビリティ

ASA 5500/5500-X シリーズランナップ


IPS ボットネットトラフィック

フィルタ

Router(L3) モードと Transparent (L2) モード対応 Stateful Firewall

ASA 5500-X

リモートVPN Essential Premium Mobile

ASA NGFW Services

Web Security Essentials

Application Visibility Control NGIPS

包括的なネットワークセキュリティサービスが提供可能なアプライアンス

堅牢なファイアウォールに加えて、侵入防御、VPN、コンテンツセキュリティやリモートアクセスなどを備えるフル機能のセキュリティサービスがあらゆる規模のビジネスで求められています。Cisco ASA ファミリのセキュリティデバイスは、そうしたニーズに応えるために開発されました。


ASA 5505

ASA 5512-X

ASA 5515-X

ASA 5525-X

ASA 5545-X

ASA 5555-X

ASA 5585 SSP-10

ASA 5585 SSP-20

ASA 5585 SSP-40

ASA 5585 SSP-60

最大同時 VPN接続数 25 250 250 750 2,500 5,000 5,000 10,000 10,000 10,000

最大 VPNスループット

(3DES/AES) 100 Mbps

200 Mbps

250 Mbps 300 Mbps 400

Mbps 700

Mbps 1 Gbps 2 Gbps 3 Gbps 5 Gbps

FWスループット最大150

Mbps

実効 500Mbps 最大

1Gbps

実効 600Mbps 最大

1.2Gbps

実効 1Gbps 最大

2Gbps

実効 1.5Gbps 最大

3Gbps

実効 2Gbps 最大

4Gbps

実効 2Gbps 最大 4Gbps




次世代スループット N/A 200 Mbps 350 Mbps 650 Mbps 1 Gbps 1.4 Gbps

2 Gbps (ASA CX SSP-10使

用)

5 Gbps (ASA CX

SSP-20使用) N/A N/A

ASA5505/5500-X データシート


ファイアウォール

VPN終端装置

アドバンスドセキュリティアプライアンス

ASAの３大ポイント

6/5（木）17:00~ ＋アルファ編



AnyConnect の便利な機能（一例）のご紹介

1. Host Scan

2. ダイナミックアクセスポリシー（DAP）

• モバイルポスチャ機能

• 簡易端末認証

• 簡易検疫

3. 修復機能

4. 接続の自動化機能

• Always-On

• Trusted Network Detection（TND)

• Connect On Demand

5. URIハンドラ

6. スプリットトンネリング


• 「Host Scan」とはAnyConnectのPostureモジュール機能のこと。

• AnyConnect 3.0より「Posture」という名称の独立したモジュールとして実装されています。

• HostScan は、VPN 接続に先立って、クライアント端末を VPN で社内ネットワークに接続する前に端末のセキュリティに関する情報を収集します。

②Anti-Virus, Anti-Spyware, Personal Firewall, OS 情報、ホスト名、MAC アドレス、レジストリ、File、稼働プロセス…など、情報収集。

③VPN接続時に収集した情報を提供

①情報収集すべき内容を配信

1. Host Scan

参考URL: http://www.cisco.com/web/JP/news/cisco_news_letter/tech/anyconnect/remoteaccess.html

ASA 5500-X シリーズ

Host Scan基本機能の利用にはAnyConnect Premiumが必要です。

Remediation およびMobile Device Management にはAdvanced Endpoint Assessment licenseが必要です。

PCのみ


1. 【参考】Host Scan で収集可能な情報

スキャン項目スキャン対象収集する情報

Anti Virus アンチウイルスソフトに関する情報アンチウィルス名、バージョン、最終アップデートからの経過時間、スキャンの有効/無効

Anti Spyware アンチスパイウェアソフトに関する情

報

アンチスパイウェア名、バージョン、最終アップデートからの経過時間、スキャンの有効/無効

Personal Firewall パーソナルファイアウォールに関する

情報パーソナルファイアウォール名、バージョン、ファイアウォールの有効/無効

OS Client PC のOSに関する情報 OSの種類、適用されているサービスパック(Windowsの場合)

Device Client PC 自体の情報ホスト名、MAC アドレス、オープンポートなど

File 指定したファイルの情報指定ファイルの有無、最終更新日、チェックサムの値

Registry レジストリの情報指定レジストリの有無、値

Process 稼働中プロセスの情報指定プロセスの有無(開始/停止)、そのフルパス


2. Dynamic Access Policies(DAP)

誰が？何を？

どこ

から？

どのようにして？

従業員

パートナー

顧客

ゲスト

アプリ

データ

リソース

自宅

所属オフィス

外出先

拠点オフィス

クライアント利用

クライアントレス

モバイル端末

安全/安全でない

多くの種類の情報

を判断基準にして

接続許可/拒否

通信先限定 (ACL)

接続VPN 方式限定

Clientless VPN 設定

• Authentication と Authorization にユーザやグループ情報に以外にさまざまな情報を利用し、ユーザと端末の状況に合わせた柔軟なVPN接続を実現する機能。

参考URL: http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/vpn_asdm_dap.html?bid=0900e4b182bdeb70

• ASAでのダイナミックアクセスポリシー（DAP）により多くの変数（例：頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティレベルが異なるリモートアクセスサイトからのログイン）に対処する認可機能を設定できます。

ASAでは、定義したポリシーに基づき、特定のユーザに対して、特定のセッションのアクセスが許可されます。

ASA は、ユーザが接続した時点で、DAP レコードからの属性を選択または集約することによって DAP を生成します。DAP レコードは、リモートデバイスのエンドポイントセキュリティ情報および認証されたユーザの AAA 認可情報に基づいて選択されます。選択された DAP レコードは、ユーザトンネルまたはセッションに適用されます。


DAPでは、Host Scan で取得したクライアントPCの情報に加えて、以下の情報を判断材料に利用することができます。

項目名内容

Policy CSD の Pre-login 機能で分類された結

果の情報(設定した場合)

Application VPNの方式(Anyconnect, Ipsec など)

Cisco

ユーザが認証された結果割り当てられたGroup Policy、IP アドレス、Tunnel

Group ユーザ名(ローカル認証した場合)

LDAP ユーザ名をキーに検索したLDAPからの

アトリビュート(任意)

RADIUS ユーザのAuthorization結果として

得られたRADIUSアトリビュート(任意)

Host Scan で収集された情報

AntiVirus, Anti Spyware, Personal Firewall, OS, Device, File, Registry,

Process (P.14 参照)

2. Dynamic Access Policies(DAP)


DAP活用例①：モバイルポスチャ機能

AnyConnectが収集するエンドポイント情報を利用した、アクセス制御を提供する機能。

デバイス証明書に頼らない個体識別が実現。

AnyConnectはプラットフォーム(Apple iOS or Android)、バージョン、デバイス種別、デバイスID (iOS: UDID, Andoid: IMEI) の情報を取得。※AnyConnect3.0でDeviceIDの生成アルゴリズムが変更されています。

Essential Licenseで情報収集、Premium Licenseで制御が可能

本機能はAnyConnect for Android2.4.x, Apple iOS 2.5.x 以降で対応可能。

Android Apple iOS

Release Notes for Cisco AnyConnect Secure Mobility Client, Release 3.0.x for Android http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/release/notes/rn-ac3.0-android.html#wp1210841

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/release/notes/rn-ac3.0-android.html







【参考】モバイルポスチャ機能利用時のASA設定(1) Dynamic Access Policy(DAP)の基本設定

ユーザや端末の詳細情報に基づくアクセス制御をVPN接続時に提供

Configuration > Remote Access VPN > Network (Client) Access > Dynamic Access Policies

利用したいAttributenにチェックを入れ任意の値を選択または入力

Attribute Type: AnyConnectを選択

Actionを選択 (Continue/Quarantine/Terminate, ACL, Banner等)

(Advanced) スクリプトベースの条件記

述 ➔次ページ

※単一IDのみ入力可能


【参考】モバイルポスチャ機能利用時のASA設定(2) Dynamic Access Policy(DAP)の基本設定

• Lua (www.lua.org)の論理表現を利用した柔軟なアクセスポリシー記述が可能。

• 外部ディレクトリを参照するDAP作成に必須。

記述例：

1) 任意の値との比較

(EVAL(endpoint.anyconnect.deviceuniqueid, "EQ", ”xxxxxxxxxxxxxxxxxxxx”))

2) 外部LDAPアトリビュートとの比較

(EVAL(endpoint.anyconnect.deviceuniqueid, "EQ", aaa.ldap.physicalDeliveryOfficeName, ”caseless"))

3) 外部RADIUSアトリビュートとの比較

(EVAL(endpoint.anyconnect.deviceuniqueid, "EQ", aaa.radius[”4163”][”1”], ”caseless”)

参照） ASDM Configuration Guide http://www.cisco.com/en/US/docs/security/asa/asa84/asdm64/configuration_guide/vpn_asdm_dap.html

任意の値の記入および外部ディレクトリの参照 LDAP: aaa.ldap.<label> RADIUS: aaa.radius.<number>

【注意】使用アトリビュートは一例であり推奨値を示しているものではありません。

http://www.lua.org

http://www.cisco.com/en/US/docs/security/asa/asa84/asdm64/configuration_guide/vpn_asdm_dap.html




DAP活用例② – 簡易端末認証（PCのみ）

• Registry や File の有無を条件に、簡易的な端末認証を実施。 (MAC アドレスを利用することもできますが、設定の手順上現実的ではありません。)

• 社用のPCからのみVPN接続を許可し、私物などのPCからは接続できないようにする。

• 特定のユーザだけはPCを限定しないようにすることも可能。


VPN

VPN

社有PC

私有PC

指定ファイル有

指定ファイル無


DAP活用例③ – 簡易検疫（PCのみ）

• 会社公認のアンチウィルスソフトで保護されていない端末からのVPN接続は、許可はするがアクセス先の限定を行う。

• アンチウィルスソフトはインストールされているが、動作していない場合は動作させてから接続する。(後述のRemediation機能を利用)

VPN

社有PC(AV停止中)

社有PC(AV未更新)

VPN

普段利用するサーバ/リソース

アンチウィルス更新サーバ

有効化！


3. Remediation(修復機能)


• Remediation は、指定したアンチウィルス、アンチスパイウェアソフトのアップデートや、パーソナルファイアウォールの設定をポリシーに合わせて実行させる機能。

• 適切に設定やアップデートされていないPCを、VPN接続前に自動的に適切な状態にすることができるため、VPN経由でのウィルス蔓延などのリスクを大きく低減させることに貢献。

HostScan基本機能の利用にはAnyConnect PremiumライセンスおよびAdvanced Endpoint Assessment Licenseが必要です。

①セキュリティソフトのポリシーを配信

②Anti-Virus, Anti-Spyware, Personal Firewall の状態をポリシーと比較。ポリシーに合っていない場合、適応するように Remediation を実行。


② 接続されたら自動的にVPN接続開始

① 常駐してネットワーク接続を監視

• Always-onは、ユーザがPCにログインするとVPNセッションを自動で確立することにより、VPNの常時接続を実現する機能です。

• TNDと連携することで、信頼できないネットワークでPCを利用する際にはVPN接続を強制させます。さらに、VPN接続が確立できない場合にインターネット接続できないように制限することができます。

• Always-onにより、PCのセキュリティは常に”ON”に保たれます。

• Always-onの設定はASAのプロファイルで行います。

• Always-onは、PC(Windows, Mac OS X)で動作します。

VPN Connected

4. 常時接続機能その① 「Always-On」


4. 常時接続機能その② 「Trusted Network Detection(TND)」

• Trusted Network Detection(TND) は、AnyConnectが信頼できる(VPNの必要ない)ネットワークを自動判別し、自動でVPNをオン・オフする機能です。

• 信頼できるネットワークかどうかは、DNS サフィックスかDNS サーバのIPアドレスのいづれの情報を利用して判別されます。

• 端末がネットワークを移動した際にTNDの判別が行われます。信頼できないネットワークに移動するとVPNがオンになり、信頼できるネットワークに移動するとVPNはオフになります。TNDが動作しており、端末が信頼ネットワークにいる場合にも、ユーザは手動でVPN接続をオンにできます。

• TNDの設定はASAのプロファイルで行います。

• TNDは、特定端末向けAndroidで動作します。PC(Windows, Mac OS X)はTNDとAlways-onが連携して動作します。


4. 常時接続機能その③ 「Connect on demand」

• “Connect on demand”とは、指定されたドメインへの接続要求があった場合に自動的にVPN接続を起動するApple iOSの機能です。

• iPhone/iPad用AnyConnectは、”Connect on demand”と連動することで、ユーザが社内サイトへアクセスすると、自動でVPN接続を立ち上げます。

• Always-onやTNDと違い、社内や社外のネットワーク環境を判断してVPN接続をオンオフするものではありません。

• Connect on demandの設定はiPhone構成ユーティリティまたはAnyConnectのクライアント上で行います。ASAのプロファイルエディタでは設定できません。

• Connect on demandはiPhone/iPadでのみ動作します。

• Connect on demandの利用には証明書が必要です。

詳しくは「AnyConnect for iOS の機能と設定」資料を参照してください。http://www.cisco.com/web/JP/partners/sell/technology/security/literature/20110411AnyConnectiOS.pptxデモ動画：「AnyConnect 2.4 for iPhone デモ VoD : Connect on Demand 機能」 http://www.cisco.com/assets/global/JP/partners/sell/technology/security/101020iPhoneDemo2.m4v

http://www.cisco.com/web/JP/partners/sell/technology/security/literature/20110411AnyConnectiOS.pptx

http://www.cisco.com/web/JP/partners/sell/technology/security/literature/20110411AnyConnectiOS.pptx

http://www.cisco.com/assets/global/JP/partners/sell/technology/security/101020iPhoneDemo2.m4v


端末にVPN接続を強制する仕組みを実現する機能は、端末の種別によって異なります。

端末の種類 VPN接続を強制する機能

PC(Windows & Mac OS X) Always-on(VPN常時接続) & Trusted Network Detection(TND)

Android (特定端末向け) Trusted Network Detection(TND)

iPhone/iPad(Apple iOS) Connect on demand

※ Androidに関しては、”AnyConnect for GALAXY”などの特定端末向けAnyConnectのみTNDに対応しています。Android OS4.0以降向けのジェネリック版”AnyConnect ICS”ではTNDは動作しません。

【補足１】端末による機能の違い


【補足２】“VPN接続”の強制機能の対応比較表

提案においては、端末の挙動の違いにご注意ください。

概要 Windows Mac OS X

Linux iPhone,

iPad Android (特定端末)

Android (4.0以降)

Always-on 信頼できないネットワークでVPN接続を強制

対応対応 × × × ×

TND ネットワーク移動時にV PNを自動でオン・オフ

対応対応 × × 対応 ×

Connect on demand

指定ドメイン接続時に V P N を起動

× × × 対応 × ×


5. URIハンドラ

URI※ハンドラで、AnyConnect が外部アプリケーションからの要求に応答する方法を指定することができます。つまり、URI ハンドラを使用することにより、AnyConnect アクションの自動化が可能となります。

外部制御を有効にすると、管理者から送信されたリンクをクリックして、接続の作成または証明書のインポートなどの作業を実行できます。

AnyConnect 管理者以外から送信された URI のコマンドに従って Apple iOS/Android OS を動作させることもできます。

詳細および最新情報は各AnyConnectの「Administering AnyConnect for Mobile Devices」または「Cisco AnyConnect Secure Mobility Client 管理者ガイド」をご確認ください。

URIハンドラで自動化できるアクション（例） • 証明書、設定ファイル（プロファイル）の端末へのインストール • VPN接続の自動開始（AnyConnectの自動起動） • VPN接続の自動切断（AnyConnectの自動終了）

※ インターネット上に存在する情報資源の場所を指し示す記述方式。インターネットにおける情報の「住所」にあたる。URIは包括的な概念であり、現在インターネットで広く用いられているURLはURIの機能の一部を具体的に仕様化したもの。

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect30/administration/guide/acmobiledevices.html

http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect25/administration/guide/ac10_admin_mobile_android.html


6. スプリットトンネリング

通常、IPsec/SSL VPN接続時は、全てのトラフィックがVPN経由となるため、インターネットへのアクセスもVPN経由で社内からのアクセスとなる。

スプリットトンネルを使用すれば、社内へはVPN経由、インターネットへのアクセスを直接アクセスさせレスポンス向上を図ることが可能となる。

IPv6はサポート対象外(ASA8.4現在)

拠点1 Internet

リモートアクセスVPN 端末A

社内Webサーバ

公開Webサーバ

スプリットトンネルが無い場合、インターネットへのアクセスも含めて、全ての通信がVPN経由で行われる

スプリットトンネルの設定時、社内へのアクセスのみVPN経由、インターネットへは直接アクセス



Case １ : 多種多様なスマホ・タブレットでリモートアクセスさせたい

業務の都合上、iPadとAndroidOS搭載のタブレットの両方を使わざるを得ない。さらにもともとのモバイルPCもあり、これらすべてのモバイル端末をまとめてリモートアクセスVPNさせたいのですが・・・。

Cisco AnyConnectは iPhone、 iPad用およびAndroidOS搭載端末用、それぞれがリリースされています。なお端末種類はばらばらでも、ASAは一台で終端することができるので経済的です。


802.1x Auth

with MACsec

802.1x Auth

with EAP-FAST

ユニファイドエンドポイントクライアント

Windows Mac Linux iPhone/iPad Android

マルチデバイス＆マルチOS対応日本語VPNクライアントソフトウェア


Case ２ : 端末の情報に基づいてクライアント接続を制御したい

ワークスタイルの変化に伴い、最近は自宅PCからのリモート接続も多く見受けられるようになりました。業務上必要な接続も多く、すべてを規制するわけにはいかないのですが、社員の自宅PCなどからのVirus感染の危険もありますし、セキュリティーポリシーを満たしたPCのみ、接続を許可したいと考えています。何か良い方法はないでしょうか?

Cisco AnyConnectの機能（具体的にはHost Scan 及び DAP 機能）を使えば、アンチウィルス、アンチスパイウェアのソフトウェアバージョンや会社ポリシーの有無を判断し、接続の許可、拒否を決定することが可能です。


• 「Host Scan」とはAnyConnectのPostureモジュール機能のこと。

• HostScan は、VPN 接続に先立って、クライアント端末を VPN で社内ネットワークに接続する前に端末のセキュリティに関する情報を収集します。

②Anti-Virus, Anti-Spyware, Personal Firewall, OS 情報、ホスト名、MAC アドレス、レジストリ、File、稼働プロセス…など、情報収集。

③VPN接続時に収集した情報を提供

①情報収集すべき内容を配信

機能その①「Host Scan」

参考URL: http://www.cisco.com/web/JP/news/cisco_news_letter/tech/anyconnect/remoteaccess.html


Host Scan基本機能の利用にはAnyConnect Premiumが必要です。

Remediation およびMobile Device Management にはAdvanced Endpoint Assessment licenseが必要です。

PCのみ


機能その②「Dynamic Access Policies(DAP)」

誰が？何を？

どこ

から？

どのようにして？

従業員

パートナー

顧客

ゲスト

アプリ

データ

リソース

自宅

所属オフィス

外出先

拠点オフィス

クライアント利用

クライアントレス

モバイル端末

安全/安全でない

多くの種類の情報を判断基準にして

接続許可/拒否

通信先限定 (ACL)

接続VPN 方式限定

Clientless VPN 設定

• Authentication と Authorization にユーザやグループ情報に以外にさまざまな情報を利用し、ユーザと端末の状況に合わせた柔軟なVPN接続を実現する機能。

参考URL: http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/vpn_asdm_dap.html?bid=0900e4b182bdeb70

• ASAでのダイナミックアクセスポリシー（DAP）により多くの変数（例：頻繁に変更されるイントラネット設定、組織内の各ユーザが持つさまざまなロール、および設定とセキュリティレベルが異なるリモートアクセスサイトからのログイン）に対処する認可機能を設定できます。


Registry や File の有無を条件に、簡易的な端末認証を実施。 (MAC アドレスを利用することもできますが、設定の手順上現実的ではありません。)

社用のPCからのみVPN接続を許可し、私物などのPCからは接続できないようにする、特定のユーザだけはPCを限定しないようにすることも可能。

DAP活用例 – 簡易端末認証（PCのみ）


VPN

VPN

社有PC

私有PC

指定ファイル有

指定ファイル無


Case ３ : Host Scan後に修復をかけたい

Host Scan を実行するとかなりの接続PCが接続できないことが判明しました。接続できないと都度管理者へ連絡がくるため、その対応が結構な負荷になってきてしまったのですが・・・。

Cisco AnyConnectの修復機能(Remediation)を使うと、特定のアンチウィルス、アンチスパイウェアソフトウェアに対して、会社ポリシーに適合しない場合、自動的に修復を試みることが可能です


Remediation(修復機能)


• Remediation は、指定したアンチウィルス、アンチスパイウェアソフトのアップデートや、パーソナルファイアウォールの設定をポリシーに合わせて実行させる機能。

• 適切に設定やアップデートされていないPCを、VPN接続前に自動的に適切な状態にすることができるため、VPN経由でのウィルス蔓延などのリスクを大きく低減させることに貢献。

HostScan基本機能の利用にはAnyConnect PremiumライセンスおよびAdvanced Endpoint Assessment Licenseが必要です。

①セキュリティソフトのポリシーを配信

②Anti-Virus, Anti-Spyware, Personal Firewall の状態をポリシーと比較。ポリシーに合っていない場合、適応するように Remediation を実行。


DAP活用例③ – 簡易検疫（PCのみ）

• 会社公認のアンチウィルスソフトで保護されていない端末からのVPN接続は、許可はするがアクセス先の限定を行う。

• アンチウィルスソフトはインストールされているが、動作していない場合は動作させてから接続する。(後述のRemediation機能を利用)

VPN

社有PC(AV停止中)

社有PC(AV未更新)

VPN

普段利用するサーバ/リソース

アンチウィルス更新サーバ

有効化！



事例紹介①：株式会社ユナイテッドアローズ様

移動中や海外出張中でも、PC・タブレットそれぞれから安心して利用できる

リモートアクセス環境の整備

https://www.cisco.com/web/JP/solution/borderless/literature/pdf/0867_wlan_unitedarrows_cs.pdf


シスコをご選択いただいた理由と効果

Why Cisco?

導入効果

ホテルからのアクセスといった制約の多い環境でも安定して使え

PC、iPad、OSを指定できないBYOD端末にも柔軟に対応できる

Cisco AnyConnect セキュアモビリティクライアント

場所を選ばない業務遂行が業務効率を大幅向上

在庫検索を迅速に、タブレットでお客様に提供、販売機会の損失を回避

戦略の一つである「ワークスタイル変革」の実現


事例紹介②：キヤノンマーケティングジャパン株式会社様

スマートフォンで

利用する、利便性とセキュリ

ティを保ったリモートアクセス環境

https://www.cisco.com/web/JP/solution/borderless/casestudy/pdf/0887_canonmj_cs.pdf


シスコをご選択いただいた理由と効果

Why Cisco?

導入効果

利用実績、導入事例から得られたシスコ製品に対する安心感や信頼感

利用者にとって繋ぎ方が楽なこと利便性とセキュリティの両立が図れること Cisco AnyConnect セキュアモビリティクライアント

場所を選ばない業務遂行が業務効率を大幅向上

市場の変化に迅速に対応した、新しい取り組みに対応できる環境の整備

在宅勤務への足掛かりの構築



パートナーセントラルテクノロジ資料

テクノロジ別にセールス / 技術 / セミナー資料を掲載

Power Point資料多数 (一部pdf)

資料総数はセキュリティカテゴリがNo1

例 : Cisco ASA Next-Generation Firewall Services (チラシ)（2013/07/17）

ASA 9.0 Firewall クラスタ技術アップデート（2013/06/26）

IPS 総合アップデートと大規模環境でのデザインのご紹介（2013/05/15）

Cisco TrustSec アップデート（2013/03/13）

セキュリティだけで200近い資料を掲載中

www.cisco.com/jp/go/partnerdoc/


製品別にソートかけられます！

パートナーセントラルテクノロジ資料


その他参考資料

Cisco AnyConnect でどこからでも安全にhttp://www.cisco.com/web/JP/campaign/134_anyconnect/point.html

ソリューション設計ガイド「Cisco Validated Design」

http://www.cisco.com/web/JP/solution/netsol/designzone/sba/networking_solutions_program_home.html

ラボ検証済みのテクニカルガイダンス

http://www.cisco.com/web/JP/campaign/134_anyconnect/point.html

http://www.cisco.com/web/JP/campaign/134_anyconnect/point.html




リモートアクセスVPN検証キット

リリースのお知らせ

最近問い合わせの多いモバイル端末向けリモートアクセスにAnyConnectの提案がいろいろとできそうなのだが、まずはどのような触ってみたいのだけれども。。。

シスコのAnyConnectによるリモートアクセスVPNだとどのようなことができて、どのような情報がみれるか、検証してみたいが、いきなり機材を渡されてもASAの設定したことないし。。。

ASA 5505 AnyConnect 無線LAN AP

▼ 詳細・お問合せはこちら ▼

http://cisco.cvent.com/remoteaccesstrial




Thank you.

Documents

Cisco ASA シリーズ リモートアクセスVPN編Cisco ASA 5500 シリーズ A daptive S ecurity A ppliance •AnyConnect (IPSec / SSL VPN) •ステートフルインスペクション

Cisco ASA シリーズリモートアクセスVPN編Cisco ASA 5500 シリーズ A daptive S ecurity A ppliance •AnyConnect (IPSec / SSL VPN) •ステートフルインスペクション