クライアントとゲートウェイの通信

UserCheck クライアントがある環境では、セキュリティゲートウェイがクライアントのサーバとして機能します。各クライアントはサーバを発見し、信頼関係を構築できなければならない。

信頼関係を構築するために、クライアントはサーバが正しいものであることを確認する。SSLハンドシェイク中に計算されたサーバのフィンガープリントを予想されるフィンガープリントと比較する。サーバが期待されるフィンガープリントを持たない場合、クライアントはユーザにサーバが正しいことを手動で確認するよう求める。

以下は、クライアントがサーバを発見し、信頼するために使用できる方法のリストである。

オプションの比較

1. ファイル名ベースのサーバ設定

   他の方法が設定されていない場合（デフォルト、そのままの状態）、ポータルからダウンロードされたすべてのUserCheckクライアントは、ファイル名にポータルマシンの IP アドレスが含まれるように名前が変更されます。インストール中、クライアントはこのIPアドレスを使用してセキュリティゲートウェイに接続します。ユーザが手動でサーバを信頼するには、Trust をクリックする必要があります。

   説明

   このオプションは設定が最も簡単で、すぐに使える。初回接続時には、Trust を手動でクリックしてサーバを信頼するようユーザに指示する。このオプションは、該当するソフトウェアブレードを搭載したセキュリティゲートウェイが1つしかない構成で使用できます。

   その仕組みとは？

   ユーザがUserCheckクライアントをダウンロードすると、セキュリティゲートウェイのアドレスがファイル名に挿入されます。インストール中、クライアントは、異なる検出方法（ADベース、DNSベース、ローカルレジストリ）が設定されているかどうかを検出する。メソッドが設定されておらず、セキュリティゲートウェイに到達できる場合、そのゲートウェイがサーバとして使用される。「UserCheck Settings」ウィンドウで、接続先のサーバがUserCheck Clientのファイル名のセキュリティゲートウェイと同じであることを確認できます。

   ファイル名は簡単に変更できるため、ユーザはトラストデータが有効であることを手動で確認しなければならない。

   MSIの名前の変更

   コンピュータにインストールする前に、MSIファイルの名前を手動で変更することができます。

   これにより、UserCheckクライアントが別のセキュリティゲートウェイに接続されます。

   1. セキュリティゲートウェイにDNS名があることを確認する。

   2. このフォーマットを使ってMSIの名前を変更する：

      ユーザチェック_~GWname.msi

      GWname- セキュリティゲートウェイのDNS名。

      任意形式：

      UserCheck_~GWname-port.msi

      portは通知のポート番号。

      例：

      UserCheck_~mygw-18300.msi

   注： 接頭辞は "UserCheck "である必要はない。書式で重要なのはアンダースコアのチルダ（_~）で、これは次の文字列がセキュリティゲートウェイのDNSであることを示す。 セキュリティゲートウェイからクライアントへの通知用のポート番号を追加する場合、ハイフン（-）は次の文字列がポート番号であることを示します。

2. Active Directoryベースの構成

   クライアントコンピュータがActive Directoryドメインのメンバである場合、専用ツールを使用してサーバアドレスと信頼データを設定できます。

   説明

   クライアントコンピュータがActive Directoryドメインのメンバであり、このドメインの管理者アクセス権を持っている場合、分散構成ツールを使用して接続と信頼ルールを構成できます。

   分散設定ツールには3つのウィンドウがあります：

   • Welcome- ツールの説明と、ADへのアクセスに使用するさまざまな認証情報を入力できる。

   • Server configuration- クライアントの所在地に基づいて、どのセキュリティゲートウェイに接続するかを設定する。

   • Trusted Security Gateways- セキュリティゲートウェイが安全とみなすフィンガープリントのリストを表示および変更する。

   クライアントのActive Directoryベースの設定を有効にする：

   1. UserCheck Client MSIをコンピュータにダウンロードしてインストールします。

      そのコンピュータのコマンドラインから、ADユーティリティを使用してクライアント設定ツールを実行します。

      例えば、ウィンドウズ7のコンピュータの場合：

      "C:\Users\%USERNAME%\Local Settings\Application Data\Checkpoint\UserCheck\UserCheck.exe" -adtool

      Check Point UserCheck - Distributed Configuration ツールが開きます。

   2. Welcomeページで、AD管理者の認証情報を入力します。

      デフォルトでは、ADユーザ名が表示されます。管理者権限がない場合は、Change userをクリックし、管理者認証情報を入力します。

   3. Server Configurationページで、Addをクリックします。

      Identity Server Configurationウィンドウが開きます。

   4. Defaultを選択し、Addをクリックします。

   5. セキュリティゲートウェイのIPアドレスまたは完全修飾ドメイン名（FQDN）とポートを入力します。

   6. クリックOK。

      UserCheckクライアントのADサーバのIDは、Active Directoryに書き込まれ、すべてのクライアントに提供されます。

   注 - 構成全体は、ツールの最初の実行で追加されるADデータベースのCheck Point ブランチ下のProgram Data という名前のハイブの下に書き込まれます。このハイブを追加しても、他の AD ベースのアプリケーションや機能には影響しません。

   サーバ構成ルール

   分散構成ツールを使用し、クライアントがサーバをAutomatically discover 、クライアントがルールリストを取得します。サーバに接続するたびに、上から下へ、ルールとの照合を試みます。

   ツールがルールにマッチすると、指定された優先順位に従って、ルールに示されたサーバを使用します。

   設定例

   1. ユーザが'192.168.0.1 - 192.168.0.255'からの場合は、US-GW1に接続してみてください。

      利用できない場合は、BAK-GS2（優先順位が高いため、US-GW1が利用できない場合にのみ使用される）を試します。

   2. ユーザがActive Directoryサイト'UK-SITE'から接続している場合、UK-GW1またはUK-GW2のどちらかに接続します（どちらも優先順位は同じなので、ランダムに選択）。どちらも利用できない場合は、BAK-GS2に接続します。

   3. ルール1と2が適用されない場合は、BAK-GS2（デフォルトのルールに遭遇した場合は常にマッチ）に接続します。

   Add、Edit、Removeボタンを使用して、サーバ接続ルールを変更します。

   信頼できるゲートウェイ

   Trusted Gatewaysウィンドウには、信頼できるサーバのリストが表示され、ユーザが接続してもメッセージは開きません。

   サーバは追加、編集、または削除できます。サーバに接続できれば、名前とフィンガープリントを取得できます。IPアドレスを入力し、Fetch FingerprintウィンドウでServer Trust Configurationをクリックします。サーバに接続できない場合は、そのサーバに接続したときに表示されるのと同じ名前と指紋を入力します。

3. DNSのSRVレコードに基づくサーバ発見

   DNSサーバのサーバアドレスを設定します。ユーザが手動でサーバを信頼するには、Trustをクリックする必要があります。

   説明

   クライアントをAutomatic Discovery（デフォルト）に設定すると、クライアントはセキュリティゲートウェイのアドレスに対してDNS SRVクエリを発行してサーバを探します（DNSサフィックスは自動的に追加されます）。DNSサーバでアドレスを設定することができます。

   DNSサーバでDNSベースの設定を行うには

   1. Start >All Programs >Administrative Tools >DNSにアクセスします。

   2. Forward lookup zonesへ移動し、該当のドメインを選択します。

   3. _tcpへ移動し、サブドメインにアクセスします。

   4. 右クリックして、Other new recordを選択します。

   5. Service Location、Create Recordを選択します。

   6. ServiceフィールドにCHECKPOINT_DLPと入力します。

   7. Port numberを443に設定します。

   8. Host offering this serverに、セキュリティゲートウェイのIPアドレスを入力します。

   9. クリックOK。

   セキュリティゲートウェイに負荷分散を設定するには、同じ優先度で複数のSRVレコードを作成します。

   ハイアベイラビリティを設定するには、優先順位の異なる複数のSRVレコードを作成します。

   注 - ADベースとDNSベースのコンフィギュレーションを設定した場合、指定された優先順位（最低から最高まで）に従って結果が組み合わされます。

   DNSベースの設定のトラブルシューティング

   DNSベースの設定における問題をトラブルシューティングするには、DNSサーバに保存されているSRVレコードを見ることができます。

   DNSサーバのSRVレコードを見るには：

   次を実行します:

   C:\> nslookup  > set type=srv  > checkpoint_dlp._tcp

   結果の例：

   C:\> nslookup  > set type=srv  > checkpoint_dlp._tcp Server: dns.company.com Address: 192.168.0.17 checkpoint_dlp._tcp.ad.company.com SRV service location:           priority = 0           weight = 0           port = 443           svr hostname = dlpserver.company.com dlpserver.company.com internet address = 192.168.1.212 >

リモートレジストリ

サーバアドレスやトラストデータを含むすべてのクライアントコンフィギュレーションはレジストリに存在します。クライアントをインストールする前に値を設定することができます（GPO、またはリモートでレジストリを制御できるその他のシステムによって）。これにより、クライアントの初回インストール時に設定を使用することができます。

説明

Active DirectoryやGPOの更新など、クライアントコンピュータにレジストリエントリを設定する方法がある場合は、クライアントをインストールする前にセキュリティゲートウェイのアドレスと信頼パラメータを設定できます。クライアントは、インストール後すぐに構成された設定を使用することができます。

リモート・レジストリ・オプションを設定するには

1. クライアントをコンピュータの1台にインストールしてください。エージェントは、ユーザディレクトリに自分自身をインストールし、その設定をHKEY_CURRENT_USERに保存します。

2. 設定されているすべてのサーバに手動で接続し、フィンガープリントを検証し、フィンガープリント検証ダイアログボックスでTrust をクリックします。

3. 要求されたサーバに手動で接続するようにクライアントを設定します（Settingsウィンドウを使用）。

4. これらのレジストリキーをエクスポートします：

   1. ツリー全体：

      HKEY_CURRENT_USER\SOFTWARE\CheckPoint\UserCheck\Trusted Gateways

   2. 支店：

      HKEY_CURRENT_USER\SOFTWARE\CheckPoint\UserCheck\

      1. キー：

         Default Gateway

      2. キー：

         DefaultGatewayEnabled

5. エクスポートしたキーをエンドポイントコンピュータにインポートしてから、UserCheck Clientをインストールします。