RAVPN用の最新のTLSおよびDTLS暗号の設定

Updated: 2023 年 7 月 20 日
Document ID:220609

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、最新のTransport Layer Security(TLS)およびDatagram Transport Layer Security(DTLS)暗号を設定する手順について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • リモートアクセスVPN(RAVPN)およびセキュアソケットレイヤ(SSL)に関する基本的な知識
    • テスト済みで稼働中のセキュアファイアウォールでのRAVPNの設定

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco Secure Firewall Management Center 7.2
    • Ciscoファイアウォール脅威対策7.2
    • セキュアクライアント5.0

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    セキュアファイアウォールのプラットフォーム設定

    プラットフォーム設定の概要

    プラットフォーム設定ポリシーは、時間設定や外部認証など、導入環境内の他の管理対象デバイスと類似している可能性がある管理対象デバイスの側面を定義する機能またはパラメータの共有セットです。共有ポリシーを使用すると、複数の管理対象デバイスを一度に設定できるため、一貫性のある導入が可能になり、管理作業が合理化されます。プラットフォーム設定ポリシーを変更すると、ポリシーを適用したすべての管理対象デバイスに影響します。プラットフォーム設定の詳細については、こちらを参照してください。

    プラットフォーム設定を変更するには、ポリシーを作成します(まだ完了していない場合)。完了したら、「TLS/DTLS暗号の設定」に進みます。

    Devices > Platform Settingsの順に移動し、New Policyを選択して開始します。

    Platform settings policy menu

    ポリシーにファイアウォール脅威対策デバイスを割り当てます。

    New policy

    TLS/DTLS暗号の設定

    SSLタブに移動して、TLS/DTLS設定にアクセスします。Addボタンを選択して、カスタム暗号リストを作成します。

    SSL Secure Configuration

    セキュリティニーズに合わせて、適切な楕円曲線/Diffie-Hellmanグループ値とともにTLS/DTLSバージョンを変更します。

    Cipher Version Configuration

    note-icon

    :サポートされるカスタムアトリビュートを使用して独自のカスタムリストを作成するか、サポートされる暗号のさまざまなレベルから選択することができます。セキュリティニーズに最適なリストと暗号を選択してください。

    プロトコルと暗号レベルを選択します。

    Select TLSV1.2

    Security Level High

    DTLSについても同じプロセスを繰り返します。

    Select DTLSv1.2 Protocol

    DTLS Security Level High

    Secure Firewall Management Centerでの設定の完了。

    Completed configuration example

    設定を保存し、FTDに変更を展開します。

    note-icon

    :これらの変更は、ユーザの接続中に適用できます。セキュアクライアントセッション用にネゴシエートされたTLS/DTLS暗号は、セッションの開始時にのみ発生します。ユーザが接続しており、変更を加える場合、既存の接続は切断されません。セキュアファイアウォールへの新しい接続では、新しいセキュア暗号が使用されます。

    Deployed to firewall

    確認

    Secure Firewall Management Center(FMC)が脅威対策デバイスに設定を展開した後、FTD CLIに暗号が存在することを確認する必要があります。デバイスへのターミナル/コンソールセッションを開き、リストされているshowコマンドを発行して、その出力を確認します。

    FTD CLI設定からの確認

    選択したTLS/DTLSリストがshow run sslで表示されることを確認します。

    FTD72# show run ssl     
ssl cipher tlsv1.2 high
ssl cipher dtlsv1.2 high
ssl ecdh-group group21

    show sslを使用して、選択したTLSバージョンがDiffie-Hellmanバージョンとともにネゴシエートされることを確認します。

    FTD72# show ssl
Accept connections using SSLv3 or greater and negotiate to TLSv1.2 or greater
Start connections using TLSv1.2 and negotiate to TLSv1.2 or greater
SSL DH Group: group14 (2048-bit modulus, FIPS)
SSL ECDH Group: group21 (521-bit EC)

SSL trust-points:
  Self-signed (RSA 2048 bits RSA-SHA256) certificate available
  Self-signed (EC 256 bits ecdsa-with-SHA256) certificate available
Certificate authentication is not enabled

    アクティブなSecure Client接続を使用したFTD CLIからの確認

    セキュアクライアントセッションに接続し、FTD CLIからの出力を確認します。交換された暗号を確認するには、次のshowコマンドshow vpn-sessiondb detail anyconnect filter name usernameを実行します。

    AnyConnect VPN Connected

    FTD72# show vpn-sessiondb detail anyconnect filter name trconner

Session Type: AnyConnect Detailed

Username     : trconner               Index        : 75
Protocol     : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License      : AnyConnect Premium
Encryption   : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)AES-GCM-256  DTLS-Tunnel: (1)AES-GCM-256
Hashing      : AnyConnect-Parent: (1)none  SSL-Tunnel: (1)SHA384  DTLS-Tunnel: (1)SHA384
Bytes Tx     : 24350                  Bytes Rx     : 20451
Pkts Tx      : 53                     Pkts Rx      : 254
Pkts Tx Drop : 0                      Pkts Rx Drop : 0
Group Policy : Split                  Tunnel Group : Split-4-CCIE
Login Time   : 08:59:34 UTC Fri Sep 9 2022
Duration     : 0h:01m:26s
Inactivity   : 0h:00m:00s
VLAN Mapping : N/A                    VLAN         : none
Audt Sess ID : c0a805810004b000631b0076
Security Grp : none                   

---Output Condensed-----

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
  Tunnel ID    : 75.1             
  TCP Src Port : 55581                  TCP Dst Port : 443                                       
  
SSL-Tunnel:
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-RSA-AES256-GCM-SHA384                       
  Encapsulation: TLSv1.2                TCP Src Port : 55588                  

DTLS-Tunnel:
  Tunnel ID    : 75.3
  Encryption   : AES-GCM-256            Hashing      : SHA384                 
  Ciphersuite  : ECDHE-ECDSA-AES256-GCM-SHA384                     
  Encapsulation: DTLSv1.2               UDP Src Port : 64386

    アクティブなセキュアなクライアント接続を使用したクライアントからの確認

    Secure Clientアプリケーション上のネゴシエートされた暗号の検証。

    Secure Clientアプリケーションを開きます。

    調査するには、Statistics > AnyConnect VPN > Statisticsの順に選択します。リストされている暗号をファイアウォール脅威対策と照合して確認する必要があります。

    AnyConnect VPN statistics

    トラブルシュート

    FTD CLIからのデバッグ

    TLS/DTLS暗号交換に関連するセキュアクライアントの接続エラーは、次のdebugコマンドを使用してファイアウォール脅威対策CLIから調査できます。

    debug ssl
debug ssl cipher 
debug ssl state 
debug ssl device 
debug ssl packet

    Secure ClientからDARTを収集

    Secure Client DARTアプリケーションを開き、「実行」を選択します。

    note-icon

    :クレデンシャルの入力を求められた場合は、管理者レベルのクレデンシャルを入力して続行してください。

    Secure Client Dart Module

    DARTとデバッグ情報を収集して、Cisco TACに連絡してください。

    Secure Firewall Management Center(FMC)およびFirewall Threat Defense CLIから見た展開済みの設定が一致しない場合。Cisco TACで新しいケースをオープンしてください。

    更新履歴

    改定 発行日 コメント
    1.0
    21-Jul-2023
    初版

    提供

    • Tristan Conner
      情報セキュリティエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています