2020-04-07 02:25 PM 2020-04-07 02:29 PM 更新
このイベントは先週まで開催されていたAsk Me Anything イベント"Secure Remote Workers" の続編です。
Cisco Adaptive Security Appliances (ASA)とFirepower Threat Defense (FTD)およびそれらをシスコセキュリティポートフォリオデバイスとテクノロジと統合したISEやDuoにおける AnyConnect secure mobilityクライアントのためのコンフィグレーション、トラブルシューティング及びベストプラクティスについて質問できるチャンスです。
このセッションは、SSLと Ikev2を使ったAnyConnectの実行について様々な見地から学び質問出来る機会です。現在のような重大な局面において、所属する組織の安全を確実に守るのに役立つ 必要なセキュリティを提供するAnyConnectのエマージェンシーライセンス、コンフィグレーション、デプロイメントおよびトラブルシューティングなどが含まれます。
このイベントに 参加するには、 ボタンをクリックしてください。
4月6日(月)から17日(金)まで質問を投稿できます。
**役に立ったボタンをクリックして参加者を増やしましょう **
質問に対する回答に 必ず評価をお願いします。
2020-04-10 03:46 PM
AMP4Eは、プロテクトしたいエンドポイント数に基づいています。 Anyconnectライセンスの他、AMP4Eライセンスが必要です。エンドポイントにAdvanced Malware Protection(AMP)を配置する媒体となるAnyConnect AMP Enablerが使用できます。AnyConnect AMP Enablerは、社内ローカルのサーバーからAMP for Endpointsソフトウェアをエンドポイントのサブセットにプッシュし、AMPサービスを既存のユーザーベースにインストールします。オーダーは下記URLからお願いします。
AMP4Eは、COVID-19のためRemote Secure Worker Offerに追加されました。
下記をご参照ください。
https://blogs.cisco.com/security/expanding-free-security-offers-into-customers-endpoints
追加することで、既存のお客様はデバイス制限が倍以上になり、リモートワーカーの増加に対応できるようになります。AMP for Endpoints Connectorをデバイスにインストールするだけでよく、他は必要ありません。AnyConnect、Umbrella、Duoと同様、2020年7月1日まで利用可能です。
注)この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:06 AM
開催ありがとうございます。個人的に間接的にですが多くの情報を収集しており、このディスカッションももちろんブックマーク付けています。私のトップ10ブックマークの一つにこれもなると確信しています。
リモートワーカー用にSBL (Start before logon) モジュールを使用しています。オンプレミスからの引き継ぎで、Windowsのワークステーションにキャッシュされた資格情報がないためです。
問題なく機能していますが、AnyconnectにWindowsログオン画面で選択できるprofileを持っている場合でも、エージェントはAnyconnectになり、profile名とプロファイルの汎用FQDNを持つことになります。
この結果、profile名とFQDNがリストされ、ユーザーに再接続する必要があるかのように混乱させています。防ぐ方法はわかりません。
FQDNがAnyconnectにリストされるの防ぎ、profile名のみを持つ方法はありますか。
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:08 AM
お言葉ありがとうございます。
プロファイル名とFQDN両方が見える状態のスクリーンショットをシェアしていただけますか。
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:11 AM
Preferences.xmlファイルでキャッシュを有効にしているようです。ProgramData/cisco/cisco secure mobility client/profileに移動し、設定したprofilename.xml ファイルを開く場合、必ず底部を送信してください。
一般公開するのは良くないため、底部は変更してください。hostaddressとhostnameが同一の場合、同一になるように適宜変更します。
secret.cisco.com
secret.cisco.com
Would become
blah.blah.com
blah.blah.com
それにより同じ値であることがわかります。異なる場合は、ランダムに変更してください。
ボックスへユーザー入力を可能にするフィールドもあります。
trueです。
falseに設定されていると、ユーザーはxml profileによって入力されたものを変更できません。
キャッシュが有効になっていて、ユーザーがFQDNに入力すれば、xml profileからHostNameを選択する代わりに、次回接続する際、最後の接続とHostNameが表示されます。
このフォルダには、キャッシュを無効にできるpreferences.xmlがあります。
C:\ Users \\ AppData \ Local \ Cisco \ Cisco AnyConnect Secure Mobility Client
profilesフォルダにprofile.xmlファイルが複数ありますか。ある場合、ユーザーのAnyconnectログインボックスに複数のエントリが入力されます。
注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:21 AM 2020-04-13 11:23 AM 更新
お二人ともありがとうございます。
より詳細な情報を記載させていただきます。
こちらがサンプルXMLプロファイルの下部にあるものです。
<ServerList> <HostEntry> <HostName>COMPANY NAME - CLIENT (COUNTRY)</HostName> <HostAddress>https://vpn.company.com</HostAddress> <UserGroup>emea_client</UserGroup> </HostEntry> </ServerList>
つまりプロファイル名にあるホスト名とホストアドレスが異なります。
ユーザーの経験は次のとおりです:
・ユーザーが既にWindowsにログインしていて、プロファイル名を選択して接続すると、期待通りの動作をします。
今まではこの視覚的な不具合があっても、ユーザーは必要な場所に接続されています。
しかしユーザーが何らかの理由で切断され、Windowsにログイン中に再接続する必要がある場合には問題が発生します。
エージェントには通常のプロファイル名と、ファイアウォールを正しく指し示しているFQDNが表示されますが、プロファイルの完全なURLは含まれていないため結果的に接続は許可されません。
この状況では、プロファイルリストに誤って表示されているプロファイル名またはFQDNを選択する必要があると混乱させるため、視覚的な不具合が問題になる可能性があります。
これで設定に必要な情報すべてと 何が起きているかお分かりいただけると思います。
PS : 上記のスクリーンショットはすべて私自身がライブテストをして得たものです。
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:25 AM
理由は下記のようです。https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvp53403
ここでバグをトラック出来ます。
注)この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:27 AM
ありがとうございます。それこそ今起きている問題です。この問題は別としてAnyConnectバージョンはありますか。
現在のところ
version 4.7.04056 is affected
version 4.8.03036 is affected
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-13 11:28 AM
今のところバグはアサインされたばかりで今後修正される予定です。
注)この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 12:35 PM
RA VPN vpn-filterでpacket-tracerはどう使いますか。
10.10.10.10がvpnアドレス、192.168.10.3が内部アドレスを想定していますが、packet-tracerの構文はどうあるべきでしょうか。。
packet tracerの外部への入力は、外部インターフェイスのアクセスリストと一致しますか。
注)この質問は patelvc7601 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 03:14 PM
9.9(1) 以降、packet-tracerに復号化オプションを追加しており、VPNトンネルを通過するパケットのシミュレートができます。シミュレートされた「復号化」パケットは、既存のVPNトンネルと照合され、関連するトンネルポリシーが適用されます。
ご質問されている例では、構文は次のようになります。
packet-tracer input outside tcp 10.10.10.10 5050 192.168.10.3 decrypted
上記コマンドでトンネルが確立されますが、実行しない場合、警告が表示されます。
注)この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 12:37 PM 2020-04-14 12:39 PM 更新
Cisco ISEに関する質問をさせていただきます。
国や地域によってリモートアクセスユーザーを制限する必要がある場合、下記を認識しています。
・FirepowerにはGeolocation feedがあり、それをベースにACPルールを作成できるが、ファイアウォールで終了するトラフィック用ではない(RA VPNと同様)。
・RADIUS backend authenticationとして使用するCisco ISEは、認証/許可ルールでTunnel-Client-Endpoint属性を使用でき、接続するクライアントが使用するパブリックIPを提供する。
・Cisco ISEにはGeolocation feedはない。
以上を考慮し、Firepower Geolocation IPリストをエクスポート、condition objectsをCisco ISE(REST API経由)で構築。Tunnel-Client-Endpointがアクセス許可されている特定のcountry objectに該当する場合は、後で照合と考えていました。
現在、以下の質問があります。
1. Geolocation IPデータは、FMCからREST API経由でエクスポート可能か。
2. IPがobjectにリストされているサブネットの1つにするために、ISEで条件を作成することは可能か(方法があれば)。
3. ISEまたはFirepowerには、ロードマップにある機能はあるか。
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 03:18 PM
1. FMCのディレクトリ
root @ fmcv66:/ var / sf / geodb#cat ipv4_country_code_map
root @ fmcv66:/ var / sf / geodb#cat ipv6_country_code_map
および
"ipv4_country_code_map"と"ipv6_country_code_map"からマッピング情報が取得できます。
これにより、IPと関連する国家コードが出力されます。 コードの詳細は下記URLをご参照ください。
https://en.wikipedia.org/wiki/List_of_ISO_3166_country_codes
FMCから国家コードを知りたい場合は、rootとしてFMCで下記perlコマンドを実行してください。
root@fmcv66:/var/sf/geodb# perl -MFlyLoader -e 'my $t="country_code_continent_code_map";my @c=("country_name","country_code");my $n=0;my $s="*"x20;foreach my $row (@{SF::SFDBI::connect()->selectall_arrayref("SELECT ".join(",", @c)." from $t WHERE country_code=242")}){print "$s ".++$n.". $s\n";my $i=0; foreach (@{$row}){printf "%9s: %s\n",@c[$i++],$_}}'
******************** 1. ********************
country_name: fiji
country_code: 242
root@fmcv66:/var/sf/geodb#
また、Geolocationオブジェクトは下記APIからも取得できます。
GET geolocation
Request Type: GET
特定されたIDに関連するGeolocationオブジェクトを取得します。IDが特定されていない場合、すべてのGeolocationオブジェクトのリストを取得します。
URL:
/api/fmc_config/v1/domain/{domain_UUID}/object/geolocations
URL for GET by ID:
/api/fmc_config/v1/domain/{domain_UUID}/object/geolocations/{object_UUID}
2.と3.について、自分はISEが専門ではありませんが、通常はリストではなく属性やIDグループなどの条件に基づいてチェックします。現時点でサポートはないように思いますが、変更があれば、スレッドを更新します。
注)この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 03:22 PM
サポートありがとうございます。
おかげで大きな問題が解決するかもしれません。現時点では、サードパーティの認証プロバイダーが位置情報に基づいて失敗するのを見てきましたが、現状では全てのリモートアクセスソリューションをそのようなプロバイダーに対して認証できるわけではないため、FirepowerまたはISEのいずれかをすぐ使用できるようにするのがよいでしょう。
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 03:24 PM
Duo MFA(FTDベースのリモートアクセスVPNでサポート)を使用しており、Access または Beyond planがある場合は、ユーザーの位置情報に基づいてDuoポリシーを適用できるので覚えておいてください。
たとえば、国外からのアクセスを全て禁止できます。
また、より細かくすることもできます。たとえば、国外からのアクセス全般を遮断しつつ、旅行中または海外に拠点を置く特定のユーザーを免除することも可能です。
注)これは Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 03:26 PM
Marvinさん ありがとうございます。
それはDUOプロキシをISEで使用した場合に可能なのですか?それともFTDから直接SAML認証のDUOのときに出来るのでしょうか?
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-14 03:30 PM
ISEはそのようなサービスを通常提供していませんが、MDM(Meraki Systems Manager)と統合してこのサービスを提供できます。
FTD自体から、control-plane ACLを設定して、不要なブロックをブロックできます。
@dinesh Moudgilが指摘したように、この情報はFMCからcisco.comのgeoパッケージ自体から入手できます。サードパーティのソースまたはANSIBLEを使用することをお勧めします:
https://developer.cisco.com/site/ftd-ansible/#!country/country
間違いなく、@Marvin Rhoadsが参照しているDUOを使用するオプションが私の好みです。ここに記載されているように、DUOプロキシでそれを行うことができます:
https://duo.com/docs/ciscoise-radius
https://duo.com/docs/cisco#cisco-ise-using-radius
しかし、これはSAMLでも可能です。あまりよい資料ではないですが、動画が全てを説明してくれています:
https://youtu.be/W6bE2GTU0Is
(0)
2020-04-14 04:29 PM
ご提案ありがとうございます。
自由時間(!)が得られたらすぐにDUOオプションを探求し、最終的にそれを私たちが使用する別のMFAサプライヤーと並行して動作させるようにします。ジオロケーションがテスト用の無料ライセンスで動作するかご存じですか?
私は提案されたすべてのオプションが好きですが、現状私にとって最も有効なのは、ジオロケーションを使用するFTDでcontrol-plane ACLを使用することのようです。また、このオプションについて質問があります:
1. control-plane ACLは、私の知る限りflexconfigを介して使用でき、過去にいくつかの問題がありました。これらは解決され、シスコはそのような構成をサポートしていますか?
2. FTDのcontrol-plance ACLの場合、SIからジオロケーションオブジェクトを直接使用できますか、もしくはFlexconfigで使用する「LINA」オブジェクトを作成および更新する必要がありますか?
3. このシナリオを続けると、このACLを1つのトンネルグループにのみ適用できますか?私の知る限り、そのファイアウォールのすべての受信リモートアクセスに適用されるので、それに接続するユーザーを制限することになりますか?
4. もし#3が「はい」の場合(FWに接続しているすべてのユーザーの制限)、FTD 6.6の新しいVRF-lite機能が役立ち、複数のインターフェースを作成して、control-plane ACLを特定の「制限された外部」に接続しますか?
これらの質問を書いているときに、control-plane ACLは認証レベルでのジオロケーションほど拡張性ではないように思えてきましたが、それについてあなたの意見をお願いします。
注)この質問は giovanni.augusto による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-15 01:52 PM
1.この修正を含むバージョンを実行していることを確認してください https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvn78593
2、LINA objectを使用する必要があります。
3.原則です。 トンネルグループごとに固有ではありません。
4.機能するはずですが、特定のVRFへのポリシーの適用をすでにテストしており、機能することを確認していますが、この特定のcontrol-planeシナリオでは確認していません。
機能しない場合は、バグを報告する必要があります。 Multi-instanceも機能するはずです。
管理が容易になるため、地域ベースのルールにはDUOを使用することをお勧めしますが、それだけが唯一のオプションではありません。
もう一つのオプションは、機能を分離しFTDの背後にあるRA VPN接続専用のASAを用意して、through-the-boxトラフィックに地理ベースのルールを適用することです。
注)この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-15 01:57 PM 2020-04-15 01:59 PM 更新
Duoの無料トライアルでは、機能が制限されます:
https://duo.com/trial
再販業者に連絡する場合、それはより良いオプションです。
資格のある顧客向けに全ての機能を有効にして、Duo Proof of Valueを手配してくれます。
注)この質問は Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-15 02:01 PM
私たちは最近Cisco FTD 2110および1010をインドの2つの場所で購入しました。Fmcはlimerickにあり、3つすべてがサイト間VPNに接続されています。
limerickでlocal radius serverを使用して、リモートアクセスが機能しています。
limerickでRADIUSサーバーを認証してリモートアクセスを介してインドに接続しようとすると、認証に失敗したと表示されます。
トラブルシューティング中にインドのローカルマシンからradiusサーバーにpingできると表示されますが、FTd 1010からは到達できません。
注)この質問は Gururajansrinivasan32898 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド