シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。

教えて!セキュリティ(エキスパートに質問)

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ!
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2016年7月1日~7月31日
担当エキスパート: セキュリティ製品担当エンジニア

テクニカルアシスタンスセンター(TAC) で、セキュリティ製品に関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・弊社のセキュリティ製品(Firepower System, Firewall, VPN, AAA, ESA/WSA, CWS, AMP) に関するご質問のみを対象とさせていただきます。
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

11 件の返信
New Member

いつもお世話になっております。ASA5506-K9 ×2

いつもお世話になっております。

ASA5506-K9 ×2 と L-ASA5506-TAMC-PR= ×2 を検証機として購入しました。L-ASA5506-TAMC-PR= は、PAK#2851****411 ×1つが納品され、Entitlement Qty 2 となっていました。



ASA5506-K9 ×2は、それぞれ別々に ASDM (on-box) 管理します。

Product License Registration で License を発行しましたところ、Quantity 1つずつというのができませんでした。





とりあえず、これで ASA5506-K9 ×2 の License File が取得できましたので、ASDMで適用したところ





のように、それぞれで URL Filtering と Malware の "Number of Licenses" が「2」となってしまいました。


これは正しい状態でしょうか。何か是正した方がよいのか、それともこのまま運用して(動作上もライセンス契約上も)問題ないのか、アドバイス頂けると助かります。


また Product License Registration で、ASDM (on-box) 管理 ×1台ずつという発行はできないものでしょうか。(PAK No.が別であれば問題ないかとは思いますが…)

Cisco Employee

M J さん、おはようございます

M J さん、おはようございます。とても分かりやすい記載のほど有難う御座います。

FMC(旧名=FireSIGHT)で管理している場合、複数 管理デバイス(FirePOWER)を そのFMCに登録し、各デバイスに各ライセンスの分離・割り当てが可能です。

逆にOn-Box Managemnet(ASDM)の場合 既に そのASA内に FirePOWER管理専用のミニFMCが稼働してる状態のため、そのミニFMCに別のASA5506は登録できないため、ご認識頂いている通り、分離ができません。

TACライセンスチームに"PAKを2つのデバイス用に分割リスクエスト"としてお問い合わせ頂き、ご状況と 2台分の License Key(例:72:E0:E:xx..)をご申告頂ければ、On-Box 1台毎の適用Licenceの分割・再発行が可能かと思います。 

大変お手数ですが、上記 ご確認・検討頂けますでしょうか。

New Member

Taisuke Nakamura 様遅くなりましたが

Taisuke Nakamura 様

遅くなりましたが、ご回答ありがとうございました!
SR Openし、ライセンスの訂正・再発行を実施させて頂きました。
ASDM でも各Licenseで「1」になり、安心しました。

Cisco Employee

コメント有難うございます!無事

コメント有難うございます!
無事 想定構成になったとの事で私もうれしいです。

今後ともよろしくお願いします。

New Member

Cisco ASA 5500シリーズ/5500

Cisco ASA 5500シリーズ/5500-Xシリーズについての質問です。

 

中小企業のお客様環境において、セキュリティ機能を高めるため、CiscoASAシリーズの導入を検討しています。

現在はCiscoルータがブロードバンドルータの代わりとなっており、PPPoEまたはDHCPでグローバルアドレスとDNSサーバー情報を取得しつつ、NAT(NAPT)機能を動作させています。また、内部PCからはデフォルトGWやDNSサーバーとして指定されており、Proxy-DNSとしても動作しています。

このCiscoルータをCiscoASAに置き換えた場合、以下の動作が可能でしょうか?

①PPPoEまたはDHCPでIPアドレスやDNSサーバーアドレス情報を取得する。

②NAT機能によりインターネット側と通信できる。

③FWを経由する通信に対して、ステートフルパケットインスペクションやIPS機能を適用できる。

④Proxy-DNSとして動作できる。

⑤④がNGの場合、受け取ったDNS情報(DNSサーバのIP)をDHCPで内部側に配信できる。

 

ASA5500シリーズではNGでも5500-Xシリーズやモデルによっては可能な場合はその旨を回答いただきたく思います。

①④⑤については可能であれば具体的な設定例を添えていただけると大変助かります。

 

お手数をお掛けしますが、ご回答の程、よろしくお願い致します。

Cisco Employee

cja56910tfさん、こんばんわ。

cja56910tfさん、こんばんわ。

IOSルータは、ご存じのとおり、本当に多様な機能をサポートしており、検証用も含め多様なサーバー機能を持っています。

逆にASAはセキュリティ装置なので IOSルータほど多様なサーバ機能は持ってません。 しかしその分、IOSルータにない多様なセキュリティ機能を搭載してます。 

その為、残念ながら、IOSルータで利用してた機能で、ASAに移行できないものは少なくありません。 逆に、ASAだからこそできる高度なセキュリティ制御機能も多いです。

    
上記、踏まえ、以下に回答させて頂きます。

①PPPoEまたはDHCPでIPアドレスやDNSサーバーアドレス情報を取得する。
 →DHCPで IPとDNSサーバは動的に学習可能です。詳しくは後述します。

②NAT機能によりインターネット側と通信できる。
 →はい、可能です。

③FWを経由する通信に対して、ステートフルパケットインスペクションやIPS機能を適用できる。
 →はい、可能です。
なお、現在 最新機種でNGIPS(侵入防御やマルウェア防御)の他、アプリケーションインスペクション、URLフィルタリングなどを利用できます。 NGIPSやNGFW機能を多用する場合は、パワーがいるので、想定より1つ上くらいのスペックの機器の採用が、個人的にお勧めです。中小規模の場合、ASA5508~ASA5516辺りからが使いやすいかと思います。 ASA5506はちょっと非力なので 小規模向けです。

④Proxy-DNSとして動作できる。
 →残念ですが、対応してなかったと思います・・。

⑤④がNGの場合、受け取ったDNS情報(DNSサーバのIP)をDHCPで内部側に配信できる。
 →"dhcpd auto_config <ifname>"コマンドで可能です。 dhcpd auto_configは ASA ver 7.0(1)からサポートしており、DNSやドメイン名、WINSの学習と再配布が可能です。

以下は実際の設定と確認例です。 Outside側のDHCPサーバよりDNSサーバ情報を学習し、学習した情報をInsideに配布するための設定です。

show run dhcpdで割り当て状況を確認できます。

ciscoasa# show run dhcpd
dhcpd auto_config outside
**auto-config from interface 'outside'
**auto_config dns 171.xx.xx.xx 64.xx.xx.xx
!
dhcpd address 10.10.10.1-10.10.10.10 inside
dhcpd enable inside
!

以下はInside内のDHCPクライアントのipconfig /allの出力ですが、上記のASAが学習したDNSサーバの配付を受けている事を確認できます。 

イーサネット アダプター ローカル エリア接続:

接続固有の DNS サフィックス . . . :
説明. . . . . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
物理アドレス. . . . . . . . . . . : 00-50-56-91-59-F0
DHCP 有効 . . . . . . . . . . . . : はい
自動構成有効. . . . . . . . . . . : はい
IPv4 アドレス . . . . . . . . . . : 10.10.10.1(優先)
サブネット マスク . . . . . . . . : 255.255.255.0
リース取得. . . . . . . . . . . . : 2016年7月10日 0:09:39
リースの有効期限. . . . . . . . . : 2016年7月10日 1:09:39
デフォルト ゲートウェイ . . . . . : 10.10.10.254
DHCP サーバー . . . . . . . . . . : 10.10.10.254
DNS サーバー. . . . . . . . . . . : 171.xx.xx.xx
64.xx.xx.xx
NetBIOS over TCP/IP . . . . . . . : 有効
New Member

Taisuke Nakamura 様

Taisuke Nakamura 様

こんにちは。cja56910tfと申します。

 

非常に詳細かつ丁寧なご回答をいただきましてありがとうございます。

求めていた内容は"まさにこれ"というものでしたので大変助かりました。

ちなみにご提示いただいた回答/サンプル例では、WAN側のアドレスやDNSサーバ情報はDHCPで取得しているようですが、PPPoE(フレッツ)環境でも可能でしょうか?

アドレスの取得は可能だと思うのですが、DNSサーバ情報が取得できるのかどうかが知りたいです。

(cisco ルータのppp ipcp dns request コマンドに相当する機能があるかどうか)

また、上記か可能である場合、それをDHCPで内部側に配布可能かどうかもご教授いただけますと助かります。

本件につきましてもう少々お付き合いいただければ幸いです。

以上、よろしくお願い致します。

Cisco Employee

cja56910tfさん、こんにちわ。

cja56910tfさん、こんにちわ。

早速の確認、ご丁寧な返信有難うございます。

残念ながらPPPoEでの同様の機能は確認できませんでした。 なお、一点補足させて頂くと、ASAのPPPoE機能は簡易機能となり、あまり多くの機能を実装してません。 例えば、Failover構成でのPPPoE利用などもサポートされてない状態です。 

その為、柔軟なPPPoE制御が必要な場合は、機能分離のためにも、WANとASAの間にルータを挟んで頂く事をお勧めしてます。

ご期待に添えぬ回答で恐縮ですが、よろしくお願いいたします。

New Member

Taisuke Nakamura 様

Taisuke Nakamura 様

早速のご回答ありがとうございます。

ASAの仕様について了解しました。

機能がないことが分かっていれば、導入してから困ったり、お客様にご迷惑をお掛けすることもないので、リスク回避のための十分な情報を得ることが出来たと思っております。

シーンや条件さえ合致すれば、ASAでもブロードバンドルータの代わりになることが出来ると分かっただけで十分ですので、これをもってクローズとしていただければと思います。

本件について迅速かつ丁寧にご回答/ご対応していただきましてありがとうございました。

New Member

こんにちは

こんにちは、シスコサポートコミュニティ事務局さまからお知らせいただきまして、コミュニティサイトの「仮想プライベート ネットワーク (VPN)」に投稿したDiscussionの内容をこちらにも投稿させていただきます。

======================================

ハードウェア:ASA5540, ASA5515X、OS:9.1(6)上で、AnyConnect 3.1を使ったSSL-VPNサービスをエンドユーザに提供している者です。クライアントPCはWindows7です。
既に使用しているGroup Policyに対応したClient Profileの設定を一部変更したいと思います。
設定個所はUser Preferenceで設定できる項目(チェックを入れたり外したりできる項目)以外のものです。

ASDMからASA内部のClient Profileを変更することは容易です。
しかし、変更後にクライアントPCから接続してきた際に、ASA→クライアントPCへのClient Profileアップデートで問題が発生します。
元のClient ProfileがWindows上で上書き禁止と判断された場合、File Move Errorが出るようです。(PCの設定、ログインユーザのアクセス権設定によります。)

Client Profileの安全な上書き方法はありますでしょうか?

---------------------------------------------------------------------
現時点で私が思いつく方法
以下の3つがあるのですが、いずれも、使用できない/使用は可能だが難ありというところです。

1.PCからClient Profileを手動で削除する方法
    PCからClient Profileを削除(C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile配下のxmlファイル)
    →アプリケーション/サービス/PCを再起動
    →AnyConnectで接続
    →更新されたClient ProfileがPCにダウンロードされる
    →次回からは、そのClient Profileで接続できる。
   
    問題点
    ユーザ数が少ない/ユーザが近くにいてサポートしやすいのであれば、この方法でいいのですが、私がサービスを提供しているエンドユーザには実施できない方法です。


2.新しいClient Profileを作成する方法
    新しいClient Profileを別名で作成して、Group Policyに紐づける。
    元のClient ProfileはASAから削除しないにしろ、Group Policyとの紐づけは解除する。

    問題点
    ASAでの変更作業後の接続時に、ASA→PCに新しいClient Profileがダウンロードされます。
    Client Profileの名前を変えているためFile Move Errorは出なくなります。
    その代わり、同じ接続先([ASAのホスト名]+[Group URL])に対する、異なる2つのClient Profileが存在することになります。
 
    新旧のClient ProfileでHost Name(AnyConnectのアプリケーションで表示される接続先の名称)を同じにすると、新旧のClient Profileのいずれが使用されるかが保証されなくなります。
   (試してみるとClient Profileのファイル名の若い方が選択されるようですが、それに頼るのも危ない気がします。
     また、ファイル名を変えるために末尾に_01とかつけるとファイル名が老番となり、結果的に選択されなくなります。)


3.新しいClient Profileを作成する方法(Host Nameを別にする)
    新しいClient Profileを別名で作成して、Group Policyに紐づける。
    新しいClient ProfileではHost Nameの表示を変える。
    元のClient ProfileはASAから削除しないにしろ、Group Policyとの紐づけは解除する。 
   
    問題点
    新旧のClient ProfileでHost Nameを別にすると、ユーザには接続先が1つ増えたように見えます。
    ユーザには混乱の元となるので、これは避けたいです。
 

安全なClient Profileの上書き方法、またはユーザの手を煩わせずに古いClient Profileを削除する方法はありますでしょうか?
(古いClient Profileを削除するときファイル名の指定ができる必要はなく、「そのPCのClient Profileをすべて削除」という指定ができればOKです)


よろしくお願いします。

Cisco Employee

お問い合わせありがとうございます。Windows 版で


お問い合わせありがとうございます。

Windows 版で File Move Error が発生するのは、
Client Profile が端末の TEMP フォルダにダウンロードされてから、
C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Profile にコピーされる際に、
パーミッションに関する何らかの問題が生じていることが考えられます。

そのため、Client Profile の安全な上書き方法という点について、
ご検討いただいた3点の方法につきましては、ご指摘のような運用上の負担が生じるだけでなく、
別の Client Profile をダウンロードしても、File Move Error が継続発生する可能性があります。

※ 「Client Profileの名前を変えているためFile Move Errorは出なくなります。」と
記載いただいているのは実際に発生しなくなることが確認できたということでしょうか?

本来は Client Profile が更新されれば、そのまま VPN 接続時に端末で上書き更新され、
本エラーが発生することは例外的な問題となりますので、恐れ入りますが本事象の対処としては、
現在発生しているエラーそのものを一旦復旧させて、以後再現が見られなくなるかを、
ご確認いただく方向でご検討いただきたく思います。

過去の類似事例の調査で、十分に原因究明されているものが見当たらず、、
一概に端末(内の3rd party 製品)に起因したものか、AnyConnect のソフトウェアの問題であるのか、
判断することができません。そのため確実な復旧策も特定されていないのですが、
まずは \Profile フォルダを再作成して、Profile を手動または GPO などでコピーしたうえで、
再度 ASA からの更新が動作するかご確認いただけますでしょうか。
なお、\Profile はAnyConnect の再インストールでは削除されない箇所となりますのでご注意ください。

また、もしも AnyConnect 3.1 の古いメンテナンスリリース版をご利用でしたら、
これを機に是非とも最新の 3.1.14018 をご利用いただき、本事象が見られなくなるかどうかを
ご確認いただきたく思います。

ご質問に対する、ご期待に沿った回答になっておらず恐縮ですが、
ご検討のほどよろしくお願い申し上げます。

731
閲覧回数
25
いいね!
11
返信
作成コンテンツを作成するには してください