Output Square

AnyConnect接続時のセキュリティ対策2選(FTD/ASA)

in

1. uRPF & Static Nulll0(Cisco推奨)

  1. VPNアドレスプールに対してNull0のStatic Routeを設定
  2. VPN接続を受け付けるインターフェースにてEnable Anti Spoofingにチェックを入れる

◎VPN接続してきたクライアントはグローバルIP持ってるから帰れるけど、実IPがVPNアドレスプールの場合はNull0で破棄するようになってる(要はuRPFチェック)

    Devices > Device Management > [デバイス名] > Routing > Static Route
    Devices > Device Management > [デバイス名] > Interface

    2. sysopt connection permit-vpn

    ◎ACPで許可するRuleを書かなくても、VPN接続は一律で許可する設定。

     Devices > VPN > Remote Access > VPN Profile > Access Interfaces.

    参考

    Configure AnyConnect Remote Access VPN on FTD

    2.1 Cisco AnyConnect client-based, remote-access VPN technologies on Cisco ASA, CiscoFTD, and Cisco routers