リモート アクセス ブレードの設定

［VPN］>［リモートアクセス］>［ブレードコントロール］ページでは、安全かつ暗号化されたインターネット接続を、モバイルデバイス、自宅のコンピュータ、および組織の間に確立させることができます。

リモートアクセスVPNの場合、アプライアンス上で認証情報でユーザを設定し、特定ユーザに必要な権限を設定する必要があります。アプライアンスをインターネットからアクセスできる状態にしておく必要があります。

最初に、アプライアンスにDDNSまたは静的IPアドレスのインターネット接続を設定することを強くお勧めします。静的IPアドレスを使わない場合、お使いのインターネットサービスプロバイダによってアプライアンスのIPアドレスが異なることがあります。DDNSでは、変わる可能性のあるIPアドレスではなく、ホスト名によってリモートユーザを組織に接続させます。詳細については、［デバイス］>［システム］>［DDNS & デバイス アクセス］ >［DDNS］を参照してください。

DDNSを設定するには、DDNSおよびアクセス サービスの設定を参照してください。

静的IPアドレスを設定するには、「インターネット接続の設定」を参照してください。

VPNリモートアクセスについて

1. VPN Remote Access Bladeを有効にする

   1. ［VPN］>［リモート アクセス］>［ブレード コントロール］に移動します。

   2. オンを選択します。

   3. 必須事項：リモートアクセスユーザからのトラフィックを許可を選択します。

   4. オプション：リモートアクセスユーザからのトラフィックをログ記録を選択します。

   5. オプション：2ファクタ認証を使用したID確認をユーザに求めるを選択します。

      手順

      2ファクタ認証(マルチファクタ認証とも呼ばれる)は、システムへの不正アクセスを防止するためのセキュリティの追加レイヤです。ゲートウェイは、EメールまたはSMSでユーザにパスコードを送信し、ユーザがVPNで接続できるようにします。R81.10.07より、Google Authenticatorの使用も選択できるようになりました。

      2ファクタ認証を使用するには、リモートアクセス権限が設定されている必要があります。これは、Eメールアドレスと携帯電話番号を使用して設定します。

      注 - デフォルトでは、ゲートウェイはパスコードをEメールとSMSの両方で送信します。

      SMSについては、Check Point SMSプロバイダまたは外部SMSプロバイダを使用できます。お客様がパブリックSMSサーバを使用している場合は、管理者はSMTPサーバのユーザ名とパスワード、および外部サービスプロバイダのAPIを含む動的URLを提供する必要があります。

      2ファクタ認証を設定するには

      1. ［VPN］>［リモートアクセス］>［ブレードコントロール］ページで、［2ファクタ認証を使用したID確認をユーザに求める］を選択します。

      2. ［設定］をクリックします。

         2ファクタ認証の設定ウィンドウが開きます。

      3. 該当するオプションを選択します。

         SMSとEメールの両方で受信することを選択する場合は、両方のチェックボックスをオンにします。

         SMSで認証を受ける場合

         1. SMSチェックボックスをオンにします。

         2. Check Point SMSを使用するには、Check Point SMSプロバイダ サービスを使用するを選択します。

         3. ［外部SMSプロバイダを使用する］を選択した場合、以下のフィールドに情報を入力します。

            • DynamicID URL

            • プロバイダ ユーザ名

            • プロバイダのパスワード

            • API ID

            • 表示するメッセージ(オプション)。

         Emailで認証を受ける場合

         1. Eメールチェックボックスをオンにします。

         2. オプション：送信する［メッセージ］を入力します。

         SMBクラウドサービス（Google Authenticatorアプリケーション）による認証を受けるには

         注 - このオプションを使用するには、ユーザにリモートアクセス権限が設定されている必要があります。

         1. ［Google Authenticatorを使用する］チェックボックスをオンにします。

         2. 適用をクリックします。

            SMBクラウドサービスは、ユーザに設定されたEメールアドレスに、QRコードを含むEメールを送信します。

         3. Google AuthenticatorアプリケーションでQRコードを読み取ります。

         4. ワンタイムパスワード（OTP）が表示されます。

            注 - OTPは30秒後に失効します。

         5. コンピュータでVPNに接続します。ユーザ名とパスワードを入力します。

         6. 2回目の認証では、［レスポンス］フィールドにOTPを入力します。

         7. クラウドサービスは、OTPとアプリケーションのQRコードで表されるOTPを比較します。一致すれば、VPNに接続されます。

         クラウドサービスは、以下のような場合にOTPを含むQRコードを送信します。

         • 新しいユーザを設定する場合。

         • 新しいEメールアドレスの追加やユーザへのリモートアクセス権限の付与など、既存のユーザ情報を編集する場合。

         • 管理者がすべてのユーザがクラウド認証を使用する必要があると決定した場合。

      4. ［詳細］タブの［動的ID設定］の下に、以下の内容を入力します。

         • ワンタイム パスワードを長さ

         • パスワードの期限が切れるまでの時間(分)

         • 再試行の最大数

      5. ［国コード］で、デフォルトの国コードを入力します。

      6. 適用をクリックします。

      2ファクタ認証でサインインするには

      1. VPNに接続します。

      2. 動的IDのワンタイムパスワード（OTP）を携帯電話にSMSで送信するか、Eメールアカウントに直接送信するか、QRコードをスキャンすることでプロンプトが表示されます。

      注： VPNの2ファクタ認証はゲートウェイごとで、管理者ではありません。 2ファクタ認証をオンにすると、すべてのVPNクライアントに対して有効になります。つまり、すべてのVPNユーザは、接続用の設定済み携帯電話番号とEメールアドレスを持っている必要があります。

   6. VPNリモートアクセスユーザの接続:セクションで、該当するリモートアクセスVPNクライアントを選択します。

      • Check Point VPNクライアント - お使いのデスクトップまたはノートPCにVPNクライアントをインストールします。 

      • モバイルクライアント - スマートフォンやタブレットに接続します (iOSまたはAndroid)。

      • SSL VPN - SSL VPNで接続する場合。WebブラウザでIPアドレスを入力します。

      • Windows VPNクライアント - L2TP。WindowsまたはMacで、事前共有キーで接続します。方法については、接続方法をクリックします。

      VPNリモート アクセス メソッドを設定するには

      1. 望ましい方法の横にあるチェックボックスをオンにして［接続方法...］をクリックします。

         ［使用］ウィンドウが開きます。

      2. 画面上の指示に従ってください。

      3. ウィンドウを閉じます。

      4. 適用をクリックします。

   7. ページの下部にある［適用］をクリックします。

   注 - Remote Access VPN Bladeがクラウドサービスで管理されていると、ロックアイコンが表示されます。［オン］/［オフ］の切り替えはできません。ポリシー設定を変更した場合、その変更は一時的なものになります。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。

2. リモートアクセスVPNのユーザおよびユーザ グループの設定

   該当する手順に従います。

   新しいローカルユーザの追加

   1. ［VPN］>［リモートアクセス］>［リモートアクセスユーザ］に移動します。

   2. ［追加］をクリックします。

      新規ローカル ユーザのウィンドウが開きます。

   3. フィールドに必要な情報を入力します。

      注 - Eメールと電話番号フィールドはオプションです。ただし、ユーザにリモートアクセスVPN権限を与えたい場合は、リモートアクセスVPN接続時の2ファクタ認証に必要な情報となります。

   4. リモートアクセス権限を選択します。

   5. 適用をクリックします。

   Active Directory / RADIUSからの新しいユーザの追加

   Active DirectoryまたはRADIUSサーバを使用して、ユーザやグループ ユーザアカウントなど、属性を共有するオブジェクトの集合体。を自動的に追加できます。

   リモート アクセス認証サーバの設定を参照してください。

   定義された認証サーバの表を確認 トラフィックやファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザはアクティビティの許可を承認できます。するには、［VPN］>［リモートアクセス］>［認証サーバ］に移動します。

   既存のローカルユーザの設定

   1. 表のユーザ名をクリックして［編集］をクリックします。

      ユーザ名をダブルクリックすることもできます。

   2. リモート アクセス権限を選択します。

   3. ［OK］をクリックします。

   既存のローカルユーザ/ユーザグループの権限の設定

   1. ［権限の編集］をクリックします。

   2. 上部で該当するフィルタをクリックします。

      • ユーザをクリックしてローカルに設定したユーザを確認します。

      • Active Directoryをクリックして、Active Directoryサーバに設定されたユーザグループを確認します。

   3. 左のカラムで、該当するユーザ名/ユーザグループのチェックボックスをオンにします。

   4. 適用をクリックします。

3. リモートアクセスVPNの監視

   • ［VPN］> ［リモートアクセス］>［接続されたリモート ユーザ］では、現在接続中のリモートユーザを確認できます。

   • 現在のリモートアクセスVPNトンネルを確認するには、［ログ& モニタリング］> ［ステータス］> ［VPNトンネル］へ移動します。

   • 現在接続しているリモートアクセスVPNユーザからのトラフィックを確認するには、ログ & モニタリング > ログ > セキュリティ ログ (VPN > リモートアクセス > ブレードコントロールページで、リモートアクセスユーザからのトラフィックをログ記録を選択する必要があります)。

詳細オプション

詳細については、「詳細リモート アクセス オプションの設定」を参照してください。

デフォルトのリモートアクセスVPNポートの変更

手順

デフォルトのリモートアクセスVPNポートは、TCP 443です。WebUIをTCPポート443で使用できるようアプライアンスで設定している場合は、コンフリクトのメッセージがVPN > リモートアクセス > ブレードコントロールページに表示されます。

次のいずれかのリモートアクセスVPNクライアンを有効にした場合：

• Check Point VPNクライアント

• モバイルクライアント

• SSL VPN

デフォルトのリモートアクセスVPNポートを変更する必要があります。

1. ポートの変更リンクをクリックします。

   ［リモートアクセスポート設定］ウィンドウが開きます。

2. ［リモートアクセスポート］フィールドに、新しいポート番号を入力します。

3. ポート443番をポート転送に予約を選択します。

4. 適用をクリックします。

同じオフィスモードプールのリモートアクセスVPNクライアント間の接続

同じオフィスモードプールからIPアドレスを取得したリモートアクセスVPNクライアント間の接続を許可するには、以下の手順を実行します。

手順

1. ［ユーザ&オブジェクト］>［ネットワークリソース］>［ネットワークオブジェクト］に移動します。

2. ［新規］をクリックして、オフィスモードネットワークの新しいネットワークオブジェクト コンピュータ、IPアドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者は、これらのオブジェクトをセキュリティポリシーで使用します。を作成します。

   1. ［タイプ］メニューで、［ネットワーク］を選択します。

   2. ［ネットワークアドレス］フィールドに、該当のネットワークIPアドレスを入力します。

   3. ［サブネットマスク］フィールドに、必要なサブネットマスクを入力します。

   4. ［オブジェクト名］フィールドに、名前を入力します。

      例:OMPOOL

   5. 適用をクリックします。

3. ［デバイス］>［詳細］>［詳細設定］へ移動します。

4. パラメータVPNリモートアクセス - バック接続の有効化を設定します。

   1. 上部の検索フィールドで

      VPNリモートアクセス - バック接続の有効化を入力します。

   2. パラメータVPNリモートアクセス - バック接続の有効化を選択し［編集］をクリックします。

   3. ［バック接続の有効化］オプションを選択します。

   4. 適用をクリックします。

5. オフィスモードネットワーク内のコンピュータ間のトラフィックを許可するアクセスポリシールール ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を設定します。

   1. ［アクセスポリシー］>［ファイアウォール］>［ポリシー］へ移動します。

   2. 着信、内部およびVPNトラフィックのセクションで、［新規］をクリックします。

   3. ルールを設定します：

      ソース	宛先	サービス	アクション	ログ
      OMPOOL	OMPOOL	*Any	許可	［ログ］または［なし］

   4. 適用をクリックします。

6. オフィスモードネットワーク内のコンピュータ間のトラフィックでNATを無効にするNATポリシールールを設定します。

   1. ［アクセスポリシー］>［ファイアウォール］>［NAT］に移動します。

   2. ［NATルール］のセクションで、［NATルールの表示］をクリックします。

   3. ［新規］をクリックします。

   4. ルールを設定します：

      元のソース	元の宛先	元のサービス	変換ソース	変換宛先	変換サービス
      OMPOOL	OMPOOL	*Any	*Original	*Original	*Original

   5. 適用をクリックします。