PIX/ASA:セキュリティ アプライアンスを介したリモート デス クトップ プロトコル接続許可の設定例 目次 概要 前提条件 要件 使用するコンポーネント 関連製品 表記法 設定 ネットワーク ダイアグラム コンフィギュレーション ASDM の設定 確認 トラブルシューティング 関連情報 概要 このドキュメントでは、Cisco セキュリティ アプライアンスを介してリモート デスクトップ プロトコル(RDP)接続を許可する 方法について説明します。 RDP は、Microsoft Terminal Services を実行するコンピュータへの接続を許可するマルチチャネル プロトコルです。クライア ントは、Windows のほとんどのバージョン、および Linux、FreeBSD、Mac OS X などのその他のオペレーティング システムに存 在します。サーバは、デフォルトでは TCP ポート 3389 をリスニングします。 この設定例では、セキュリティ アプライアンスは、インターネットの RDP クライアントが内部インターフェイスの RDP サーバ PC に接続できるように設定されています。セキュリティ アプライアンスは、アドレス変換を実行し、スタティック マッピング された外部 IP アドレスを使用してホストに接続します。 前提条件 要件 このドキュメントでは、Cisco PIX ファイアウォールは完全に動作および設定されていることを前提としています。また、すべて の初期設定が完了し、ホストのエンドツーエンド接続が確立されていることを前提としています。 使用するコンポーネント このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。 ソフトウェア バージョン 8.2(1) が稼働している Cisco Adaptive Security Appliances(ASA)5500 シリーズ セキュリテ ィ アプライアンス Cisco Adaptive Security Device Manager バージョン 6.3(5) このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて のデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのよう な作業についても、その潜在的な影響について確実に理解しておく必要があります。 関連製品 ソフトウェア バージョン 7.x が稼働している Cisco PIX 500 シリーズ セキュリティ アプライアンス 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 設定 このセクションでは、リモート デスクトップ プロトコル(RDP)トラフィックを許可するようにセキュリティ アプライアンスを 設定するための情報を提供します。 注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してくださ い。 ネットワーク ダイアグラム このドキュメントでは、次のネットワーク構成を使用しています。 注:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。こ れらは、ラボ環境で使用された RFC 1918 のアドレスです。 コンフィギュレーション このセクションでは、セキュリティ アプライアンス設定を示します。インターネットのホスト 20.1.1.10 からの RDP トラフィ ックは、スタティック マッピングされた IP アドレス 209.165.200.10 を介してポート 3389 をリスニングする内部ネットワー クの 172.16.11.10 の RDP サーバに許可されます。 次の手順を実行します。 外部インターフェイスから内部ホストで受信される RDP トラフィックをリダイレクトするように、スタティック NAT を設 定します。 RDP を許可するアクセス コントロール リスト(ACL)を作成して、外部インターフェイスに適用します。 注:NAT はセキュリティ アプライアンスにより実行されるので、ACL は、RDP サーバのマッピングされた IP アドレスへの アクセスを許可する必要があります。実際の IP アドレスではありません。 注:スタティック マッピングに使用される IP アドレス(192.168.1.5)は、外部インターフェイス IP アドレスと同じサブネッ トにあります。スタティック NAT マッピングの詳細については、『PIX/ASA 7.x NAT および PAT ステートメント』の『スタティ ック NAT』セクションを参照してください。 CiscoASA CiscoASA#show running-config : Saved : ASA Version 8.2(1) ! hostname CiscoASA domain-name default.domain.invalid enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! ! !--- 出力を省略 ! object-group service RDP tcp port-object eq 3389 ! ! !--- 出力を省略 ! !--- このアクセスリストは、TCP ポート 3389 で 172.16.1.2 から !--- 192.168.1.5 に送信される RDP トラフィックを許可します。 access-list outside_access_in extended permit tcp host 20.1.1.10 host 209.165.200.10 object-group RDP !--- このスタティック NAT ステートメントは、 !--- IP アドレス 192.168.1.5 を宛先とするトラフィックをホスト IP アドレス 10.1.1.5 にリダイレクトします。 static (inside,outside) 209.165.200.10 172.16.11.10 netmask 255.255.255.255 ! !--- 出力を省略 access-group outside_access_in in interface outside ! !--- 出力を省略 注:この ACL 設定では、インターネット全体から RDP サーバへのアクセスが許可されるように、「host 20.1.1.10」を「any」 に置換できます。ただし、この設定は、RDP サーバが攻撃を受けやすくなるので、推奨しません。一般的に、ACL エントリはでき るだけ固有なものにします。 ASDM の設定 コンフィギュレーション 次の手順を実行します。 1. アドレスリストを作成するには、[Configuration] > [Firewall] > [Access Rules] を選択し、[Add] を選択して、ドロッ プダウン メニューから [Add Access Rule] をクリックします。 2. ここで、アクション、送信元および宛先を指定します。[...] をクリックし、[Details] ボタンをクリックして、宛先ポー トを選択します。 3. RDP のデフォルトのポート番号は 3389 です。これは利用可能な tcp ポートでは使用できないので、[Add] をクリックし て、ドロップダウン メニューから [TCP Service Group] を選択します。これにより、必要に応じて、カスタマイズしたポ ートをグループ化できます。 4. ここで、このサービス グループの名前を指定し、[Port/Range] オプションの空白フィールドにポート番号を入力します。 このサービスをサービス グループのメンバとするには、[Add] ボタンをクリックします。このようにして、同じサービス グループのメンバとしてポート範囲を選択できます。[OK] をクリックします。 5. そのメンバとサービス グループが示されます。[OK] をクリックして [Access Rule] ウィンドウに戻ります。 6. [OK] をクリックして、アクセスリスト設定を完了します。 7. アクセスリストおよびその関連インターフェイスは、[Configuration] > [Firewall] > [Access Rules] ウィンドウで確認 できます。 8. ここで、[Configuration] > [Firewall] > [NAT Rules] > [Add] > [Add Static NAT Rule] オプションを選択して、スタテ ィック NAT エントリを作成します。 9. 変換前の IP アドレスと変換後の IP アドレス、およびそれぞれの関連インターフェイスを指定し、[OK] をクリックしま す。 10. 設定されたルールは、次に示すように、[NAT Rules] ウィンドウに表示されます。[Apply] ボタンをクリックし、この設定 をセキュリティ アプライアンスに送信して、[Save] をクリックして、設定をフラッシュ メモリに保存します。 同じ RDP サーバへの SSH の許可 特定のアプリケーションでは、既知の脆弱性のために、リモート デスクトップ アプリケーションがブロックされます。この場 合、SSH などの他の暗号化されたアプリケーションを使用できます。このようにするには、RDP サーバの宛先ポートとして SSH を追加する必要があります。前述の例では、サービス グループの概念を使用して宛先ポートを定義しています。サービス グルー プを使用する利点は、必要に応じて、プロトコルとポートをサービス グループに変更できるということです。新しいポートをサ ービス グループに追加するか、サービス グループの既存のメンバ(ポート)を削除できます。次の例では、SSH を既存のサービ ス グループ RDP に追加する方法について説明します。 次の手順を実行します。 1. アクセス リストの [Access] ルールを右クリックして、[Edit] をクリックします。 2. ここで、[Service] カテゴリで、[...]、[Details] ボタンをクリックして、サービス グループのメンバを編集します。 3. サービス グループを右クリックし、[Edit] をクリックして、サービス グループのメンバを変更します。 4. ここで、[SSH] プロトコルを選択し、[Add] をクリックして、このプロトコルをこのサービス グループのメンバとして追加 します。 5. ここで、この例のように両方のメンバが表示され、[OK] をクリックします。 6. [OK] をクリックして、変更手順を完了します。 確認 現在、この設定に使用できる確認手順はありません。 トラブルシューティング 特定のクライアントまたは範囲内のクライアントが、RDP サーバに接続できない場合、これらのクライアントが外部インタ ーフェイスの ACL で許可されていることを確認します。 クライアントが RDP サーバに接続できない場合、外部または内部インターフェイスの ACL により、ポート 3389 へのトラ フィックがブロックされていないことを確認します。 クライアントが RDP サーバに接続できない場合、パケットが MSS 値を超えていないかどうかを確認します。この場合、超 過した MSS パケットを許可するように MPF を設定し、この例に示すようにこの問題を解決します。 CiscoASA(config)#access-list 110 extended permit tcp host 20.1.1.10 host 209.165.200.10 eq 3389 !--- このコマンドは、スペースの制約により 2 行にわたって !--- 表示されています。 CiscoASA(config)#access-list 110 extended permit tcp host 20.1.1.10 host 209.165.200.10 eq 80 !--- このコマンドは、スペースの制約により 2 行にわたって !--- 表示されています。 CiscoASA(config)#class-map rdpmss CiscoASA(config-cmap)#match access-list 110 CiscoASA(config-cmap)#exit CiscoASA(config)#tcp-map mss-map CiscoASA(config-tcp-map)#exceed-mss allow CiscoASA(config-tcp-map)#exit CiscoASA(config)#policy-map rdpmss CiscoASA(config-pmap)#class rdpmss CiscoASA(config-pmap-c)#set connection advanced-options mss-map CiscoASA(config-pmap-c)#exit CiscoASA(config-pmap)#exit CiscoASA(config)#service-policy rdpmss interface outside 『フラグメンテーション問題の解決策』セクション(『PIX/ASA 7.x および IOS:VPN フラグメンテーション』)を参照し て、MSS 問題の解決に使用できる他の方法を確認できます。 TCP デフォルト接続タイムアウト値が経過した後の RDP セッション タイムアウト。この問題を解決するには、次のように タイムアウト値を増やします。 timeout conn 10:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 このコマンドは、タイムアウト値を 10 時間に設定します。 関連情報 Cisco PIX 500 シリーズ セキュリティ アプライアンス サポート ページ(英語) PIX/ASA 7.x および FWSM:NAT および PAT ステートメント(英語) テクニカルサポートとドキュメント:シスコ 1992 - 2014 Cisco Systems, Inc. All rights reserved. Updated: 2013 年 5 月 17 日 http://www.cisco.com/cisco/web/support/JP/111/1117/1117702_pix-remote-desktop-conn-j.html Document ID: 77869
© Copyright 2026 Paperzz