Ask Me Anything イベント: Secure Remote Workers

CiscoJapanModerator · ‎2020-03-25

このイベントに参加するには、 をクリックして質問してください

AnyConnect、ASA、FTD、Duo、Umbrella などのシスコセキュアリモートワーキングテクノロジーにういて話し合うためのトピックです。このセッションでは、エキスパートが Emergency ライセンス、デザイン、設定、トラブルシューティングについて回答します。エキスパートは 12 のタイムゾーンで回答します。また、みなさまのニーズにお応えするために、このセッションは複数の言語に翻訳されます。

このフォーラムイベントはセキュリティソリューションに詳しくない方、学習を始めたばかりの方にもイントロダクションとしてご利用いただけます。

3 月 23 日（月）より 4 月 3 日（金）まで、質問を投稿できます。

エキスパート

Divya Nair は、ノースカロライナ州ローレイ在住のセキュリティビジネスグループのテクニカルマーケティングエンジニアです。ファイアウォール、IPS、VPN、AAA などのシスコネットワークセキュリティテクノロジーに 10 年以上携わり、現在は VPN およびファイアウォールマネージメントを主に担当しています。Divya は、コンピュータ科学技術の学士号を取得しています。

Jonny Noble は、Cisco Umbrella とそのまわりの技術のエキスパートで、クラウドセキュリティのテクニカルマーケティングチームをリードしています。Jonny は、20 年以上お客様のグローバル、かつ最新の技術に携わってきました。また、様々なセッションでプレゼンをおこなったり、Cisco Live をはじめとする多くのイベント、トレードショー、展示会などでラボのプロクターを担当してきました。Jonny は電子工学、社会学の学位、およびビジネス MBA と CISSP を取得しています。

Aditya Ganjoo は、インドバンガロール在住のテクニカルマーケティングエンジニアです。7 年ほどシスコでファイアウォール、VPN、AAA などのセキュリティ分野を担当しています。Aditya は ASA、および VPN 技術トレーニングも担当してきました。情報技術の学士号、セキュリティの CCIE（CCIE#58938）を取得しています。シスコサポートコミュニティにもたくさん参加しており、Cisco Live でも多くのセッションを担当しています。

質問が多数となる場合、Divya、Aditya、Jonny の3人とも回答できない場合があります。その場合は、引き続きセキュリティコミュニティをご利用ください。

その他のイベント：https://community.cisco.com/t5/custom/page/page-id/Events?categoryId=japanese-community

** 評価のお願い **
質疑応答の評価にぜひご協力ください

このイベントに参加するには、をクリックして質問してください

CiscoJapanModerator · ‎2020-03-30

DNSクエリのトラブルシューティングに関するガイドラインはありますか。Anyconnect vpnに接続する際いつもローカルDNSの問題が起きます。

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-30

VPNトンネルを介したローカルDNSレソリューションで問題が発生していますか？
その場合、特定の値に対してグループポリシー属性をチェックできます。
最良の事例の検出のために、AnyconnectでDNSに次の3つのオプションを設定できます。

Split DNS ードメイン名と一致するDNSクエリは、Cisco Adaptive Security Appliance (ASA)で設定されており、（ASAで定義されているDNSサーバーなどに）トンネルを通過して移動します。一致していないクエリは移動しません。

Tunnel-all-DNS ー ASAで限定されているDNSサーバーへのDNSトラフィックのみ可能です。このセッティングはグループポリシーで設定されます。

Standard DNS ー DNSクエリはすべて、ASAで限定されたDNSサーバーを通過します。否定応答の場合、DNSクエリは、物理アダプターで構成されているDNSサーバーにも届く可能性があります。AnyconnectでのDNSの動作の詳細については、下記URLをご参照ください。

https://www.cisco.com/c/en/us/support/docs/security/anyconnect-secure-mobility-client/116016-technote-AnyConnect-00.html#anc1

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-30

ご回答ありがとうございます。

Split DNS ードメイン名と一致するDNSクエリは、Cisco Adaptive Security Appliance (ASA)で設定されており、（ASAで定義されているDNSサーバーなどに）トンネルを通過して移動します。一致していないクエリは移動しません。

「ASAで限定されているDNSサーバー」とは、ASAファイアウォール、トンネル、グループポリシーのいずれかで設定されたDNSサーバーを意味するのだと思います。

ドメイン名と一致するDNSクエリとは、ドメイン名がファイアウォールまたはグループポリシーで設定されているということでしょうか？

test.localとtest.comのように分割ドメインがある場合はどうなりますか？
test.com（test.local dnsサーバーのフォワードゾーンです [例：192.168.1.100] ）
test.comもプライベートIPアドレスに分解されます。

現在の設定は以下になります。
dns domain-lookup Inside
dns server-group DefaultDNS
name-server 192.168.1.100
domain-name test.local

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-30

すべての値はグループポリシーの中にあります。その中に複数の値・ドメインを追加出来ます。
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s16.html#pgfId-1597902

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-30

Cisco Anyconnectには、FTDファイアウォールを使用し、Windowsに参加していないコンピュータをブロックし、ドメインコンピュータのみがAnyconnectに接続できるようにするオプションはありますか？

注）この質問は BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-03-30

ドメインマシンのみが参加できるようにするためAnyConnectユーザ用のマシン認証を使用できます。Configガイドは下記となります。 - https://www.cisco.com/c/en/us/td/docs/security/firepower/650/configuration/guide/fpmc-config-guide-v65/firepower_threat_defense_remote_access_vpns.html#id_login_via_clientcert

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-30

探しているのはドメインコンピュータです。すでにDLPを実施しておりコンピュータの何でもコピーできます。例えばもし弊社の社員が個人コンピュータを使って社内ネットワークに接続するとき、必要なアプリケーションを使って作業するとき以外何もコピーできないようにうするにはどうすればいいですか。社員がネットワークに接続するとき、そのいかなるデータもコピーできないようにしたいです。どうすれば出来ますか。ドメインに入ったマシン用にtunnel-groupを一つ作成し、同時にドメインに入っていないマシン用に別のtunnel-groupを作成してポリシーを施行することは出来ますか。

注）この質問は BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-30

はい、異なるコネクションプロファイルを作成する必要があります。Radius属性またはASAのグループロックフィーチャを通じてユーザにグループURLを与えることにより可能となります。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-30

その方法が示されたコンフィグレーションガイドの例を表示していただけますか。

注）この質問は BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-30

こちらになります。

https://community.cisco.com/t5/security-documents/steps-to-configure-group-lock-for-vpn-users-on-microsoft-radius/ta-p/3151643

https://community.cisco.com/t5/security-documents/asa-ssl-vpn-tunnel-group-group-url-and-group-alias-selection/ta-p/3111990

CiscoJapanModerator · ‎2020-03-30

いただいたリンクは異なるグループ、tunnelグループとグループエリアスを設定するものですが、私が探しているのは、AnyConnect tunnelでどんなデータもコピー出来ないように各グループポリシーのDLPを実施するものです。基本的に社員はAnyConnect VPNでどんなデータもコピーしてはいけないので、AnyConnect VPNでこうしたポリシーをどのようにして実施出来ますか。

注）この質問は BasavarajNingappa6558 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Divya Nair · ‎2020-03-30

私の認識が正しければ、BYODユーザーにDLPを適用しようとする場合、 FTDでの最善の方法は、BYODユーザーに個別のプロファイル/グループポリシーに接続させることです。ドメインユーザーと異なるアドレスプールを割り当てますので、 FTDアクセスポリシーでアプリケーションフィルターを使用し、BYOD VPNプールのファイル転送プロトコルをブロックできます。 FTDは真のDLPアプリケーションではありませんが、アプリケーションフィルターは、必要な作業に役立ちます。

https://www.cisco.com/c/en/us/td/docs/security/firepower/650/configuration/guide/fpmc-config-guide-v65/rule_management_common_characteristics.html#id_16281

注）この回答は Divya Nairによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-30

Divyaの投稿に追記致します。
AnyConnectを使ってオンデマンドスクリプトも可能です。
https://www.cisco.com/c/en/us/td/docs/security/vpn_client/anyconnect/anyconnect40/administration/guide/b_AnyConnect_Administrator_Guide_4-0/customize-localize-anyconnect.html#ID-1408-00000396

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-30

ご回答ありがとうございます。

すべてのsplit-dns ,スタンダード, tunnel、DNSを試しましたが問題解決しません。（サーバからDNSサーバにアクセス可能です）Anyconnect 4.8 を使っており、asa code 9.2 です。

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-30

Show run グループポリシー＜ポリシー名＞の結果をシェアしていただけますか。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-30

下記表示します。

1)
group-policy it-test internal
group-policy it-test attributes
dns-server value 192.168.1.100
vpn-idle-timeout 20
vpn-tunnel-protocol ikev1 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test-acl
default-domain value test.local
address-pools value it-test-pool

2 )group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

また、下記も"split-tunnel-all-dns disable" を削除した後に試しましたが出来ませんでした。

3 )group-policy it-test2 internal
group-policy it-test2 attributes
wins-server none
dns-server value 192.168.1.100
vpn-tunnel-protocol ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value it-test2-acl
default-domain value test.local
split-dns value test.local test.com
split-tunnel-all-dns disable
address-pools value it-test2-Pool

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

Aditya Ganjoo · ‎2020-03-31

tunnel-all split dns configを無効化／削除し、split-dns値を保持します。また、DNSサーバー（IP）がsplit tunnel ACLの一部であることを確認してください。

DNSルックアップを確認するには（Anyconnect経由の場合）、Wiresharkを使用し、マシン上でキャプチャを開始し、DNSリクエストが送信されるアダプターをチェックします。

可能であればテストマシンからのipconfig / allの出力と、キャプチャを共有してください。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

CiscoJapanModerator · ‎2020-03-31

tunnel-all split dns configを無効化／削除し、split-dns値を保持します。また、DNSサーバー（IP）がsplit tunnel ACLの一部であることを確認してください。

無効かつ完全なサブネットは（192.168.1.0/24）で、スプリットトンネルACLの一部です.

DNSルックアップを確認するには（Anyconnect経由の場合）、Wiresharkを使用し、マシン上でキャプチャを開始し、DNSリクエストが送信されるアダプターをチェックします。

Anyconnectを通過しています

注）この質問は elite2010 による英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。

adi · ‎2020-03-31

リクエストはDNSサーバに届いていますがサーバエラーを返します：

標準クエリレスポンス、サーバエラー

AnyConnectを使用していないときには作動するということでしたね。

出来ましたら作動する方のキャプチャをシェアしてください。

注）この回答は Aditya Ganjooによる英語での投稿の翻訳となっております。投稿はコミュニティ内のすべての言語に翻訳されます。
なお、日本語でのご質問は可能です。回答は英語になりますが後ほど和訳を掲載致します。