Secure Internal Communication (SIC)

チェック・ポイントのプラットフォームや製品は、これらの SIC閉じた Secure Internal Communication。安全な通信のために、CheckPointソフトウェアを実行するCheckPointコンピュータがSSLを介して相互に認証するCheckPoint独自のメカニズム。この認証は、ICAがCheck Point Management Serverで発行した証明書に基づいています。(Secure Internal Communication)方式のいずれかによって互いに認証されます。

  • 証明書

  • 標準規格に準拠したTLSにより、安全なチャンネルを構築することができます。

  • 暗号化にはAES128を使用。

SIC は、Security Gateway、管理サーバ、およびその他のチェック・ポイント製品間の信頼できる接続を構築します。Security Gatewayにポリシーをインストールし、Security Gatewayと管理サーバ間でログを送信するには、信頼が必要です。

- SICエラーを確認するには、Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。およびSecurity Gateway上の$CPDIR/log/sic_info.elg ファイルを調べます。

トラストの初期化

セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。とセキュリティ管理サーバは、最初の信頼関係を構築するために、ワンタイムパスワードを使用します。最初の信頼が確立された後、さらなる通信はセキュリティ証明書に基づいて行われる。

- Security GatewayとSecurity Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。の信頼関係を初期化する前に、両者の時計が同期していることを確認すること。これはSICが成功するために必要なことです。Security GatewayとSecurity Management Serverの時間設定を行うには、Gaia Portal > System Management > Time

  1. SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。で、Security Gatewayのネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。を開いてください。

  2. Security Gateway のGeneral Properties ページで、Communication をクリックします。

  3. Communication ウィンドウに、Security Gateway のインストール時に作成したActivation Key を入力します。

  4. Initializeをクリックします。。

    ICA閉じた 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。が署名し、セキュリティゲートウェイに証明書を発行する。

    トラスト状態は、Initialized but not trusted 。内部認証局(ICA)はセキュリティゲートウェイの証明書を発行しているが、まだ配信していない。

    通信する2つのピアは、共有されたアクティベーション・キーを使ってSSL上で認証されます。証明書は安全にダウンロードされ、Security Gatewayに保存されます。Activation Keyが削除されます。

    Security Gatewayは、同じICAで署名されたセキュリティ証明書を持つCheck Pointホストと通信することができます。

SICの状況

ICAが発行した証明書をSecurity Gatewayが受け取った後、Security Management ServerがこのSecurity Gatewayと安全に通信できるかどうかをSICステータスで表示します。

  • 通信中- 安全な通信が確立されています。

  • Unknown- Security GatewayとSecurity Management Serverとの間に接続がありません。

  • Not Communicating- Security Management ServerはSecurity Gatewayにコンタクトすることができますが、SICを確立することができません。メッセージには詳細が表示されます。

トラストステート

Trust State が侵害された場合(鍵の流出、証明書の紛失)、またはオブジェクトが変更された場合(ユーザが退職、オープンサーバ閉じた Check Point以外の会社によって製造、配布されている物理コンピュータ。がアプライアンスにアップグレード)、Trust State をリセットしてください。Trustをリセットすると、SICの証明書は失効します。

証明書失効リスト(CRL)は、失効した証明書のシリアルナンバーについて更新される。ICAは更新されたCRLに署名し、次のSIC接続時にすべてのセキュリティゲートウェイに発行する。2つのSecurity Gatewayが異なるCRLを持つ場合、認証を行うことができない。

  1. SmartConsoleのGateways& Serversビューから、Security Gatewayオブジェクトをダブルクリックします。

  2. Communicationをクリックします。。

  3. 開いたTrusted Communication ウィンドウで、Reset をクリックします。

  4. 3. ポリシーを Security Gateway にインストールします。

    これにより、更新されたCRLがすべてのSecurity Gatewayに配備されます。ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。がない(したがって、ポリシーをインストールできない)場合、Security Gatewayの信頼をリセットすることができます。

    重要- SmartConsoleで新しい信頼関係を確立する前に、同じワンタイム・アクティベーション・パスワードがSecurity Gatewayに設定されていることを確認します。

SICのトラブルシューティング

SICの初期化に失敗した場合。

  1. Security GatewayとSecurity Management Serverの間に接続性があることを確認します。

  2. Security Management ServerとSecurity Gatewayが同じSICアクティベーションキー(ワンタイムパスワード)を使用していることを確認する。

  3. Security Management Serverがゲートウェイの背後にある場合、Security Management ServerとリモートのSecurity Gateway間の接続を許可するルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。があることを確認する。アンチスプーフィングの設定が正しいことを確認します。

  4. Security Gateway の/etc/hosts ファイルに Security Management Server の名前と IP アドレスが記載されていることを確認する。

    Security Management Server の IP アドレスがローカルの Security Gateway によって静的 NAT でマッピングされている場合、Security Management Server のパブリック IP アドレスをリモートの Security Gateway の/etc/hosts ファイルに追加してください。IPアドレスがサーバのホスト名に解決されることを確認します。

  5. OSの日付と時刻の設定が正しいかどうか確認してください。Security Management ServerとリモートのSecurity Gatewayが異なるタイムゾーンに存在する場合、リモートのSecurity Gatewayは証明書が有効になるまで待たなければならないことがあります。

  6. Security GatewayのSecurity Policyを削除し、すべてのトラフィックを通過させます。

    1. Security Groupでコマンドラインに接続します。

    2. エキスパートモード閉じた CheckPoint Gaiaオペレーティングシステムで完全なシステムルート権限を付与する完全なコマンドラインシェルの名前。にログインします。

    3. 次を実行します:

      fw unloadlocal

      重要 - R81.10 CLI Reference Guide > Security Gateway Commandsの章 > fwセクション > fw unloadlocalセクションを参照してください。

  7. 再度SICの確立を試みる。

リモートユーザによるリソースへのアクセス、モバイルアクセス

Mobile Access Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各ソフトウェアブレードがトラフィックの特定の特性を検査します (2) 管理サーバでは、各ソフトウェアブレードで異なる管理機能を使用できます。がすでに有効になっているSecurity Gatewayに証明書をインストールする場合、ポリシーを再度インストールする必要があります。そうでなければ、リモートユーザはネットワークリソースに到達できません。

  1. Security Gatewayのコマンドラインインタフェースを開く。

  2. 次を実行します:

    cpconfig

  3. Secure Internal Communication の数字を入力し、Enterキーを押す。

  4. y」 を入力して確認します。

  5. アクティベーション・キーを入力し、確認する。

  6. 完了したら、Exit の番号を入力します。

  7. Check Pointのプロセスが停止し、自動的に再起動するのを待ちます。

SmartConsoleで:

  1. Security Gateway のGeneral Properties ウィンドウで、Communication をクリックします。

  2. Trusted Communication ウィンドウに、Security Gateway で入力したワンタイムパスワード(アクティベーションキー)を入力します。

  3. Initializeをクリックします。。

  4. Certificate State フィールドにTrust established と表示されるのを待ちます。

  5. OKをクリックします。。

Check Point内部認証局 (ICA) を制御します。

ICA(Internal Certificate Authority)は、Security Management Serverを初めて設定する際に作成されます。ICAは、認証のための証明書を発行します。

  • Secure Internal Communication (SIC) - Security Management Server間、およびSecurity GatewayとSecurity Management Servers間の通信を認証します。

  • ゲートウェイ用VPN証明書- VPNコミュニティのメンバー間で認証を行い、VPNトンネルを作成する。

  • ユーザ- 権限と権限に従ってユーザアクセスを認証するための強力な方法について。

ICAクライアント

ほとんどの場合、証明書はオブジェクト構成の一部として扱われる。ICAと証明書をより詳細に制御するには、これらのICAクライアントのいずれかを使用します。

  • Check Point Configuration Tool - これは、cpconfig CLI ユーティリティです。オプションの1つはICAを作成し、Security Management Server用のSIC証明書を発行するものです。

  • SmartConsole - セキュリティ・ゲートウェイおよび管理者用のSIC証明書、VPN証明書、ユーザ証明書。

  • ICA管理ツール- ユーザのVPN証明書、およびICAの高度な操作。

SmartConsoleのICAの監査ログ閉じた 管理サーバに対する管理者アクション (ログインとログアウト、オブジェクトの作成または変更、ポリシーのインストールなど) を含むログ。を参照してくださいLogs & Monitor > New Tab > Open Audit Logs View

SICサーティフィケート・マネジメント

でSIC証明書を管理する。

  • Communication をクリックすると、Security Gatewayのプロパティウィンドウが表示されます。

  • ICA管理ツールツールです。

証明書には、以下のような設定可能な属性があります。

属性

デフォルト

コメント

有効性

5年

 

キーサイズ

2048ビット

 

KeyUsage

5

電子署名と鍵の暗号化

ExtendedKeyUsage

0 (KeyUsageなし)

VPN証明書のみ

鍵サイズの値については、RSA鍵長を参照してください。

ステップ

手順

1

Security GatewayまたはSecurity Management Serverを選択します。

2

下のSummary タブで、オブジェクトのLicense Status (例:OK) をクリックします。

Device & License Informationウィンドウが開きます。各 Software Blade の基本的なオブジェクト情報およびLicense Status 、ライセンスExpiration Date 、重要なクォータ情報(Additional Info 欄)が表示されます。

注:

Software BladeLicense Status に指定できる値は次のとおりです。

ステータス

説明

Active

Software Bladeは有効であり、ライセンスは有効です。

Available

Software Bladeはアクティブではありませんが、ライセンスは有効です。

No License

Software Bladeは有効ですが、ライセンスは有効ではありません。

Expired

Software Bladeは有効ですが、ライセンスが失効しています。

About to Expire

Software Bladeは有効ですが、ライセンスの有効期限は30日(デフォルト)以内(評価ライセンスの場合は7日以内)です。

Quota Exceeded

Software Bladeはアクティブで、ライセンスも有効ですが、関連オブジェクト(Security Gateway、Virtual Systems、ファイルなど、Bladeによって異なる)のクォータを超過しています。

Quota Warning

ソフトウェアブレードはアクティブであり、ライセンスも有効ですが、このブレードのオブジェクト数がライセンス枠の90%(デフォルト)以上です。

N/A

ライセンス情報は利用できません。