Check Point R81.10
IPsec VPN
IPsec VPN サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。ソリューションは、セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。が他のゲートウェイやクライアントとの間でトラフィックを暗号化および復号化することを可能にします。SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。を使用すると、Security Gatewayとリモートデバイス間のVPN接続を簡単に設定することができます。
サイト間コミュニティでは、VPNネットワークにスター型とメッシュ型のトポロジーを設定し、サードパーティーのゲートウェイを含めることができます。
VPNトンネルでは次を保証します。
-
認証 - 標準的な認証方法を使用します。
-
プライバシー - VPNデータはすべて暗号化されています。
-
完全性 - 業界標準の完全性保証方式を採用
IKEとIPsec
チェック・ポイントの VPN ソリューションは、これらのセキュアな VPN プロトコルを使用して暗号化キーを管理し、暗号化されたパケットを送信します。IKE (Internet Key Exchange) は、VPN トンネル 標準プロトコル(L2TPなど)を使用して送受信されるトラフィックを暗号化して復号し、カプセル化されたネットワークを構築し、物理的な専用回線上にあるかのようにデータを安全に共有できる2つのホスト間の暗号化された接続。を作成するために使用される標準的な鍵管理プロトコルです。IPsecは、プライベートネットワークやパブリックネットワーク上で認証・暗号化された安全なIP通信をサポートするプロトコルです。
リモートアクセスVPN
従業員がさまざまな場所やデバイスから機密情報にリモートアクセスする場合、システム管理者はこのアクセスがセキュリティ上の脆弱性にならないようにする必要があります。チェック・ポイントのリモート・アクセス VPN ソリューションを使用すると、リモート・ユーザと内部ネットワーク ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。との間に VPN トンネルを構築することができます。Mobile Access Software Blade 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。は、リモートアクセスソリューションの機能を拡張し、多くのクライアントとデプロイメントを可能にします。
VPN接続モード
IPsec VPN Software Bladeは、Firewallがリモートクライアントの接続に関する課題を克服することを可能にします。VPN接続モードを使用して、リモートユーザがVPNトンネルに接続できることを確認します。これらは、コネクティビティに関する課題の一例です。
-
リモートアクセスクライアントのIPアドレスが不明な場合がある
-
リモートアクセスクライアントは、ホテルのLANに内部IPアドレスで接続することが可能です
-
リモートクライアントがサポートしていないプロトコルを使用する必要があります
オフィスモード
リモートユーザには、ローカルISPから同一または非ルート可能なIPアドレスを割り当てることができます。オフィスモードは、これらのルーティングの問題を解決し、内部ネットワークから利用可能なIPアドレスでIPパケットをカプセル化します。リモートユーザは、オフィスにいるのと同じようにトラフィックを送信でき、VPNルーティングの問題も発生しません。
ビジターモード
リモートユーザは、HTTPとHTTPSのトラフィックのみを使用するように制限することができます。Visitor Modeでは、これらのユーザがポート443の通常のTCP接続ですべてのプロトコルをトンネリングすることができます。
リモートアクセスVPNワークフローの例
SmartDashboard R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。を使用して、リモートアクセスVPN リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。接続のためのセキュリティゲートウェイを有効化し、設定します。LDAPアカウントユニットを作成・設定するか、SmartDashboardのユーザデータベースに情報を入力します。また、リモートユーザを認証するようにファイアウォールを設定することもできます。ファイアウォールのアクセス制御と暗号化ルール 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を定義します。Firewallルールに使用するLDAPグループまたはユーザグループオブジェクトを作成します。次に、VPNコミュニティ VPNゲートウェイで保護されたVPNドメインの名前付き集合体。・オブジェクトの暗号化設定を作成し、構成します。内部ネットワークへのVPNトラフィックを許可するために、Firewallルールベースにアクセスルールを追加します。
VPNコンポーネント
VPNは構成されています。
-
VPNエンドポイント:Security Gateway、Security Gatewayクラスタ、またはVPN上で通信するリモートクライアント(ノートパソコン、携帯電話など)。
-
VPN トラスト・エンティティ。 チェック・ポイント内部認証局(ICA 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。)などです。ICA は、チェック・ポイントの製品群の一部であり、セキュリティ・ゲートウェイ、管理者認証、およびサードパーティ・サーバ間の SIC Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。 信頼性接続の確立に使用されます。ICAは、内部のセキュリティゲートウェイとVPNリンクをネゴシエートするリモートアクセスクライアントに証明書を提供します。
-
Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。 や SmartConsole などの VPN 管理ツール。SmartConsoleは、イントラネットやリモートアクセスVPNを定義し、導入することができます。
用語の理解
-
VPN - 仮想プライベートネットワーク。パブリックインフラストラクチャ上のネットワークとリモートクライアント間の安全で暗号化された接続。認証されたリモートユーザおよびサイトに、組織のネットワークとリソースへの安全なアクセスを提供します。
-
VPNドメイン- 1つのVPNゲートウェイによってVPNトンネルに接続されたコンピュータやネットワークのグループで、暗号化を処理し、VPNドメインのメンバを保護します。
-
VPN コミュニティ - VPNドメインの名前付き集まりで、それぞれが VPN ゲートウェイによって保護されています。
-
VPNセキュリティ・ゲートウェイ- VPNドメインのメンバ間のトラフィックの暗号化と復号化を管理するゲートウェイで、通常、VPNトンネルの片側(リモートアクセスVPN)または両端(サイト間VPN)に配置されます。
-
Site to Site VPN- 通常は地理的に異なるサイトにある2つのゲートウェイ間の暗号化されたトンネル。
-
リモートアクセスVPN- セキュリティゲートウェイと、Endpoint Security VPNなどのリモートアクセスクライアント、およびコミュニティ間の暗号化トンネルです。
-
リモートアクセス コミュニティ - 物理的にリモートサイトから保護された内部ネットワークに、認証と暗号化によってアクセスするコンピュータ、アプライアンス、およびデバイスのグループ。
-
IKE (Internet Key Exchange)- IPSec を強化する暗号化キー管理プロトコルで、追加機能、柔軟性、構成の容易性を提供します。
-
IPsec- 暗号化キーと暗号化されたパケットトラフィックを管理し、認証と暗号化サービスの標準を作成するための安全なVPNプロトコルのセットです。
リモートユーザとセキュリティゲートウェイ間の接続の確立
VPNトンネルの確立プロセスが開始され、ユーザはセキュリティゲートウェイで保護されたネットワークリソースにアクセスできるようになります。IKE ネゴシエーションは、ピア間で行われます。
IKE ネゴシエーションの間、ピアの ID は認証されます。セキュリティゲートウェイはユーザの身元を確認し、クライアントはセキュリティゲートウェイの身元を確認します。認証は、内部認証局(ICA)が発行するデジタル証明書など、いくつかの方法を用いて行うことができる。また、サードパーティのPKIソリューションや事前共有秘密を使って認証することも可能です。
IKE ネゴシエーションが正常に終了すると、クライアントとセキュリティゲートウェイの間に安全な接続(VPN トンネル)が確立されます。クライアントとSecurity GatewayのVPNドメイン(Security Gatewayの背後にあるLAN)間のすべての接続は、このVPNトンネル内で、IPsec規格により暗号化されます。ユーザが何らかの形で認証を求められる場合を除き、VPN確立のプロセスは透過的である。
項目 |
説明 |
---|---|
1 |
ホスト VPNサイト1の一部。 |
2 |
VPNゲートウェイ 1. VPNサイト1の一部。 |
3 |
インターネット |
4 |
リモートクライアント |
5 |
VPNゲートウェイ 2. VPNサイト2の一部。 |
6 |
LDAPサーバ。 VPNサイト2の一部。 |
図では
-
リモートユーザは Security Gateway 1 への接続を開始する.
-
ユーザ管理は、VPNデータベースではなく、VPNサイト2に属するLDAPサーバで行います。
-
認証はIKEネゴシエーションの間に行われます。
-
Security Gateway 1 は Security Gateway 2 の背後にある LDAP サーバに問い合わせることで,ユーザが存在 することを確認する.
-
ユーザの存在が確認された後、セキュリティゲートウェイは、ユーザの証明書を検証するなどして、ユーザを認証します。
-
IKEが正常に終了すると、トンネルが作成され、リモートクライアントがホスト1に接続されます。
-
クライアントがSecurity Gatewayの背後にある場合(例えば、ユーザが会社のオフィスから企業LANにアクセスする場合)、クライアントから同じくLAN Security Gatewayの背後にある宛先への接続は暗号化されません。