SIC(Secure Internal Communication)

Check Pointのプラットフォームや製品は、これらのSIC(Secure Internal Communication)方式のいずれかによって互いに認証されます。

  • 証明書。

  • 安全なチャネルを構築するための標準規格に準拠したTLS。

  • 暗号化のAES128。

SIC は、セキュリティゲートウェイ、管理サーバ、およびその他のCheck Point製品間の信頼できる接続を構築します。セキュリティゲートウェイにポリシーをインストールし、セキュリティゲートウェイと管理サーバ間でログを送信するには、信頼(Trust)が必要です。

- SICエラーを確認するには、Security Management ServerおよびSecurity Gateway上の$CPDIR/log/sic_info.elg ファイルを調べます。

トラストの初期化

セキュリティゲートウェイとSecurity Management Serverでは、最初の信頼関係を構築するためにワンタイムパスワードを使用します。最初の信頼が確立された後の通信はセキュリティ証明書に基づいて行われます。

- セキュリティゲートウェイとSecurity Management Serverの信頼関係を初期化する前に、セキュリティゲートウェイとSecurity Management Serverの時計が同期していることを確認してください。これはSICが成功するために必要なことです。セキュリティゲートウェイとSecurity Management Serverの時間設定を行うには、Gaia Portal >System Management >Time にアクセスしてください。

  1. SmartConsoleで、セキュリティゲートウェイのネットワークオブジェクトを開きます。

  2. セキュリティゲートウェイのGeneral Propertiesページで、Communicationをクリックします。

  3. Communicationウィンドウに、セキュリティゲートウェイのインストール時に作成したActivation Keyを入力します。

  4. クリックInitialize

    ICAが署名し、セキュリティゲートウェイに証明書を発行します。

    トラスト状態は、Initialized but not trusted(初期化済みで信頼されていない)です。内部認証局(ICA)はセキュリティゲートウェイの証明書を発行しますが、まだ送信していません。

    通信する2つのピアは、共有されたアクティベーションキーを使ってSSL上で認証します。証明書は安全にダウンロードされ、セキュリティゲートウェイに保存されます。アクティベーションキーが削除されます。

    セキュリティゲートウェイは、同じICAで署名されたセキュリティ証明書を持つCheck Pointホストと通信することができます。

SICステータス

ICAが発行した証明書をセキュリティゲートウェイが受け取った後、Security Management Serverがこのセキュリティゲートウェイと安全に通信できるかどうかをSICステータスで表示します。

  • Communicating - 安全な通信が確立されています。

  • Unknown - セキュリティゲートウェイとSecurity Management Serverとの間に接続がありません。

  • Not Communicating - Security Management Serverはセキュリティゲートウェイにコンタクトすることができますが、SICを確立することができません。メッセージには詳細が表示されます。

トラスト状態

トラスト状態が侵害された場合(キーの流出、証明書の紛失)、またはオブジェクトが変更された場合(ユーザの退職、オープンサーバがアプライアンスにアップグレード)、トラスト状態をリセットします。トラストをリセットすると、SICの証明書は失効します。

証明書失効リスト(CRL)は、失効した証明書のシリアル番号について更新されます。ICAは更新されたCRLに署名し、次のSIC接続時にすべてのセキュリティゲートウェイに発行します。2つのセキュリティゲートウェイが異なるCRLを持つ場合、認証を行うことができません。

  1. SmartConsoleのゲートウェイ&サーバビューで、セキュリティゲートウェイオブジェクトをダブルクリックします。

  2. クリックCommunication

  3. 開いたTrusted Communicationウィンドウで、Resetをクリックします。

  4. ポリシーをセキュリティゲートウェイにインストールします。

    これにより、更新されたCRLがすべてのセキュリティゲートウェイに配布されます。ルールベースがない(したがって、ポリシーをインストールできない)場合、セキュリティゲートウェイの信頼をリセットすることができます。

    重要 - SmartConsoleで新しい信頼関係を確立する前に、同じワンタイムアクティベーションパスワードがセキュリティゲートウェイに設定されていることを確認します。

SICのトラブルシューティング

SICの初期化に失敗した場合:

  1. セキュリティゲートウェイとSecurity Management Serverの間に接続性があることを確認します。

  2. Security Management Serverとセキュリティゲートウェイが同じSICアクティベーションキー(ワンタイムパスワード)を使用していることを確認します。

  3. Security Management Serverがゲートウェイの背後にある場合、Security Management Serverとリモートのセキュリティゲートウェイ間の接続を許可するルールがあることを確認します。アンチスプーフィングの設定が正しいことを確認します。

  4. セキュリティゲートウェイの/etc/hostsファイルにSecurity Management Serverの名前とIPアドレスが記載されていることを確認します。

    Security Management Server の IP アドレスがローカルのセキュリティゲートウェイによって静的NATでマッピングされている場合、Security Management Serverのパブリック IP アドレスをリモートのセキュリティゲートウェイの/etc/hostsファイルに追加します。IPアドレスがサーバのホスト名に解決されることを確認します。

  5. OSの日付と時刻の設定が正しいかどうか確認します。Security Management Serverとリモートのセキュリティゲートウェイが異なるタイムゾーンに存在する場合、リモートのセキュリティゲートウェイは証明書が有効になるまで待たなければならないことがあります。

  6. セキュリティゲートウェイのセキュリティポリシーを削除し、すべてのトラフィックを通過させます。

    1. セキュリティゲートウェイでコマンドラインに接続します。

    2. エキスパートモードにログインします。

    3. 次を実行します:

      fw unloadlocal

      重要R81.20 CLI Reference Guide> 章セキュリティゲートウェイコマンド>fwセクション >fwセクションunloadlocal

  7. 再度SICの確立を試みます。

リモートユーザによるリソースへのアクセス、モバイルアクセス

Mobile Access Software Bladeがすでに有効になっているセキュリティゲートウェイに証明書をインストールする場合、ポリシーを再度インストールする必要があります。そうでなければ、リモートユーザはネットワークリソースに到達できません。

  1. セキュリティゲートウェイのコマンドラインインタフェースを開きます。

  2. 次を実行します:

    cpconfig

  3. Secure Internal Communicationの数字を入力し、Enterキーを押します。

  4. y」を入力して確認します。

  5. アクティベーションキーを入力して確認します。

  6. 完了したら、Exitの番号を入力します。

  7. Check Pointのプロセスが停止し、自動的に再起動するのを待ちます。

SmartConsoleで:

  1. セキュリティゲートウェイのGeneral Propertiesウィンドウで、Communication をクリックします。

  2. Trusted Communicationウィンドウに、セキュリティゲートウェイで入力したワンタイムパスワード(アクティベーションキー)を入力します。

  3. クリックInitialize

  4. Certificate StateフィールドにTrust establishedと表示されるのを待ちます。

  5. クリックOK

Check Point内部認証局 (ICA) について

ICA(Internal Certificate Authority)は、Security Management Serverを初めて設定する際に作成されます。ICAは、認証のための証明書を発行します。

  • Secure Internal Communication (SIC) - Security Management Server間、およびセキュリティゲートウェイとSecurity Management Servers間の通信を認証します。

  • ゲートウェイ用VPN証明書 - VPNコミュニティのメンバ間で認証を行い、VPNトンネルを作成します。

  • ユーザ - 認証と権限に基づいてユーザアクセスを認証する強力な方法。

ICAクライアント

ほとんどの場合、証明書はオブジェクト設定の一部として扱われます。ICAと証明書をより詳細に制御するには、これらのICAクライアントのいずれかを使用します。

  • Check Point Configuration Tool - これは、cpconfig CLI ユーティリティです。オプションの1つはICAを作成し、Security Management Server用のSIC証明書を発行します。

  • SmartConsole - セキュリティゲートウェイおよび管理者用のSIC証明書、VPN証明書、ユーザ証明書。

  • ICA管理ツール- ユーザ用のVPN証明書と高度なICA操作。

SmartConsoleLogs & Monitor >New Tab >Open Audit Logs View のICAの監査ログを参照してください。

SIC証明書の管理

次の場所でSIC証明書を管理します。

証明書には、以下のような設定可能な属性があります。

属性

デフォルト

コメント

有効

5年

 

キーサイズ

2048ビット

 

KeyUsage

5

デジタル署名と鍵の暗号化

ExtendedKeyUsage

0 (KeyUsageなし)

VPN証明書のみ

キー・サイズの値について詳しくは、RSA key lengths を参照のこと。

ステップ

手順

1

セキュリティゲートウェイまたはSecurity Management Serverを選択します。

2

下のSummaryタブで、オブジェクトのLicense Status (例:OK) をクリックします。

Device & License Informationウィンドウが開きます。各Software Bladeの基本的なオブジェクト情報およびLicense Status、ライセンスExpiration Date、重要なクォータ情報(Additional Infoカラム)が表示されます。

注:

  • クォータ情報、クォータに依存するライセンスステータス、およびブレード情報メッセージは、R80以降でのみサポートされています。

  • SKUのツールチップはプロダクト名です。

Software BladeのLicense Statusに指定できる値は次のとおりです。

ステータス

説明

Active

Software Bladeが有効で、ライセンスも有効です。

Available

Software Bladeは非アクティブで、ライセンスは有効です。

No License

Software Bladeは有効ですが、ライセンスが無効です。

Expired

Software Bladeは有効ですが、ライセンスが失効しています。

About to Expire

Software Bladeは有効ですが、ライセンスの有効期限は30日(デフォルト)以内(評価ライセンスの場合は7日以内)です。

Quota Exceeded

Software Bladeはアクティブで、ライセンスも有効ですが、関連オブジェクト(Security Gateway、Virtual Systems、ファイルなどBladeによって異なる)のクォータを超過しています。

Quota Warning

Software Bladeはアクティブで、ライセンスも有効ですが、このブレードのオブジェクト数がライセンス枠の90%(デフォルト)以上です。

N/A

ライセンス情報は利用できません。