SSL Network Extender
SSLネットワークエクステンダーの紹介
ユーザが遠隔地から組織にアクセスする場合、通常のセキュア接続の要件だけでなく、遠隔地のクライアントの特殊な要件も満たすことが不可欠です。これらの要件は以下の通りです。
-
コネクティビティリモートクライアントは、NATデバイス、プロキシ、ファイアウォールの背後にある場合でも、さまざまな場所から組織にアクセスできる必要があります。利用できるアプリケーションの範囲は、Webアプリケーション、メール、ファイル共有、その他企業ニーズに合わせて必要とされるより専門的なアプリケーションを含む必要があります。
-
セキュアな接続性を実現。すべての接続に対して、認証、機密性、データ完全性の組み合わせで保証されます。
-
ユーザビリティ。取り付けが簡単であること。ネットワークの変更に伴うコンフィギュレーションは必要ないはずです。与えられたソリューションは、接続するユーザにとってシームレスであるべきです。
これらの問題を解決するためには、企業ネットワークへのリモートアクセスを安全に実現するためのセキュアな接続フレームワークが必要です。
SSL(Secure Socket Layer)ネットワークエクステンダーは、簡単に導入できるリモートアクセスソリューションです。シンクライアントは、ユーザのマシンにインストールされる。(SSL Network Extenderクライアントは、他のクライアントに比べてサイズが非常に小さくなっています)。 Security Gatewayの一部であるSSL対応Webサーバに接続されています。デフォルトでは、SSL対応Webサーバは無効になっています。SmartDashboard R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。を使用して起動するため、SSLによる完全なセキュアIP接続を実現します。SSL Network Extenderは、他のリモートアクセスクライアントと異なり、サーバ側の設定のみが必要です。エンドユーザがサーバに接続した後、シンクライアントはActiveXコンポーネントとしてダウンロードされ、インストールされ、SSLプロトコルを使用して企業ネットワークに接続するために使用されます。
SSL Network Extenderクライアントの新バージョンを導入することは、他の従来型クライアントの新バージョンを導入するよりもはるかに簡単です。
|
重要- Mobile Access Software Blade この場合、Mobile Access Software BladeでSSL Network Extenderの設定を行う必要があります。 IPsec VPN Software BladeでSSL Network Extenderの設定をすでに構成しており、その後Mobile Access Software Bladeを有効にした場合は、Mobile Access Software BladeのSSL Network Extender設定を構成する必要があります。 |
SSLネットワークエクステンダーの仕組み
SSL Network Extenderは、ユーザのコンピュータにインストールされるシンクライアントと、SSL対応のWebサーバコンポーネントで、Security Gatewayに統合されています。
SSL Network Extenderを使用するクライアントに接続するためには、SSL Network Extender特有の細かい設定に加えて、リモートアクセスクライアントに対応したセキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。を設定する必要があります。
ユーザは、Security GatewayのポータルサイトからSSL Network Extenderをダウンロードします。
よく使われる概念
これらは、SSL Network Extenderを使用する際に、よく遭遇する概念です。

Endpoint VPNクライアント、SSLクライアント、サードパーティ製IPsecクライアントなどのクライアントソフトウェアを使用してネットワークにアクセスするリモートユーザを指します。
セキュリティゲートウェイは、リモートクライアントに対して、Remote Access VPN Service を提供します。

チェック・ポイントのコンセプトであるリモート・アクセス・コミュニティは、社内LANの外にいるリモート・ユーザ向けに作られたVPNコミュニティ VPNゲートウェイで保護されたVPNドメインの名前付き集合体。の一種です。

オフィス・モードは、チェック・ポイントのリモート・アクセスVPNソリューションの機能です。セキュリティゲートウェイがリモートクライアントにIPアドレスを割り当てることを可能にします。
このIPアドレスは、ホームネットワークとの安全なカプセル化通信のために内部でのみ使用されるため、パブリックネットワークからは見えません。
ユーザが接続し、認証されると、割り当てが行われます。
割り当てリースは、ユーザが接続している間、更新されます。
アドレスは、一般的なIPアドレスプールから取得するか、設定ファイルを使用してユーザグループごとに指定されたIPアドレスプールから取得することができます。

訪問者モードは、Check Point のリモート・アクセス VPN ソリューションの機能です。これは、all クライアントからセキュリティゲートウェイへの通信を、ポート443 の通常の TCP 接続でトンネリングすることを可能にします。
ビジターモードは、IPsec接続をブロックするように設定されたファイアウォールやプロキシサーバに対するソリューションとして設計されています。

エンドポイントセキュリティオンデマンド(ESOD)は、エンドポイントコンピュータに内部アプリケーションへのアクセスを許可する前に、潜在的に有害なソフトウェアをスキャンするために使用される場合があります。
エンドユーザがSSL Network Extenderに初めてアクセスする際、エンドユーザのマシンにマルウェアをスキャンするActiveXコンポーネントをダウンロードするよう促されます。
スキャン結果は、Security Gatewayとエンドユーザの両方に表示されます。SSL Network Extenderへのアクセスは、管理者が設定したコンプライアンス 管理サーバのCheck Point Software Bladeを使用して、セキュリティのベストプラクティスを表示し、管理対象セキュリティゲートウェイに適用します。このSoftware Bladeには、セキュリティゲートウェイとポリシーを適切に設定するためのベースラインとして使用する、チェックポイントで定義されたセキュリティベストプラクティスのライブラリが含まれています。・オプションに基づいて、エンド・ユーザに許可/拒否されます。
ユーザグループごとのESODポリシー
ネットワークのセキュリティに対する脅威は多種多様であり、増加する脅威に対して、ユーザごとに異なる設定が必要となる場合があります。
様々なESODポリシーを設定することができるため、管理者は異なるユーザグループ間でソフトウェアのスクリーニングプロセスをカスタマイズすることができます。
審査対象となるソフトウェアの種類
ESODは、これらのマルウェアソフトウェアをスクリーニングすることができます。
ソフトウェアの種類 |
説明 |
---|---|
ワーム |
ネットワーク通信を妨害したり、ソフトウェアやデータに損害を与えたりする目的で、コンピュータネットワーク上で複製するプログラム。 |
トロイの木馬 |
無害なアプリケーションを装った悪質なプログラム。 |
ハッカーツール |
ハッカーがコンピュータにアクセスしたり、コンピュータからデータを抽出したりすることを容易にするツール。 |
キーストローク・ロガー |
ユーザの入力活動(マウスやキーボードの使用)を、ユーザの同意の有無にかかわらず記録するプログラム。キーストローク・ロガーの中には、記録された情報を第三者に送信するものがあります。 |
アドウェア |
広告を表示したり、Webの使用習慣に関する情報を記録して、ユーザの承認や知識なしにマーケティング担当者や広告主に保存または転送するプログラム。 |
ブラウザのプラグイン |
ユーザのブラウザの設定を変更したり、ブラウザに機能を追加したりするプログラム。ブラウザのプラグインの中には、デフォルトの検索ページを有料サイトに変更したり、ユーザのホームページを変更したり、ブラウザの履歴を第三者に送信したりするものがあります。 |
ダイヤラ |
ユーザのダイヤルアップ接続設定を変更し、現地のインターネットサービスプロバイダに接続する代わりに、別のネットワーク(通常は有料電話番号や国際電話番号)に接続するようにするプログラム。 |
サードパーティークッキー |
ユーザのインターネット上での活動に関する情報をマーケティング担当者に配信するために使用されるCookieです。 |
その他の不要なソフトウェア |
ユーザのコンピュータ上で望ましくない動作を密かに行う未承諾ソフトウェアで、上記のいずれにも当てはまらないもの。 |
SSLネットワークエクステンダーの特徴

-
簡単なインストールと展開。
-
直感的で簡単なインタフェースで設定・利用が可能です。
-
SSL Network Extenderの仕組みは、Visitor ModeとOffice Modeに基づく。
-
プロキシの自動検出機能を実装。
-
小型のクライアント。SSL Network Extenderのダウンロードサイズ< 400K。インストール後、ディスク上のSSL Network Extenderのサイズは約650Kです。
-
Security Gatewayのすべての認証スキームに対応しています。認証は、証明書、Check Point のパスワード、または SecurID、LDAP、RADIUS などの外部ユーザ・データベースを使用して行うことができます。
-
セッションの終了時に、ユーザやSecurity Gatewayに関する情報は、クライアントマシンに残りません。
-
セキュリティゲートウェイには、豊富なロギング機能があります。
-
ハイアベイラビリティ・クラスタ
冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。とフェイルオーバーをサポートします。
-
SSLネットワークエクステンダーアップグレードに対応。
-
SSL Network Extenderは、RC4暗号化方式をサポートしています。
-
ユーザは、SmartDashboardのシステム管理者によって定義された信頼できるCAから発行された証明書を使用して認証することができます。
-
IPSOでSSL Network Extenderがサポートされるようになりました。
-
Endpoint Security on Demandは、ワーム、トロイの木馬、ハッカーツール、キーロガー、ブラウザプラグイン、アドウェア、サードパーティークッキーなどのマルウェアによる脅威を防止します。
-
SSL Network Extenderは、Hubモードで動作するように設定することができます。リモートアクセスクライアントのVPNルーティングは、Hub Modeを経由して有効になります。Hubモードでは、すべてのトラフィックは中央のHubを経由して誘導されます。
SSLネットワークエクステンダーの前提条件

SSL Network Extenderのクライアント側のリモートクライアントの前提条件は以下の通りです。
-
サポートされているWindows、Linux、またはmacOSオペレーティングシステム。
-
ActiveXまたはJavaアプレットを許可します。
-
対応するWebブラウザ。
-
クライアントの初回インストール、アンインストール、アップグレードには、クライアントコンピュータのAdministrator権限が必要です。

-
特定のセキュリティゲートウェイがリモートアクセスコミュニティのメンバとして設定されており、ビジターモードで動作するように設定されている必要があります。
これは、リモートアクセスクライアントの機能を妨げず、リモートアクセスクライアントユーザがビジターモードを利用することを可能にします。
-
リモートアクセスクライアントとSSL Network Extenderのユーザには、同じアクセスルール
通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。が設定されます。
-
特定のSecurity GatewayがSSL Network Extenderの有効なライセンスを持っている必要があります。
SSLネットワークエクステンダーのセキュリティゲートウェイを設定する

-
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。の右上のパネルObjects で、VPN Communities をクリックします。
-
RemoteAccess オブジェクトを右クリックし、New をクリックします。
-
必要な設定を行う。
-
オブジェクト名
-
参加するセキュリティゲートウェイ。
-
参加ユーザグループ。
-
-
OKをクリックします。。

R81.10 Site to Site VPN Administration Guide参照してください。
-
左側のナビゲーションパネルでGateways & Serversします。
-
Security Gatewayオブジェクトを右クリックします。
-
ナビゲーションツリーでGeneral Propertiesをクリックします。
-
IPsec VPN Software Blade を選択します。
-
ナビゲーションツリーでIPsec VPNをクリックします。
-
リモートアクセスコミュニティにSecurity Gatewayを追加するには
-
Addをクリックします。
-
コミュニティを選択します。
-
OKをクリックします。。
-
-
ナビゲーションツリーから、Network Management を展開し、VPN Domain をクリックします。
-
該当するVPN Domainを設定します。
-
ビジターモードの設定を行います(セキュリティゲートウェイのプロキシ置き換えを参照)。
-
ナビゲーションツリーから、VPN Clients を展開し、Office Mode をクリックします。
-
オフィスモードの設定を行います(「IPプールの構成」を参照)。
注 - オフィスモードのサポートは、セキュリティゲートウェイ側で必須です。
-
OKをクリックします。。

|
重要- Mobile Access Software BladeがSecurity Gateway上で有効になっている場合、SSL Network ExtenderはMobile Accessを通じて動作し、IPsec VPNでは動作しません。 この場合、Mobile Access Software BladeでSSL Network Extenderの設定を行う必要があります。 IPsec VPN Software BladeでSSL Network Extenderの設定をすでに構成しており、その後Mobile Access Software Bladeを有効にした場合は、Mobile Access Software BladeのSSL Network Extender設定を構成する必要があります。 |
R81.10 Mobile Access Administration Guide参照してください。
-
左側のナビゲーションパネルでGateways & Serversします。
-
Security Gatewayオブジェクトを右クリックします。
-
ナビゲーションツリーでGeneral Propertiesをクリックします。
-
Mobile Access Software Blade を選択します。
-
Mobile Access Configuration ウィザードの中で。
-
Mobile Access ページで、Web を選択する必要があります(他の該当するオプションを選択することも可能です)。
Nextをクリックします。。
-
Web Portal ページで、該当する Main URL と Portal Certificate を設定します。
Nextをクリックします。。
-
Applications ページで、該当するオプションを設定します。
Nextをクリックします。。
-
Active Directory Integration のページで、該当する設定を行います。
Nextをクリックします。。
-
Authorized Users のページで、該当する設定を行います。
Nextをクリックします。。
-
Applications のページで、該当する設定を行います。
Nextをクリックします。。
-
Finishをクリックします。。
-
-
ナビゲーションツリーでMobile Accessをクリックします。
Allowed Clients の項目で、Web が選択されていることを確認します。
-
ナビゲーションツリーでVPN Clientsをクリックします。
-
Other が選択され、SSL Network Extender (SNX) が選択されていることを確認します。
-
The gateway authenticates with this certificate から、すべてのSSLクライアントへの認証に使用する証明書を選択します。
-
-
OKをクリックします。。

-
左上のメニューから、Global properties をクリックします。
-
左から、Remote Access を展開し、SSL Network Extender をクリックします。
-
User Authentication の項目で、User authentication method 、該当する方法を選択します。
-
Certificate - システムは、証明書によってのみユーザを認証します。
-
Certificate with enrollment - システムは、証明書によってのみユーザを認証します。在籍は可能です。
ユーザが証明書を持っていない場合は、以前に管理者から受け取った登録キーを使用して登録することができます。
登録用ユーザ証明書の作成については、「内部CA証明書の管理について」を参照してください。
-
Legacy - システムは、ユーザ名と パスワードでユーザを認証します。これはデフォルトの設定です。
-
Mixed - システムは、証明書によるユーザの認証を試みます。ユーザが有効な証明書を持っていない場合、システムはユーザ名と パスワードによるユーザ認証を試みます。
-
-
OKをクリックします。。

-
上部のInstall Policyをクリックします。
-
該当するセキュリティゲートウェイを選択します。
-
Access Controlを選択します。
-
Security Gateway / Cluster オブジェクトを選択します。
-
Installをクリックします。
内部CA証明書の管理について
管理者がユーザ認証方法としてCertificate with enrollment を設定した場合(メニュー> Global properties > Remote Access > SSL Network Extender )、ユーザはシステム管理者が提供する登録キーを使用して、自分の使用する証明書を作成することができます。

-
R81.10 Security Management Administration Guide > 「内部認証局(ICA
内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。)とICA管理ツール」に記載されている手順で操作してください。
注 - このバージョンは、外部認証局への登録をサポートしていません。
-
ICA管理ツールのサイトをブラウズして、Create Certificates を選択します。
https://<IP address of Management Server>:18265
-
ユーザ名を入力し、Initiate をクリックすると、Registration Key を受信し、ユーザへ送信します。
ユーザが証明書を持たずにSSL Network Extenderに接続しようとすると、Enrollment のウィンドウが表示され、システム管理者から受け取った Registration Key を入力して、証明書を作成することができます。
ユーザログインの体験については、「クライアントのダウンロードと接続」を参照してください。
注 - システム管理者は、ユーザが現時点でSSL Network Extenderの使用を希望していなくても、登録キーを受け取り、証明書を作成できるように、以下のURLにユーザを誘導することができます。
http://<IP Address of Security Gateway>/registration.html
-
SSL Network Extenderのバージョンアップを自動的に行うかどうかを設定することができます。
ドロップダウンリストから、クライアントのアップグレードモードを選択します。
-
Do not upgrade - 旧バージョンのユーザには、アップグレードの案内はありません。
-
Ask user - (既定) ユーザ接続時にアップグレードの可否を問う。
-
Force upgrade - 旧バージョンのユーザ、新規ユーザを問わず、すべてのユーザが最新版のSSL Network Extenderをダウンロードし、インストールします。
注 - Force upgradeオプションは、システム管理者が、すべてのユーザに管理者権限があることを確認している場合にのみ使用してください。そうでない場合、ユーザはSSL Network Extenderに接続することができません。
ユーザのアップグレード体験については、「クライアントのダウンロードと接続」を参照してください。
-
-
対応する暗号化方式をドロップダウンリストより選択します。
-
3DES only - デフォルト)SSL Network Extenderのクライアントは3DESのみをサポートします。
-
3DES or RC4 - SSL Network Extenderクライアントは、3DESに加え、RC4暗号化方式をサポートしています。
-
-
ユーザが切断したときに、SSL Network Extenderを自動的にアンインストールするかどうかを決定することができます。
ドロップダウンリストより、該当するオプションを選択します。
-
Keep installed - (初期設定) アンインストールしない。ユーザがSSL Network Extenderのアンインストールを希望する場合は、手動でアンインストールを行うことができます。
-
Ask user whether to uninstall - ユーザ切断時にアンインストールの可否をユーザに問う。
-
Force uninstall - ユーザが接続を切断すると、常に自動的にアンインストールされます。
ユーザの切断時のエクスペリエンスについては、アンインストール・オン・ディスコネクト参照してください。
注 - Uninstall-on-Disconnect 機能は、ユーザが接続中にサスペンド/ハイバーネート状態になった場合、ユーザにアンインストールするかどうかを尋ねず、SSL Network Extender をアンインストールしません。
-
-
Endpoint Security on Demandの起動方法を決定することができます。
ESODが有効な場合、SSL Network Extenderに接続しようとするユーザは、SSL Network Extenderへのアクセスを許可される前に、ESODスキャンに成功することが要求されます。
ドロップダウンリストより、該当するオプションを選択します。
-
None
-
Endpoint Security on Demand
-
クライアントのダウンロードと接続

ここでは、SSL Network Extenderのダウンロードと接続方法について説明します。
クライアントをダウンロードするには
-
Internet Explorerを使用して、でSecurity GatewayのSSL Network Extenderのポータルを参照します。
https://<IP Address or HostName of Security Gateway>
この「セキュリティ警告」メッセージが表示されることがあります。
The site's security certificate has been issued by an authority that you have not designated as a trusted CA. Before you connect to this server, you must trust the CA that signed the server certificate. (The system administrator can define which CAs may be trusted by the user.) You can view in the certificate in order to decide if you wish to proceed.
注:管理者は、ユーザを以下のURLに誘導して、このCA証明書をインストールすることで、信頼を確立し、今後このメッセージを表示しないようにすることができます。
http://<IP Address of Management Server>:18264
-
Yesをクリックします。。
Endpoint Security on Demand が有効な場合、ESOD web page が開きます。
ユーザが初めてESODでスキャンを行う場合、ESOD ActiveXオブジェクトをインストールする必要があります。
ESODを初めて使用する場合、Server Confirmation のウィンドウが表示されます。ユーザは、リストされたESODサーバがリモートアクセス用の組織サイトと同一であることを確認する必要があります。
-
いずれかをクリックしてください。
-
No - エラーメッセージが表示され、ユーザはアクセスを拒否されます。
-
Yes - ESODクライアントはソフトウェアのスキャンを継続します。さらに、Save this confirmation for future use を選択すると、次にユーザがログインしようとしたときに、Server Confirmation のウィンドウが表示されなくなります。
ユーザがESODサーバを確認した後、クライアントのマシン上でソフトウェアの自動スキャンが行われます。
スキャンが完了すると、スキャン結果と操作方法が表示されます。
例:
-
ESODは、有害なソフトウェアを持つユーザがネットワークにアクセスするのを防ぐだけでなく、企業のアンチウイルス セキュリティゲートウェイ上のCheck Point Software Bladeは、リアルタイムのウイルスシグネチャとThreatCloudからの異常ベースの保護を使用して、ユーザが影響を受ける前にセキュリティゲートウェイでマルウェアを検出してブロックします。頭字語:AV。やファイアウォールのポリシーに準拠することも要求しています。ユーザは、Malware 、Anti-Virus 、Firewall のスキャンに成功した場合のみ、ESODスキャンに成功したと定義される。各マルウェアはリンクで表示され、選択すると、検出されたマルウェアを説明するデータシートにリダイレクトされます。データシートには、検出されたマルウェアの名前と簡単な説明、そのマルウェアが行うこと、推奨される削除方法(複数可)が記載されています。
ユーザが利用できるオプションは、ESODサーバの管理者によって設定されます。
スキャンオプション |
説明 |
---|---|
もう一度スキャン |
ユーザがマルウェアを再スキャンできるようにします。 このオプションは、適用できないソフトウェア項目を手動で削除した後、スキャン結果を更新するために使用されます。 |
キャンセル |
ユーザがポータルサイトにログインできないようにし、現在のブラウザウィンドウを閉じます。 |
継続 |
ESOD for Mobile Accessクライアントがスキャン結果を無視してログオンプロセスを続行するように設定します。 |
ダウンロードを続けるには
-
Scan Results から、リストから別の言語を選択します。
SSL Network Extenderのポータルに接続中に言語を変更すると、ポータルから「処理を続行すると接続が切断されるため、再度接続する必要があります」と通知されます。
-
Scan Results からは、Skin ドロップダウンリストから別のスキンを選択することができます。SSL Network Extenderのポータルサイトに接続した状態で、スキンを変更することができます。
-
Continueをクリックします。
-
設定されている認証スキームがUser Password Only の場合、SSL Network Extender Login のウィンドウが表示されます。
User Name とPassword を入力し、OK をクリックします。
注 - SecurIDやLDAPなどのサードパーティ認証機構を介してユーザ認証を行うよう設定されている場合、管理者はユーザにPINやパスワードの変更を要求することがあります。
この場合、ユーザがSSL Network Extenderへのアクセスを許可される前に、認証情報の変更ウィンドウが追加で表示されます。
-
設定されている認証書方式がCertificate without Enrollment で、ユーザがすでに証明書を持っている場合。ユーザが証明書をまだ持っていない場合、アクセスは拒否されます。
-
設定されている認証スキームがCertificate with Enrollment で、ユーザがまだ証明書を持っていない場合、Enrollment ウィンドウが表示されます。
-
-
Registration Key を入力し、PKCS#12 Password を選択します。
-
OKをクリックします。。
PKCS#12 ファイルがダウンロードされます。
この時点で、ユーザはファイルを開き、以下のようにMicrosoft証明書インポートウィザードを利用する必要があります。
ベストプラクティス- Internet ExplorerのInternet Properties のAdvanced タブのプロパティDo not save encrypted pages to disk を設定することをユーザに強くお勧めします。これにより、証明書がディスク上にキャッシュされるのを防ぐことができます。
Microsoft証明書インポートウィザードでクライアント証明書をInternet Explorerにインポートする
Internet Explorerにクライアント証明書をインポートすることで、ブロードバンド接続の家庭用PCでも、ダイアルアップ接続の企業用ノートパソコンでも、アクセスを許可することができます。
SSL Network ExtenderがSecurity Gatewayに接続するとき、Webブラウザは自動的にクライアント証明書を使用します。
クライアント証明書をインポートする場合。
-
ダウンロードしたPKCS#12ファイルを開いてください。
Certificate Import Wizardが開きます。
-
Nextをクリックします。。
File to Importウィンドウが開きます。
P12ファイル名が表示されます。
-
Nextをクリックします。。
Password ウィンドウが表示されます。
Strong Private Key Protection を有効にすることを強くお勧めします。
その後、認証が必要となるたびに、ユーザは設定された同意/認証情報を要求されます。
それ以外の場合は、ユーザに対して完全に透過的な認証が行われます。
-
パスワードを入力し、Next を2回クリックします。
ユーザがStrong Private Key Protection を有効にした場合、Importing a New Private Exchange Key のウィンドウが表示されます。
-
OK をクリックすると、「セキュリティレベル」にデフォルト値Medium が割り当てられ、認証に証明書が必要な場合は、その都度ユーザに同意が求められます。
-
Set Security Level をクリックすると、Set Security Level のウィンドウが表示されます。High またはMedium のいずれかを選択し、Next をクリックします。
-
-
Finishをクリックします。。
Import Successful ウィンドウが表示されます。
-
OKをクリックします。。
-
ブラウザを一度閉じて、再度開いてください。
これで、インポートした証明書をログインに使用できるようになりました。
-
SSLセキュリティゲートウェイに初めて接続する場合、ベリサイン証明書のメッセージが表示され、インストールを継続するためのユーザの同意が要求されます。
-
Java Appletで接続した場合、Javaのセキュリティメッセージが表示されます。Yesをクリックします。.
-
システム管理者がアップグレードオプションを設定した場合、「アップグレードの確認」ウィンドウが表示されます。
OK をクリックすると、再認証が必要となり、新しいSSL Network Extenderのバージョンがインストールされます。
-
Cancel をクリックすると、クライアントが正常に接続されます。
(Upgrade Confirmation のウィンドウは1週間再表示されません)。
SSL Network Extender ウィンドウが表示されます。
このウィンドウには、Click here to upgrade のリンクが表示され、この時点でもユーザはアップグレードすることができます。
Click here to upgrade リンクをクリックした場合、アップグレードを進める前に再度認証が必要です。
-
-
最初の接続時に、ユーザはクライアントが特定のセキュリティゲートウェイと関連付けられていることを通知される。Yesをクリックします。
Security Gateway のサーバ証明書が認証される。
システム管理者がユーザにfingerprint を送信した場合、ユーザはルート CA のフィンガープリントがユーザに送信されたフィンガープリントと同一であることを確認することが強く推奨される。
システム管理者は、SmartDashboard のCertificate Authority Properties ウィンドウで、すべての信頼できるルート CA のフィンガープリントを表示し、送信することができます。
-
ユーザが認証を必要とするプロキシサーバを使用している場合、Proxy Authentication のポップアップが表示されます。
ユーザはプロキシのユーザ名とパスワードを入力し、OK をクリックする必要があります。
-
Windows OSで接続した場合、Windowsファイアウォールのメッセージが表示されることがあります。Unblockをクリックします。
SSL Network Extender Connection ウィンドウを開いたまま、または最小化(システムトレイに移動)している間は、クライアントで作業することができます。
SSL Network Extenderを初期導入すると、Check Point SSL Network Extender という新しいWindowsサービスと、新しい仮想ネットワーク・アダプタが追加されます。
注:
-
アダプタやサービスの設定は変更しないでください。IPの割り当て、更新、解放は自動的に行われます。
-
Check PointSSL Network Extender サービスは、仮想ネットワーク・アダプタと DHCP クライアント・サービスの両方に依存します。
したがって、ユーザのコンピュータでDHCPクライアントサービスを無効にすることはできません。
製品のアンインストール時に、仮想ネットワーク・アダプタとCheck PointSSL Network Extenderサービスの両方が削除されます。
製品のインストール、アップグレード、アンインストール後に、クライアントマシンを再起動する必要はありません。
-
-
作業が終了したら、Disconnect をクリックしてセッションを終了するか、ウィンドウが最小化されている場合は、アイコンを右クリックして、Disconnect をクリックします。ウィンドウが閉じます。
インポートした証明書を削除する場合。
ブラウザに証明書をインポートした場合、手動で削除するまで保管されたままになります。
ご自分以外のブラウザから証明書を削除することを強くお勧めします。
お使いのWebブラウザのベンダーの指示に従ってください。
管理者権限のないユーザへのインストールについて

SSL Network ExtenderのActiveXコンポーネントをインストールするには、通常、Administrator権限が必要です。管理者権限を持たないユーザがSSL Network Extenderを使用できるようにするために、管理者は、リモート企業インストールツール(Microsoft SMSなど)を使用して、SSL Network ExtenderのインストールをMSIパッケージとして発行し、SSL Network Extenderを構成することができます。
SSL Network ExtenderのMSIパッケージを準備します。
-
$FWDIR/conf/extender/extender.cab
ファイルをWindowsマシンにコピーし、WinZipなどのアーカイブマネージャでファイルを開いてください。 -
cpextender.msi
を解凍し、MSIパッケージとして、リモートインストールに使用します。
Windows、macOS、Linuxでは、管理者パスワードを知っているユーザであれば、管理者でないユーザにもSSL Network Extenderをインストールすることが可能です。
この場合、通常のSSL Network Extenderのインストールを行い、管理者パスワードを要求されたら、それを入力します。
アンインストール・オン・ディスコネクト

管理者が[切断時アンインストール]を設定して、アンインストールするかどうかをユーザに尋ねるようにした場合、ユーザは次のように[切断時アンインストール]を設定できます。
-
Disconnectをクリックします。
Uninstall on Disconnect ウィンドウが表示されます。
-
Yes をクリックするとアンインストールされます。
Cancel をクリックした場合、SSL Network Extender はアンインストールされません。
Yes をクリックすると、次にユーザがSSL Network Extenderに接続したときに、Uninstall on Disconnect ウィンドウが表示されます。
ESOD XML設定ファイルの取得

ESODサーバをインストールし、設定した後、ESODサーバからXML設定ファイルを取り込みます。
-
任意のコンピュータまたはサーバでブラウザを開く。
-
を参照。
http://<Site IP Address>/<Name of Site or Virtual Directory>/sre/report.asp
-
XML ファイルをコンピュータに保存するには、Save As を使用します。
-
Security Gateway の XML ファイルを
$FWDIR/conf/extender/
ディレクトリにrequest.xml
という名前でコピーします。
ESODデータベースのアップグレード

|
注 - 現在、動的ESODアップデート機能は、IPsec VPNポータルではサポートされていません。 |
Security Gateway / 各クラスタメンバ上のEndpoint Security on Demand (ESOD) データベースを手動でアップグレードすることができます。
-
$FWDIR/conf/extender/ICSScanner.cab
パッケージを新しいパッケージと交換します。 -
$FWDIR/conf/extender/ics.html
ファイルを編集します。-
"
#Version=
" で検索してください。 -
現在のバージョン値を新しいバージョン値で置き換える。
-
変更内容をファイルに保存します。
-
ESODポリシーの設定

|
注 - SmartConsoleGlobal properties > Remote Access > SSL Network Extenderのページで、Endpoint Security on Demandが有効になっていることを確認してください。 |
-
セキュリティ管理サーバのコマンド ラインに接続します。
-
エキスパートモード
CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。
-
$FWDIR/lib
ディレクトリに移動します。 -
該当する
vpn_table.def
ファイルをバックアップします。 -
次のファイル名を変更します:
vpn_table_HFA.def
からvpn_table.def
まで
Security Gateway の場合
-
ESOD サーバまたは ESOD 設定ツール(チェック・ポイントのダウンロードセンターからダウンロード可能)を使用して、各グループ用の XML ポリシーファイルを作成し、
$FWDIR/conf/extender
に配置します。 -
デフォルトのポリシーファイルは、request.xml という名前で作成することができます。
これはあくまでオプションであり、グループが指定されていない場合に使用される。
-
Security Gateway または各クラスタ メンバ
クラスタの一部であるセキュリティゲートウェイ。のコマンド ラインに接続します。
-
エキスパートモードにログインします。
-
$FWDIR/conf/
ディレクトリに、"ics.group
"というファイルを作成します。これはテキストファイルで、各行にはグループ名とそのポリシーXMLファイルが列挙されているはずです。
ics.group
ファイルの例です。Group1 group1.xml
Group2 group2.xml
Group3 defGroup.xml
Group4 defGroup.xml
ics.group
ファイルに関する重要な注:。-
グループ名は、SmartConsoleでの名前と同じである必要があります。
-
同じXMLファイルに対して、複数のグループを登録することができます。
-
各グループは、
ics.group
ファイルに一度だけ表示される必要があります。 -
ics.group
ファイルに記載されているグループのみが、そのグループ固有の XML ファイルを使用します。ics.group
ファイルに記載されていないグループは、request.xml
ファイルにあるデフォルト ポリシーを使用するようにしてください。request.xml
ファイルが存在しない場合は、エラーが返されます。 -
デフォルトのXMLファイル
request.xml
は、ics.group
ファイルに表示することができません。
-
-
ics.group
ファイル作成後(または変更後)、policy をインストールします。 -
Security GatewayでCheck Pointのサービスを再起動します。
重要- クラスタでは、フェイルオーバーが発生する可能性があります。
cpstop ; cpstart
-
各ユーザには、自分のグループに合った特定の URL を割り当てる必要があります。
URLは、以下の形式である必要があります。
https://<IP Address of Host>/<GroupName>_ics.html
例えば、"
group1
"に所属する全ユーザは、割り当てられたURLにアクセスします。https://10.10.10.10/group1_ics.html
.
トラブルシューティングのヒントについては、SSL NetworkSSLネットワークエクステンダーのトラブルシューティング参照してください。
SSLネットワークエクステンダーポータルのカスタマイズ
スキンや言語を変更することで、SSL Network Extender Portalを変更することができます。

スキン・オプションの設定
Skins Optionを設定するには
skin
ディレクトリは、Security Gateways の$FWDIR/conf/extender
ディレクトリの中にあります。
サブディレクトリは2つあります。
-
chkp
: Check Point がデフォルトで提供するスキンが含まれています。アップグレードの際、このサブディレクトリは上書きされる可能性があります。 -
custom
: お客様が定義したスキンが含まれています。このサブディレクトリがまだ存在しない場合は、作成します。アップグレードの際、このサブディレクトリは上書きされません。新しいスキンは、このサブディレクトリに追加されます。
スキンを無効にする
-
custom
ディレクトリにある、無効化する特定のスキンのサブディレクトリに入り、disable
という名前のファイルを作成します。このファイルは空の可能性があります。 -
custom
ディレクトリに特定のスキンが存在しない場合は、そのディレクトリを作成し、その中にdisable
という名前のファイルを作成してください。 -
インストールポリシーです。
次にユーザがSSL Network Extenderのポータルに接続したとき、このスキンは使用できません。
例
cd $FWDIR/conf/extender/skin/custom
mkdir skin1
touch disable
スキンの作成
-
custom
のサブディレクトリを入力します。 -
該当するスキン名でディレクトリを作成します。
注:この名前が
chkp
で既に使用されていないことを確認してください。もしそうなら、新しいスキン定義は既存のスキン定義より優先されます(新しいスキン定義が存在する限り)。新しいスキン定義を削除すると、chkp
のスキン定義が再び使用されます。各スキンフォルダには、これらのCSSファイルが含まれている必要があります。
-
help_data.css
- OLHのメインページでは、このスタイルシートを使用しています。 -
help.css
- OLHページのインナーフレームは、このスタイルシートを使用しています。 -
index.css
- ESODページ、およびSSL Network Extenderのメイン・ポータル・ページは、このスタイルシートを使用しています。 -
style.css
- すべてのログインページでこのスタイルシートが使用されます。 -
style_main.css
- メインのSSL Network Extender Connectionページ、Proxy Authenticationページ、およびCertificate Registrationページでは、このスタイルシートが使用されています。
ベストプラクティス- これらのファイルは、他の
chkp
スキンからコピーし、必要に応じて変更することをお勧めします。 -
-
SmartConsoleで、ポリシーをインストールします。
例
SSL Network Extenderのメインポータルページに御社ロゴを追加します。
-
cd $FWDIR/conf/extender/skin/custom
-
mkdir <skin_name>
-
cd <skin_name>
-
cp -v../../chkp/skin2/* .
-
このディレクトリにロゴ画像ファイルを配置します。
-
index.css
ファイルを編集します。 -
company_logo
にアクセスし、既存の URL 参照を新しいロゴ画像ファイルへの参照に置き換えます。 -
変更内容をファイルに保存します。
-
SmartConsoleで、ポリシーをインストールします。
|
注- |

言語オプションの設定
Languages Optionを設定するには
languages
ディレクトリは、Security Gateways の$FWDIR/conf/extender
ディレクトリの中にあります。
サブディレクトリが2つある場合があります。
-
chkp
- Check Point がデフォルトで提供する言語が含まれています。アップグレードの際、このサブディレクトリは上書きされる可能性があります。 -
custom
- お客様が定義した言語がコンテナで格納されています。custom
がまだ存在しない場合は、作成します。アップグレードの際、このサブディレクトリは上書きされません。新しい言語はこのサブディレクトリに追加されます。
言語を無効にする
-
無効にする特定の言語のサブディレクトリを、
custom
ディレクトリ(存在する場合)に入力し、disable
という名前のファイルを作成します。このファイルは空の可能性があります。 -
custom
ディレクトリに特定の言語が存在しない場合は、そのディレクトリを作成し、その中にdisable
という名前のファイルを作成してください。 -
SmartConsoleで、ポリシーをインストールします。
次にユーザがSSL Network Extenderのポータルに接続するとき、この言語は使用できません。
言語の追加
-
custom
のサブディレクトリを入力します。 -
該当する言語名でフォルダを作成します。
注:この名前が
chkp
で既に使用されていないことを確認してください。もしそうなら、新しい言語定義は既存の言語定義より優先されます(新しい言語定義が存在する限り)。新しい言語定義を削除すると、chkp
の言語定義が再び使用されます。 -
既存の
chkp
言語のmessages.js
ファイルをこのディレクトリにコピーします。 -
messages.js
ファイルを編集し、引用符で括られたテキストを翻訳します。 -
変更内容をファイルに保存します。
-
SmartConsoleで、ポリシーをインストールします。
例
-
cd $FWDIR/conf/extender/language
-
mkdir custom
-
cd custom
-
mkdir <language_name>
-
cd <language_name>
-
cp -v ../../chkp/english/messages.js .
-
messages.js
ファイルを編集し、引用符で括られたテキストを翻訳します。 -
変更内容をファイルに保存します。
-
custom/english/messages.js
ファイルに、次のような行を追加します。<language_name>="translation of language_name";
注-
<language_name>
にはスペースを入れてはいけません。 -
アクセスコントロールポリシーをインストールします。
言語を変更する
-
custom
のサブディレクトリを入力します。 -
修正する言語フォルダ(
chkp
)と一致する言語名のフォルダを作成します。 -
空の
messages.js
ファイルを作成し、修正したいメッセージだけを、この形式で挿入します。<variable_name>="<applicable_text>";
注:参考として、
chkp/<language>
にあるmessages.js
ファイルを参照してください。
SSLネットワークエクステンダー ユーザエクスペリエンス
SSL Network Extenderクライアントのダウンロードと接続、クライアント証明書のインポート、切断時のアンインストールなど、ユーザ体験について説明します。

Check Point SSL Network Extender は、ActiveX コントロールと Cookie を使用して、インターネット経由でアプリケーションに接続します。
これらの有効化技術は、アプリケーションがお客様のコンピュータにインストールされ、適切に動作することを保証するために、特定のブラウザの設定を必要とします。
信頼済みサイト構成のアプローチには、SSL Network Extender Portalが信頼済みサイトの1つとして含まれています。
この方法は、セキュリティを低下させないので、非常におすすめです。以下の手順でブラウザの設定を行ってください。

-
Internet Explorerで、Tools > Internet Options > Security を選択します。
-
Trusted sitesを選択します。
-
Sitesをクリックします。
-
SSL Network Extender Portal の URL を入力し、Add をクリックします。
-
OK を2回クリックします。

ActiveXコントロールは、MicrosoftのCOM(Component Object Model)アーキテクチャに基づく、ソフトウェアモジュールです。基本ソフトに既成のモジュールをシームレスに組み込むことで、ソフトウエアアプリケーションに機能を追加するもの。
インターネット上では、ActiveXコントロールはWebページにリンクされ、ActiveXに対応したブラウザでダウンロードすることができる。ActiveXコントロールは、Webページを他のプログラムのように動作するソフトウェアページに変えます。
SSL Network Extenderは、そのアプリケーションでActiveXコントロールを使用することができます。ActiveXを使用するには、各アプリケーションに必要な特定のActiveXコンポーネントをダウンロードする必要があります。これらのコンポーネントは一度ロードすれば、アップグレードやアップデートが利用可能にならない限り、再度ダウンロードする必要はありません。ActiveXコンポーネントを使用したくない場合は、Javaアプレットで作業することができます。
|
注 - Windowsオペレーティングシステムでソフトウェアをインストールまたはアンインストールするには、Administrator権限が必要です。 |
Linux / macOSオペレーティングシステムでのSSL Network Extenderの使用について
Linux / macOSでネットワークアプリケーションにアクセスするには、2つの方法があります。
-
Java
-
初回接続時は、SSL Network Extenderのインストールアーカイブパッケージがダウンロードされます。
この作業は、WindowsのJavaのインストールと同様です。
-
ユーザがroot権限を持っていない場合、パッケージをインストールするためにrootパスワードの入力を要求されます。パスワードを入力し、Enterキーを押す。
インストールが完了すると、アプレットは接続を試みます。
システム管理者がユーザにフィンガープリントを送信した場合、ユーザはサーバ証明書のフィンガープリントがウィンドウに表示されるRoot CA Fingerprintと同一であることを確認することを強くお勧めします。
-
Yesをクリックして確定します。
-
-
コマンドライン
SSL Network Extenderのインストールアーカイブパッケージをダウンロードするには、以下の手順に従います。
-
Network Applications Settings ウィンドウで、文中の "click here" の部分をクリックします。For Linux command line SSL Network Extender installation click here 。
シェルアーカイブパッケージは、ユーザのホームディレクトリにダウンロードされます。
インストールスクリプトを実行する前に、ファイルに対して実行権限があることを確認してください。
コマンド "
chmod + x snx_install.sh
" を実行し、「実行」権限を追加します。 -
SSL Network Extenderのマニュアルインストールをダウンロードし、選択してください。
-
コマンドラインSSL Network Extender for Linuxのダウンロード
-
コマンドライン SSLネットワークエクステンダー for Macintoshのダウンロード
-
-
オペレーティングシステムを選択します。
シェルアーカイブパッケージは、ユーザのホームディレクトリにダウンロードされます。
-
次を実行します:
snx_install.sh
。ユーザがroot権限を持っていない場合、パッケージをインストールするためにrootパスワードの入力を要求されます。パスワードを入力し、Enterキーを押す。
インストール後に切断する場合は、実行してください。
Server_1:/ snx -d
SSL Network Extenderのコマンドパラメータ
パラメータ
説明
snx -f <configuration file>
デフォルトの名前または場所以外の設定ファイルに定義されたパラメータを使用して、SSL Network Extenderを実行します。
snx -d
snx -s <server>
サーバのIPまたはホスト名を指定する
snx -u <username>
有効なユーザを指定する
snx -c <certificate file>
認証に使用する証明書を指定します。
snx -l <CA directory>
CA の証明書を格納するディレクトリを定義します。
snx -p <port>
HTTPSのポートを変更します。(デフォルトのポートはTCP 443)。
snx -g
デバッグを有効にします。
snx.elg
ログファイルが作成されます。snx -e <cipher>
特定の暗号化アルゴリズムを強制します。有効な値 - RC4および3DES。
コンフィギュレーションファイルの属性
SSL Network Extenderの属性は、ユーザのホームディレクトリにある設定ファイル(
.snxrc
)を使って事前に定義することが可能です。SSL Network ExtenderコマンドSSL Network Extenderを実行すると、ファイルに保存されている属性がSSL Network Extenderコマンドで使用されます。
異なる名前のファイルを実行するには、コマンド
snx -f <filename>
を実行します。注 - プロキシサーバの設定は、設定ファイルでのみ可能であり、コマンドラインから直接設定することはできません。
属性
説明
server
HTTPSのポートを変更します。(デフォルトのポートはTCP 443)。
sslport
HTTPSのポートを変更します。(デフォルトのポートはTCP 443)。
username
有効なユーザを指定する
certificate
認証に使用する証明書を指定します。
calist
CA の証明書を格納するディレクトリを定義します。
debug
デバッグを有効にします。
snx.elg
ログファイルが作成されます。有効な値は {yes
,no
}です。javaの実行時にデバッグを有効にするには、ホームディレクトリに"debug yes
"という行を含む.snxrc
ファイルを作成します。cipher
特定の暗号化アルゴリズムを実施します。有効な値は
RC4
と3DES
です。proxy_name
プロキシのホスト名を定義する
proxy_port
プロキシ・ポートの定義
proxy_user
プロキシ・ユーザの定義
proxy_pass
プロキシ認証用パスワードの定義
-
SSLネットワークエクステンダーのトラブルシューティング
以下は、SSL Network Extenderを使用する際に発生する可能性のある問題を解決するためのヒントです。

外部のSSL Network Extender Security Gatewayに直接向けられた全てのユーザのパケットは、SSL Network Extenderによって暗号化されません。
SSLトンネルを経由して明示的にセキュリティゲートウェイに接続する必要がある場合は、暗号化ドメインの一部である内部インタフェースに接続してください。
-
SSL Network Extender Security Gatewayでは、ユーザは証明書による認証が可能です。そのため、SSL Network Extender Security Gatewayへの接続時に、以下のメッセージが表示されることがあります。"
The Web site you want to view requests identification. Select the certificate to use when connecting.
"現在、このメッセージをユーザに表示するために、2つの解決策が提案されています。
-
クライアントコンピュータで、Internet Explorerを起動します。
Tools > Options > Security タブの下にある、Local intranet > Sites を選択します。
これで、SSL Network Extender Security Gatewayをローカルイントラネットゾーンに追加することができ、クライアント認証のポップアップが表示されなくなりました。
Advanced をクリックし、Security Gateway の外部 IP または DNS 名を既存のリストに追加します。
-
クライアントコンピュータで、Internet Explorerを起動します。
Tools > Options > Securityタブの下にある、Internet Zone > Custom Level を選択します。Miscellaneous の項目で、Don't prompt for client certificate selection when no certificates or only one certificate exists の項目で、Enable を選択します。OKをクリックします。確認ウィンドウでYesをクリックします。もう一度、OK をクリックします。
注 - この解決策は、すべてのインターネットサイトに対するInternet Explorerの動作を変更するため、より細かい設定が必要な場合は、以前の解決策を参照してください。
-
-
クライアントコンピュータにEndpoint Security VPNソフトウェアがインストールされており、「透過モード」で動作するように設定されている場合、その暗号化ドメインにSSL Network Extender Security Gatewayが含まれているか、またはSSL Network Extenderの暗号化ドメインと重複していると、SSL Network Extenderが正常に動作しません。
これを解決するには、Endpoint Security VPNで重複するサイトを無効にしてください。
-
クライアントコンピュータにEndpoint Security VPNソフトウェアがインストールされており、「接続モード」で動作するように設定されている場合、その暗号化ドメインにSSL Network Extender Security Gatewayが含まれているか、またはSSL Network Extenderの暗号化ドメインと重なっていると、SSL Network Extenderは正しく機能しません。
これを解決するには、パラメータ "
allow_clear_traffic_while_disconnected
" の値がTrue
(デフォルト値) になっていることを確認します。

-
ユーザがスキャンに合格しなかった("
Continue
"ボタンが表示されない)。ユーザがポリシー要件に合致しなかったのでしょう。
-
ESOD per User Group」機能を使用する場合 - ユーザが正しいポリシーを使用していることを確認します。
-
ポリシーに基づき、ブロックしている要素を削除する方法をユーザに説明します。
-
-
ユーザが特定のグループの指定されたURLにアクセスできない。
-
URLに記載されているグループが、ics.groupファイルに記載されていることを、正しいXMLファイルで確認します。
-
グループに割り当てるXMLファイルが、
$FWDIR/conf/extender/
ディレクトリに存在することを確認します。 -
ファイル
ics.group
が変更されているため、ポリシーがインストールされていることを確認してください。
-
-
ユーザがESODスキャンに合格したのに、接続しようとすると "Wrong ESOD Scan "エラーが表示される。
これは、ユーザが所属していないグループを対象としたスキャンに合格したことを意味します。
-
ユーザが正しいURLを使用していることを確認します。
-
SmartConsole Logs& Monitor ビューで、Logs タブを見ます。
ログには、ユーザがどのXMLファイルをスキャンに使用したかが記載されているはずです。
-
このファイルは、ユーザのグループファイルと同じであることを確認してください。そうでない場合は、ユーザを正しいURLに誘導します。
-