リモートアクセス詳細設定

ドメインコントローラ名解決

クライアントが接続モードとオフィスモードで構成されている場合、クライアントはダイナミックWINSを使用してNTドメイン名を自動的に解決します。

そうでなければ、クライアントはLMHOSTSまたはWINSのいずれかを使用してNTドメイン名を解決します。

LMHOSTS

Security Gateway の$FWDIR/conf/dnsinfo.C ファイルに関連情報(下記参照)を入力し、ポリシーをインストールします。

(
    :LMdata(
        :(
            :ipaddr (<IP address>)
            :name (<host name>)
            :domain (<domain name>)
        )
        :(
            :ipaddr (<IP address>)
            :name (<host name>)
            :domain (<domain name>)
        )
    )
)

トポロジーを更新すると、名前解決のデータは自動的にuserc.C ファイルのdnsinfo エントリに転送され、さらにそのLMHOSTS ファイルに転送されます。

認証タイムアウトとパスワードキャッシング

問題点

ユーザは、1回のセッションで何度も認証を受けることを煩わしく思っています。同時に、このような複数回の認証は、セッションが乗っ取られていないことを確認する有効な手段でもある(例えば、ユーザが一定期間エンドポイントコンピュータから離れた場合など)。問題は、利便性とセキュリティの適切なバランスを見つけることです。

ソリューション

多重認証は、以下のように減らすことができます。

  • 再認証間隔を長くする

  • ユーザのパスワードのキャッシュ

再認証間隔

接続モードの場合、タイムアウトまでのカウントダウンは、リモートアクセスクライアントが接続された時点から開始されます。

再認証の間隔を設定するには

  1. メニューから、Global Properties を選択します。

  2. ナビゲーションツリーでRemote Access> Endpoint Security VPNをクリックします。

  3. Re-authenticate user every で、再認証の間隔を分単位で選択します。

  4. OK.をクリックします。

  5. インストールポリシーです。

パスワードキャッシング

タイムアウトになると、ユーザは再度認証を要求されます。パスワードキャッシュが有効な場合、クライアントはキャッシュされたパスワードを自動的に供給し、認証はユーザに対して透過的に行われます。つまり、ユーザは再認証が行われたことを意識することはない。

パスワードキャッシュは、複数回使用するパスワードに対してのみ可能です。ユーザの認証方式がワンタイムパスワードを実装している場合(例えば、SecurID)、パスワードをキャッシュすることはできず、認証タイムアウト時に再認証を求められます。これらの方式では、この機能は実装されるべきではありません。

パスワードキャッシングを設定するには

  1. メニューから、Global Properties を選択します。

  2. ナビゲーションツリーでRemote Access> Endpoint Security VPNをクリックします。

  3. Enable password caching で、オプションを選択します。

  4. パスワードキャッシュが有効な場合、Cache password for 、キャッシュされる分数を選択します。

セキュアドメインログオン(SDL)

問題点

リモートアクセスクライアントユーザがドメインコントローラーにログオンするとき、ユーザはまだ認証情報を入力していないため、ドメインコントローラーへの接続は暗号化されません。

ソリューション

SDL(Secure Domain Logon)機能を有効にすると、ユーザがOSのユーザ名とパスワードを入力した後(ドメインコントローラへの接続を開始する前)、User Authentication のウィンドウが表示されます。ユーザがリモートアクセスクライアントの認証情報を入力すると、ドメインコントローラーへの接続は暗号化されたトンネルを介して行われます。

SDLタイムアウトの設定

SDLは同時実行プロセスの同期に依存しているため、タイムアウトの定義に柔軟性を持たせることが重要である。

SDLタイムアウト機能は、ユーザがドメインコントローラの認証情報を入力しなければならない時間を制御します。

割り当てられた時間が経過し、キャッシュされた情報が使用されていない場合(該当する場合)、Secure Domain Logonは失敗します。

タイムアウトは、グローバルパラメーターsdl_netlogon_timeout で制御されます。

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。セッションを公開する。

  2. SmartConsoleのウィンドウをすべて閉じます。

  3. Database Tool (GuiDBEdit Tool)(sk13009)を使って、管理サーバに接続します。

  4. 左上のペインで、Table > Global Properties > firewall_properties をクリックします。

  5. 右上のペインで、global_properties をクリックします。

  6. Search メニュー> Find をクリックする(またはCTRL+F キーを押す)。

  7. 検索」ウィンドウで

    1. Find what のフィールドに、ペーストします。 sdl_netlogon_timeout

    2. Search in セクションでは、選択のみ Fields

    3. Find Nextをクリックします。

  8. 下のペインで

    1. 右クリックsdl_netlogon_timeout > クリック Edit

    2. 該当する秒数の整数値を入力します。

    3. OKをクリックします。。

  9. File メニュー> Save All をクリックします。

  10. File メニュー> Exit をクリックします。

  11. SmartConsoleで管理サーバに接続します。

  12. 該当するVPN Gatewayにアクセスコントロールポリシーをインストールします。

キャッシュ情報

リモートアクセスクライアントコンピュータがドメインコントローラーへのログオンに成功すると、ユーザプロファイルはキャッシュに保存されます。このキャッシュされた情報は、何らかの理由でドメインコントローラーへのその後のログオンに失敗した場合に使用される。

このオプションをWindowsレジストリで設定するには、次のようにします。

  1. HKLM\Software\Microsoft\Windows NT\Current Version\Winlogon にアクセスしてください。

  2. 新しいキー "CachedLogonCount" を作成し、有効な値の範囲は0から50までです。

    このキーの値は、サーバがキャッシュする過去のログオン試行回数である。

    値0は、ログオンキャッシュを無効にします。

    50より大きい値を指定すると、50回のログオン試行のみがキャッシュに保存されます。

セキュア・ドメイン・ログオンの設定

  1. リモートアクセスクライアントがLMHOSTS(すべてのプラットフォーム)またはWINS(Windows 9xを除くすべてのプラットフォーム)を使用するように設定します。

  2. Win NT、Win 2000の場合、SDLのタイムアウトを設定します。

  3. ドメインコントローラーが存在するサイトを定義し、トポロジーをダウンロード/更新します。

  4. エンドポイントコンピュータがまだドメインメンバでない場合、ドメインメンバになるように設定します。

  5. WinNT、2000の場合。

    • 自動ローカルログオンを有効にする(オプション)

    • セキュア・ドメイン・ログオンを有効にする

  6. コンピュータを再起動します。

  7. コンピュータにログインします。

セキュア・ドメイン・ログオンの使用

  1. WindowsLogon ウィンドウが表示されたら、オペレーティングシステムの認証情報を入力します。

  2. OKをクリックします。

    Logon ウィンドウが表示されます。

  3. 定義された時間内にリモートアクセスクライアントの認証情報を入力します(「SDLタイムアウトの設定」を参照)。

ログオンに失敗し、キャッシュされた情報が使用されていない場合は、1分待ってから再試行してください。

SDLがエンドポイントコンピュータですでに設定されている場合、管理者はデフォルトでSDLが有効になっているリモートアクセスクライアントのインストールパッケージをカスタマイズすることができます。

VPN設定ユーティリティを使用して自己解凍型のリモートアクセスクライアントパッケージを作成し、Enable Secure Domain Logon を選択します。Endpoint Securityホームページのお使いのリリースのRemote Access Clients for Windows Administration Guide をご覧ください。

ポストコネクトスクリプト

ポストコネクト機能は、リモートアクセスクライアントがVPN接続を確立した後に、エンドポイントコンピュータ上でスクリプトを実行する機能です。

Post-Connect スクリプトは、ユーザレベルの権限で実行されます。

セキュリティ上の理由から、Windowsログイン前にSecure Domain Loginが発生した場合、Post-Connectスクリプトを実行することはサポートされていません。

同時ログインとアグレッシブ同時ログイン防止(SLP)

ユーザがリモートアクセスVPN閉じた リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。に複数回ログインすることを制限することができます。

同時ログインの設定を行うには

  1. 左側のナビゲーションパネルでGateways & Serversします。

  2. Security Gateway / Cluster オブジェクトをダブルクリックします。

  3. ナビゲーションツリーでRemote Accessをクリックします。

  4. Simultaneous Loginの下で、以下のいずれかを選択します。

    • User is allowed several simultaneous login - ユーザが複数のデバイスから同時にリモートアクセスVPNにログインすることができます。

    • User is allowed only single login - ユーザがリモートアクセスVPNにログインできるのは、1つのデバイスのみです。

  5. OKをクリックします。。

  6. VPN Gatewayにポリシーをインストールします。

Aggressive SLPは、VPNゲートウェイが、複数の同時ログインを行ったリモートユーザを自動的に切断することを可能にします。Aggressive SLP が有効な場合、非アクティブな VPN トンネル閉じた 標準プロトコル(L2TPなど)を使用して送受信されるトラフィックを暗号化して復号し、カプセル化されたネットワークを構築し、物理的な専用回線上にあるかのようにデータを安全に共有できる2つのホスト間の暗号化された接続。は切断されます。

Aggressive SLPを有効にするには:

  1. VPN Gatewayのコマンドラインで、エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。でこのコマンドを実行します。

    ckp_regedit -a \\SOFTWARE\\CheckPoint\\VPN1 aggresive_slp_sc_disconnect -n 1

  2. SmartConsoleで、このVPN Gatewayにポリシーをインストールします。

Aggressive SLPを無効にするには:

  1. VPN Gatewayのコマンドラインで、エキスパートモードでこのコマンドを実行します。

    ckp_regedit -a SOFTWARE\\CheckPoint\\VPN1 aggresive_slp_sc_disconnect -n 0

  2. SmartConsoleで、このVPN Gatewayにポリシーをインストールします。

Aggressive SLPの設定状況を確認するには:

VPN Gatewayのコマンドラインで、エキスパートモードで次のコマンドを実行します。

grep slp $CPDIR/registry/HKLM_registry.data

そのうちの1つの出力が表示されます。

  • aggresive_slp_sc_disconnect ("[4]1") - は、Aggressive SLP が有効であることを示します。

  • aggresive_slp_sc_disconnect ("[4]0") - は、Aggressive SLP が無効であることを示しています。

完全前方秘匿(PFS)

暗号技術において、PFS(Perfect Forward Secrecy)とは、現在のセッション鍵や長期秘密鍵が漏洩しても、それ以前の鍵やそれ以降の鍵が漏洩しない状態を指します。セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、PFSモードによりこの要件を満たします。PFSを有効にすると、IKEフェーズIIで新しいDiffie-Helman(DH)鍵が生成され、鍵交換のたびに更新されます。.

VPN GatewayでリモートアクセスクライアントにPFSを適用するには、VPN GatewayでPFSを適用します。

  1. VPN Gatewayのコマンドラインで、エキスパートモードでこのコマンドを実行します。

    ckp_regedit -a \\SOFTWARE\\CheckPoint\\VPN1 force_ra_pfs -n 1

  2. SmartConsoleで、このVPN Gatewayにポリシーをインストールします。

  3. オプション:DHグループを変更するには、SmartConsoleで、Menu> Global properties > Remote Access > VPN – Authentication and Encryption > Encryption algorithms > Edit > Phase 1 > Use Diffie-Hellman group にアクセスします。

リモートアクセスクライアントにPFSを適用しないようにするには、Security Gatewayを使用します。

  1. Security Gatewayのコマンドラインで、Expertモードで次のコマンドを実行します。

    ckp_regedit -d \\SOFTWARE\\CheckPoint\\VPN1 force_ra_pfs

  2. SmartConsoleで、このSecurity Gatewayにポリシーをインストールします。

Security GatewayのPFSの設定状況を確認するには:

  1. Security Gatewayのコマンドラインで、Expertモードで次のコマンドを実行します。

    cat $CPDIR/registry/HKLM_registry.data | grep force_ra_pf

  2. force_ra_pfs パラメータが存在する場合、そのパラメータを表示します。つまり、PFSが実施されるのです。

チェック・ポイント以外のファイアウォールと連携する方法

リモート・アクセス・クライアントがチェック・ポイント以外のファイアウォールの内側にある場合、VPNトラフィックを通過させるためには、ファイアウォールで以下のポートを開く必要があります。

ポート

説明

UDP ポート8116

IKE over TCPを使用している場合でも常に。

TCPポート500

IKE over TCPを使用している場合のみ。

IP プロトコル 50 ESP

常にUDPカプセル化を使用する場合を除く

UDPポート2746

MEP,インタフェースリゾルブ,またはインタフェースハイベイラビリティを使用する場合のみ

UDPポート259

MEP,インタフェースリゾルブ,またはインタフェースハイベイラビリティを使用する場合のみ

内部DNSサーバによる内部名の解決

問題です。

リモートアクセスクライアントは、内部DNSサーバを使用して、一意でないIPアドレスを持つ内部ホスト(Security Gatewayの後ろ)の名前を解決します。

解決策

ベストプラクティス:

  • Endpoint Security VPN および Check Point Mobile for Windows の場合は、Office モードを使用してください。

  • SecuRemoteの場合は、スプリットDNS機能(スプリットDNS参照)を使用します。

スプリットDNS

分割DNSは、プライベートIPアドレス(RFC1918)で内部名を解決するために設定できる内部DNSサーバを表すオブジェクトであるSecuRemote DNS Serverを使用します。これらの内部名称のDNS解決は暗号化するのがベストです。

SecuRemote DNSサーバが指定されたドメインからのトラフィックを解決するように設定し、ポリシーをインストールすると、それが有効になります。ユーザがVPN接続中にそのドメインにアクセスしようとすると、そのリクエストはSecuRemoteのDNSサーバによって解決されます。内部DNSサーバは、ユーザがVPNに接続しているときのみ動作させることができます。

SecuRemoteのDNSサーバは、ドメインごとに複数設定することができます。

スプリットDNSの設定

リモートアクセスクライアントのDNSサーバをスプリットDNSに設定するには、次の手順に従います。

  1. SmartConsoleの「オブジェクト」ツリーで、New > More > Server> More> SecuRemote DNS を選択します。

    New SecuRemote DNSウィンドウが開きます。

  2. General タブで、サーバの名前を入力し、そのサーバが動作するホストを選択します。

  3. Domains タブで、Add をクリックして、サーバで解決されるドメインを追加します。

    Domainウィンドウが表示されます。

  4. リモートアクセスクライアントのDNSサーバが解決するドメインのDomain Suffix を入力します(例:checkpoint.com )。

  5. Domain Match Case の項目で、サフィックスの前の URL に入れることができるラベルの最大数を選択します。最大値より多くのラベルを持つURLは、そのDNSに送信されません。

    • Match only *.suffix - 1のラベルを持つリクエストのみ、リモートアクセスクライアントのDNSサーバに送信されます。例えば、"www.checkpoint.com"と"whatever.checkpoint.com"はありますが、"www.internal.checkpoint.com"はありません。

    • Match up to x labels preceding the suffix - ラベルの最大枚数を選択します。例えば、3を選択した場合、SecuRemote DNSサーバは"www.checkpoint.com"と"www.internal.checkpoint.com"の解決に使用されますが、"www.internal.inside.checkpoint.com"の解決には使用されません。

  6. OKをクリックします。。

  7. ポリシーをインストールします。

スプリットDNSの有効化・無効化

スプリットDNSは自動的に有効になります。Endpoint Security VPNおよびCheck Point Mobile for Windowsでは、trac_client_1.ttm 設定ファイルのパラメータを編集して、スプリットDNSを有効、無効、またはリモートアクセスクライアント設定に依存するかどうかを設定することができます。

Security GatewayのSplit DNSの設定を変更する場合。

  1. Security Gateway上で、$FWDIR/conf/trac_client_1.ttm ファイルをViエディタで編集します。

    vi $FWDIR/conf/trac_client_1.ttm

  2. "split_dns_enabled" プロパティを追加します。

    :split_dns_enabled (
        :gateway (
            :map (
                :true (true)
                :false (false)
                :client_decide (client_decide)
            )
            :default (client_decide)
        )
    )

  3. :default 属性に値を設定します。

    • true - 有効

    • false (default) - 無効

    • client_decide - エンドポイントコンピュータ上のファイルから値を取得する

  4. 変更内容をファイルに保存し、エディタを終了します。

  5. SmartConsoleで、このSecurity Gatewayにポリシーをインストールします。