リモートアクセスのためのユーザ認証とクライアント認証

クライアント・セキュリティ・ゲートウェイの認証スキーム

認証は、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。とリモートクライアントの間で安全な通信路を確立するための重要な要素である。例えば、様々な認証方法が用意されています。

  • デジタル証明書

  • 共有の秘密キー

  • その他の認証方法

R80.10以降のモバイルアクセス閉じた 管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語:MAB。およびIPsec VPN閉じた サイト間VPNおよびリモートアクセスVPNアクセスを提供するセキュリティゲートウェイ上のCheck Point Software Blade。セキュリティゲートウェイでは、複数のログインオプションを設定することができます。オプションは、各Security Gatewayと各Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。で異なる場合があります。ユーザは、利用可能なオプションのいずれかを選択し、サポートされているクライアントでログインします。

どの認証方式に対応しているかは、各クライアントのドキュメントを参照してください。

デジタルユーザ証明書

デジタル証明書は、最も推奨され、管理しやすい認証方法です。両者とも身分を証明する手段として、証明書を提示します。両者は、相手の証明書が有効であること(既知の信頼できるCAによって署名されていること、証明書の有効期限が切れていないこと、失効していないこと)を検証します。

デジタル証明書は、Check Point の内部認証局、またはサードパーティの PKI ソリューションのいずれかによって発行されます。チェック・ポイントの ICA閉じた 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。 は VPN と密接に統合されており、リモート・アクセス VPN を最も簡単に構成することができます。ICAは、セキュリティゲートウェイに対して(自動的に)、リモートユーザに対して(生成または起動)、証明書を発行することができます。

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で電子証明書を簡単に生成> Security Policies > Access Tools > Client Certificates.

管理者は、ICA管理ツール上で証明書の生成を開始することもできます。また、サードパーティーの認証局を利用して、Security Gatewayとリモートユーザ間の認証に使用する証明書を作成することも可能です。対応する証明書フォーマットは、PKCS#12、CAPI、およびEntrust です。

また、ユーザには、証明書を保管するためのハードウェアトークンを提供することができます。このオプションは、秘密鍵がハードウェアトークン上にのみ存在するため、より高度なセキュリティが得られるという利点があります。

IKEネゴシエーション中の証明書検証プロセスの一環として、クライアントとセキュリティ・ゲートウェイの両方が、相手の証明書を、証明書を発行したCAが公開するCertificate Revocation List (CRL)と照合します。クライアントがCRLを取得できない場合、セキュリティゲートウェイはクライアントに代わってCRLを取得し、IKEネゴシエーション中にCRLをクライアントに転送します(CRLはセキュリティのためにCAによってデジタル署名されています)。

共有の秘密キー

この認証方法は簡便であるという利点がありますが、証明書に比べて安全性が劣ります。

VPNを構築する前に、両者がパスワードに合意します。パスワードは「帯域外」で交換され、何度も再利用される。認証プロセスでは、クライアントとセキュリティ・ゲートウェイの両方が、相手が合意したパスワードを知っていることを確認します。

その他の認証方法

これらのユーザ認証方式は、リモートアクセスに対応しています。

  • Security Gateway Password - ユーザは、Security Gatewayに登録されているパスワードを入力します。

  • DynamicID One Time Password - ユーザは、指定した携帯電話番号へのSMSメッセージや電子メールに表示された番号を入力します。

  • OS Password - ユーザはOSのパスワードを入力します。

  • SecurID One Time Password - ユーザはSecurity Dynamics SecurIDカードに記載されている番号を入力します。

    SoftID(RSA社のSecurIDのソフトウェア版)をはじめ、さまざまなOTPカードやUSBトークンに対応しています。

  • RADIUS - ユーザは、RADIUSサーバで定義された正しいレスポンスを入力します。

  • TACACS - ユーザは、TACACSまたはTACACS+サーバで定義された正しいレスポンスを入力します。

  • SAA - SAA は、Endpoint Security VPN、Check Point Mobile for Windows、および SecuRemote で生体認証などのサードパーティ認証方式を使用できるようにする、リモート・アクセス・クライアントの OPSEC API 拡張機能です。

R80.xxゲートウェイの複数のログインオプション

R80.10以降のモバイルアクセスおよびIPsec VPNセキュリティゲートウェイでは、複数のログインオプションを設定することができます。オプションは、各Security GatewayとサポートされているSoftware Blade、および一部のクライアントタイプで異なる場合があります。ユーザは、利用可能なオプションのいずれかを選択し、サポートされているクライアントでログインします。

デフォルトでは、すべてのクライアントがR80.xx以前の方式で接続します。新しいログインオプションを作成すると、新しいクライアントには、R80.xx以前のオプションに加えて、そのオプションが表示されますが、古いクライアントには表示されません。

新しい複数ログインオプションに対応するクライアントを確認するには、sk111583を参照してください。

設定された各ログインオプションは、複数のゲートウェイとモバイルアクセスおよびIPsec VPNソフトウェアブレードで使用可能なグローバルオブジェクトです。

旧クライアントとの互換性

デフォルトでは、古いクライアントは、Security Gateway R77.30以下で利用可能な設定に基づいて、単一の認証方式で接続されます。

古いクライアントからの接続をブロックすることができます。この操作を行うと、複数のログインオプションに対応したクライアントのみがSecurity Gatewayに接続できるようになります。

デフォルトでは、Allow old clients to connectVPN Clients > Authentication で選択されています。このオプションを解除すると、古いクライアントはブロックされます。

複数のログインオプションをサポートする新しいクライアントが、古いクライアント用に定義された認証設定で接続できるかどうかを選択することができます。

新しいクライアントの認証方式を設定する

新しいクライアントが古いクライアント用に定義された認証方法を使用するのをブロックするには。

  1. Gateway Propertiesで、VPN Clients > Authenticationを選択します。

  2. Compatibility with Older Clients section で、Settings をクリックします。

    Single Authentication Clients Settingsウィンドウが開きます。

  3. Allow newer client that support Multiple Login Options to use this authentication methodをクリアします。

  4. OKをクリックします。。

  5. ポリシーをインストールします。

新しいクライアントが古いクライアント用に定義された認証設定を使用してSecurity Gatewayに接続できるようにすること。

Allow newer client that support Multiple Login options to use this authentication methodを選択します。

古いクライアントの認証設定をする

古いクライアントからR81.10セキュリティゲートウェイに接続できるようにすること。

  1. Gateway Propertiesで、VPN Clients > Authenticationを選択します。

  2. Allow older clients to connect to this gatewayを選択します。

    これを選択しない場合、古いクライアントはSecurity Gatewayに接続できません。

古いクライアントの認証方式を変更する場合。

  1. Gateway Propertiesで、VPN Clients > Authenticationを選択します。

  2. Compatibility with Older Clientsセクションで、Settingsをクリックします。

    Single Authentication Clients Settingsウィンドウが開きます。

  3. Display Name を変更すると、SmartConsoleでの認証方法の表示方法が変更されます。

  4. Authentication method を選択します。

  5. Customize をクリックすると、Connect ウィンドウでユーザに表示されるフィールドの説明を変更できます(「ディスプレイ設定のカスタマイズ」参照)。

  6. OKをクリックします。。

  7. OKをクリックします。。

  8. 3. ポリシーを Security Gateway にインストールします。

古いクライアントのDynamicIDは、Database Tool (GuiDBEdit Tool) (sk13009 参照) またはdbedit (skI3301 参照) で手動で設定することが可能です。詳細については、sk86240を参照してください。

複数のログインオプションを設定する

Gateway Properties > VPN Clients > Authenticationで、ログインオプションを設定します。

Mobile Accessが有効な場合、ログインオプションもここから設定することができます。

Endpoint Security VPN、Check Point Mobile for Windows、SecuRemote などの IPsec VPN クライアントで選択したログインオプションは、VPN Clients > Authentication ページのMultiple Authentication Client Settings テーブルに表示されます。

Mobile AccessポータルやCapsule WorkspaceなどのMobile Accessクライアントで選択したログインオプションは、Mobile Access > Authentication のページでMultiple Authentication Client Settings 表に表示されます。

IPsec VPNクライアントに複数のログインオプションを設定するには。

  1. Gateway Properties から、VPN Clients > Authentication を選択します。

  2. Multiple Authentication Clients Settings の表で、設定されたログインオプションの一覧をご覧ください。

    デフォルトのログインオプションは以下の通りです。

    • Personal_Certificate - ユーザ証明書が必要です。

    • Username_Password - ユーザ名とパスワードが必要です。

    • Cert_Username_Password - ユーザ名とパスワード、ユーザ証明書が必要です。

  3. 新しいオプションを作成する場合はAdd を、オプションを変更する場合はEdit をクリックしてください。設定された各ログインオプションは、複数のゲートウェイおよびBladeで使用できるグローバルオブジェクトです。

  4. 各ログインオプションについて、1つ以上のAuthentication Factors と関連するAuthentication Settings を選択します。

    例えば、SecurID を選択した場合、SecurIDServerToken Card Type を選択します。Personal Certificate を選択した場合、Security Gateway がユーザ名を取得するために使用する証明書フィールドを選択します (「証明書の解析」を参照)。

  5. Customize Display を選択すると、このオプションでログインしたときにユーザが見るものを設定することができます(「ディスプレイ設定のカスタマイズ」を参照)。

    OKをクリックします。。

  6. Up およびDown 矢印を使用して、ログインオプションの順序を設定します。

    注:

    • Personal Certificates を含む場合、それが最初になければならない。

    • DynamicID を含めると、1位にはなれません。

  7. OKをクリックします。。

ディスプレイ設定のカスタマイズ

ユーザが入力すべき情報を理解できるように、説明的な値を入力します。これらのフィールドはすべて同じ言語でなければなりませんが、英語である必要はありません。

  • Headline - ログインオプションのタイトル。例えば、Log in with a CertificateLog in with your SecurID Pinpad など。

  • Username label - ユーザが入力する必要のあるユーザ名の説明。例えば、Email addressAD username など。

  • Password label - ユーザが入力する必要のあるパスワードの説明。例えば、AD password

証明書の解析

ログインオプションとしてPersonal Certificate を選択すると、証明書を解析するために Security Gateway が LDAP サーバに送信する情報も設定することができます。デフォルトはDNです。代わりにユーザのメールアドレスやシリアル番号を使用するように設定することができます。

証明書の解析を変更する場合。

  1. Authentication ページのMultiple Authentication Clients Settings テーブルで、Personal_Certificate エントリを選択し、Edit をクリックします。

    Authentication Factorウィンドウが開きます。

  2. Fetch Username fromAuthentication Settings area フィールドで、Security Gateway が証明書を解析するために使用する情報を選択します。

  3. OKをクリックします。。

  4. ポリシーをインストールします。

ログインオプションの削除

ログインオプションを永久に削除するには

  1. SmartConsoleで、Security Policies > Shared Policies > Mobile Access を選択し、Open Mobile Access Policy in SmartDashboard をクリックします。

  2. SmartDashboardで、Mobile Access タブ> Authentication ページにアクセスします。

  3. ログインオプションの一覧から、オプションを選択し、Delete をクリックします。

DynamicIDによる多要素認証

多要素認証とは、2つ以上の異なる方法を用いてユーザを認証する仕組みのことです。複数のファクターを使用することで、より高いレベルの認証保証を実現します。DynamicIDは、多要素認証のオプションの一つです。

第一段階の認証に成功したユーザは、追加の認証情報であるDynamicID One Time Password(OTP)の提供を要求されることがあります。OTPは、携帯電話などの移動体通信機器にSMSで送信されるか、直接メールアカウントに送信されます。

Security Gateways R80.10以降では、DynamicIDはすべてのMobile AccessおよびIPsec VPNクライアントでサポートされています。

DynamicIDの設定

DynamicIDの基本的な設定方法はこちらです。Advanced 設定オプションについては、R81.10 Mobile Access Administration Guide を参照してください。

すべてのゲートウェイが使用するグローバルなDynamicIDの設定を行うには。

  1. SmartConsoleで、Security Policies > Shared Policies > Mobile Access を選択し、Open Mobile Access Policy in SmartDashboard をクリックします。

    SmartDashboardが開き、「Mobile Access 」タブが表示されます。

  2. ナビゲーションツリーでAuthenticationをクリックします。

  3. Dynamic ID Settingsセクションで、Editをクリックします。

  4. DynamicID設定(「DynamicID Settings」参照)を入力します。

  5. OKをクリックします。。

  6. Saveをクリックします。

  7. SmartDashboardを終了します。

  8. SmartConsoleで、ポリシーをインストールします。

指定したセキュリティゲートウェイにDynamicIDを設定します。

  1. SmartConsoleのGateways & Servers ビューで、Security Gatewayをダブルクリックします。

  2. ナビゲーションツリーで、VPN Clients > Authenticationを選択します。

  3. Dynamic ID Settings セクションから、Use Global Settings オプションをクリアします。

  4. Editをクリックします。。

  5. DynamicID設定(「DynamicID Settings」参照)を入力します。

  6. OKをクリックします。。

  7. ポリシーをインストールします。

DynamicID Settings

SMSプロバイダーと電子メール設定フィールドで使用されるパラメータについて説明します。これらのパラメータの値は、SMSや電子メールを送信する際に自動的に使用されます。

パラメータ

意味

$APIID

このパラメータの値は、API IDである。

ユーザ名

このパラメータの値は、SMSプロバイダーのユーザ名である。

パスワード

このパラメータの値は、SMSプロバイダのパスワードである。

$PHONE

Active DirectoryまたはSecurity Gatewayのローカルファイルにある、数字のみで構成され、+記号がないユーザ電話番号。

$EMAIL

Active DirectoryまたはSecurity GatewayのローカルSmsPhones.lst ファイルにあるユーザの電子メールアドレス。

メールアドレスが記載されているものと異なる場合は、明示的に記述することが可能です。

メッセージ

このパラメータの値は、SmartDashboardの「高度な2要素認証の設定オプション」で設定されたメッセージです。

$RAWMESSAGE

メッセージのテキストを、HTTPエンコーディングなしで返します。

DynamicID Settingウィンドウに入力します。

  1. Provider and Email Settings フィールドには、以下のいずれかのフォーマットで記入してください。

    1. DynamicIDコードをSMSのみで配信させる場合は、以下の構文を使用します。

      https://api.example.com/http/sendmsg?api_id=$APIID&user=$USERNAME&password=$PASSWORD&to=$PHONE&text=$MESSAGE

    2. SMSサービスプロバイダを介さず、電子メールのみでDynamicIDコードを配信させる場合は、以下の構文を使用します。

      • SMTPプロトコルの場合。

        mail:TO=$EMAIL;SMTPSERVER=smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

      • SMTPSプロトコルのポート465の場合(R80.20以降)。

        mail:TO=$EMAIL;SMTPSERVER=smtps://username:password@smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

      • SMTPプロトコルがSTART_TLSの場合(R80.20以降)。

        mail:TO=$EMAIL;SSL_REQUIRED;SMTPSERVER=smtp://username:password@smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

      • SMTPプロトコルのポート587でSTART_TLSを使用する場合(R80.20以降)。

        mail:TO=$EMAIL;SSL_REQUIRED;SMTPSERVER=smtp://username:password@smtp.example.com:587;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

    3. DynamicIDコードをSMSや電子メールで配信させる場合は、以下の構文を使用します。

      sms:https://api.example.com/sendsms.php?username=$USERNAME&password=$PASSWORD&phone=$PHONE&smstext=$MESSAGE mail:TO=$EMAIL;SMTPSERVER=smtp.example.com;FROM=sslvpn@example.com;BODY=$RAWMESSAGE

    - SMTPのユーザ名とパスワードに特殊文字が含まれている場合は、これらを使用します。

    !

    #

    $

    %

    &

    '

    (

    %21

    %23

    %24

    %25

    %26

    %27

    %28

    )

    *

    +

    ,

    /

    :

    ;

    %29

    %2A

    %2B

    %2C

    %2F

    %3A

    %3B

    =

    ?

    @

    [

    ]

     

     

    %3D

    %3F

    %40

    %5B

    %5D

     

     

  2. SMS Provider Account Credentials セクションに、SMSプロバイダーから受け取った認証情報を入力します。

    • Username

    • Password

    • API ID (オプション)

社内ユーザデータベース vs. 社外ユーザデータベース外部ユーザデータベース

リモートアクセス機能には、柔軟なユーザ管理スキームが含まれています。ユーザは様々な方法で管理されます。

  • INTERNAL - Security Gatewayは、Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。で構成された各ユーザのローカルユーザデータベースに静的パスワードを保存することができます。追加のソフトウェアは必要ありません。

  • LDAP - LDAPは、複数のベンダーによって使用されているオープンな業界標準です。チェック・ポイント製品は、LDAP とチェック・ポイント・ユーザ・ディレクトリを統合しています。LDAPサーバでユーザを外部で管理し、変更はSmartDashboardに反映されます。セキュリティゲートウェイは、認証のためにユーザディレクトリ閉じた LDAP およびその他の外部ユーザ管理サーバを Check Point 製品およびセキュリティソリューションと統合する管理サーバ上の Check Point Software Blade。のデータを問い合わせる。

  • RADIUS - Remote Authentication Dial-In User Service (RADIUS) は、外部認証方式で、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを提供するものです。

    RADIUSを認証方式として採用した場合、セキュリティゲートウェイはリモートユーザからの認証要求をRADIUSサーバに転送します。ユーザのアカウント情報を保存しているRADIUSサーバが、ユーザを認証します。RADIUSプロトコルは、Security Gatewayとの通信にUDPを使用します。RADIUSサーバとRADIUSサーバグループのオブジェクトは、SmartDashboardで定義します。

  • SecurID Token Management ACE/Server - RSA Security社が開発したSecurIDは、ユーザがトークン認証器を所持し、PINまたはパスワードを提供することを要求します。トークン認証装置は、RSA ACE/Serverに同期するワンタイムパスワードを生成し、ハードウェアまたはソフトウェアの形態で提供される。ハードウェアトークンはキーホルダーやクレジットカードサイズのデバイスで、ソフトウェアトークンはユーザが認証を行いたいPCやデバイスに常駐します。すべてのトークンは、1分ほどで変化するランダムな1回限りのアクセスコードを生成します。ユーザが保護されたリソースを認証しようとするとき、そのワンタイムユースコードは、ACE/Serverによって検証されなければならない。

    SecurIDを認証方式として採用した場合、Security Gatewayはリモートユーザからの認証要求をACE/Serverに転送します。ACEは、RSAユーザとその割り当てられたハードトークンまたはソフトトークンのデータベースを管理します。VPNモジュールはACE/Agent 5.0として動作し、すべてのアクセス要求をRSA ACE/Serverに導き、認証を行います。エージェントの設定については、ACE/Serverのドキュメントを参照してください。

内部データベースでのユーザ管理と、ユーザディレクトリの違いについて。

  • ユーザディレクトリは外部で行い、ローカルでは行いません。

  • User Directoryのテンプレートを変更した場合、その変更は動的に、即座にユーザに適用されます。

LDAPにおけるユーザと認証方法の定義

  1. VPNモジュールがLDAPサーバから情報を取得するためのライセンスを取得し、インストールします。

  2. LDAPアカウントユニットを作成します。

  3. ユーザをLDAPユーザとして定義します。ユーザツリーにLDAPユーザ用の新しいネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。が作成されます。(LDAPユーザは、右側のオブジェクトリストウィンドウにも表示されます)。

詳細:R81.10 Security Management Administration Guide における LDAP とユーザ管理 .

ユーザ証明書の管理

ユーザ証明書の管理には

ユーザの証明書の状況をトレースする

ユーザの証明書の状態は、ユーザのプロパティウィンドウのCertificates タブでいつでもトレースすることができます。ステータスは、Certificate state のフィールドに表示されます。Pending until フィールドで指定された日付までにユーザによって証明書が生成されていない場合、登録キーは削除される。

ユーザがLDAPで定義されている場合、トレースはICA管理ツールで実行されます。

証明書を自動更新する

ユーザ用のICA証明書は、有効期限の何日か前に自動更新することができます。クライアントは、有効期限が切れる前に、CA に対して証明書更新の操作を開始します。成功した場合、クライアントは更新された証明書を受け取る。

証明書の自動更新を設定するには

  1. メニュー]から[Global Properties ]をクリックします。

  2. ナビゲーションツリーでRemote Access > Certificatesをクリックします。

  3. Renew users internal CA certificatesをクリックします。

  4. 日数を入力し、Start the renewal process

    ユーザの証明書が期限切れとなり、クライアントが証明書を更新するまでの日数です。

  5. OKをクリックします。。

  6. アクセスコントロールポリシーをインストールします。

  7. ユーザにサイトのトポロジーを更新するように指示します。

証明書の失効

証明書の失効方法は、内部で管理するか、LDAPを使用して外部で管理するかによって異なります。

ユーザが削除されると、そのユーザの証明書は自動的に失効します。証明書はいつでも無効にしたり、失効させたりすることができる。

証明書がすでに有効であるか、またはユーザによって完了されていない場合、User Properties ウィンドウのCertificates タブのRevoke をクリックすると、証明書を失効させることができます。

ユーザをLDAPで管理している場合、ICA管理ツールで証明書を失効させる。

ユーザ証明書のステータスを追跡する

ユーザの証明書の状態は、ユーザのプロパティウィンドウのCertificates タブでいつでもトレースすることができます。ステータスは、Certificate state のフィールドに表示されます。Pending until フィールドで指定された日付までにユーザによって証明書が生成されていない場合、登録キーは削除される。

ユーザがLDAPで定義されている場合、トレースはICA管理ツールで実行されます。

ユーザ証明書の自動更新について

ユーザ用のICA証明書は、有効期限の何日か前に自動更新することができます。クライアントは、有効期限が切れる前に、CA に対して証明書更新の操作を開始します。成功した場合、クライアントは更新された証明書を受け取る。

証明書の自動更新を設定するには

  1. メニュー]から[Global Properties ]をクリックします。

  2. ナビゲーションツリーでRemote Access > Certificatesをクリックします。

  3. Renew users internal CA certificatesをクリックします。

  4. 日数を入力し、Start the renewal process

    ユーザの証明書が期限切れとなり、クライアントが証明書を更新するまでの日数です。

  5. OKをクリックします。。

  6. アクセスコントロールポリシーをインストールします。

  7. ユーザにサイトのトポロジーを更新するように指示します。

証明書の失効

証明書の失効方法は、内部で管理するか、LDAPを使用して外部で管理するかによって異なります。

内部管理されたユーザの場合

ユーザが削除されると、そのユーザの証明書は自動的に失効します。証明書はいつでも無効にしたり、失効させたりすることができる。

証明書がすでに有効であるか、またはユーザによって完了されていない場合、User Properties ウィンドウのCertificates タブのRevoke をクリックすると、証明書を失効させることができます。

LDAPで管理されているユーザの場合

ユーザをLDAPで管理している場合、ICA管理ツールで証明書を失効させる。

ユーザごとに複数の証明書を発行可能

Check Point VPN では、各ユーザに対して多数の証明書を定義することができます。これにより、ユーザは異なるデバイスから接続する際に、デバイス間で証明書をコピーしたり移動したりする必要がなくなります。また、ユーザは異なるデバイスから同時に接続することができます。

ICAを利用する際のユーザ証明書作成方法について

チェック・ポイントの内部認証局(ICA)は、証明書を作成してリモート・ユーザに転送する方法を2つ提供しています。

  1. 管理者は、リモートユーザ用の証明書をSecurity Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。生成し、リムーバブルメディアに保存して、"帯域外 "でクライアントに転送します。

  2. 管理者は、セキュリティ管理サーバ(またはICA管理ツール)上で証明書プロセスを開始し、登録キーを付与されます。管理者は、登録キーを "帯域外 "でユーザに転送します。 クライアントはICAとのSSL接続を確立し(CMCプロトコルを使用)、登録鍵を使用して証明書の生成プロセスを完了します。このように

    • 秘密鍵はクライアントで生成されます。

    • 作成された証明書は、マシンのハードディスク、CAPIストレージデバイス、またはハードウェアトークンにファイルとして保存することができます。

    この方法は、特に地理的に離れた場所にいるユーザに適しています。

ユーザ用リモートアクセスVPN証明書の作成

リモートVPNのユーザ証明書を作成し、エンドユーザに送信する手順について説明します。

リモートアクセスVPN閉じた リモートアクセスクライアント(Endpoint Security VPNなど)とSecurity Gatewayの間の暗号化されたトンネル。証明書をユーザに提供する方法は、基本的に2通りあります。

  • P12ファイルの送信:

    • 管理者がp12証明書ファイルを作成し、ユーザに送信します。

    • ユーザは、端末にp12ファイルを保存し、リモートのVPN Clientを使用して証明書を指定します。

    • リモートアクセスVPN接続開始時に、ユーザは証明書パスワードを入力することで認証を行います。

  • レジストレーションキーを使用する

    • 管理者は登録キーを作成し、ユーザに送信します。

    • ユーザは、リモートアクセスVPNクライアントで登録キーを入力することにより、証明書を登録します。ユーザはオプションでp12ファイルをデバイスに保存することができます。ユーザは、管理者が設定した期間内にこれを行う必要があります。

    • エンドユーザはこの証明書を用いて認証を行う。また、セキュリティポリシーの設定により、パスワードを要求することも可能です。ユーザがp12ファイルをデバイスに保存する場合、パスワードは必ず必要です。

ユーザ証明書を有効にする

ユーザ証明書を有効にするには

  1. SmartConsoleで、Objects Bar から、Users > Users をクリックします。

  2. 新規にユーザを作成するか、既存のユーザをダブルクリックします。

    User Propertiesウィンドウが開きます。

  3. ナビゲーションツリーでEncryptionをクリックします。

  4. Editをクリックします。。

    IKE Phase 2 Propertiesウィンドウが開きます。

  5. Authentication 」タブをクリックし、「Public key 」が選択されていることを確認します。

  6. OKをクリックします。。

  7. SmartConsoleセッションを公開する。

P12証明書ファイルの作成

ユーザ証明書を作成したら、この証明書をリモートアクセスのユーザが使用できるようにする必要があります。この手順で、p12証明書を作成します。

リモートアクセスVPNユーザのためにp12証明書ファイルを作成するには

  1. ユーザ証明書を作成する(「ユーザユーザ証明書を有効にするする」を参照)。

  2. User Properties ウィンドウで、ナビゲーションツリーからCertificates をクリックします。

  3. Certificates ページで、New をクリックします。

  4. Certificate file (.p12)を選択します。

  5. Certificate File (.P12) ウィンドウで、証明書のパスワードを入力し、確認します。

  6. オプション:Comment フィールドに説明テキストを入力します。

  7. OKをクリックします。 をクリックし、p12ファイルを保存するパスを入力します。

    新しい証明書は、Certificate に表示されます。ステータスは、Valid に設定されています。

  8. OKをクリックします。。

  9. エンドユーザに.p12ファイルを安全な電子メールなどの手段で送信します。

証明書登録キーの作成

ユーザ証明書を作成したら、この証明書をリモートアクセスのユーザが使用できるようにする必要があります。この手順を使用して、ユーザがデバイスで使用するために証明書を登録できるようにする、証明書登録キーを作成します。

証明書登録キーを作成するには

  1. ユーザ証明書を作成する(「ユーザユーザ証明書を有効にするする」を参照)。

  2. User Properties ウィンドウで、ナビゲーションツリーからCertificates をクリックします。

  3. Certificates ペインで、New をクリックします。

  4. Registration key for certificate enrollmentを選択します。

  5. Registration Key for Certificate Enrollment ウィンドウで、証明書の有効期限が切れるまでの日数を選択します。

  6. Eメールボタンをクリックすると、登録キーをユーザに送信します。

  7. オプション:Comment フィールドに説明テキストを入力します。

  8. OKをクリックします。。

エンドユーザ向け説明書

リモートアクセスVPNユーザは、ネットワークリソースに接続するために多くの異なるクライアントを使用することができます。管理者の責任において、エンドユーザが証明書を正常に登録できるよう、適切な指示を与える必要があります。

ユーザ用リモートアクセスVPN証明書の作成セクションでは、多くのVPNクライアントに適用できる一般的な手順のガイドラインをいくつか紹介しています。詳細な手順については、VPNクライアントのドキュメントを参照してください。

ユーザ証明書の登録 - ICA管理ツール

ICAマネジメントを使用してユーザ証明書を登録する場合。

  1. SmartConsoleで、Objects Bar から、Users > Users をクリックします。

  2. 新規にユーザを作成するか、既存のユーザをダブルクリックします。

    User Propertiesウィンドウが開きます。

  3. ナビゲーションツリーでEncryptionをクリックします。

  4. Editをクリックします。。

    IKE Phase 2 Propertiesウィンドウが開きます。

  5. Authentication タブをクリックし、Public Key を選択します。

  6. OKをクリックします。。

  7. 変更内容を公開します。

  8. ICA management tool を使って、ユーザ証明書を登録します。

サードパーティーのPKIを利用した証明書の利用

サードパーティーの PKI を使用する場合、ユーザ用の証明書を作成し、Security Gateway 用の証明書も含めることができる。

PKCS#12、CAPI、または Entrust 標準をサポートするサードパーティの OPSEC PKI 認証局を使用して、セキュリティ・ゲートウェイおよびユーザ用の証明書を発行することができます。セキュリティゲートウェイは、CA を信頼し、CA が発行する証明書を持つ必要があります。

証明書を解析するために Security Gateway が LDAP サーバに送信する情報を設定するには、「証明書の解析」を参照してください。

デフォルトでは、LDAP サーバで管理されているユーザの場合、証明書に表示される完全な識別名(DN)は、ユーザ名と同じになります。しかし、内部データベースでユーザを管理している場合、証明書のユーザ名とDNが一致しない。このため、内部データベースのユーザ名は、証明書に記載されている完全なDNか、証明書のCN部分に記載されている名前のみでなければならない。例えば、証明書に記載されているDNが、以下のような場合。

CN=John, OU=Finance, O=Widget Enterprises, C=US

内部データベース上のユーザ名は、これらのいずれかである必要があります。

  • John

  • CN=John, OU=Finance, O=Widget Enterprises, C=US

- 証明書のDNは、ユーザのLDAPブランチを含む必要があります。一部の PKI ソリューションでは、サブジェクト DN に(デフォルトで)ブランチ情報全体を含めず、 例えば DN にはコモンネームのみを含める。これはCAコンフィギュレーションで修正することができます。

サードパーティーのPKI証明書を設定する

サードパーティの PKI ソリューションを使用する場合。

  1. SmartConsoleで、Objects Bar から、Users > Users をクリックします。

  2. 新規にユーザを作成するか、既存のユーザをダブルクリックします。

    User Propertiesウィンドウが開きます。

  3. ナビゲーションツリーでEncryptionをクリックします。

  4. Editをクリックします。。

    IKE Phase 2 Propertiesウィンドウが開きます。

  5. Authentication タブをクリックし、Public key を選択します。

  6. SmartDashboardにサードパーティ証明書をオブジェクトとして定義します。

  7. オプション:サードパーティCAからSecurity Gateway用の証明書を生成します。

  8. サードパーティCAからリモートユーザ用の証明書を生成します。(詳細については、関連するサードパーティのドキュメントを参照してください)。

  9. 証明書をユーザに転送します。

  10. Global Properties > Authentication ウィンドウで、サフィックスマッチングの追加と無効を設定します。

    証明書を持つユーザに対して、DNに指定されたサフィックスを持つ証明書のみを受け付けるように指定することが可能です。この機能はデフォルトで有効になっており、以下の場合にのみ必要です。

    • ユーザは内部データベースで定義されます。 and

    • ユーザ名は完全なDNではありません。

すべての証明書のDNは、このサフィックスと照合される。

- 認証局の階層を使用する場合、ユーザのチェーン証明書は、Security Gatewayが信頼するのと同じルートCAに到達する必要があります。

事前共有シークレットの使用

事前共有秘密を使用する場合、リモートユーザとセキュリティゲートウェイは、相手が共有秘密であるユーザのパスワードを知っていることを確認することで、お互いを認証します。

事前共有秘密による認証を有効にするには

  1. メニュー]から[Global Properties ]をクリックします。

  2. ナビゲーションツリーでRemote Access >VPN Authenticationをクリックします。

  3. Support authentication methodsセクションで、Pre-Shared Secret (ForSecuRemote client / SecureClient users)を選択します。

  4. OKをクリックします。。

  5. 該当する各ユーザの認証設定を行う。

    1. オブジェクトバーから、ユーザをダブルクリックします。

      User Propertiesウィンドウが開きます。

    2. ナビゲーションツリーでEncryptionをクリックします。

    3. IKE を選択し、Edit をクリックします。

      IKE Phase 2 Propertiesウィンドウが開きます。

    4. 認証」タブで、Password (Pre-Shared Secret) をクリックします。

    5. 入力し、Confirm Password (Pre-shared secret) .

    6. OKをクリックします。。

  6. SmartConsoleセッションを公開する

  7. パスワードをユーザに教える。

NTグループ/RADIUSクラス認証機能

認証はNTグループまたはRADIUSクラスに従って行われます。

このように、リモートアクセスユーザは、所属するリモートアクセスコミュニティグループに応じた認証が行われます。

- NTグループのみサポートされ、Active Directoryはサポートされません。

RADIUSサーバグループを使用したユーザアクセスの付与

Security Gatewayでは、管理者がRADIUSグループにユーザを割り当てることで、認証されたRADIUSユーザのアクセス権を制御することができます。これらのグループは、セキュリティルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。で、ユーザが特定のリソースにアクセスすることを制限したり、許可したりするために使用されます。ユーザは自分が所属しているグループを知らない。

RADIUS(Remote Authentication Dial-In User Service)は、外部認証方式の一つで、認証機能をアクセスサーバから分離することにより、セキュリティとスケーラビリティを実現するものです。

RADIUSを使用すると、セキュリティゲートウェイはリモートユーザによる認証要求をRADIUSサーバに転送します。管理者の場合は、Security Management Serverが認証要求を転送します。ユーザのアカウント情報を保存しているRADIUSサーバが認証を行う。

RADIUSプロトコルは、UDPを使用してSecurity GatewayまたはSecurity Management Serverと通信します。

RADIUSサーバとRADIUSサーバグループオブジェクトは、SmartConsoleで定義します。

RADIUSグループを使用するには、RADIUSサーバのRADIUSユーザプロファイルにreturn属性を定義する必要があります。この属性は Security Gateway に返され、ユーザが所属するグループ名(例:RAD_<RADIUS ユーザが所属するグループ> )が含まれます。

これらのRADIUS属性(RFC2865参照)を使用します。

  • SecurePlatformの場合 - 属性「Class」(25)

  • Gaia、Windows、IPSOを含むその他のOSの場合は、"Vendor-Specific" (26)と表示されます。

RADIUS認証設定のワークフロー例です。

  1. RADIUSホスト・オブジェクトを作成します。

  2. RADIUS サーバオブジェクトの設定を行います。

  3. セキュリティゲートウェイがRADIUS認証を使用するように設定します。

  4. ユーザグループを定義します。

  5. ユーザのRADIUS認証の設定を行います。

  6. RADIUS認証の設定を完了します。

NTグループとRADIUSクラスに対する認証の設定

このグループ認証機能を有効にするには、次のようにします。

  1. $FWDIR/conf/objects.C ファイルのadd_radius_groups プロパティをtrue に設定します。

  2. RADIUSを認証方式とする汎用*プロファイルを定義します。

  3. NTサーバまたはRADIUSを使用して認証するリモートユーザのグループを「ソース」とするルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。をポリシールールベースに作成します。

オフィスモード用IPアドレスファイル

この方法は、Officeモードでも有効です。$FWDIR/conf/ipassignment.conf ファイルに記載されているグループは、NTグループ認証またはRADIUSクラス(ipassignment.conf "ファイルによるオフィスモード参照)を使用して認証するグループを指しています。

RADIUSサーバとセキュリティゲートウェイの関連付け

User Properties > Authentication タブで、ユーザと RADIUS 認証サーバを関連付けることができます。

その関連付けを上書きして、Security GatewayとRADIUSサーバを関連付けることができます。

RADIUSのアソシエーションを設定するには、dbedit コマンドを使用します(skI3301参照)。

1つまたは複数のRADIUSサーバをセキュリティゲートウェイに関連付けるには、次のようにします。

modify network_objects <gateway obj> radius_server servers:<radius obj>

RADIUS-gatewayのアソシエーションをオフにするには。

modify users <user obj> use_fw_radius_if_exist false

RADIUSオブジェクトの設定

RADIUSホストオブジェクトを新規に作成するには

  1. SmartConsoleの「Objects 」タブで、「New > Host 」をクリックします。

    New Hostウィンドウが開きます。

  2. 新しい RADIUS ホストオブジェクトのObject NameIP Address を入力し、OK をクリックします。

  3. ポリシーをインストールします。

RADIUS サーバオブジェクトの設定を行うには、次のようにします。

  1. SmartConsoleの「Objects 」タブで、「New > More > Server > More > RADIUS 」をクリックします。

    RADIUS Server Propertiesウィンドウが開きます。

  2. 新しいサーバのプロパティを設定します。

    • RADIUS サーバ・オブジェクトのName を入力します。

    • RADIUSHost オブジェクトを選択します。

    • Service -RADIUS (on port 1645) またはNEW-RADIUS (on port 1812 service)を選択してください。

      - デフォルトの設定はRADIUSですが、RADIUS標準化グループは、ポート1645が同じポートで実行されているデータメトリクスサービスと競合する可能性があるため、NEW-RADIUS の使用を推奨しています。

    • RADIUS サーバに設定したShared Secret を入力します。

    • バージョン -RADIUS Ver. 1.0 Compatible (RFC 2138 準拠) またはRADIUS Ver. 2.0 Compatible (RFC 2865 準拠) を選択してください。

    • ピア認証の選択Protocol -PAP または MS-CHAP v2

    • 複数のRADIUS認証サーバを使用する場合は、以下のように選択します。 Priority

  3. OKをクリックします。。

RADIUS認証を使用するようにSecurity Gatewayを設定するには、次のようにします。

  1. SmartConsoleで、Gateways & Servers ビューに移動し、Security Gateway オブジェクトを右クリックして、Edit を選択します。

  2. セキュリティゲートウェイのプロパティ」ウィンドウで、「Other > Legacy Authentication 」を選択します。

  3. Enabled Authentication Schemesセクションで、RADIUSを選択します。

  4. OKをクリックします。。

ユーザに対するRADIUSの設定

RADIUSユーザグループを定義するには

  1. SmartConsoleの「Objects 」タブで、「New > More > Users > User Group 」をクリックします。

    New User Groupウィンドウが開きます。

  2. グループ名を次のフォーマットで入力してください:RAD_<group_name>.

    グループが空であることを確認します。

  3. OKをクリックします。。

  4. ポリシーをインストールします。

Security Gatewayのユーザアカウントを持つユーザのRADIUS認証の設定を行うには。

  1. 各ユーザの内部ユーザプロファイルを新規に作成します。SmartConsoleで、Objects > New> More> User> User をクリックします。

    User Propertiesウィンドウが開きます。

  2. General Properties タブで、これらの設定を行います。

    • RADIUS サーバのUser Name を入力します。

    • Expiration Date を設定します。

  3. Authentication タブで、これらの設定を行います。

    • Authentication method リストからRADIUS を選択

    • RADIUS Server リストから、先に設定した RADIUS オブジェクトを選択します。

  4. OKをクリックします。。

Security Gatewayのユーザアカウントを持たないユーザのRADIUS認証設定を行うには。

SmartConsoleから開くSmartDashboardで、各ユーザの外部ユーザプロファイルを新規に作成します。

  1. SmartDashboardを起動します。

    1. SmartConsoleで、Manage & Settings タブを開きます。

    2. Bladesをクリックします。

    3. Configure in SmartDashboard のリンクをクリックしてください。

  2. Network のオブジェクトツリーから、Users のアイコンをクリックします。

  3. External User Profiles を右クリックし、New External User Profile > Match all users (またはMatch by domain) を選択します。

    複数の外部認証方式をサポートする場合は、Match By Domain の設定で外部ユーザプロファイルを設定します。

    External User Profile Propertiesウィンドウが開きます。

  4. General Properties タブで、これらの設定を行います。

    • RADIUS サーバのUser Name を入力します。(Match all users を外部ユーザプロファイルとして設定する場合、"generic*"という名前が自動的に割り当てられます)。

    • Expiration Date を設定します。

  5. Authentication タブで、これらの設定を行います。

    • Authentication Scheme リストからRADIUS を選択します。

    • Select a RADIUS Server or Group of Servers リストから、先に設定した RADIUS オブジェクトを選択します。

  6. OKをクリックします。。

  7. SmartDashboardを終了します。

  8. SmartConsoleにポリシーをインストールします。

RADIUS認証の設定を完了する

RADIUS認証の設定を完了させる。

  1. SmartConsoleで、RADIUSサーバで認証されたユーザにアクセスを許可するために必要なAccess Controlルールを作成します。

  2. アドレス変換ルールベースで、ファイアウォールとサーバ間の通信がNATされていないことを確認します。

  3. 変更を保存します。

  4. SmartConsoleのウィンドウをすべて閉じます。

  5. Database Tool (GuiDBEdit Tool) (sk13009参照) を使って、add_radius_groups 属性の値を false から true に変更します。

  6. 保存して、データベースツール(GuiDBEdit Tool)を閉じます。

  7. SmartConsoleを開きます。

  8. ポリシーをインストールします。

  9. RADIUSサーバで、RADIUSユーザを編集し、アクセスするユーザグループに対応するユーザリターンリストにclass 」RADIUS属性を含めます。

"class" 属性の代わりに別の属性を使用する場合。

  1. SmartConsoleのウィンドウとクライアントをすべて閉じます。

  2. Database Tool (GuiDBEdit Tool) (sk13009参照)を使用して、firewall_properties 属性radius_groups_attr の値を新しいRADIUS属性に変更します。

  3. 変更を保存します。

  4. データベースツール(GuiDBEdit Tool)を閉じる。

  5. SmartConsoleを開きます。

  6. ポリシーをインストールします。

  7. RADIUSサーバでは、ユーザがアクセスするFirewallユーザグループに対応するReturnリストのRADIUS属性が同じであることを確認してください。

UPNを用いたMS-CHAPv2上のRADIUSサーバでの認証

 RADIUS サーバ上のリモートアクセス VPN クライアントの認証を UPN (<username>@<domain>) を使った MS-CHAPv2 で有効にすることができます。

  1.  Security Gateway/各クラスタ メンバ閉じた クラスタの一部であるセキュリティゲートウェイ。のコマンド ラインに接続します。

  2. エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

  3. 実行(このコマンドはすぐに適用され、再起動は必要ありません)。

    ckp_regedit -a SOFTWARE/Checkpoint/VPN1 RADIUS_MSCHAPV2_UPN -n 1

    無効化するには、実行します。

    ckp_regedit -a SOFTWARE/Checkpoint/VPN1 RADIUS_MSCHAPV2_UPN -n 0

    現在の値を見るには、実行します。

    ckp_regedit -p SOFTWARE/Checkpoint/VPN1 | grep --color RADIUS_MSCHAPV2_UPN

RSAハードトークンとソフトトークンの扱い

認証にSecurIDを使用する場合、RSAのACE管理サーバでユーザを管理する必要があります。ACEは、RSAユーザとその割り当てられたハードトークンまたはソフトトークンのデータベースを管理します。クライアントは、サイトのセキュリティゲートウェイに連絡します。Security Gatewayは、ACEサーバにユーザ認証情報を問い合わせる。ということです。

  • リモートユーザは、ACE サーバ上で RSA ユーザとして定義されている必要があります。

  • Security Gatewayでは、SecurIDユーザは、認証方法としてSecurIDを指定した外部ユーザプロファイルアカウントを持つグループに入れる必要があります。

SecurID認証デバイス

SecurIDデバイスには、いくつかのバージョンがあります。旧来のフォーマットは、tokencode 、タイムバーと呼ばれる数字コードを表示する小さなデバイスです。トークン・コードは60秒ごとに変化し、認証の基礎となる。認証のためには、ユーザはトークンコードの先頭にPIN番号と呼ばれる特別なパスワードを付加する必要があります。タイムバーは、次のトークンコードが生成されるまでの残り時間を示しています。リモートユーザは、PIN番号とトークンコードの両方をクライアント接続ウィンドウに入力するよう要求されます。

新しい形式はクレジットカードに似ており、トークンコード、タイムバー、PIN番号を入力するための数字パッドが表示されます。このタイプのデバイスは、トークンコードと入力されたPINナンバーを混ぜて、Passcode.クライアントはパスコードのみを要求します。

SoftIDはパスコードデバイスと同じように動作しますが、デスクトップ上に置くソフトウェアのみで構成されています。

Advancedビューには、トークンコードとパスコードがCOPYボタンと共に表示され、ユーザはsoftIDとクライアント間でカット&ペーストすることができます。

ハイブリッドモードの有効化と認証方法について

ハイブリッドモードは、セキュリティゲートウェイとリモートアクセスクライアントが異なる認証方法を使用することができます。

ハイブリッドモードを有効にするには。

  1. メニュー]から[Global Properties ]をクリックします。

  2. ナビゲーションツリーでRemote Access > VPN Authenticationをクリックします。

  3. Support authentication methodsセクションで、Support Legacy Authentication for SC (hybrid mode), L2TP (PAP), and Nokia clients (CRACK)をクリックします。

  4. OKをクリックします。。

  5. ポリシーをインストールします。

ハイブリッドモードでのユーザ認証方法の定義

ユーザに対してハイブリッドモード認証を定義するには

  1. オブジェクトバーから、ユーザをダブルクリックします。

    User Propertiesウィンドウが開きます。

  2. ナビゲーションツリーでAuthenticationをクリックします。

  3. Authentication Scheme を選択します。

  4. 必要な設定を行う。

  5. OKをクリックします。。

  6. ポリシーをインストールします。

  7. これらの認証情報をユーザに渡します。