2020-04-07 02:25 PM 2020-04-07 02:29 PM 更新
このイベントは先週まで開催されていたAsk Me Anything イベント"Secure Remote Workers" の続編です。
Cisco Adaptive Security Appliances (ASA)とFirepower Threat Defense (FTD)およびそれらをシスコセキュリティポートフォリオデバイスとテクノロジと統合したISEやDuoにおける AnyConnect secure mobilityクライアントのためのコンフィグレーション、トラブルシューティング及びベストプラクティスについて質問できるチャンスです。
このセッションは、SSLと Ikev2を使ったAnyConnectの実行について様々な見地から学び質問出来る機会です。現在のような重大な局面において、所属する組織の安全を確実に守るのに役立つ 必要なセキュリティを提供するAnyConnectのエマージェンシーライセンス、コンフィグレーション、デプロイメントおよびトラブルシューティングなどが含まれます。
このイベントに 参加するには、 ボタンをクリックしてください。
4月6日(月)から17日(金)まで質問を投稿できます。
**役に立ったボタンをクリックして参加者を増やしましょう **
質問に対する回答に 必ず評価をお願いします。
2020-04-17 08:30 AM
デバイスの生産前には多大なチェックが必要となり、ファイアウォールの強化から最善措置まで、さまざまな要因に左右されます。
下記URLを確認し、ご質問があればご連絡ください。
https://tools.cisco.com/security/center/resources/firewall_best_practices
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 08:34 AM
RA VPNに関してお勧めの Cisco ASA バージョンはありますか。
注)この質問は patelvc7601による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 08:37 AM
お勧めの ASA OS リリースはCCOに投稿されています。5585-Xファイアウォールについてのお勧めは下記リンクをご覧ください。
https://software.cisco.com/download/home/283123066/type/280775065/release/9.8.4%20Interim
注)この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 08:42 AM
開発上の推奨:
9.8(4.latest) - longevity重視の標準的なお客様向け
9.12(2.latest) -機能速度重視のお客様向け
上記はcisco.comで公開されているスター付きリリースです。推奨リリースはテレメトリに基づき、最新版の展開には時間を要しています。稼働中の装置からのフィードバックがあれば、申し立て(Customer Found Defects・TAC Cases・ Escalationsなど)に基づき十分な情報を得たうえでの決定を行います。
注)この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 08:40 AM
ファイアウォールとしてCisco FTDがあります。
Anyconnect remote access VPNに関して、Anyconnect VPNの終了に外部インターフェイスIPの使用は希望していません。
ネット接続し、/28 subnet があれば、VPN終了に使いたいフリーのパブリックIPアドレスが手に入ります。それがCisco FTDで可能なのであれば、方法をご教示ください。
注)この質問は BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 08:48 AM
もちろん出来ます。普通に新しいIPで第2インターフェイスとAnyConnectを設定してください。クライアントがIPアドレスを使用出来、ISPがトラフィックをあなたのFTDデバイスに送れる限りは作動するはずです。
注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 08:55 AM
インターネット接続が一つしかないのでセカンドインターフェイスとIPアドレスを設定したら もう一方はどこに接続するのですか?
プロバイダにもう一つインターフェイスを接続することは出来ませんよね?
ご教示いただいた解決策が分かりません。やり方についてもっと詳しく教えて下さい。
注)この質問は BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 01:23 PM
Jasonが投稿しておりますが、/28サブネットを使い、RA-VPNを切断する別のインターフェイスを設定できます。実際の外部リンクにRA-VPNを設定したくないということですので。
ルーティングと接続についてですが、ロジックは同じです。エンドユーザが接続・到達できるアップリンクに接続する新しいインターフェイスが必要になります。
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 01:30 PM 2020-04-17 01:45 PM 更新
リモートのVPNユーザーがログインしている間に、CiscoソフトウェアではないAzure MFA clientをユーザーに提供したいのですが、できない場合、ユーザーに協力を求めるメッセージを表示する方法はありますか。
注)この質問は bbcstoneによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-17 01:43 PM
第三者から提供はできるのは、Anyconnect module・customization・xml profileのみになります。
ファイルをダウンロードしてもらうためにログインバナーを変更できますが、ユーザーとのやりとりは必要ありません。
また、ユーザー接続時に起動するログインスクリプトも作成できます。プログラムを実行・ダウンロードするスクリプトを作成すれば、ASAから可能ですが、FMC管理・FDM管理のFTDではできません。
注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 03:45 PM
中国コミュニティメンバーのjijunzhang からの質問です。
FirePowerのFTDバージョンがl2tp over ipsec vpn機能をサポートしていないかどうかを尋ねてもよいですか。
場合によっては、一部の顧客のセキュリティ要件のため、顧客のコンピュータにanyconnectクライアントをインストールする権限がなくても、外部ネットワーク経由でアクセスする必要があります。
Firepowerに代替機能はありますか?
注)この質問は jijunzhang による投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 03:48 PM
現在FTDではIPSEC上のL2TPはサポートしておりません。
残るオプションはAnyConnectの利用です。直近のリリースにL2TPが追加されるかどうか確認します。
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 03:49 PM
プロダクトチームに確認しましたが、現在ファイアパワーの直近のリリースではL2TP追加のロードマップはありませんので、AnyConnectが唯一の方法となります。
注)この回答は Pulkit Saxena による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 03:52 PM 2020-04-20 03:54 PM 更新
中国のコミュニティメンバー sunbin03351 からの質問です。
AnyConnectリモートアクセスVPNをASAvにデプロイできますか? 設定ガイドはありますか?
注)この質問は Yanli Sun による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 03:59 PM
はい。
ASAvはリモートアクセスVPNをサポートしています。 参照:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa99/asav/quick-start/asav-quick/asav-config.html#97965
設定は他のASAプラットフォームと同じですが、Anyconnect VPNを導入するための適切なVPNライセンスがあることを確認してください。
構成例:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100936-asa8x-split-tunnel-anyconnect-config.html
ASAvでのスマートライセンス:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/configuration/general/asa-910-general-config/intro-license-smart.html#task_03242D29B58D4DB9B95F4F844973CE2E
注)この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 03:57 PM
FIPSコンプライアンスがオンになっているクライアント.xmlを構成してテストしていますが、問題なく動作しているようです。
すると何方かが「機能していることをどのようにして確認していますか?」と質問されました。
監査人が確認したいと思うたびに.xmlを見る以外に、FIPSコンプライアンスが行われていることを確認できる場所は他にありますか。
Mac
Client 4.8.00175
Firepower 2140
注)この質問は rhague による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 04:23 PM
クライアントUIのVPNスタティスティックスをご確認ください。FIPSセクションにあります。
注)この回答は Gustavo Medina による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 04:21 PM
AnyConnectが設定されていて、ウイルス対策用のマルウェア対策用にDAPを設定したい。
ASDMを介してこれを設定しています。
質問は、ウイルス対策リストを一度に1つずつ追加する以外の方法はありますか。
BYODが許可されているため、クライアントには非常に多くのアンチウイルスの可能性があります。
すべてを手動で追加すると、時間がかかり非効率になりますがいかがでしょうか。
注)この質問は tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-20 04:42 PM
この問題に対処する方法は2つあります。
1. AVごとにチェックを実行する代わりに、ベンダーに基づいてチェックを実行できます。
2. ASDMにアトリビュートが追加されないようにするには、コマンド"debug menu dap 1"および"debug menu dap 2"を実行します(これらはDAP設定のshowコマンドです)。
次にoutputをコピーし、AVに必要な全ての入力要件に従ってテキストエディターで変更したら、ASAにdap.xmlをアップロードします。
注)この回答は Dinesh Moudgil による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
2020-04-21 10:28 AM
プロセスを把握するために、"debug menu dap 1"と"debug menu dap 2"のコマンド出力を参照し、2つのファイルをxmlファイル"upload dap.xml"に結合後、ASDM経由でアップロードでよろしいでしょうか。
"debug menu dap 1"と"debug menu dap 2"からの出力は面倒なので、1つにまとめました。ドキュメントへのリンクがあれば、チェックしてみてください。
注)この質問は tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド