キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
7608
閲覧回数
0
いいね!
77
返信

Ask Me Anything イベント: Secure Remote Workers

このイベントに参加するには、Japanese-reply.png をクリックして質問してください

 

AnyConnect、ASAFTDDuoUmbrella などのシスコ セキュア リモート ワーキング テクノロジーにういて話し合うためのトピックです。このセッションでは、エキスパートが Emergency ライセンス、デザイン、設定、トラブルシューティングについて回答します。エキスパートは 12 のタイムゾーンで回答します。また、みなさまのニーズにお応えするために、このセッションは複数の言語に翻訳されます。

このフォーラム イベントはセキュリティ ソリューションに詳しくない方、学習を始めたばかりの方にもイントロダクションとしてご利用いただけます。

3 月 23 日(月)より 4 3 日(金)まで、質問を投稿できます。

エキスパート

divyanai.jpgDivya Nair は、ノースカロライナ州ローレイ在住のセキュリティ ビジネス グループのテクニカル マーケティング エンジニアです。ファイアウォール、IPSVPNAAA などのシスコ ネットワーク セキュリティ テクノロジーに 10 年以上携わり、現在は VPN およびファイアウォール マネージメントを主に担当しています。Divya は、コンピュータ科学技術の学士号を取得しています。

jonnoble.jpgJonny Noble は、Cisco Umbrella とそのまわりの技術のエキスパートで、クラウド セキュリティのテクニカル マーケティング チームをリードしています。Jonny は、20 年以上お客様のグローバル、かつ最新の技術に携わってきました。また、様々なセッションでプレゼンをおこなったり、Cisco Live をはじめとする多くのイベント、トレードショー、展示会などでラボのプロクターを担当してきました。Jonny は電子工学、社会学の学位、およびビジネス MBA CISSP を取得しています。
adganjoo.jpgAditya Ganjoo は、インド バンガロール在住のテクニカル マーケティング エンジニアです。7 年ほどシスコでファイアウォール、VPNAAA などのセキュリティ分野を担当しています。Aditya ASA、および VPN 技術トレーニングも担当してきました。情報技術の学士号、セキュリティの CCIECCIE#58938)を取得しています。シスコ サポート コミュニティにもたくさん参加しており、Cisco Live でも多くのセッションを担当しています。

質問が多数となる場合、DivyaAdityaJonny 3人とも回答できない場合があります。その場合は、引き続き セキュリティ コミュニティをご利用ください。

 

** 評価のお願い **
質疑応答の評価にぜひご協力ください

 

77件の返信77

Split-Exclude Tunnelingで試しましたか。この方法で、トンネルを使用して送らないトラフィックを特定するデバイスにしているということですか?

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。



ありがとうございます。何とかなりそうです。

ローカルLANアクセスはASAでは無効になっており、クライアント側では有効にできません(ネットワーク管理者ではなく、開発者のためです)。

しかし、下記の情報に従って、機能を有効にするよう管理者に依頼できます。
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/70847-local-lan-pix-asa.html

注)この質問は   HansMartinMosner74305による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

良かったです。何かございましたらまたご連絡ください。

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

下記AnyConnectの情報です。ぜひご覧ください。https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/215331-anyconnect-implementation-and-performanc.html

皆さんと皆さんのご家族が無事で健康であることをお祈りいたします。
Monica Lluis
Community Manager Lead

注)このコメントは    Monica Lluisによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。


ドキュメントのシェアありがとうございます。

弊社のグローバルVPNエキスパートが先日RAVPNにフォーカスしたpodcastおよびAnyConnectパフォーマンスを最大限に利用する方法について発表しました。上記以外にも様々なドキュメントへのリンクが含まれています。

https://community.cisco.com/t5/security-documents/episode-57-maximizing-anyconnect-performance-during-the-covid-19/ta-p/4053676 

注)このコメントは  Bill Oによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。

デュアルテレプレゼンスのサービスがあり使いたいのですがユーザネーム・パスワードがありません。
どうすればいいですか?未登録のIPアドレスです。

注)この質問は   FranckBourasseau50897による仏語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

24時間シスコHWリプレイスメントサポートを利用しています。現行のCOVID-19「在宅」期間中シスコTechはオンサイトでリプレイスメントを行なうのですか?例えばドライヴが失敗したときなどにリプレイスメントが出来るかどうか心配です。

注)この質問はJeffFrench3318による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

相互接続された2つのenclaveがあり、外部のenclaveはAnyConnectでネットにアクセスしています。
自身のenclaveはASA-5585-Xにあり、少数のユーザーにアクセスさせる必要があります。当初、AnyConnectセッションを別のセッション内にセットし、トンネル内にトンネルを作成することを考えましたが、機能していないようです。

外部enclaveの管理者に、自分のファイアウォールの外部インターフェイスを公開するNATを作成させた場合、エンドユーザーは別のIPアドレスに接続し、VPNセッションの外部ファイアウォールをバイパスできますか?

レイアウトの概念
Internet ====>> Outside firewall ====>> Outer enclave ====>> Inside firewall (my ASA) ====>> Inner enclave

とにかく必要
Internet ========================>> VPN ===================================>>Inner enclave

注)この質問は    gregg.discenza1による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。



ユーザーがファイアウォールを超えてリソースにアクセスできるようにするためにStatic NATを作成できます。

Internet ========================>> VPN ===================================>>Inner enclave

VPNポリシーで特定のInner enclave subnetを許可し、外部(少数のユーザー)を制限するため、FWの内側に入力ACLを設定することもできます。
Anyconnect VPNがFWの外側で終了し、その後すべてがクリアテキストになると仮定してください。

注)この回答は   Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

内部enclaveのsubnet情報が外部enclaveに公開されているのは仮定としてなります。

内部enclaveにアクセスする必要があるユーザーの一部は外部enclaveにいるため、こちらはIPベースの制限を使用できません。
ASAに接続するWindows 10のVPNアダプタを使う方法はありますか。

注)この質問は    gregg.discenza1による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

外部VPNを使ってすべての接続を終了し、外部ユーザーと内部ユーザーに異なるtunnel-groups/connection profile/group-policyを設定すると問題はありますか?
L2TPを使うと、クライアントはトンネル内トンネルの状態のままになります。

注)この回答は    Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

リモートアクセスVPNにno-split-tunnelまたはtunnel-all-DNSを使用し、機能をUmbrellaと組み合わせると、非管理のエンドポイントはhttpsサイトのUmbrellaブロックページにヒットし、証明書エラーが発生します。
Webトラフィックの80%以上がhttpsを使用しているため、大きな問題です。

Umbrellaのドキュメントに記載されていますが、管理されたエンドポイントであれば、GPO(または他のEMMソフトウェア)を介して、ローカルの証明書ストアに証明書を要求できるため問題にはなりません。

非管理のエンドポイントの場合、エンドユーザーにUmbrella証明書をダウンロードして信頼するように説明するのは難儀です。回避できるベストな方法があればおしえてください。

注)この質問は  Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


非管理のデバイスの場合、デバイスを異なるネットワーク(またはUmbrellaダッシュボードのID)に分割し、別々のポリシーを適用するのがベストです。

個別のポリシーではインテリジェントプロキシを有効にしないでください(ファイル検査がないため、HTTPS復号化はありません)。また、セキュリティはDNSレイヤーのみで実行することで問題は発生しません。

企業ネットワーク(ゲストトラフィックまたは非管理デバイスは個別のVLANまたは個別のSSIDを経由する)のほうが、トラフィックの分割は容易だと認識していますが、ご質問はVPNに接続しているリモートワーカーのことを指していると思いますので、管理デバイス・非管理デバイスも接続タイプは同じです。

非管理のデバイスが含まれるIDを対象とするUmbrellaポリシーでファイル検査を無効にしてください。

注)この回答は jonnobleによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。



回答ありがとうございます。それで出来ると思います。確認出来て良かったです。

 

注)この質問は  Marvin Rhoads による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

CCPからルーターを構成しようとすると、下記のエラーが発生します。

「セキュリティコンポーネントが機能しません。ルーターまたはセキュリティ機能を使用するには、次の手順を実行します。
Java Control panel -> Advanced tab -> Java Plug-in tree Entry
に移動し、Enable next-generation Java Plug-inをオフにしてから、CiscoCPを再起動してください。」

NGN Javaプラグインのチェックを外したいのですが、プラグインオプションが見つかりません。どうすればいいですか。

注)この質問は  jefreyoropesa による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。




ネットワークマネジメントに投稿していただければ詳細な回答が得られますのでそちらに投稿お願いします。
https://community.cisco.com/t5/network-management/bd-p/5931-discussions-network-management


注)この回答は  Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

段階的に分割するよう指示されましたが、分割したくありません。
どなたかトンネルを段階的に分割しなくていいように教えていただけませんか。

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

詳細を教えていただけますか。Splitトンネルを無効にしたいのですか?その場合はTunnelAllオプションを使えば出来ます。
可能でしたらコンフィグレーションをシェアしていただけますか。どのような使用ケースですか。


注)この回答は  Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。

Tunnel allにするとNATステートメントはどのように変わりますか。通常どの作業も分割したトンネルでしています。Tunnel allに変更するとインターネットアクセスが失われます。

注)この質問は   tjjackson による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。


詳細を教えていただけますか。Splitトンネルを無効にしたいのですか?その場合はTunnelAllオプションを使えば出来ます。
可能でしたらコンフィグレーションをシェアしていただけますか。どのような使用ケースですか。

それはASAではないかと思われます。インターネットアクセスには下記のコマンドが必要です。AnyConnectユーザ用にはトラフィックをピン留めする必要があります。 

same-security-traffic はintra-interfaceを認証します。

 

object network obj-AnyconnectPool
nat (outside,outside) dynamic interface

ここではobj-AnyconnectPoolがAnyconnect Pool ネットワークになっています。 


注)この回答は  Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが 後ほど和訳を掲載致します。