L2TPクライアント

L2TP（Layer Two Tunneling Protocol）クライアントの紹介

組織によっては、内部ネットワーク ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。へのリモート・アクセスに、より高機能で安全なチェック・ポイント・クライアントではなく、L2TP クライアントを使用することを好む場合があります。L2TPクライアントは多くのOSに組み込まれています。

Check Point Security Gateways は、L2TP IPsec クライアントを使用して VPN を構築することができます。ここでは、Microsoft IPsec / L2TP クライアントを中心に説明します。

L2TP（Layer Two Tunneling Protocol）によるVPN（Virtual Private Network）接続を利用すれば、インターネット経由でプライベートネットワークにアクセスすることができます。L2TPは、業界標準のインターネットトンネリングプロトコルです。

Microsoft IPsec / L2TP クライアントを使用するユーザ向けのリモート・アクセス環境の構築は、Check Point Remote Access Clients の設定と同じ原則に基づいて行われます。Microsoft IPsec / L2TPクライアント用のリモートアクセスを設定する前に、リモートアクセスVPN リモートアクセスクライアント（Endpoint Security VPNなど）とSecurity Gatewayの間の暗号化されたトンネル。の設定方法を理解していることを確認する必要があります。

IPsec / L2TPクライアントとセキュリティゲートウェイ間のVPN構築について

Microsoft IPsec / L2TP クライアントのユーザが Security Gateway で保護されたネットワークリソースにアクセスするためには、以下のように Microsoft IPsec / L2TP クライアントと Security Gateway の間に VPN トンネル 標準プロトコル（L2TPなど）を使用して送受信されるトラフィックを暗号化して復号し、カプセル化されたネットワークを構築し、物理的な専用回線上にあるかのようにデータを安全に共有できる2つのホスト間の暗号化された接続。を確立する必要があります。

項目	説明
1	内部ホスト
2	セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。
3	インターネット
4	リモートIPsecクライアント

VPN の確立のプロセスはユーザにとって透過的であり、以下のように動作します。

1. IPsec / L2TP クライアントのユーザが Security Gateway への接続を開始します。

2. IPsec / L2TP クライアントは、相手セキュリティゲートウェイと IKE (Internet Key Exchange) ネゴシエーションを開始します。リモートクライアントマシンとセキュリティゲートウェイのIDは、以下のいずれかの方法で認証することができます。

   • 証明書の交換を通じて

   • 事前共有鍵による

     注：このオプションは、事前共有キーがすべてのL2TPクライアント間で共有されるため、安全性が低くなります。

   認証されたマシンだけが接続を確立することができます。

3. 両ピアは暗号鍵を交換し、IKEネゴシエーションは終了します。

4. これでクライアントとセキュリティゲートウェイの間で暗号化が確立された。クライアントとSecurity Gateway間のすべての接続は、このVPNトンネル内で、IPsec規格により暗号化されます。

5. クライアントは短い L2TP ネゴシエーションを開始し、その終了時に IPsec で暗号化・カプセル化された L2TP フレームをセキュリティゲートウェイに渡すことができる。

6. Security Gatewayは、Microsoft IPsec / L2TPクライアントでユーザを認証するようになりました。この認証は、手順3のクライアントマシンの認証に加えて行われます。この識別は、これらの方法で行うことができます。

   • A証明書（EAP)

   • MD5チャレンジ（EAP）：ユーザ名とパスワード（事前共有秘密）の入力をユーザに求める。

   • ユーザ名とパスワード（PAP）

7. Security GatewayはリモートクライアントにOffice ModeのIPアドレスを割り当てて、クライアントを内部ネットワークにルーティングできるようにします。オフィスモードの全ての方式からアドレスを割り当てることができる。

8. Microsoft IPsec / L2TPクライアントは、Security Gatewayに接続し、内部ネットワーク内のロケーションをブラウズして接続することが可能です。

L2TP接続時の動作

IPsec / L2TPクライアントを使用する場合、組織と外部を同時に接続することはできません。

これは、クライアントがSecurity Gatewayに接続されている場合、クライアントから出るトラフィックはすべてSecurity Gatewayに送られ、Security Gatewayの背後にある保護されたネットワークに到達する意図があるかどうかにかかわらず、暗号化されるからです。そして、セキュリティゲートウェイは、セキュリティゲートウェイの暗号化ドメイン宛でない暗号化されたトラフィックをすべてドロップします。

IPsec / L2TPのためのセキュリティゲートウェイの要件

Microsoft IPsec / L2TPクライアントを使用するためには、Security Gatewayがリモートアクセス用に設定されている必要があります。この設定は、Check Point Remote Access Clients を使用したリモート・アクセスに必要な設定と非常に似ており、Security Gateway とユーザ・グループを含む Remote Access コミュニティを作成する必要があります。

さらに、オフィスモード機能によってクライアントにアドレスを供給するよう、Security Gatewayを設定することが必要です。

L2TP グローバルコンフィギュレーション

L2TP認証に関する一部の設定は、バージョンR71以上のセキュリティゲートウェイでグローバルに設定することができます。これらの設定は、SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。のグローバルプロパティの設定項目で行います。

すべてのL2TPクライアントは、標準のユーザ認証に加えて、IKEの事前共有キーを使用するように設定することができます。

IKE で事前共有鍵を使用するには、Global Properties > Remote Access > VPN - Authentication and Encryption で、Support L2TP with Pre-Shared Key を選択します。

注 - L2TP用に作成されたIKEセキュリティアソシエーションは、通常のIPsecトラフィックには使用できません。

ユーザの認証

L2TP接続の認証には、2つの方法があります。

• レガシー認証の使用

• 証明書の利用について

認証方法

L2TPクライアントは、以下のいずれかの認証方式を使用して接続を確立することができます。

• Check Pointパスワード

• OSパスワード

• RADIUS

• LDAP

• TACACS

ユーザ名とパスワードの使用は、ユーザが本人であることを確認するものです。すべてのユーザは、リモートアクセスコミュニティに属し、オフィスモードに設定されている必要があります。

証明書

L2TP 接続を確立する過程で、2 組の認証が実行されます。まず、クライアントマシンとセキュリティゲートウェイは、証明書を用いて互いのIDを認証します。そして、クライアントマシンのユーザとセキュリティゲートウェイは、証明書または事前共有秘密を使ってお互いを認証します。

Microsoft IPsec / L2TPクライアントは、クライアントマシンのIKE認証用とユーザ認証用に別々の証明書を保持します。

Security Gatewayでは、ユーザ認証に証明書を使用する場合、ユーザ認証とIKE認証に同じ証明書または異なる証明書を使用することができます。

クライアントとユーザの証明書は、同じ CA から発行されることも、異なる CA から発行されることもある。SmartConsoleでは、ユーザとクライアントマシンを別々にユーザとして定義します。

証明書は、以下の方法で発行することができます。

• Security Management Server Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。上のInternal Certificate Authority (ICA 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。)

• OPSEC認定証明書発行機関

ユーザ証明書の目的

PKI証明書を定められた目的のみに使用するようにすることが可能である。証明書は、「クライアント認証」「サーバ認証」「IPsec」「メール署名」など、1つまたは複数の目的を持つことができる。目的は、証明書の Extended Key Usage エクステンションに表示される。

IKE認証に使用される証明書は、何の目的も必要としない。ユーザ認証のために、Microsoft IPsec / L2TPクライアントは、以下のことを要求します。

• ユーザ証明書は、「クライアント認証」目的であること

• Security Gatewayの証明書は、「サーバ認証」目的であること。

ICAを含むほとんどのCAは、デフォルトでそのような目的を指定していません。つまり、IPsec / L2TP クライアントに証明書を発行する CA は、適切な目的（Extended Key Usage エクステンション内）で証明書を発行するよう設定されていなければならない。

Security Management Server Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。上のICAが発行する証明書がこれらの目的を持つように設定することが可能です。OPSEC 認証 CA の場合、Security Management Server が目的を含む証明書要求を作成するよう設定することが可能である（Extended Key Usage エクステンションにおいて）。

また、Microsoft IPsec / L2TPクライアントがL2TPネゴシエーションの際にSecurity Gatewayの証明書を検証しないように設定することも可能です。クライアントはIKEネゴシエーションの際にセキュリティゲートウェイの証明書をすでに検証しているため、これはセキュリティ上の問題ではありません。

Microsoft IPsec / L2TP クライアントのリモートアクセスを設定する

Microsoft IPsec / L2TPクライアント用のリモートアクセスVPNを確立するには、Security Gatewayとクライアントマシンの両方で設定を実行する必要があります。設定方法は、Check Point Remote Access Clientsの設定と同じですが、いくつかの手順が追加されています。

リモートアクセスの配置を作成するための高レベルのワークフローです。

1. リモートアクセス環境を設定する（オブジェクトや、ユーザの証明書情報（通常は証明書）を含む）。

2. セキュリティゲートウェイでオフィスモードとL2TPのサポートを設定します。

3. クライアントマシンで、ユーザ証明書をユーザ証明書ストアに、クライアントマシン証明書をマシン証明書ストアに配置します。

4. クライアントマシンで、Microsoft IPsec / L2TPクライアント接続プロファイルを設定します。

リモートアクセス環境を構築する

リモートアクセスにVPN接続を使用するようにネットワークを設定します。

クライアントマシンおよびその証明書を定義する

1. 各クライアントマシンに対応するユーザ、または全マシンに対応する1ユーザを定義し、各クライアントマシンのユーザ用の証明書を生成します。手順は、ユーザとその証明書を定義する場合と同じです。

2. クライアントマシンに対応するユーザをユーザグループに追加し、そのユーザグループをリモートアクセスVPNのコミュニティに追加します。

オフィスモードとL2TPサポートを設定する

L2TP サポートを設定するには

1. オフィスモードを設定する（オフィスモード参照）。

2. Gateways & ServersをクリックしてSecurity Gatewayをダブルクリックします。

   Security Gateway Properties ウィンドウが開き、General Properties ページが表示されます。

3. ナビゲーションツリーでVPN Clients > Remote Accessをクリックします。

4. Support L2TPをクリックします。

5. ユーザのAuthentication Method を選択します。

   • EAP証明書を使用するには、Smart Card or other Certificates (encryption enabled) を選択します。

   • EAPユーザ名と共有秘密（パスワード）を使用するには、MD5-challenge を選択します。

   注: 選択した認証方法は、クライアントがEAPで設定されている場合にのみ関連します。 レルム上の設定は、認証方法の強制であることに注意してください（Security Gatewayオブジェクトのプロパティで、Remote Access > Authentication > Allow old users to connect > Settings > Authentication method ）。

6. Use this certificate では、Security Gateway がユーザに自身を認証するために提示する証明書を選択します。

7. OK をクリックし、変更内容を公開します。

クライアントマシンの準備

1. クライアントマシンのWindowsServices ウィンドウで、IPsec Policy Agent が実行されていることを確認します。できれば、「自動」に設定することが望ましい。

2. 他のIPsecクライアントがインストールされていないことを確認します。

クライアント証明書をマシン証明書ストアに格納する

1. クライアントマシンに管理者権限でログインします。

2. Microsoft Management Consoleを起動します。Start > Runをクリックします。

3. mmc と入力し、Enterキーを押します。

4. Console > Add/Remove Snap-Inを選択します。

5. Standalone タブで、Add をクリックします。

6. Add Standalone Snap-inウィンドウで、Certificatesを選択します。

7. Certificates snap-inウィンドウで、Computer accountを選択します。

8. Select Computer ウィンドウで、新しい証明書が保存されているコンピュータ（ローカルかどうかにかかわらず）を選択します。

9. Finish をクリックすると処理が完了し、Close をクリックするとAdd/Remove Snap-in のウィンドウが閉じます。

10. MMCConsole ウィンドウが表示され、新しい証明書ブランチがコンソールルートに追加されています。

11. Certificates ブランチのPersonal エントリを右クリックし、All Tasks > Import を選択します。証明書インポートウィザードが表示されます。

12. 証明書のインポートウィザードで、証明書の場所を参照します。

13. 証明書ファイルのパスワードを入力します。

14. Certificate Store ウィンドウで、証明書の種類に基づいて証明書ストアが自動的に選択されることを確認します。

15. Finish を選択すると、Import操作が完了します。

16. Certificate サブディレクトリ（Personal の下）に移動します。ユーザ名を記載した証明書と管理者名を記載した証明書が1つずつ存在します。

17. 管理証明書を選択し、Trusted Root Certificate サブディレクトリの下のCertificates リストにドラッグします。

18. MMCコンソールを終了します。保存する必要はありません。Internet Explorerのプロパティで変更を確認することができます。

MMCを使用すると、「ローカルコンピュータ」の証明書ストアで証明書を確認することができます。

ユーザ証明書をユーザ証明書ストアに格納する

1. クライアントマシン上で、ユーザの証明書アイコン（.p12ファイル）が保存されている場所をダブルクリックします。証明書インポートウィザードが表示される

2. パスワードを入力します。

3. Certificate Store ウィンドウで、証明書の種類に基づいて証明書ストアが自動的に選択されることを確認します。

4. Finish を選択すると、Import操作が完了します。

MMCを使用すると、「現在のユーザ」の証明書ストアで証明書を確認することができます。

Microsoft IPsec/L2TPクライアント接続プロファイルの設定

クライアントマシンの証明書とユーザの証明書が正しく配布されたら、L2TP接続プロファイルを設定します。Windowsのバージョンが異なると、操作方法が若干異なる場合があります。

L2TPプロファイルを設定するには

1. クライアントマシン上で、Network and Sharing Center にアクセスします。

2. Set up a new connection or network> Connect to a workplace > Use my Internet connection (VPN).を選択します。

3. Internet address に、Security GatewayのIPアドレスまたは解決可能なホスト名を入力します。

4. Destination name に、新しい接続の名前（例：L2TP_connection）を入力します。

5. Windows 7の場合。Don't connect now; just set it up so I can connect laterを選択します。

6. Nextをクリックします。

7. Createをクリックします。

8. Closeをクリックします。

L2TPの接続設定を完了するには

1. Network and Sharing Center で、Change adapter settings をクリックします。

2. 作成した接続を右クリックし、Properties を選択します。

3. Security タブで、Type of VPN の下にある、Layer 2 Tunneling Protocol with IPSEC (L2TP/IPSEC) を選択します。

4. Advanced settings をクリックし、L2TP タブをクリックします。

   • セキュリティゲートウェイが事前共有鍵をサポートするように設定されている場合、認証に事前共有鍵を選択し、事前共有鍵を入力することができます。

   • スマートカードや他の証明書を使用するようにSecurity Gatewayを設定した場合、［Use certificate for authentication］を選択することができます。

5. OKをクリックします。

6. Authentication で、Use Extensible Authentication protocols またはAllow these protocols を選択します。

   • Use extensible Authentication protocolsを選択する場合 (EAP):MD5-challengeまたはSmart Card or other Certificatesを選択します。Security Gateway（サポートL2tp上）で設定した認証方式を選択します。

   • Allow these protocols を選択した場合。Unencrypted password (PAP)を選択します。

7. OKをクリックします。

ユーザ証明書の用途を設定する

IPsec/L2TP クライアントに証明書を発行する CA は、適切な目的の証明書を発行するよう設定する必要がある。

また、Microsoft IPsec/L2TPクライアントは、Security Gateway証明書の「サーバ認証」目的を必要としないように設定することも可能です。

証明書を発行するCAを設定する（L2TP）

ICA管理ツールでCAを設定する場合。

1. ICA管理ツールを実行します。

2. プロパティIKE Certificate Extended Key Usage プロパティを値 1 に変更し、「サーバ認証」を目的とした Security Gateway 証明書を発行します。

3. プロパティIKE Certificate Extended Key Usage の値を 2 に変更し、「クライアント認証」を目的としたユーザ証明書を発行します。

   OPSEC認証CAを使用して証明書を発行する場合は、データベースツール（GuiDBEdit Tool）を使用して（sk13009参照）、グローバルプロパティcert_req_ext_key_usage の値を1に変更します。これにより、Security Management Serverは、証明書にpurpose（Extended Key Usage extension）が含まれる証明書を要求するようになります。

SmartConsoleでCAを設定する場合。

1. Gateways & ServersをクリックしてSecurity Gatewayをダブルクリックします。

   Security Gateway Properties ウィンドウが開き、General Properties ページが表示されます。

2. ナビゲーションツリーでIPsec VPNをクリックします。

3. Repository of Certificates Available to the Gatewayセクションで、Addをクリックします。

4. Certificate Propertiesウィンドウが開きます。

5. 証明書の設定を行い、OK をクリックします。

6. 証明書を選択し、View をクリックします。

7. 証明書に Extended Key Usage Extension が表示されていることを確認します。

8. ナビゲーションツリーでVPN Clients > Remote Accessをクリックします。

9. L2TP Support セクションで、新しい証明書を選択します。

10. OK をクリックし、変更内容を公開します。

Microsoft IPsec/L2TPクライアントが「サーバ認証」を確認しないように設定する手順

以下の手順で、Microsoft IPsec/L2TPクライアントに、Security Gateway証明書の「Server Authentication」目的を要求しないように設定します。

1. クライアントマシンで、デスクトップ上のMy Network Places のアイコンを右クリックし、Properties を選択します。

2. Network and Dial-up Connections ウィンドウで、L2TP 接続プロファイルをダブルクリックします。

3. Properties をクリックし、Security タブを選択します。

4. Advanced (custom settings) を選択し、Settings をクリックします。

5. Advanced Security Settings ウィンドウで、Logon security の下にある、Use Extensible Authentication Protocol (EAP) を選択し、Properties をクリックします。

6. Smart Card or other Certificate Properties ウィンドウで、Validate server certificate のチェックをはずし、OK をクリックします。

注 - クライアントはIKE認証時に、「サーバ認証」目的以外のセキュリティゲートウェイ証明書のすべての側面を検証します。

L2TP接続を行う

1. Connect をクリックすると、L2TP接続が行われます。

2. 接続に割り当てられた IP アドレスを表示するには、接続Status ウィンドウのDetails タブを表示するか、"ipconfig /all" コマンドを使用します。

詳細:

L2TPプロトコルは、RFC2661で定義されています。IPsecを使用したL2TPの暗号化については、RFC3193に記載されている。L2TPプロトコルおよびMicrosoft IPsec/L2TPクライアントについては、お使いのバージョンのWindowsの「ネットワークとダイヤルアップ接続」のヘルプを参照してください。