キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
9625
閲覧回数
0
いいね!
133
返信

コミュニティ Ask Me Anythingイベント – コンフィグレーション、トラブルシューティングとベストプラクティス: ASAとFTDにおけるAnyConnect Remote Access VPN

このイベントは先週まで開催されていたAsk Me Anything イベント"Secure Remote Workers" の続編です。

Cisco Adaptive Security Appliances (ASA)とFirepower Threat Defense (FTD)およびそれらをシスコセキュリティポートフォリオデバイスとテクノロジと統合したISEやDuoにおける AnyConnect secure mobilityクライアントのためのコンフィグレーション、トラブルシューティング及びベストプラクティスについて問できるチャンスです

 

このセッションは、SSLと Ikev2を使ったAnyConnectの実行について様々な見地から学び質問出来る機会です。現在のような重大な局面において、所属する組織の安全を確実に守るのに役立つ 必要なセキュリティを提供するAnyConnectのエマージェンシーライセンス、コンフィグレーション、デプロイメントおよびトラブルシューティングなどが含まれます。

 

このイベントに 参加するには、Japanese-reply.png ボタンをクリックしてください。

4月6日(月)から17日(金)まで質問を投稿できます。

エキスパート
dinesh.jpgDinesh Moudgil はインドのバンガロールにあるシスコのセキュリティチームのHigh Touch Technical Support (HTTS) エンジニアです。シスコテクノロジに勤務して6年以上になり、主にCisco Next Generation Firewalls、Intrusion Prevention Systems、Identity Management & Access Control (AAA) と VPNを担当しています。CCNP, CCDP 及び CCIE #58881 セキュリティ検定、およびACE、 PCNSE 、VCPといった様々なベンダー検定を取得しています。

 

pulkit.pngPulkit Saxena はシスコのセキュリティドメインのHigh Touch Technical Support (HTTS) エンジニアで7年に亘りチームに貢献しています。複数ファイアウォールや様々なVPNソリューション、AAA、次世代IPSの実地経験があり、様々なトレーニングも行っています。Cisco および Juniperベンダ検定(CCIE Security と JNCIA)を取得しています。

jgrudier.jpgJason Grudier はノースカロライナ州のローリーでVPN TACチームのテクニカルリーダーをしており、シスコのVPNチームに6年勤務しています。それ以前はLabcorp でネットワークエンジニアをしていました。現在は主に、DMVPN、 GETVPN、 Radius、 LDAPおよび証明書認証、シスコのプラットフォーム全体のAnyConnectのトラブルシューティングとコンフィグレーションに携わっています。

 

josemed.jpgGustavo Medina はエンタープライズネットワーキングセールスチームのシステムセールスエンジニアで、セキュリティとエンタープライズネットワーキングにおいて10年以上の経験があります。テクニカルエスカレーションやパートナーアドプションからシスコサーティフィケーション評価の改訂に至るまで様々なタスクにフォーカスしてきました。セキュリティのCCNA、 CCNP CCSI およびCCIE (#51487)を取得しています。

 

質問が多数となる場合、Dinesh、 Pulkit、 Jason、Gustavo の4人とも回答できない場合があります。その場合は、引き続き Securityコミュニティをご利用ください。  

質問を投稿するとコミュニティのすべての言語に翻訳されます。

**役に立ったボタンをクリックして参加者を増やしましょう **
質問に対する回答に 必ず評価をお願いします。

133件の返信133

デバイスの生産前には多大なチェックが必要となり、ファイアウォールの強化から最善措置まで、さまざまな要因に左右されます。

下記URLを確認し、ご質問があればご連絡ください。

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/200150-Cisco-Guide-to-Harden-Cisco-ASA-Firewall.html

https://tools.cisco.com/security/center/resources/firewall_best_practices

 

注)この回答は  Pulkit Saxena  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

RA VPNに関してお勧めの Cisco ASA バージョンはありますか。

注)この質問は   patelvc7601による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


お勧めの ASA OS リリースはCCOに投稿されています。5585-Xファイアウォールについてのお勧めは下記リンクをご覧ください。
https://software.cisco.com/download/home/283123066/type/280775065/release/9.8.4%20Interim


注)この回答は  Dinesh Moudgil  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

 

開発上の推奨:

9.8(4.latest) - longevity重視の標準的なお客様向け
9.12(2.latest) -機能速度重視のお客様向け

上記はcisco.comで公開されているスター付きリリースです。推奨リリースはテレメトリに基づき、最新版の展開には時間を要しています。稼働中の装置からのフィードバックがあれば、申し立て(Customer Found Defects・TAC Cases・ Escalationsなど)に基づき十分な情報を得たうえでの決定を行います。

注)この回答は  Gustavo Medina  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


ファイアウォールとしてCisco FTDがあります。
Anyconnect remote access VPNに関して、Anyconnect VPNの終了に外部インターフェイスIPの使用は希望していません。
ネット接続し、/28 subnet があれば、VPN終了に使いたいフリーのパブリックIPアドレスが手に入ります。それがCisco FTDで可能なのであれば、方法をご教示ください。

注)この質問は  BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


もちろん出来ます。普通に新しいIPで第2インターフェイスとAnyConnectを設定してください。クライアントがIPアドレスを使用出来、ISPがトラフィックをあなたのFTDデバイスに送れる限りは作動するはずです。

注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。 


インターネット接続が一つしかないのでセカンドインターフェイスとIPアドレスを設定したら もう一方はどこに接続するのですか?
プロバイダにもう一つインターフェイスを接続することは出来ませんよね?

ご教示いただいた解決策が分かりません。やり方についてもっと詳しく教えて下さい。

注)この質問は  BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

Jasonが投稿しておりますが、/28サブネットを使い、RA-VPNを切断する別のインターフェイスを設定できます。実際の外部リンクにRA-VPNを設定したくないということですので。
ルーティングと接続についてですが、ロジックは同じです。エンドユーザが接続・到達できるアップリンクに接続する新しいインターフェイスが必要になります。

 

注)この回答は  Pulkit Saxena  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

 

リモートのVPNユーザーがログインしている間に、CiscoソフトウェアではないAzure MFA clientをユーザーに提供したいのですが、できない場合、ユーザーに協力を求めるメッセージを表示する方法はありますか。

注)この質問は   bbcstoneによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

第三者から提供はできるのは、Anyconnect module・customization・xml profileのみになります。
ファイルをダウンロードしてもらうためにログインバナーを変更できますが、ユーザーとのやりとりは必要ありません。
また、ユーザー接続時に起動するログインスクリプトも作成できます。プログラムを実行・ダウンロードするスクリプトを作成すれば、ASAから可能ですが、FMC管理・FDM管理のFTDではできません。


注)この回答は jgrudierによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。 

中国コミュニティメンバーのjijunzhang からの質問です。

 

FirePowerのFTDバージョンがl2tp over ipsec vpn機能をサポートしていないかどうかを尋ねてもよいですか。
場合によっては、一部の顧客のセキュリティ要件のため、顧客のコンピュータにanyconnectクライアントをインストールする権限がなくても、外部ネットワーク経由でアクセスする必要があります。

Firepowerに代替機能はありますか?

注)この質問は  jijunzhang による投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


現在FTDではIPSEC上のL2TPはサポートしておりません。
残るオプションはAnyConnectの利用です。直近のリリースにL2TPが追加されるかどうか確認します。

注)この回答は  Pulkit Saxena  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

プロダクトチームに確認しましたが、現在ファイアパワーの直近のリリースではL2TP追加のロードマップはありませんので、AnyConnectが唯一の方法となります。

注)この回答は  Pulkit Saxena  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

中国のコミュニティメンバー sunbin03351 からの質問です。

AnyConnectリモートアクセスVPNをASAvにデプロイできますか? 設定ガイドはありますか?

注)この質問は   Yanli Sun による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

はい。

ASAvはリモートアクセスVPNをサポートしています。 参照:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa99/asav/quick-start/asav-quick/asav-config.html#97965

設定は他のASAプラットフォームと同じですが、Anyconnect VPNを導入するための適切なVPNライセンスがあることを確認してください。
構成例:
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/100936-asa8x-split-tunnel-anyconnect-config.html
ASAvでのスマートライセンス:
https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/configuration/general/asa-910-general-config/intro-license-smart.html#task_03242D29B58D4DB9B95F4F844973CE2E

注)この回答は  Dinesh Moudgil  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。



FIPSコンプライアンスがオンになっているクライアント.xmlを構成してテストしていますが、問題なく動作しているようです。
すると何方かが「機能していることをどのようにして確認していますか?」と質問されました。
監査人が確認したいと思うたびに.xmlを見る以外に、FIPSコンプライアンスが行われていることを確認できる場所は他にありますか。

Mac

Client 4.8.00175

Firepower 2140

注)この質問は   rhague による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

クライアントUIのVPNスタティスティックスをご確認ください。FIPSセクションにあります。

注)この回答は  Gustavo Medina  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

AnyConnectが設定されていて、ウイルス対策用のマルウェア対策用にDAPを設定したい。
ASDMを介してこれを設定しています。
質問は、ウイルス対策リストを一度に1つずつ追加する以外の方法はありますか。

BYODが許可されているため、クライアントには非常に多くのアンチウイルスの可能性があります。
すべてを手動で追加すると、時間がかかり非効率になりますがいかがでしょうか。



注)この質問は  tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

 

この問題に対処する方法は2つあります。
1. AVごとにチェックを実行する代わりに、ベンダーに基づいてチェックを実行できます。
Screenshot 2020-04-16 at 12.55.04 PM.png

2. ASDMにアトリビュートが追加されないようにするには、コマンド"debug menu dap 1"および"debug menu dap 2"を実行します(これらはDAP設定のshowコマンドです)。
次にoutputをコピーし、AVに必要な全ての入力要件に従ってテキストエディターで変更したら、ASAにdap.xmlをアップロードします。

注)この回答は  Dinesh Moudgil  による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。



Cisco Network Security Channel - https://www.youtube.com/c/CiscoNetSec/

プロセスを把握するために、"debug menu dap 1"と"debug menu dap 2"のコマンド出力を参照し、2つのファイルをxmlファイル"upload dap.xml"に結合後、ASDM経由でアップロードでよろしいでしょうか。

"debug menu dap 1"と"debug menu dap 2"からの出力は面倒なので、1つにまとめました。ドキュメントへのリンクがあれば、チェックしてみてください。

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします