リモートアクセス入門
リモートアクセスワークフローの概要
VPN Security Gatewayに社員がリモートアクセスするためのワークフローの概要を説明します。
-
Security GatewayのIPsec VPN
サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。 Software Blade
特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。を有効にして、Security Gatewayの基本設定を行います(「セキュリティゲートウェイの基本設定」を参照)。
-
Security GatewayをリモートアクセスVPN
リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。コミュニティに追加します(「セキュリティゲートウェイの基本設定」を参照)。
-
リモートアクセスVPNコミュニティ
VPNゲートウェイで保護されたVPNドメインの名前付き集合体。にユーザを含めます(リモートアクセスコミュニティにユーザを参加させるを参照)。
-
ユーザ認証を設定する(「ユーザユーザ認証の設定」を参照)。
-
セキュリティポリシーにVPNアクセスルール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。を設定する(「リモートアクセスのためのVPNアクセスルールを設定する」を参照)。
-
必要に応じて、デスクトップポリシーを定義します(「デスクトップ・セキュリティ」を参照)。
-
3. ポリシーを Security Gateway にインストールします。
-
リモートアクセスクライアントをユーザに配備する(リモートアクセスクライアントの導入参照)。
セキュリティゲートウェイの基本設定
ベストプラクティスとして、ほとんどのリモートアクセスクライアントには、これらのセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。の設定を使用してください。詳しくは、お使いのクライアントのドキュメントをご覧ください。
この手順では、デフォルトのリモートアクセスVPNコミュニティ、RemoteAccess を使用します。また、別の名前で新しいリモートアクセスVPNコミュニティを作成することもできます。
リモートアクセス用にSecurity Gatewayを設定するには
-
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Security Gateway (Cluster)オブジェクトを右クリックし、Edit を選択します。
-
Network Security タブで、IPsec VPN を選択し、Software Blade を有効にします。
注:クライアントによっては、Mobile Access Software Bladeも必要です。
Check Pointチェック・ポイントのリモート・アクセス・ソリューション の「必要なライセンス」の項を参照してください。
-
セキュリティゲートウェイをRemote Access VPN Community に追加する :
-
Check Point Gateway ツリーから、IPsec VPN をクリックします。
-
This Security Gateway participates in the following VPN Communities で、Security Gateway が表示されていることを確認するか、Add をクリックして Security Gateway を追加してください。
-
RemoteAccess コミュニティをクリックします。
-
OKをクリックします。
ICA
内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。は、Security Gatewayの証明書を自動的に作成します。
-
-
リモートアクセスコミュニティのVPNドメインを設定します。
デフォルトはAll IP Addresses behind Gateway are based on Topology informationです。詳しくは、Advanced CYあなたの環境に必要であれば、これを変更することができます。
-
Visitor Modeを設定します:
-
IPsec VPN > VPN Clients > Remote Accessを選択します。
-
Support Visitor Mode を選択し、All Interfaces を選択したままにしておきます。
-
オプション:Visitor ModeService を選択します。これは、Security Gatewayへのクライアント接続のプロトコルとポートを定義するものです。
-
-
Office Modeを設定します:
-
Check Point Gateway ツリーから、VPN Clients > Office Mode を選択します。
デフォルトはAllow Office Mode to all usersです。
-
オプション:Offer Office Mode to group を選択し、グループを選択します。
-
オフィスモードの方法を選択する(「オフィスモード」を参照)。
-
-
OKをクリックします。
-
アクセスコントロールポリシーをインストールします。
リモートアクセスコミュニティにユーザを参加させる
デフォルトでは、リモートアクセスVPNコミュニティには、定義されたすべてのユーザを含むユーザグループ(All Users, )が含まれています。このグループを使用するか、リモートアクセスVPNコミュニティに別のユーザグループを追加することができます。コミュニティには、Active Directoryを含むLDAPで定義されたユーザ、またはSecurity Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。で定義されたユーザを含めることができます。
ユーザグループとLDAPの詳細については、R81.10 Security Management Administration Guide を参照してください。
SmartConsoleでリモートアクセスVPNコミュニティにユーザグループを追加するには、以下の手順で行います。
-
左側のナビゲーションパネルでSecurity Policiesします。
-
一番上のセクションで、Access Controlをクリックします。
-
最下部のセクションAccess Tools で、VPN Communities をクリックします。
-
Remote Access Community オブジェクトを右クリックし、Edit をクリックします。
-
Participant User Groupsをクリックします。
-
グループの追加・削除
-
OKをクリックします。。
ユーザ認証の設定
ユーザは、サポートされている認証方式でVPN Security Gatewayに認証する必要があります。でリモートアクセス用Security Gatewayの認証方法を設定することができます。
-
Gateway Properties > VPN Clients > Authentication
-
SmartDashboard
R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。 > Mobile Access タブ > Authentication
-
Gateway Properties > Mobile Access > Authentication
Security Gatewayに認証方式が定義されていない場合、ユーザはクライアントから認証方式を選択します。
R80.xゲートウェイに接続する新しいリモートアクセスクライアントでは、ユーザは複数のログインオプションを確認し、自分に該当するものを選択することができます。古いクライアントまたはR80.10以前のゲートウェイで動作するクライアントでは、ユーザは設定された1つの認証方法を見ることができます。
詳細は、リモートアクセスのためのユーザ認証とクライアント認証を参照してください。
リモートアクセスのためのVPNアクセスルールを設定する
リモートアクセスVPNコミュニティのユーザがLANにアクセスできるようにするためのルールを設定する必要があります。特定のサービスや特定のクライアントへのアクセスを制限することができます。SmartConsoleでルールを設定する> Security Policies > Access Control.
ルールをVPNコミュニティに適用させるためには、ルールベース 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。のVPN カラムにこれらのいずれかが含まれている必要があります。
-
Any - このルールは、すべてのVPNコミュニティに適用されます。ルール作成後に新しいVPNコミュニティを設定した場合、そのルールは新しいVPNコミュニティにも適用されます。
-
One or more specified VPN communities - 例えばRemoteAccess。ルールのVPNカラムを右クリックし、Specific VPN Communities を選択します。このルールは、VPNカラムに表示されているコミュニティに適用されます。
例:
-
このルールは、すべてのサービスにおいて、すべてのVPNコミュニティから内部ネットワーク
ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。へのトラフィックを許可します。
名前
発信元
宛先
VPN
サービス&アプリケーション
すべてのリモートアクセスを許可する
* Any
Internal_Network
* Any
* Any
-
このルールは、RemoteAcccess VPN Communityから内部ネットワークへのHTTPおよびHTTPSでのトラフィックを許可します。
名前
発信元
宛先
VPN
サービス&アプリケーション
RemoteAccess コミュニティを許可する
* Any
Internal_Network
RemoteAccess
HTTP
HTTPS -
このルールは、Endpoint Security VPNクライアントからトラフィックが開始された場合、すべてのサービスでRemoteAcccess VPN Communityから内部ネットワークへのトラフィックを許可します。
名前
発信元
宛先
VPN
サービス&アプリケーション
Endpoint Security VPNからすべて許可する
Endpoint Security VPN Access Role
Internal_Network
RemoteAccess
* Any
リモートアクセスおよびVPNクライアント用のアクセスロールを作成して、アクセスコントロールルールベースのルールに含める方法の詳細については、「リモートアクセスVPN用のポリシーを設定する」を参照してください。
リモートアクセスクライアントの導入
導入手順については、お使いのリモートアクセスクライアントのドキュメントを参照してください。
ユーザが次を持っていることを確認します。
-
サイト名またはURLです。
-
認証に必要な認証情報またはハードウェア。