バーチャル・プライベート・ネットワーク

NGX（R60A）

本書に記載されていない技術的な情報については、以下の SecureKnowledge を参照してください。

https://secureknowledge.checkpoint.com

本書の 新版については、以下の Web サイトを参照してください。

http://www.checkpoint.com/support/technical/documents/docs_r60.html

Part No.: 7018672005 年 9 月

© 2003-2006 Check Point Software Technologies Ltd.All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配布されています。本製品または関連ドキュメントのいかなる部分も、チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製することはできません。本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切責任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があります。

権利の制限 米国政府による本製品の使用、複写、または開示は、DFARS（連邦国防調達規定）252.227 7013およびFAR（連邦調達規定）52.227-19の技術データおよびコンピュータ・ソフトウェアに関する権利条項（c）（1）（ii）により制限されます。

商標

© 2003-2006 Check Point Software Technologies Ltd. All rights reserved. Check Point、Application Intelligence、Check Point Express、Check Pointのロゴ、AlertAdvisor、ClusterXL、Cooperative Enforcement、ConnectControl、Connectra、CoSa、Cooperative Security Alliance、Eventia、Eventia Analyzer、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、IMsecure、INSPECT、INSPECT XL、Integrity、InterSpect、IQ Engine、Open Security Extension、OPSEC、Policy Lifecycle Management、Provider-1、Safe@Home、Safe@Office、SecureClient、SecureKnowledge、SecurePlatform、SecuRemote、SecureXL Turbocard、SecureServer、SecureUpdate、SecureXL、SiteManager-1、SmartCenter、SmartCenter Pro、Smarter Security、SmartDashboard、SmartDefense、SmartLSM、SmartMap、SmartUpdate、SmartView、SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SofaWare、SSL Network Extender、Stateful Clustering、TrueVector、Turbocard、UAM、User-to-Address Mapping、UserAuthority、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 VSX、VPN-1 XL、Web Intelligence、ZoneAlarm、ZoneAlarm Pro、Zone Labs、およびZone Labsのロゴは、チェック・ポイント・ソフトウェア・テクノロジーズまたはその関連会社の商標または登録商標です。本書に記載されているその他の製品名は、各所有者の商標または商標登録です。本書に記載された製品は、米国の特許No. 5,606,668、5,835,726、6,496,935および6,850,943によって保護されています。また、その他の米国における特許およびその他の国における特許で保護されているか、出願中の可能性があります。

サード・パーティ

Entrustは、米国およびその他の国におけるEntrust Technologies, Inc.の登録商標です。Entrustのロゴ、Entrustの製品およびサービスの名称もEntrust Technologies, Inc.の登録商標です。Entrust Technologies Limitedは、Entrust Technologies, Inc.の完全所有子会社です。FireWall-1およびSecuRemoteには、Entrustの証明書管理技術が採用されています。

VerisignはVerisign Inc.の商標です。

下記は、ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述です。Portions of the software copyright © 1992-1996 Regents of the University of Michigan. All rights reserved.この表記が削除されることなく、かつAnn Arborのミシガン大学に正当な帰属承認が与えられる限り、ソース形式およびバイナリ形式での再配布および使用は認められています。あらかじめミシガン大学から書面による特定の承諾を得ない限り、本ソフトウェアに基づく製品の保証または販売促進に大学名を使用することはできません。本ソフトウェアは、明示もしくは黙示の保証なく、「そのままの状態」で供給されます。Copyright © Sax Software（端末エミュレーションのみ）

下記は、ソフトウェアのうちカーネギー・メロン大学が著作権を所有する部分に関する記述です。Copyright 1997 by Carnegie Mellon University. All Rights Reserved.本ソフトウェアおよび関連するドキュメントを何らかの目的のために無償で使用、複製、変更および配布することは認められています。ただし、上記著作権表記がすべての複製物に記載され、その著作権表記およびこの許可表記が全関連ドキュメントに記載され、かつ書面による特定の事前承諾なく本ソフトウェアの配布に関する広告または宣伝にカーネギー・メロン大学の名称が使用されることのない場合に限ります。カーネギー・メロン大学は、市場性および適合性の黙示保証を含め、本ソフトウェアに関するすべての保証を拒否します。契約行為、過失または不法行為にかかわらず、本ソフトウェアの使用または性能から、またはそれらに関連して生じる特定の、間接的なもしくは派生的な損害、または使用能力、データ、利益の損失によるいかなる損害に対しても、カーネギー・メロン大学は一切責任を負いません。

下記は、ソフトウェアのうちThe Open Groupが著作権を所有する部分に関する記述です。

ソフトウェアは、市場性、特定目的への適合性、および非侵害の保証等を含めた明示または黙示の保証なく、「そのままの状態」で供給されます。The Open Groupは、契約行為、不法行為その他にかかわらず、ソフトウェアもしくはソフトウェアの使用や取り扱いから、またはそれらに関連して生じる補償請求、損害その他の賠償に対して一切責任を負いません。

下記は、ソフトウェアのうちOpenSSL Projectが著作権を所有する部分に関する記述です。本製品には、OpenSSL Toolkitで使用するためにOpenSSL Projectが開発したソフトウェアが含まれています（http://www.openssl.org/）。本ソフトウェアはOpenSSL Projectにより「そのままの状態」で供給されます。OpenSSL Projectは、市場性および特定目的への適合性の黙示保証等を含め、明示または黙示の保証をすべていたしません。本ソフトウェアを使用した結果として、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、または派生的損害（代替品もしくは代替サービスの調達、使用能力、データもしくは利益の損失、または事業の中断を含みますが、それらに限定されません）が発生した場合は、いかなる原因で生じたとしても、またいかなる責任論上においても、契約行為、無過失責任または不法行為（怠慢その他を含め）によるものかを問わず、たとえ当該損害が発生する可能性を事前に通知されていたとしても、OpenSSL Projectまたはそれに対する寄稿者は、いかなる場合も一切の責任を負いません。

下記は、ソフトウェアのうちEric Youngが著作権を所有する部分に関する記述です。本ソフトウェアはEric Youngにより「そのままの状態」で供給されます。Eric Youngは、市場性および特定目的への適合性の黙示保証等を含め、明示または黙示の保証をすべていたしません。本ソフトウェアを使用した結果として、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、または派生的損害（代替品もしくは代替サービスの調達、使用能力、データもしくは利益の損失、または事業の中断を含みますが、それらに限定されません）が発生した場合は、いかなる原因で生じたとしても、またいかなる責任論上においても、契約行為、無過失責任または不法行為（怠慢その他を含め）によるものかを問わず、たとえ当該損害が発生する可能性を事前に通知されていたとしても、著作者またはそれに対する寄稿者は、いかなる場合も一切の責任を負いません。Copyright © 1998 The Open Group.下記は、ソフトウェアのうち Jean-loup GaillyおよびMark Adlerが著作権を所有する部分に関する記述です。Copyright (C) 1995-2002 Jean-loup Gailly and Mark Adler. 本ソフトウェアは、明示もしくは黙示の保証なく、「そのままの状態」で供給されます。本ソフトウェアの使用から生じる損害に対して、著者は一切の責任を負いません。本ソフトウェアを、商用アプリケーションを含め、何らかの目的のために使用し、また自由に変更および再配布することは認められています。ただし、その場合は以下の制限を条件とします。

1. 本ソフトウェアの出自について虚偽の表示をすることはできません。また、自分がソフトウェアの原著作者であると主張することはできません。本ソフトウェアを製品の一部として使用する場合、製品のドキュメントに謝辞を入れていただければ幸いですが、必須ではありません。

2. ソース・バージョンを変更した場合は、その旨を明示する必要があります。また、オリジナルのソフトウェアであるという虚偽の表示をすることはできません。

3. この表示をソースの配布物から削除したり変更したりすることはできません。

下記は、ソフトウェアのうちGnu Public Licenseが著作権を所有する部分に関する記述です。本プログラムはフリーソフトウェアです。Free Software Foundationが公表したGNU General Public License（GNU一般公衆利用許諾契約書）のバージョン2または（任意で）それ以降のバージョンの条件に基づき、本ソフトウェアを再配布および /または変更することができます。本プログラムは実用に万全を期して配布されていますが、市場性または特定目的への適合性の黙示保証を含め、一切の保証を伴いません。詳細については、GNU General Public Licenseをご参照ください。本プログラムには、GNU General Public Licenseのコピーが同梱されています。同梱されていない場合は、Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.までお問い合わせください。

下記は、ソフトウェアのうちThai Open Source Software Center LtdおよびClark Cooperが著作権を所有する部分に関する記述です。Copyright (c) 2001, 2002 Expat maintainers.本使用条件に従い、本ソフトウェアおよび関連するドキュメント・ファイル（以下「ソフトウェア」といいます）のコピーを入手する人物に対して無償で、ソフトウェアのコピーの使用、複製、変更、統合、公表、配布、サブライセンス発行、および /または販売などを含め、制限なくソフトウェアを取り扱い、またソフトウェアを提供された人物にこれらを行うことを許可することが認められています。ただし、その場合は以下の条件に従うものとします。上記著作権表記およびこの許可表記がソフトウェアのすべての複製物または実質的に同様な部分に記載される必要があります。ソフトウェアは、市場性、特定目的への適合性、および非侵害の保証等を含めた明示もしくは黙示の保証なく、「そのままの状態」で供給されます。契約行為、不法行為その他にかかわらず、ソフトウェアもしくはソフトウェアの使用や取り扱いから、またはそれらに関連して生じる補償請求、損害その他の賠償に対し、著作者または著作権所有者は一切責任を負いません。GDChartはお客様のアプリケーションで、またチャート作成のために自由に使用できます。ただし、コードを自分のものとして再配布または表明することはできません。コードを再配布する場合は、著者を表記し、

Check Point Software Technologies Ltd.米国本社： 800 Bridge Parkway, Redwood City, CA 94065、電話： (650) 628-2000 ファックス： (650) 654-4233 info@CheckPoint.comイスラエル本社： 3A Jabotinsky Street, Ramat Gan, 52520, Israel、電話： 972-3-753 4555 ファックス： 972-3-575 9256 http://www.checkpoint.com

すべてのオリジナル・ドキュメントを含める必要があります。Copyright. Bruce Verderaime.1998, 1999, 2000, 2001. 部分的著作権1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory.米国国立衛生研究所による許可P41-RR02188に基づく資金供給を受けています。部分的著作権1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. GD2フォーマットに関する部分的著作権1999, 2000, 2001, 2002 Philip Warner.PNGに関する部分的著作権1999, 2000, 2001, 2002 Greg Roelofs.gdttf.cに関する部分的著作権1999, 2000, 2001, 2002 John Ellson (ellson@graphviz.org).gdft.cに関する部分的著作権 2001, 2002 John Ellson (ellson@graphviz.org).JPEGおよびcolor quantizationに関する部分的著作権2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. 本ソフトウェアの一部は Independent JPEG Groupの著作物に基づいています。詳細については、README-JPEG.TXTファイルを参照してください。WBMPに関する部分的著作権2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande.gdを、商用アプリケーションを含め、何らかの目的のために無償で複製、配布および変更することは認められています。ただし、この表記がユーザのアクセスできる全関連ドキュメントに記載されている場合に限ります。これはお客様の派生著作物自体の所有権に影響を与えるものではありません。その目的はあくまでもgdの著者の適切なクレジットを確保することであり、お客様によるgdの生産的な利用を妨げるためではありません。詳細についてはお問い合わせください。「派生著作物」にはライブラリを利用したすべてのプログラムが含まれます。ユーザのアクセスできるドキュメントにはクレジットを表記する必要があります。本ソフトウェアは「そのままの状態」で供給されます。著作権所有者は、市場性および特定目的への適合性の黙示保証等を含め、このコードおよび付属ドキュメントに関する明示または黙示の保証をすべて行いません。gd 2.0.4に記載されているコードはありませんが、著作者はDavid Koblas、David RowleyおよびHutchison Avenue Software Corporationのこれまでの貢献に謝意を表します。

Apache License, Version 2.0（「本ライセンス」）に基づいてライセンスが許諾されます。このファイルを使用するためには、本ライセンスに従う必要があります。本ライセンスのコピーはhttp://www.apache.org/licenses/LICENSE-2.0から入手できます。curl license 著作権および許可表記Copyright (c) 1996 - 2004, Daniel Stenberg, <daniel@haxx.se>. All rights reserved.本ソフトウェアを、有償、無償にかかわらず、何らかの目的のために使用、複製、変更および配布することは認められています。ただし、上記著作権表記およびこの許可表記がすべての複製物に記載される必要があります。

本ソフトウェアは、市場性、特定目的への適合性、およびサード・パーティの権利の非侵害の保証等を含めた明示もしくは黙示の保証なく、「そのままの状態」で供給されます。契約行為、不法行為その他にかかわらず、ソフトウェアもしくはソフトウェアの使用や取り扱いから、またはそれらに関連して生じる補償請求、損害その他の賠償に対し、著者または著作権所有者は一切責任を負いません。

この表記に含まれるものを除き、著作権所有者の書面による事前承諾なく、本ソフトウェアの販売、使用、またはその他の取り引きを促進するための広告その他のものに著作権所有者の名称を使用することはできません。PHP License, version 3.0Copyright (c) 1999 - 2004 The PHP Group. All rights reserved.ソース形式およびバイナリ形式での再配布および使用は、その改変の有無にかかわらず、認められています。ただし、その場合は以下の条件に従うものとします。

1. ソース・コードの再配布物には上記著作権表記、本条件一覧、および下記免責条項を含める必要があります。

2. バイナリ形式で再配布する場合は、上記著作権表記、本条権一覧、および下記免責条項を配布物と共に供給されるドキュメントおよび /またはその他の資料に転載する必要があります。

3. 書面による事前許可を得ずに、本ソフトウェアから派生した製品の保証または販売促進に「PHP」という名称を使用することはできません。書面による承諾については、group@php.net.までお問い合わせください。

4. group@php.netからの書面による事前許可を得ずに、本ソフトウェアから派生した製品を「PHP」と呼ぶことはできません。またそれらの名称に「PHP」と記載することはできません。お客様のソフトウェアを「PHP Foo」または

「phpfoo」と呼ぶ代わりに「Foo for PHP」と記載することにより、そのソフトウェアがPHPと連携して動作する旨を表すことができます。

5. PHP Groupは随時、ライセンスの改訂バージョンおよび /または新しいバージョンを発行することがあります。各バージョンには、識別のためのバージョン番号が割り当てられます。対象コードが特定のバージョンのライセンスに基づき公開された後、お客様は常に当該バージョンの条件に従ってそれを引き続き使用することができます。また、PHP Groupが発行するそれ以降の任意のバージョンのライセンスの条件に従って、当該対象コードを使用することもできます。本ライセンスに基づいて作成される対象コードに適用される条件を変更する権利は、PHP Groupのみが保持しています。

6. いかなる形式で再配布する場合も、次の文言を表示する必要があります。

「This product includes PHP, freely available from <http://www.php.net/>」本ソフトウェアはPHP Development Teamにより「そのままの状態」で供給されます。PHP Development Teamは、市場性および特定目的への適合性の黙示保証等を含め、明示または黙示の保証をすべて行いません。本ソフトウェアを使用した結果として、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、または派生的損害（代替品もしくは代替サービスの調達、使用能力、データもしくは利益の損失、または事業の中断を含みますが、それらに限定されません）が発生した場合は、いかなる原因で生じたとしても、またいかなる責任論上においても、契約行為、無過失責任または不法行為（怠慢その他を含め）によるものかを問わず、たとえ当該損害が発生する可能性を事前に通知されていたとしても、PHP Development Teamまたはその寄稿者は、いかなる場合も一切の責任を負いません。

本ソフトウェアは、多くのお客様によるPHP Groupのための自発的な貢献によって成り立っています。PHP Groupへは電子メール（group@php.net）でお問い合わせください。

PHP GroupおよびPHPプロジェクトについての詳細は、http://www.php.netを参照してください。本製品にはZend Engineが含まれています。Zend Engineはhttp://www.zend.comから自由に入手できます。

本製品にはTim Hudson（tjh@cryptsoft.com）が作成したソフトウェアが含まれています。Copyright (c) 2003, Itai Tzur <itzur@actcom.co.il>All rights reserved.ソース形式およびバイナリ形式での再配布および使用は、その改変の有無にかかわらず、認められています。ただし、その場合は以下の条件に従うものとします。

ソース・コードの再配布物には上記著作権表記、本条件一覧、および下記免責条項を含める必要があります。

書面による特定の事前許可を得ずに、本ソフトウェアから派生した製品の保証または販売促進に Itai Tzurまたはその他の寄稿者の名前を使用することはできません。

本ソフトウェアは著作権所有者および寄稿者により「そのままの状態」で供給されます。著作権所有者および寄稿者は、市場性および特定目的への適合性の黙示保証等を含め、明示または黙示の保証をすべて行いません。本ソフトウェアを使用した結果として、直接的損害、間接的損害、付随的損害、特別損害、懲罰的損害、または派生的損害（代替品もしくは代替サービスの調達、使用能力、データもしくは利益の損失、または事業の

中断を含みますが、それらに限定されません）が発生した場合は、いかなる原因で生じたとしても、またいかなる責任論上においても、契約行為、無過失責任または不法行為（怠慢その他を含め）によるものかを問わず、たとえ当該損害が発生する可能性を事前に通知されていたとしても、著作権所有者または寄稿者は、いかなる場合も一切の責任を負いません。Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd本使用条件に従い、本ソフトウェアおよび関連するドキュメント・ファイル（以下「ソフトウェア」といいます）のコピーを入手する人物に対して無償で、ソフトウェアのコピーの使用、複製、変更、統合、公表、配布、サブライセンス発行、および /または販売などを含め、制限なくソフトウェアを取り扱い、またソフトウェアを提供された人物にこれらを行うことを許可することが認められています。ただし、その場合は以下の条件に従うものとします。上記著作権表記およびこの許可表記がソフトウェアのすべての複製物または実質的に同一の部分に記載される必要があります。

ソフトウェアは、市場性、特定目的への適合性、および非侵害の保証等を含めた明示もしくは黙示の保証なく、「そのままの状態」で供給されます。契約行為、不法行為その他にかかわらず、ソフトウェアもしくはソフトウェアの使用や取り扱いから、またはそれらに関連して生じる補償請求、損害その他の賠償に対し、著者または著作権所有者は一切責任を負いません。Copyright © 2003, 2004 NextHop Technologies, Inc. All rights reserved.機密著作権表記

本文書に記載されている事項を除き、NextHop Technologies, Inc.の書面による事前許可を得ずに、本ドキュメントの一部として供給される資料を、電子、機械、写真複写、筆記その他による手段等を含め、いかなる形式または方法によっても、複写、複製、配布、再発行、ダウンロード、表示、掲示、または送信することはできません。別段の記載がない限り、資料を改変しないこと、および著作権その他の所有権の表記をすべて資料に含めることを条件として、個人的な非商業目的に限り、本ドキュメントの資料を表示、複写、配布およびダウンロードすることは認められています。NextHopの書面による事前許可を得ずに、本ドキュメントに含まれている資料を別のサーバに「ミラーリングコピー」することはできません。本ドキュメントに含まれている資料を許可なく使用した場合は、著作権法、商標法、プライバシーおよびパブリシティーに関する法律、通信に関する規制および法令に違反する可能性があります。以上の許可は、本条項または条件に違反した場合には自動的に終了します。本許可が終了した場合、ダウンロードおよび印刷した資料は直ちに破棄する必要があります。

商標表記

本ドキュメントに使用および記載されている商標、サービスマーク、およびロゴ（以下「商標」といいます）は米国および /またはその他の国におけるNextHopの登録商標または商標です。ここに記載した会社および製品の名称は各所有者の商標である場合があります。本ドキュメントのいかなる記載も、黙示、禁反言その他によって、ドキュメントに記載されている商標を使用するライセンスまたは権利を許諾するものとは解釈されないものとします。所有者は法律の認める 大の範囲内で自己の知的所有権を積極的に行使します。商標は、書面による事前の許可なく、使用を含め、本ドキュメントの資料の配布または資料へのアクセスに関する宣伝広告を含むいかなる手段によっても、使用することはできません。ほかのWebサイトへの「ホット」リンクとして商標を使用することは、当該リンクの構築が書面により事前に承認されない限り、禁じられています。これらの商標の使用に関する質問については、米国のNextHop（+1 734 222 1600）までお問い合わせください。

アメリカ合衆国政府の制限された権利

ドキュメントの資料は「制限付き権利」を付して提供されています。ソフトウェアおよび付随する文書は、制限付き権利を伴う連邦調達規則に準拠する取引に基づき、米連邦政府（以下「政府」）といいます）に提供されています。政府による使用、変更、複製、公表、実行、表示または開示の権利は、

DFAR 252.227-7014（1995年6月）の非商用コンピュータ・ソフトウェアおよび非商用コンピュータ・ソフトウェアドキュメンテーションに関する権利条項（b）（3）、ならびにFAR 52.227-14, Alternative III（1987年6月）の一般データに関する権利条項（g）（3）（i）および

FAR 52.227-19（1987年6月 )の商用コンピュータ・ソフトウェアに関する制限付き権利条項（c）（2）におけるその他の限定および条件により制限されます。

政府による本ドキュメントの資料の使用は、当該資料におけるNextHopまたは原著作者の所有権の承認となります。請負業者 /実施許諾者は、1911 Landings Drive, Mountain View, California 94043にあるNextHopです。政府による使用、複製、または開示は適用法令に記載されている制限を受けます。

保証の放棄

本ドキュメントの資料は明示もしくは黙示の保証なく、「そのままの状態」で供給されます。NextHopは、適用法に従って認められる 大の範囲で、市場性、特定目的への適合性、権利の非侵害その他の黙示保証等を含め、明示または黙示の保証をすべて行いません。NextHopまたは本ドキュメントに含まれている資料の提供者もしくは開発者は、本ドキュメントの資料の使用、有効性、正確性もしくは信頼性、またはその使用の結果その他の事項に関して、いかなる保証または表明も行いません。

責任の制限

NextHopはいかなる場合においても、本ドキュメントの資料の使用もしくは使用不能から生じるデータまたは利益の損失等を含めた直接的損害、間接的損害、特別損害、付随的損害、または派生的損害に対して、たとえNextHopまたはNextHopの正式な代表者が当該損害の発生する可能性を事前に通知していたとしても、一切責任を負いません。本ドキュメントの資料を使用した結果、機器またはデータの付帯サービス、修理もしくは修正が必要になった場合、その費用はお客様の負担となります。一部の州は付随的または派生的損害に対する免責または制限を認めていないため、お客様によっては上記の制限または免責は適用されない場合があります。Copyright © ComponentOne, LLC 1991-2002. All Rights Reserved.BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC"))Copyright 1997-2001, Theo de Raadt: OpenBSD 2.9 リリース

目次

VPN 技術の概要

第 1 章 概要 接続性の課題 15チェック・ポイントの基本的な VPN ソリューション 16

第 2 章 IPSec と IKE 概要 23IKE DoS 攻撃に対する防御 32高度な IKE プロパティの設定 37

第 3 章 PKI（Public Key Infrastructure） ほかの PKI ソリューションとの統合の必要性 39さまざまな PKI ソリューションのサポート 40PKI の注意事項 47PKI 機能の設定 49OSCP の設定 57

サイト間 VPN

第 4 章 サイト間 VPN の概要 バーチャル・プライベート・ネットワークの必要性 61VPN に対するチェック・ポイント・ソリューション 62VPN トポロジ設計に関する特別な考慮事項 74サイト間 VPN の設定 74PKI を使用する外部ゲートウェイを持つ VPN の設定 77プリシェアード・シークレットを使用する外部ゲートウェイを持つ VPN の設定 80VPN コミュニティでのファイアウォール制御接続の認証方法 83

目次 7

第 5 章 ドメイン・ベース VPN 概要 85VPN ルーティングとアクセス制御 86VPN ルーティングに関する特別な考慮事項 87ドメイン・ベース VPN の設定 87

第 6 章 ルート・ベース VPN 概要 95VPN トンネル・インタフェース（VTI） 96ダイナミック・ルーティング・プロトコルの使用 99ナンバード VTI の設定 99クラスタ環境における VTI 102クラスタ環境における VTI の設定 103VTI におけるダイナミック・ルーティング・プロトコルの有効化 109VTI におけるアンチスプーフィングの設定 113ループバック・インタフェースの設定 114アンナンバード VTI の設定 117VPN トンネル経由のマルチキャスト・パケットのルーティング 120

第 7 章 トンネル管理 概要 123トンネル機能の設定 127

第 8 章 ルート挿入メカニズム 概要 135自動 RIM 136カスタム・スクリプト 138tnlmon.conf ファイル 140ピア・ゲートウェイ・インタフェースの挿入 140RIM の設定 141

第 9 章 ワイヤ・モード ワイヤ・モードの必要性 145チェック・ポイント・ソリューション 145ワイヤ・モードのシナリオ 146ワイヤ・モードの特別な考慮事項 150ワイヤ・モードの設定 150

第 10 章 Directional VPN の適用 Directional VPN の必要性 151チェック・ポイント・ソリューション 151Directional VPN の設定 155

8

第 11 章 リンク選択 概要 157リンク選択の使用 158リンク選択のシナリオ 163ODL（オンデマンド・リンク） 166リンク選択と ISP の冗長性 167旧バージョンとの互換性解決メカニズム 170リンク選択の設定 170

第 12 章 複数エントリ・ポイント VPN 概要 177明示的 MEP 179暗黙的 MEP 187返信パケットのルーティング 190特別な考慮事項 191MEP の設定 191

第 13 章 トラディショナル・モード VPN トラディショナル・モード VPN について 197VPN ドメインと暗号化ルール 198VPN プロパティの定義 199内部管理および外部管理されるゲートウェイ 199VPN 作成の考慮事項 200トラディショナル・モード VPN の設定 200

リモート・アクセス VPN

第 14 章 リモート・アクセス VPN について リモート・アクセス VPN の必要性 209リモート・アクセス用のチェック・ポイント・ソリューション 210リモート・アクセス用 VPN の考慮事項 217リモート・アクセス用 VPN の設定 219

第 15 章 オフィス・モード リモート・クライアントを LAN に含める必要性 233オフィス・モード・ソリューション 234ユーザ単位の IP アドレスの有効化 241オフィス・モードでの考慮事項 244オフィス・モードの設定 245

目次 9

第 16 章 SecuRemote/SecureClient SecureClient の必要性 257チェック・ポイント・ソリューション 257VPN コミュニティの SCV 詳細度 258検証されていない SCV 接続の遮断 258選択的ルーティング 259デスクトップ・セキュリティ・ポリシー 262ログの有効化 263NAT トラバーサル・トンネリング機能 263モードの切り替え 264HTML ベースのヘルプ 264SecureClient の設定 264モード切り替えの有効化 / 無効化 270パッケージへの HTML ヘルプの追加 270

第 17 章 SecureClient のパッケージング リモート・クライアントのインストールを簡単にする必要性 271チェック・ポイント・ソリューション 271MSI パッケージング・ソリューション 273パッケージング・ツールの設定 273MSI パッケージングの設定 277Zonelabs Integrity Client 279

第 18 章 デスクトップ・セキュリティ デスクトップ・セキュリティの必要性 281デスクトップ・セキュリティ・ソリューション 282デスクトップ・セキュリティの考慮事項 286デスクトップ・セキュリティの設定 287

第 19 章 L2TP（Layer Two Transfer Protocol）クライアント L2TP クライアントをサポートする必要性 289ソリューション - L2TP クライアントの使用 290Microsoft IPSec/L2TP クライアントを選択するときの考慮事項 295Microsoft IPSec/L2TP クライアント用のリモート・アクセスの設定 296

第 20 章 SCV（Secure Configuration Verification） リモート・クライアント・セキュリティ・ステータスの検証の必要性 303SCV（Secure Configuration Verification）ソリューション 304SCV の考慮事項 309SCV の設定 310

10

第 21 章 VPN ルーティング・リモート・アクセス VPN ルーティングの必要性 337接続性とセキュリティを強化するチェック・ポイント・ソリューション 338リモート・アクセス VPN での VPN ルーティングの設定 342

第 22 章 リモート・アクセス・クライアントのリンク選択 概要 345リモート・アクセスのシナリオでのリンク選択 347リンク選択の設定 349

第 23 章 リモート・アクセスでの Directional VPN の使用 リモート・アクセス・コミュニティでの Directional VPN の設定 354

第 24 章 リモート・アクセスの高度な設定 非プライベート・クライアント IP アドレス 355暗号化ドメイン内のクライアントが暗号化されないようにする方法 356認証タイムアウトとパスワードのキャッシュ 358SecuRemote/SecureClient と SDL（Secure Domain Logon） 359逆向き接続（サーバからクライアント） 363トポロジの自動更新（コネクト・モードのみ） 363チェック・ポイント以外のファイアウォールの操作方法 364旧バージョンの SecuRemote/SecureClient 364SecuRemote DNS サーバによる内部名の解決 365

第 25 章 リモート・アクセス VPN の複数エントリ・ポイント 複数エントリ・ポイントを持つゲートウェイの必要性 367複数エントリ・ポイントのためのチェック・ポイント・ソリューション 367MEP の無効化 370MEP の設定 371優先バックアップ・ゲートウェイの設定 374MEP の無効化 374

第 26 章 Userc.C と Product.ini 設定ファイル Userc.C と Product.ini の概要 375Userc.C ファイルのパラメータ 377Product.ini のパラメータ 389

第 27 章 SSL Network Extender SSL Network Extender の概要 391SSL Network Extender の動作 392共通概念 392

目次 11

SSL Network Extender 特有の考慮点 397SSL Network Extender の設定 399ユーザによる SSL Network Extender の操作 413トラブルシューティング 428

第 28 章 接続性の問題の解決 接続性を解決する機能の必要性 431接続性の問題に対するチェック・ポイント・ソリューション 431NAT 関連の問題の解決 432インターネット・アクセスの制限の解決 439リモート・アクセスの接続性の設定 443

第 29 章 クライアントレス VPN クライアントレス VPN の必要性 451クライアントレス VPN のためのチェック・ポイント・ソリューション 452クライアントレス VPN の特別な考慮事項 454クライアントレス VPN の設定 455

付録 付録 A VPN コマンドライン・インタフェース

VPN コマンド 461SecureClient のコマンド 463デスクトップ・ポリシーのコマンド 464

付録 B 旧来のポリシーからコミュニティ・ベースのポリシーへの変換 シンプル VPN モードへの変換の概要 466トラディショナル VPN モードとシンプル VPN モードの相違点 466トラディショナル・モードでの暗号化ルールの動作 467シンプル・モードへの変換の原理 469コミュニティ内へのゲートウェイの配置 469暗号化ルールの変換 470

付録 C VPN シェル VPN シェルを使用した仮想インタフェースの設定 475

索引

12

VPN 技術の概要

第 章1

概要

この章の構成

接続性の課題

コンピュータ・ネットワークとネットワーク・ユーザの爆発的な成長に伴い、IT管理者は、既存のネットワーク、リモート・サイト、およびリモート・ユーザを単一のセキュリティ構造に集約するという課題に直面しています。

支社は中央組織だけでなく、他の支社との接続性も確保する必要があります。リモート・ユーザは、変化を続ける今日のネットワーク環境に対応できるだけの優れた接続機能を必要としています。新しいパートナーシップ関係は、外部ネットワークとの企業間接続を意味します。

通常、統合は、既存のインフラストラクチャを利用して行う必要があります。多くの場合、これは専用のリース回線ではなく、インターネット経由の接続を利用するということです。リモート・サイトとユーザの一体化を行うと同時に、高レベルのセキュリティを維持する必要があります。接続環境が構築された後は、高レベルのプライバシー、認証、および完全性を提供する安全な接続を維持する必要があるのと同時に、コストを抑える必要があります。

さらに、内部ネットワークへの進入を許可するトラフィックを正当なものだけに制限する必要があります。有害な可能性のあるトラフィックは、内容を調査する必要があります。内部ネットワークでは、適切なユーザのみが機密データにアクセスできるように、複数の異なるレベルのアクセス権を設定する必要があります。

接続性の課題 15 ページ

チェック・ポイントの基本的な VPN ソリューション 16 ページ

15

チェック・ポイントの基本的な VPN ソリューション

チェック・ポイントの基本的な VPN ソリューション

このセクションの構成

バーチャル・プライベート・ネットワーク（VPN）技術は、既存のインフラストラクチャ（インターネット）を利用して、セキュリティの強化された安全な接続環境を構築する技術です。チェック・ポイントのVPN実装であるVPN-1 Proモジュールを使用すると、標準的なインターネット・セキュア・プロトコルに基づいて、特別なタイプのネットワーク・ノード間に安全なリンクを確立することができます。サイト間VPNは、ゲートウェイ間に安全なリンクを確立します。リモート・アクセスVPNは、ゲートウェイとリモート・アクセス・クライアント間に安全なリンクを確立します。

VPN とは

チェック・ポイントのVPN-1 Proは、さまざまなオープン・プラットフォームおよびセキュリティ・アプライアンスを使用する企業ネットワーク、リモートおよびモバイル・ユーザ、支社、ビジネス・パートナーに、安全な接続環境を提供する統合ソフトウェア・ソリューションです。図 1-1は、ハンドヘルドPDAやワイヤレス・ラップトップから基幹ネットワークやサーバまで、VPN-1 Proに適するさまざまなアプリケーションとアプライアンスを示しています。

VPN とは 16 ページ

用語について 18 ページ

サイト間 VPN 19 ページ

VPN コミュニティ 19 ページ

リモート・アクセス VPN 20 ページ

16

VPN とは

図 1-1 VPN-1 Pro ソリューション

VPN-1 Proは、アクセス制限、認証、および暗号化を統合し、公共のインターネット経由のネットワーク接続のセキュリティを保証します。

通常の構成では、（インターネットから）企業ネットワークに接続するVPN-1 Proゲートウェイを 1つ配置し、モバイル・ユーザのラップトップではリモート・アクセス・ソフトウェアを使用します。その他のリモート・サイトは、それぞれ別のVPN-1 Proゲートウェイによって保護され、すべてのコンポーネント間の通信は、厳格なセキュリティ・ポリシーによって規制されます。

VPN-1 Pro コンポーネント

VPN-1 Proは以下のコンポーネントから構成されます。

■ VPNエンドポイント。ゲートウェイ、ゲートウェイのクラスタ、VPNリンクをネゴシエートするモバイル・ユーザ用リモート・クライアント・ソフトウェアなどです。

■ VPNトラスト・エンティティ。チェック・ポイント内部認証局などです。内部認証局は、ゲートウェイ、認証管理者、およびサード・パーティ・サーバの間にSIC接続の信頼関係を確立するためのVPN-1 Proスイートに含まれています。内部認証局は、VPNリンクをネゴシエートする内部ゲートウェイおよびリモート・アクセス・クライアントに証明書を提供します。

■ VPN管理ツール。SmartCenter ServerとSmartDashboardです。SmartDashboardは、SmartCenterサーバへアクセスするのに使用するSmartConsoleです。VPN ManagerはSmartDashboardの一部です。SmartDashboardを使用すると、イントラネットとリモート・アクセスVPNの定義と導入が行えます。

第 1 章 概要 17

チェック・ポイントの基本的な VPN ソリューション

用語について

VPN実装に関してよく使われる用語が多数あります。代表的なものについて説明します。

■ VPN。インターネットなどの公共ネットワーク内に設定されたプライベート・ネットワーク。

■ VPNトンネル。ゲートウェイ間の専用チャネルまたは暗号化リンク。

■ VPNトポロジ。VPNの基本要素は、リンクまたは暗号化されたトンネルです。リンクはゲートウェイ間に作成されます。リンクの集合体がトポロジです。トポロジはVPNのレイアウトを示します。VPNで一般的な 2つの基本トポロジは、メッシュとスターです。

■ VPNゲートウェイ。暗号化接続のエンドポイント。IPSecプロトコル・フレームワークをサポートする任意のピアを割り当てることができます。ゲートウェイは、単一のスタンドアロン・モジュールの場合も、「高可用性」と「負荷共有」を目的としてクラスタ構成にする場合もあります。

■ VPNドメイン。IPデータグラムの暗号化を実行する対象のホストまたはネットワークを指定するグループ。VPNゲートウェイは、VPNドメインへの入口となります。

■ サイト間VPN。ゲートウェイ間のVPNトンネルを指します。

■ リモート・アクセスVPN。SecuRemote/SecureClientまたはサードパーティ製 IPSecクライアントなどのクライアント・ソフトウェアを使用してネットワークにアクセスするリモート・ユーザを指します。VPN-1 Proゲートウェイは、リモート・クライアントにリモート・アクセス・サービスを提供します。

■ 暗号化アルゴリズム。情報を意味の把握できない形式に変換する、数学的に表現された処理のセット。数学的変換には特別な鍵を使用します。VPNでは、3DESやAESなどさまざまな暗号化アルゴリズムを使用して、通信中のピアのみがメッセージを理解できるようにします。

■ 完全性。ハッシュ関数を使用した完全性チェックにより、送受信中にメッセージが傍受または改変されていないことを確認します。

■ 信頼関係。ゲートウェイ間の信頼関係の確立には、PKI（Public Key Infrastructure）、証明書、および認証局が使用されます。PKIがない場合は、ゲートウェイはプリシェアード・シークレットを使用します。

■ IKEと IPSec。暗号化鍵の管理と、暗号化パケットの交換に使用されるセキュアVPNプロトコル。IPSecは、プライベートまたは公共のネットワークにおいて、データの認証および暗号化のサービスを提供する複数の規格をサポートする暗号化技術フレームワークです。IKE（Internet Key Exchange）は、鍵管理プロトコル規格です。IKEは IPSecの拡張で、機能や柔軟性が追加され、設定が容易です。

18

サイト間 VPN

サイト間 VPNVPNの中心は、IKE/IPSecプロトコルを使用して作成された暗号化トンネル（またはVPNリンク）です。VPNを構成する 2種類のピアは、VPN-1 Proゲートウェイかリモート・アクセス・クライアントです。まず、リンクをネゴシエートするピアが、ピア間の信頼関係を作成します。この信頼関係は、認証局、PKIまたはプリシェアード・シークレットを用いて確立されます。方式が交換され、鍵が作成されます。暗号化されたトンネルが確立され、その後複数の接続に備えて維持されます。必要に応じて鍵を更新するために鍵素材が交換されます。1台のゲートウェイで、VPNピアとの複数のトンネルを同時に維持します。各トンネルは暗号化され、VPNピア間で認証が行われます。これにより完全性とプライバシーが確保されます。データは、これらの仮想物理リンクを経由して一括して送信されます。

VPN コミュニティ

基本的なコミュニティの種類は、メッシュとスターの 2種類があります。トポロジとは、ゲートウェイ、そのVPNドメイン、各ゲートウェイの背後にあるホスト、および外側のリモート・クライアントから構成されるシステムにおいて、有効なVPNリンクの集合体です。

メッシュ・コミュニティでは、図 1-2のように、各ゲートウェイがその他すべてのゲートウェイとリンクを確立します。

図 1-2 メッシュ・コミュニティにおける VPN-1 Pro

第 1 章 概要 19

チェック・ポイントの基本的な VPN ソリューション

スター・コミュニティでは、サテライト（または「スポーク」）として定義されたゲートウェイのみが、センター・ゲートウェイ（または「ハブ」）と通信することができ、その他のゲートウェイが互いに通信することはできません。

図 1-3 スター・コミュニティにおける VPN-1 Pro

図 1-3に示すように、センター・ゲートウェイをメッシュ化することにより、接続性を強化することが可能です。

リモート・アクセス VPNユーザが遠隔地から組織にアクセスするときはいつでも、通常の安全接続要件だけでなく、リモート・クライアントの特殊な要件にも適合している必要があります。

SecuRemote/SecureClientは、VPNの機能をリモート・ユーザ向けに拡張し、VPNトンネルを経由して、ネットワークやサーバとの間で機密情報を安全に送受信できます。ダイヤルアップ（ブロードバンド接続を含む）接続、LAN（およびワイヤレスLAN）接続の両方に対応しています。ユーザは、VPN-1 Proゲートウェイの内部データベースまたは外部LDAPサーバによって管理されます。

20

リモート・アクセス VPN

図 1-4 リモート・クライアントからゲートウェイ背後のホストへの接続

図 1-4では、リモート・ユーザがゲートウェイへの接続を開始しています。認証は IKEネゴシエーションの間に行われます。ユーザの存在が確認されると、ゲートウェイは、たとえばユーザの証明書を検証するなどして、ユーザを認証します。IKEが成功すると、トンネルが作成され、リモート・クライアントはホスト 1に接続できるようになります。

第 1 章 概要 21

チェック・ポイントの基本的な VPN ソリューション

22

第 章2

IPSec と IKE

この章の構成

概要

対称暗号化システムでは、通信者双方が同じ鍵を使用して暗号化と復号化を行います。この鍵を作成する素材は安全な方法で交換する必要があります。通信者双方の他にその鍵を知る者が誰もいない場合のみ、情報を安全に交換できます。

IKE（Internet Key Exchange）の目的は、通信者双方が独立して同じ対称鍵を作成することです。作成された鍵は、VPN-1 Proピア間で行われるバルク・データ転送に使用される正規 IPパケットの暗号化と復号化を行います。IKEは双方を認証し、暗号化方式と完全性に合意すると、VPNトンネルを構築します。IKEネゴシエーションの結果がセキュリティ・

アソシエーション（SA）です。

鍵と暗号化方式に対するこの合意もまた、安全に実行される必要があります。このため、IKEは 2つのフェーズから構成されています。1番目のフェーズは 2番目のフェーズの基盤となっています。

Diffie-Hellmanアルゴリズムは、IKEプロトコルのこの 1番目のフェーズの部分であり、対称鍵を作成するための素材の交換に使用されます。Diffie-Hellmanアルゴリズムは、自分の秘密鍵と相手の公開鍵から「共有秘密」という暗号化鍵を作成するアルゴリズムです。IPSecの対称鍵は、ピア間で共有されるこのDHキーから作成されるため、対称鍵が実際に交換されることはありません。

概要 23 ページ

IKE DoS 攻撃に対する防御 32 ページ

高度な IKE プロパティの設定 37 ページ

23

概要

IKE フェーズ I

IKEフェーズ Iでは、次の処理が行われます。

■ 通信ピアは、証明書またはプリシェアード・シークレットによって、認証します。ピアの一方がリモート・アクセス・クライアントであれば、より多くの認証方式を使用できます。

■ Diffie-Hellman鍵が作成されます。Diffie-Hellmanプロトコルの特性は、双方のみが知りえる共有秘密をそれぞれが独立して作成できることです。

■ 鍵素材（乱数およびその他の数学的データ）と、IKEフェーズ IIの方式に対する合意が、ピア間で交換されます。

パフォーマンスという点では、Diffie Hellman鍵の生成は時間がかかる重い処理です。このフェーズの結果が、IKE SA（IKEフェーズ IIの鍵と方式に対する合意）です。図 2-1は、IKEフェーズ Iで実行されるプロセスを示しています（実際のイベント発生順序どおりではありません）。

24

図 2-1 IKE フェーズ I

IKE フェーズ II（クイックモードまたは IPSec フェーズ）

IKEフェーズ IIでは、IKEフェーズ Iで合意された鍵と方式に従って暗号化されます。IKEフェーズ IIで交換される鍵素材は、IPSec鍵の作成に使用されます。フェーズ IIの結果はIPSecセキュリティ・アソシエーション（SA）です。IPSec SAは IPSecの鍵と方式に対する合意です。これにより、IKEフェーズ IIで合意された鍵と方式に従って、IPSecが作成されます。

第 2 章 IPSec と IKE 25

概要

図 2-2 IKE フェーズ II

IPSec鍵が作成されると、バルク・データ転送が行われます。

26

暗号化と完全性チェックの方式

暗号化と完全性チェックの方式

ネゴシエーション時に以下の 2つのパラメータが決定されます。

■ 暗号化アルゴリズム

■ ハッシュ・アルゴリズム

表 2-1に、VPN-1 Proでサポートされている暗号化と完全性チェックの方式を示します。

NULLは完全性チェックのみを実行することを意味します。この場合、パケットは暗号化さ

れません。

Diffie Hellman グループ

Diffie-Hellman鍵計算（指数関数鍵の合意）は、数学的に定義されたDiffie Hellman（DH）グループに基づいています。表 2-2は、IKEの 2つのフェーズ中にVPN-1 ProでサポートされているDHグループの一覧です。

ビット数の大きいグループの鍵の方が解読が困難になりますが、計算により多くのCPU負荷を必要とするためパフォーマンスは低下します。

表 2-1 IKE の暗号化 / 完全性チェックの方式

パラメータ IKE フェーズ I（IKE SA）

IKE フェーズ II（IPSec SA）

暗号化 AES - 256（デフォルト）3DESDESCAST

AES-128（デフォルト）AES - 256DESCASTDES - 40CPCAST - 40NULL

完全性チェック MD5（デフォルト）SHA1

MD5（デフォルト）SHA1

表 2-2 DH グループ

パラメータ IKE フェーズ I（IKE SA） IKE フェーズ II（IPSec SA）

Diffie Hellman グループ グループ 2（1024 ビット）（デフォルト）グループ 1（768 ビット）グループ 5（1536 ビット）グループ 14（2048 ビット）

グループ 2（1024 ビット）（デフォルト）グループ 1（768 ビット）グループ 5（1536 ビット）グループ 14（2048 ビット）

第 2 章 IPSec と IKE 27

概要

フェーズ I モード

VPN-1 Proでは、ゲートウェイ間で IKEを実行するための 2つのモードが用意されています。

■ メイン・モード

■ アグレッシブ・モード

アグレッシブ・モードを選択しない場合、VPN-1 Proはメイン・モードになり、6つのパケットを使用して IKEネゴシエーションが実行されます。アグレッシブ・モードでは 3つのパケットを使用して IKEネゴシエーションが実行されます。

以下の理由から、メイン・モードの使用をお勧めします。

■ メイン・モードでは、共有DH鍵を双方のピアが持った時点から部分的に暗号化が行われます。

■ メイン・モードでは、サービス妨害否（DoS）攻撃に対する耐性が高くなります。メイン・モードでは、認証の後にDH計算が実行されます。アグレッシブ・モードでは、認証と同時にDH計算が実行されます。認証が終了していないピアによって、もう一方のピアでプロセッサ負荷の高いDiffie-Hellman計算が強制されることがあります。

リモート・アクセスの場合、IKEには以下のモードも使用できます。

■ ハイブリッド・モード。ゲートウェイが証明書を使用し、クライアントがSecurIDなどの他の方法を使用して認証することが可能な場合、IKEフェーズ Iの代わりにハイブリッド・モードを使用することができます。ハイブリッド・モードの詳細については、「リモート・アクセスVPNについて」を参照してください。

■ オフィス・モード。オフィス・モードは IKEプロトコルを拡張したものです。オフィス・モードは、リモート・アクセス・クライアントとVPN-1 Proドメイン間のルーティングの問題を解決するために使用します。IKEネゴシエーション時に、フェーズ Iとフェーズ IIの間に configモードという特別なモードが挿入されます。configモードでは、リモート・アクセス・クライアントはゲートウェイに IPアドレスを要求します。ゲートウェイから IPアドレスを割り当てられた後、クライアントはオペレーティング・システムに仮想アダプタを作成します。仮想アダプタは割り当てられた IPアドレスを使用します。詳細については、「オフィス・モード」を参照してください。

注： アグレッシブ・モードは、NG以前のリモート・アクセス・クライアントとの下位互換性があります。

VPN-1 Proゲートウェイが、メイン・モードに対応していないサード・パーティ製のVPNソリューション

とネゴシエートする必要がある場合も、アグレッシブ・モードを使用してください。

28

IKE と IPSec ライフタイムに基づく再ネゴシエーション

IKE と IPSec ライフタイムに基づく再ネゴシエーション

IKEフェーズ IはDiffie-Hellman鍵を作成して毎回ピアを認証する必要があるため、IKEフェーズ IIよりプロセッサ負荷が大きくなります。このため、IKEフェーズ IはフェーズIIより実行頻度が低くなります。IKE SAの有効期間は限られているため、有効期間を過ぎたら IKE SAの再ネゴシエーションが必要になります。IPSec SAは有効期間がさらに短いため、IKEフェーズ IIの実行回数が多くなります。

各再ネゴシエーション間の期間をライフタイムといいます。一般的に、ライフタイムが短いほど、IPSecトンネルの安全性が高くなります（ただし IKEネゴシエーションのプロセッサ負荷は高くなります）。ライフタイムが長いと、以降のVPN接続がより速やかに設定されます。デフォルトでは、IKEフェーズ Iは 1日に 1回実行され、IKEフェーズ IIは1時間ごとに実行されます。各フェーズのタイムアウト値は設定可能です。

DBeditを使用して、objects_5_0.cファイルを編集し、キロバイト単位で IPSecライフタイムを設定できます。関連するプロパティは、以下のコミュニティ・セットの下にあります。

■ ike_p2_use_rekey_kbytes： false（デフォルト）から trueに変更します。

■ ike_p2_rekey_kbytes： 必要な再実行値（デフォルトは 50000）を含むように変更します。

Perfect Forward Secrecy

ピアによって IKEフェーズ IIで作成され、IPSecで使用される鍵は、ピア間で交換される2進数の乱数列と、IKEフェーズ Iで計算されたDH鍵に基づいています。

DH鍵は 1度だけ計算され、以降は IKEフェーズ IIで何度も使用されます。IKEフェーズIIで使用される鍵は IKEフェーズ Iで計算されたDH鍵に基づいているので、双方の間には数学的な関係が存在します。このため、使用するDH鍵が 1つしかない場合、以降の鍵の力が弱くなることがあります。1つの鍵が破られた場合、以降の鍵はより簡単に破られる可能性があります。

暗号学では、Perfect Forward Secrecy（PFS）とは、現在のセッション鍵や長期の秘密鍵が侵害されても、それ以前または以降の鍵が破られない状況のことを指します。VPN-1 Proには、この要求を満たすためのPFSモードが用意されています。PFSが有効になっていると、IKEフェーズ IIで新しいDH鍵が生成され、鍵交換ごとに更新されます。

新しいDH鍵は IKEフェーズ Iごとに生成されるため、これらの鍵と以降の IKEネゴシエーションで作成される鍵との間に依存関係はありません。PFSは、非常に高い強度のセキュリティが必要な場合のみ有効にしてください。

PFSモードで使用されるDHグループは、グループ 1、2、5のいずれかに設定できます。デフォルトはグループ 2（1042ビット）です。

注： PFSモードはゲートウェイ間のみでサポートされ、ゲートウェイとリモート・アクセス・クライア

ント間では使用できません。

第 2 章 IPSec と IKE 29

概要

IP 圧縮

IP圧縮は、TCP/IPパケットのデータ部のサイズを小さくする処理です。データ部のサイズを小さくすると、パフォーマンスが大幅に向上します。IPSecは、Flate/Deflate IP圧縮アルゴリズムをサポートしています。Deflateは、データの圧縮方法を実際のデータに応じて変更する高度なアルゴリズムです。IP圧縮を使用するかどうかは IKEフェーズ IIで決定されます。IP圧縮はデフォルトで無効になっています。

IP圧縮は、ダイヤルアップなど低速のリンクを使用するSecuRemote/SecureClientユーザにとっては重要です。ダイヤルアップ・モデムは、リンクを高速化する手段として圧縮を行います。VPN-1 Proの暗号化によって、TCP/IPパケットは順序がばらばらになります。この種のデータを圧縮することはできません。その結果帯域幅が失われます。IP圧縮を有効にすると、パケットは暗号化の前に圧縮されます。これにより、失われた帯域幅を補うことができます。

サブネットとセキュリティ・アソシエーション

デフォルトでは、VPNトンネルは通信に関係するホスト・マシンのためだけでなく、ホストが存在するサブネット全体のために作成されます。

図 2-3 サブネットごとの VPN

図 2-3では、ゲートウェイは 2つのサブネット（10.10.10.xと 10.10.11.x、どちらもネットマスクは 255.255.255.0）で構成されるネットワークを保護しています。2番目のゲートウェイ（リモートVPN-1 Pro ピア）は、ネットマスク 255.255.255.0 を持つサブネット10.10.12.xと 10.10.13.xを保護しています。

VPNトンネルはデフォルトでサブネット全体に対して作成されるため、ゲートウェイとピア・ゲートウェイ間には 4つのSAが存在します。ホストAがホストBと通信すると、ホストAのサブネットとホストBのサブネットの間にSAが作成されます。

30

サブネットとセキュリティ・アソシエーション

ピアのペアごとの一意の SA

各ゲートウェイで［Support Key exchange for subnets］オプションを無効にすると、ピアのペアごとに一意のセキュリティ・アソシエーションを作成することができます。

図 2-4 IP アドレスごとの SA

図 2-4では、ゲートウェイの［Support key exchange for subnets］オプションが有効になっており、リモートVPN-1 Proピアでこのオプションがサポートされていない場合、ホストAがホストCと通信すると、ホストAのサブネットとホストCの IPアドレス間でセキュリティ・アソシエーション（SA 1）がネゴシエートされます。10.10.11.xサブネット上のいずれかのホストとホストCが接続する場合も同じSAが使用されます。

ホストAがホストBと通信すると、ホストAのサブネットとホストB間で別のセキュリティ・アソシエーション（SA 2）がネゴシエートされます。先ほどと同様、同じSAが10.10.11.xサブネット上のいずれかのホストとホストB間でも使用されます。

第 2 章 IPSec と IKE 31

IKE DoS 攻撃に対する防御

図 2-5 ホストごとの SA

つまり、接続するゲートウェイで［Support Key exchange for subnets］オプションが有効になっていない場合、個々の IPアドレス間でセキュリティ・アソシエーションがネゴシエーションされ、ホストごとに一意のSAが作成されます。

IKE DoS 攻撃に対する防御

このセクションの構成

DoS 攻撃について

サービス妨害（DoS）攻撃は、パフォーマンスを低下させ、正規ユーザがサービスを利用することを妨害したり、サービス自体を無効にしてしまうことを目的とする攻撃です。機密データが漏洩したり、ユーザに許可されていないアクセス権を与えたりしないという意味では、直接セキュリティの脅威とはなりません。しかし、この攻撃はメモリやCPUといったコンピュータのリソースを消費します。

DoS 攻撃について 32 ページ

IKE DoS 攻撃 33 ページ

IKE DoS 攻撃に対する防御 33 ページ

SmartDashboard の IKE DoS 攻撃に対する防御設定 34 ページ

IKE DoS 攻撃に対する高度な防御設定 35 ページ

32

IKE DoS 攻撃

DoS攻撃には、次の2種類があります。1つは、バグを利用してサービスをクラッシュさせる目的で、不正な形式のごみパケットを送りつけるものです。もう1つのDoS攻撃は、サービスまたはプロトコルの脆弱性を利用する目的で、正しい形式のパケットを送りつけるものです。IKE DoS攻撃に対する防御は、この2番目の種類の攻撃に対処するものです。

IKE DoS 攻撃

IKEプロトコルでは、受信ゲートウェイが受信する 初の IKEフェーズ I要求パケットにメモリを割り当てる必要があります。ゲートウェイは応答し、次のパケットを受信し、初のパケットの情報を使用してそれを処理します。

攻撃者は、それぞれ異なる送信元 IPアドレスを偽造して、IKEの 初のパケットを大量に送りつけることができます。受信ゲートウェイはそれぞれに対して応答し、メモリを割り当てなければなりません。これには大量のCPUリソースが必要なため、正規ユーザの接続が阻害されます。

IKE パケットを送信する攻撃者は、IKE ネゴシエーションの開始を許可されたマシン（VPN-1 Proゲートウェイなど）になりすますことができます。これを認識している発信元といいます。攻撃者は、SecuRemote/SecureClientやダイナミックIPアドレスを持つVPN-1Proゲートウェイなど、受信ゲートウェイが知らない IPアドレスを持っているふりをすることもできます。これを認識していない発信元といいます。

IKE DoS 攻撃に対する防御

同時に処理された IKEネゴシエーションの数がしきい値を超えた場合、負荷が大きい、あるいはサービス妨害攻撃を受けていると判断されます。このような場合、VPN-1 Proはサービス妨害攻撃の発信元の可能性のあるピアを除外することができます。防御方法には、以下の 2種類があります。

IKE DoS 攻撃に対するステートレス防御

VPN-1 Proは、相手が本当に正規な相手であると証明されるまでゲートウェイのリソース割り当てを遅らせ、IKE DoS攻撃を防止します。以下のプロセスは、ステートレス防御と呼ばれます。

1 ゲートウェイに大きな負荷がかかっている、またはサービス妨害攻撃であると判断し、IKE要求を受信した場合、疑わしい発信元にそのゲートウェイのみが生成できる数字を含むパケットを返します。その後、ゲートウェイは IKE要求のことを「忘れます」。ゲートウェイは IKE要求をメモリに格納する必要はありません（このため「ステートレス」と呼ばれます）。

2 パケットを受信したマシンは、この数字を含む IKE要求を送信して IKE要求を再開しなければなりません。

3 ゲートウェイがこの数字を含む IKE要求を受信し、数字がそのゲートウェイにしか生成できない数字として認識された場合のみ、負荷があっても、IKEネゴシエーションを続行します。

第 2 章 IPSec と IKE 33

IKE DoS 攻撃に対する防御

VPN-1 Proゲートウェイが複数の IPアドレスから IKE要求を受信した場合、各 IPアドレスに対して一意の数字を送信します。各アドレスのマシンはその数字を含むパケットを使用して IKEネゴシエーションを再開しなければなりません。これらの IPアドレス内にピアが実際には存在しない場合、この一意の数字はピアに届きません。これにより、複数の偽造 IPアドレスから IKE要求を送信している攻撃者の裏をかくことができます。

IKE DoS攻撃に対する防御は、サード・パーティ製のゲートウェイには対応していません。過負荷の場合、サード・パーティ製ゲートウェイおよびクライアント（Microsoft IPSec/L2TPクライアントなど）は接続できなくなります。

IKE DoS 攻撃に対するパズル防御

IKEネゴシエーションの開始を許可されたマシン（VPN-1 Proゲートウェイなど）など、受信ゲートウェイが認識している発信元になりすまして IKEパケットが送信される場合、ステートレス防御が適しています。

認識していない発信元とは、SecuRemote/SecureClientやダイナミック IPアドレスを持つVPN-1 Proゲートウェイなど、受信ゲートウェイが知らない IPアドレスのことです。攻撃者は複数の認識していない IP アドレスを駆使し、これらのすべてのアドレスからのステートレス・パケットにも応答できる場合があります。したがって、認識していない発信元からの攻撃の場合、別のアプローチが必要です。

ゲートウェイは、IKE要求の発信元に計算負荷の高いパズルを解くよう要求できます。ほとんどのコンピュータでは 1秒で解けるパズルの数はわずかなので、攻撃者が 1秒で送信できる IKEパケットはかなり少なくなります。これによりDoS攻撃を無力化することができます。

IKE DoS攻撃に対する防御は、サード・パーティ製のゲートウェイには対応していません。過負荷の場合、接続できなくなります。

SmartDashboard の IKE DoS 攻撃に対する防御設定

IKE DoS攻撃に対する防御を設定するには、［Global Properties］の［VPN］―［Advanced］ページでSmartDashboardの［IKE Denial of Service Protection］設定を変更します。

■ Support IKE DoS protection from identified source ― 認識している発信元に対するデフォルトの防御設定は［Stateless］です。この設定では、ゲートウェイに負荷がある場合、ピアは IKE通知に応答するときに、IPアドレスを偽装していないことを証明する特別な方法を使用する必要があります。ピアがこれを証明できない場合、VPN-1 Proは IKEネゴシエーションを開始しません。

発信元を認識できる場合、設定を［Puzzles］にすると、警戒が強すぎてパフォーマンスが低下する可能性があります。もう 1つのオプション［None］を選択すると、DoSに対する防御は実行されません。

34

IKE DoS 攻撃に対する高度な防御設定

■ Support IKE DoS protection from unidentified source ― 認識していない発信元に対するデフォルトの防御設定は［Puzzles］です。この設定では、ゲートウェイに負荷がある場合、ピアに数学的なパズルを解くよう要求します。ピアはパズルを解くためにCPUリソースを消費するため、複数の IKEネゴシエーションを同時に開始するのが難しくなります。

認識していない発信元に対しては、［Stateless］による防御では不十分です。これは、攻撃者が IKE要求を送信しているように見せかけている IPアドレスをすべて制御することができるからです。もう 1つのオプション［None］を選択すると、DoSに対する防御は実行されません。

IKE DoS 攻撃に対する高度な防御設定

SmartCenterサーバでDbeditコマンドを使用するか、GUIのDatabase Toolを使用して、IKEDoS攻撃に対する高度な防御設定を行うことができます。以下のグローバル・プロパティを使用して、防御を設定できます。

ike_dos_threshold

有効な値： 0～ 100。デフォルト値： 70。同時に実行できるネゴシエーションの割合を指定します。この値を超えるとゲートウェイはDoS防御措置を要求します。しきい値を「0」に設定すると、ゲートウェイは常にDoS防御措置を要求します。

ike_dos_puzzle_level_identified_initiator

有効な値： 0～ 32。デフォルト値： 19。既知のピア・ゲートウェイに送信するパズルのレベルを指定します。この属性は、ゲートウェイが解ける 高のパズル・レベルも決定します。

ike_dos_puzzle_level_unidentified_initiator

有効な値： 0～ 32。デフォルト値： 19。未知のピア（SecuRemote/SecureClients、DAIPゲートウェイなど）に送信するパズルのレベルを指定します。この属性は、DAIPゲートウェイおよびSecuRemote/SecureClientsが解ける 高のパズル・レベルも決定します。

ike_dos_max_puzzle_time_gw

有効な値： 0～ 30000。デフォルト値： 500。ゲートウェイがDoS防御パズルを解くために使用する 長時間（ミリ秒単位）を指定します。

ike_dos_max_puzzle_time_daip

有効な値： 0～ 30000。デフォルト値： 500。DAIPゲートウェイがDoS防御パズルを解くために使用する 長時間（ミリ秒単位）を指定します。

第 2 章 IPSec と IKE 35

IKE DoS 攻撃に対する防御

ike_dos_max_puzzle_time_sr

有効な値： 0～ 30000。デフォルト値： 5000。SecuRemoteがDoS防御パズルを解くために使用する 長時間（ミリ秒単位）を指定します。

ike_dos_supported_protection_sr

指定できる値： None、Stateless、Puzzles。デフォルト値： Puzzles。SecuRemote/SecureClientにダウンロードされた場合、クライアントがサポートする防御レベルを制御します。

ゲートウェイはike_dos_protection_unidentified_initiatorプロパティ（SmartDashboardの［Global Property］の［Support IKE DoS Protection from unidentified Source］と等価）を使用して、リモート・クライアントに必要な防御手段を決定しますが、SecuRemote/SecureClientクライアントはike_dos_protectionを使用します。この同じクライアント・プロパティは、ゲートウェイ側では、ike_dos_supported_protection_srと呼ばれます。

クライアント・プロパティ

ゲートウェイのプロパティの一部は、SecuRemote/SecureClientにダウンロードされると名前が変わります。Userc.Cファイルでの名前は以下のとおりです。

表 2-3 プロパティ名

ゲートウェイでのプロパティ名 SecuRemote/SecureClient でのUserc.C プロパティ名

ike_dos_protection_unidentified_initiator（SmartDashboard の［Global Property］：［Support IKE

DoS Protection from unidentified Source］と同等）

ike_dos_protectionまたはike_support_dos_protection

ike_dos_supported_protection_sr ike_dos_protection

ike_dos_puzzle_level_unidentified_initiator

ike_dos_acceptable_puzzle_level

ike_dos_max_puzzle_time_sr ike_dos_max_puzzle_time

36

VPN コミュニティのネットワーク・オブジェクト

高度な IKE プロパティの設定

IKEは 2つの場所で設定します。

■ VPNコミュニティのネットワーク・オブジェクト（IKEプロパティ用）

■ ゲートウェイのネットワーク・オブジェクト（サブネットの鍵交換用）

VPN コミュニティのネットワーク・オブジェクト

1 ［VPN Properties］ページで以下を選択します。

■ IKEフェーズ Iと IIの暗号化方式

■ IKEフェーズ Iと IIの完全性チェック方式

2 ［Advanced Properties］ページで以下を選択します。

■ 使用するDiffie-Hellmanグループ

■ IKEセキュリティ・アソシエーションの再ネゴシエーション時期

■ アグレッシブ・モードを使用するかどうか（デフォルトはメイン・モード）

■ Perfect Forward Secrecyを使用するかどうか。使用する場合はそのDiffie-Hellmanグループ。

■ IPSecセキュリティ・アソシエーションの再ネゴシエーション時期

■ サイト間 IP圧縮をサポートするかどうか

ゲートウェイのネットワーク・オブジェクト

SAをホストごとに計算したい場合、［VPN Advanced］ページで、［Support Key exchange forsubnets］の選択を解除します。デフォルトでは、サブネットの鍵交換がサポートされます。

第 2 章 IPSec と IKE 37

高度な IKE プロパティの設定

38

第 章3

PKI（Public Key Infrastructure）

この章の構成

ほかの PKI ソリューションとの統合の必要性

X.509ベースのPKIソリューションが提供するインフラストラクチャは、エンティティ双方が認証局（CA）を信頼することによって、相互に信頼関係を確立することを可能にします。信頼できる認証局はエンティティに証明書を発行します。証明書には、エンティティの公開鍵が含まれます。認証局を信頼するピア・エンティティは、認証局の署名を検証できるので、証明書内の情報、そして も重要なエンティティと公開鍵との関連性を信頼することができます。

IKE標準では、強力な認証が要求されるVPN環境ではPKIの使用を推奨しています。

VPNトンネルの確立に関与するVPN-1 Proモジュールは、認証局が発行したRSA鍵ペアと信頼できる証明書を持っている必要があります。証明書には、モジュールの ID、公開鍵、CRL取得のための詳細が含まれ、認証局によって署名されています。

2つのエンティティがVPNトンネルを確立しようとする場合、双方が自分の秘密鍵によって署名された乱数情報と公開鍵を含む証明書を相手に提示します。証明書によって、ゲートウェイ間に信頼関係を確立することができます。各ゲートウェイは相手ゲートウェイの公開鍵を使用して署名された情報の発行元を確認し、認証局の公開鍵を使用して証明書の信憑性を検証します。つまり、相手の認証には検証された証明書が使用されるということです。

ほかの PKI ソリューションとの統合の必要性 39 ページ

さまざまな PKI ソリューションのサポート 40 ページ

PKI の注意事項 47 ページ

PKI 機能の設定 49 ページ

39

さまざまな PKI ソリューションのサポート

すべてのCheck Point SmartCenterサーバの構成には、管理対象のVPNモジュールに対してVPN証明書を発行する内部認証局（ICA）が含まれます。このVPN証明書は、モジュール間のVPNの定義を単純化します。内部認証局の詳細については、『SmartCenter』を参照してください。

状況によっては、ほかのPKIソリューションとの統合が必要な場合があります。例を示します。

■ 外部SmartCenterサーバによって管理されるVPN-1 ProモジュールとVPNを確立する場合。たとえば、相手ゲートウェイがチェック・ポイント製品を使用する別の組織に属しており、その証明書が独自のSmartCenterサーバの ICAによって署名されている場合などです。

■ チェック・ポイント以外のVPNエンティティとVPNを確立する場合。この場合、相手の証明書はサード・パーティ認証局によって署名されます。

■ 何らかの理由で、組織がVPN-1 Proモジュールの証明書生成にサード・パーティの認証局を使用すると決めている場合。

さまざまな PKI ソリューションのサポート

VPN-1 ProはVPN環境でPKIを統合する複数の方法に対応しています。

■ 1つのVPNトンネルに対する複数認証局のサポート ― 2つのVPN-1 Proモジュールが複数の内部認証局によって署名された証明書を提示します。

■ 内部認証局ではない認証局のサポート ― 内部認証局のほかに、VPN-1 Proは以下の認証局に対応しています。

■ 外部の内部認証局 ― 別のSmartCenterの内部認証局

■ ほかのOPSEC認定PKIソリューション

■ 認証局の階層 ― 認証局は階層構造になっていることもあり、ルート認証局の下に複数の認証局があります。下位認証局は、別の認証局によって証明された認証局です。下位認証局は、さらに下位にあるほかの認証局に証明書を発行できます。これにより、証明書のチェーンまたは階層を形成します。

PKI とリモート・アクセス・ユーザ

VPN-1 Proはゲートウェイの証明書だけでなくユーザの証明書にも対応しています。ユーザ証明書の詳細については、「リモート・アクセスVPNについて」を参照してください。

40

PKI の構成と VPN

PKI の構成と VPN以下に認証局構成の例を示します。

■ 単純な構成 ― 内部認証局

■ 外部SmartCenterサーバの認証局

■ インターネット経由で提供される認証局サービス

■ LAN上の認証局

も単純な構成 ― 内部認証局

同じSmartCenterサーバによって管理されるゲートウェイ間にVPNトンネルを確立する場合、各ゲートウェイはSmartCenterサーバの内部認証局から発行された証明書を持っています。

外部 SmartCenter サーバの認証局

VPN-1 Proゲートウェイが外部SmartCenterサーバによって管理されている場合（別の組織のVPN-1 ProモジュールとのVPNトンネルを確立する場合など）、各ピアはそれぞれのSmartCenterの内部認証局が署名した証明書を持っています。

図 3-1 異なる SmartCenter サーバによって管理される 2 つのゲートウェイ

図 3-1では、SmartCenterサーバAがゲートウェイAに証明書を発行し、SmartCenterサーバBはゲートウェイBに証明書を発行します。

第 3 章 PKI（Public Key Infrastructure） 41

さまざまな PKI ソリューションのサポート

インターネットを経由する認証局サービス

VPN-1 Proゲートウェイの証明書がインターネットからアクセス可能なサード・パーティ認証局によって発行される場合、登録や取り消しなどの認証局の機能は通常HTTP経由で行われます。CRLはCRLリポジトリとして機能しているHTTPサーバから取得します。図 3-2に、インターネットからアクセス可能な認証局とCRLリポジトリを示します。

図 3-2 インターネットを経由する認証局サービス

図 3-3では、ゲートウェイAとBは証明書をWeb経由でアクセス可能なPKIサービス・プロバイダから取得しています。外部認証局によって発行される証明書は、同じSmartCenterサーバによって管理されているゲートウェイが検証するときにも使用されます。

LAN 上にある認証局

相手VPNゲートウェイの証明書がLAN上のサード・パーティ認証局によって発行される場合、CRLは通常内部LDAPサーバから取得します。図 3-3にその例を示します。

42

外部認証局の信頼

図 3-3 ローカルに配置されたサード・パーティ認証局

外部認証局の信頼

VPNトンネルを確立する上で、信頼関係は欠かすことのできない前提条件です。その信頼関係は、相手の証明書に署名した認証局が信頼できる場合にのみ成立します。認証局を信頼するということは、認証局自身の証明書を取得して検証することです。認証局の証明書を検証した後で、認証局の証明書の詳細とその公開鍵を使用して、その認証局が発行したその他の証明書を取得して検証することができます。

内部認証局（ICA）は、SmartCenterが管理するすべてのモジュールで自動的に信頼されます。外部認証局の場合（別のCheck Point SmartCenterサーバの ICAも同様）、自動的に信頼されないので、モジュールはまず外部認証局の証明書を取得してそれを検証する必要があります。外部認証局は、自らの証明書をSmartCenterサーバにインポートする手段を提供する必要があります。

外部認証局の種類別の証明書の取得手順は以下のとおりです。

■ 外部SmartCenterサーバの ICAの場合、『SmartCenter』を参照してください。

■ OPSEC認定認証局の場合、［Servers and OSPEC Applications］タブの認証局オプションを使用して、認証局を定義し、その証明書を取得してください。

下位認証局

下位認証局は、別の認証局によって証明された認証局です。下位認証局は、さらに下位にあるほかの認証局に証明書を発行できます。これにより、証明書のチェーンまたは階層を形成します。階層の 上位にある認証局は、ルート局またはルート認証局と呼ばれます。ルート認証局の子認証局は、下位認証局と呼ばれます。

第 3 章 PKI（Public Key Infrastructure） 43

さまざまな PKI ソリューションのサポート

［Servers and OSPEC Applications］タブの認証局オプションを使用して、ある認証局が［Trusted］であるか［Subordinate］であるかを定義できます。下位認証局は、OPSECタイプの認証局で信頼されていません。

管理エンティティの登録

登録とは、認証局から証明書を取得すること、つまりエンティティの証明書を発行するよう認証局に要求することです。

登録の 初のプロセスは鍵ペアの生成です。次に公開鍵とモジュールの情報に基づいて証明書要求が作成されます。証明書要求の種類とその後の登録プロセスは、認証局のタイプによって異なります。

内部管理ゲートウェイの場合、内部認証局がSmartCenterサーバ・マシンにあるので、 も単純です。登録プロセスは自動的に完了します。

OPSEC認定認証局から証明書を取得する場合、SmartCenterサーバはモジュールの詳細と公開鍵を取得してPKCS#10要求を作成します。要求（OPSEC証明書のSubjectAltNameとExtended Key Usage拡張を含む）は、管理者が手動で認証局に送信します。認証局が証明書を発行したら、管理者が証明書をSmartCenterサーバにインポートしてプロセスが完了します。

ゲートウェイの証明書は自動登録を使用して取得することもできます。自動登録を使用した場合、コミュニティ内の任意のゲートウェイに対して、信頼できる認証局から証明書の要求を自動的に発行できます。自動登録は以下のプロトコルをサポートしています。■ SCEP■ CMPV1■ CMPV2

証明書の検証

エンティティが別のエンティティから証明書を受信するとき、以下のことを検証する必要があります。

1 証明書の署名。証明書が信頼できる認証局によって署名されていることを確認します。証明書が信頼できる認証局の直接署名ではなく、信頼できる認証局の下位にある認証局によって署名されている場合、認証局の証明書のパスを信頼できる認証局まで遡って確認します。

2 証明書チェーンの期限が切れていないこと。

注： SCEP登録では、HTTP要求のサイズが2 KB以上になった場合、HTTPプロトコル・インスペク

ション・メカニズムによって情報が欠落する場合があります（［Web Intelligence］>［HTTP Protocol Inspection］>［HTTP Format Sizes］が有効の場合）。このようなHTTP要求を通すには、デフォルト値を

変更する必要があります。それでも登録が失敗する場合は、手動で登録を行ってください。詳細につい

ては、『ファイアウォールとSmartDefense』を参照してください。

44

証明書の検証

3 証明書チェーンが取り消されていないこと。CRL を取得し、証明書のシリアル番号が証明書の取り消しリストにないことを確認します。

さらに、VPNは以下のことを確認して、証明書の使用状況が正しいことを確認します。

■ 証明書が必要なアクションの実行を許可されているかどうか。たとえば、データの署名に秘密鍵が必要な場合（認証用など）、それが許可されているかどうかを調べるため、証明書のKeyUsage拡張（ある場合）をチェックします。

■ 相手がネゴシエーションに正しい証明書を使用したかどうか。外部管理モジュールとのVPNトンネルを構築する場合、管理者は信頼できる認証局の中の特定の認証局によって署名された証明書のみを許可する場合があります。識別名（DN）などの特定の詳細を持つ証明書のみを許可することも可能です。

取り消しのチェック

証明書のステータスを判別する便利な方法が 2つあります。

1 CRL

2 OSCP（Online Certificate Status Protocol）

CRL

VPNは、HTTPサーバとLDAPサーバのどちらからでもCRLを取得できます。CRLリポジトリがHTTPサーバの場合、モジュールは証明書のCRL配布ポイント拡張で公開されたURLを使用し、CRLリポジトリに対してHTTP接続を確立してCRLを取得します。

CRLリポジトリがLDAPサーバの場合、VPNは定義されたLDAPアカウント・ユニットの 1つからCRLを探そうとします。この場合、LDAPアカウント・ユニットの定義が必要です。CRL配布ポイント拡張がある場合、CRLのDN（CRLが公開されているディレクトリにあるエントリまたはLDAP URI）を公開します。拡張がない場合、VPNはLDAPサーバの認証局自身のエントリからCRLを探そうとします。

OCSP

OCSP（Online Certificate Status Protocol）を使用すると、アプリケーションが証明書の状態を識別できます。OCSPは、CRLより迅速に取り消し情報を取得したい場合や、詳細なステータス情報を取得するときに使用します。OCSPクライアントがOCSP サーバにステータス要求を発行すると、サーバが応答するまで問題の証明書の許可が保留されます。

OCSPを使用するには、ルート認証局がCRLではなくこの方式を使用するように設定する必要があります。この設定は、下位認証局によって継承されます。

第 3 章 PKI（Public Key Infrastructure） 45

さまざまな PKI ソリューションのサポート

CRL 事前取得キャッシュ

IKEネゴシエーション・プロセス全体と比べて、CRLの取得には時間がかかるため、IKEネゴシエーションのたびに繰り返しCRLを取得しなくてもいいように、VPNはCRLをCRLキャッシュに保存しておきます。

キャッシュは以下のように事前に取得されます。

■ 2時間ごと

■ ポリシーのインストール時

■ キャッシュの期限が切れたとき

事前取得に失敗した場合、前のキャッシュは削除されずに残ります。

管理者はキャッシュ内のCRLの有効期限を短くしたり、キャッシュの使用を取り消すことができます。CRLキャッシュ機能を取り消した場合、その後の IKEネゴシエーションのたびにCRLを取得しなければならないので、VPNトンネルの確立が大幅に遅くなります。このようなパフォーマンスに与える影響を考えると、セキュリティ・レベルを厳格にするために継続的なCRLの取得が必要な場合以外は、CRLキャッシングを無効にしないことをお勧めします。

CRL の事前取得メカニズムの注意事項

CRLの事前取得メカニズムは、証明書の 新の破棄リストを取得しようとします。しかし、cpstop、cpstartコマンドが実行された後、キャッシュは更新されなくなります。ゲートウェイは、古いCRLが有効である限り、更新されたCRLが認証局に存在したとしても、引き続き古いCRLを使用します。キャッシュの事前取得メカニズムは、古いCRLの有効期限が切れ、認証局から新しいCRLが取得された後でのみ通常の機能に戻ります。

注： 内部認証局の場合、CRLキャッシュを使用する必要があります。

46

証明書の検証

cpstop、cpstartの直後にCRLを更新する必要がある場合は、以下のいずれかを実行します。

■ cprestartを実行した後で、crl_zapを実行し、キャッシュを消去します。

■ ［Global properties］>［SmartDashboard Customization］>［Configure］>［Check Point CA properties］を選択し、［flush_crl_cache_file_on_install］を選択します。

新しいポリシーがインストールされると、キャッシュは消去され、必要に応じて新しいCRLが取得されます。

CRL 猶予期間

CRLリポジトリとの接続が一時的に失われたり、マシン間でシステム時刻がずれている場合など、有効なCRLが無効と判断され、その結果証明書も無効と判断されることがあります。VPNはこの問題を解決するため、CRL猶予期間が用意されています。この期間内は、厳密には有効場間ではなくても、CRLは有効であると判断されます。

PKI の注意事項

このセクションの構成

内部認証局とサード・パーティ認証局の比較 48 ページ

分散鍵管理（DKM）と保存 48 ページ

第 3 章 PKI（Public Key Infrastructure） 47

PKI の注意事項

内部認証局とサード・パーティ認証局の比較

内部認証局を使用すると、サイト間VPNやリモート・アクセスVPNなどのチェック・ポイント・アプリケーションでPKIを簡単に利用できるようになります。しかし、管理者の判断で、安全な電子メールやディスクの暗号化などの用途に、組織内ですでに機能している認証局が継続して使用される場合があります。

分散鍵管理（DKM）と保存

DKM（Distributed Key Management）は、鍵生成フェーズにセキュリティの層を追加します。SmartCenter サーバが公開鍵と秘密鍵の両方を生成し、ポリシーのインストール時にモジュールにそれらをダウンロードするという通常のプロセスに対し、DKMでは、管理サーバがモジュールに独自の公開鍵と秘密鍵の生成を指示し、公開鍵のみを管理サーバに送信します。秘密鍵の作成と保存は、ハードウェア・ストレージ・デバイス内の、またはハードウェア・ストレージをエミュレートするソフトウェアを経由して、モジュール上で実行されます。その後SmartCenterサーバは証明書登録を実行します。ポリシーのインストール時に、証明書がモジュールにダウンロードされます。秘密鍵がモジュールの外部に送信されることはありません。

すべての認証局タイプで鍵をローカルに保存できます。

DKMはすべての登録方式でサポートされています。また、［Global Properties］>［SmartDashboard Customization］>［Configure］>［Certificates and PKI properties］を選択し、［use_dkm_cert_by_default］チェック・ボックスをオンにすると、デフォルトで使用することができます。

48

認証局の信頼 ― 手順

PKI 機能の設定

このセクションの構成

認証局の信頼 ― 手順

このセクションでは、認証局独自の証明書を取得する手順について説明します。これは、認証局によって発行された証明書を信頼する前に必要な手順です。

認証局を信頼するためには、認証局サーバ・オブジェクトを定義する必要があります。以下のセクションでは、異なる状況で必要なさまざまな設定手順について説明します。

内部認証局の信頼

VPNモジュールは自身を管理するSmartCenterサーバの内部認証局を自動的に信頼します。特別な設定は必要ありません。

外部管理認証局の信頼

外部管理認証局とは、別のSmartCenterサーバの内部認証局のことです。認証局の証明書があらかじめ提供され、ディスクに保存されている必要があります。信頼関係を確立するには、以下の手順に従います。

1 ［Manage］>［Servers and OPSEC Applications］を選択します。

［Servers and OPSEC Application］ウインドウが表示されます。

注： Edgeデバイスの証明書を生成する場合はDKMを使用できず、［use_dkm_cert_by_default］チェッ

ク・ボックスがオンでもローカルに生成されます。

認証局の信頼 ― 手順 49 ページ

認証局での登録 51 ページ

認証局での登録 51 ページ

証明書の取り消し（全認証局タイプ） 55 ページ

証明書の復旧と更新 55 ページ

確認処理への一致基準の追加 56 ページ

CRL キャッシュの使用 56 ページ

CRL 事前取得キャッシュの変更 57 ページ

CRL 猶予期間の設定 57 ページ

第 3 章 PKI（Public Key Infrastructure） 49

PKI 機能の設定

2 ［New］>［CA］を選択します。

［Trusted...］を選択します。

［Certificate Authority Properties］ウインドウが表示されます。

3 認証局オブジェクトの名前を［Name］フィールドに入力し、［Certificate Authority Type］ドロップダウン・ボックスから［External Check Point CA］を選択します。

4 ［External Check Point CA］タブに移動し、［Get...］ボタンをクリックします。

5 ピア認証局の証明書を保存したパスを参照し、証明書を選択します。

VPNは証明書を読み込んで詳細を表示します。証明書の詳細を確認します。認証局の証明書のSHA-1フィンガープリントおよびMD5フィンガープリントを表示して確認します。

6 ［OK］ボタンをクリックします。

OPSEC 認定認証局の信頼

認証局の証明書があらかじめ提供され、ディスクに保存されている必要があります。

認証局の証明書は、［Servers and OSPEC Applications］タブの認証局オプションを使用してダウンロードするか、あらかじめピア管理者から取得しておきます。

以下の手順に従って、認証局オブジェクトを定義します。

1 ［Manage］>［Servers and OPSEC Applications］を選択します。

［Servers and OPSEC Application］ウインドウが表示されます。

2 ［New］>［CA］を選択します。

［Trusted...］または［Subordinate...］を選択します。

［Certificate Authority Properties］ウインドウが表示されます。

3 認証局オブジェクトの名前を［Name］フィールドに入力し、［Certificate Authority Type］ドロップダウン・ボックスから［OPSEC PKI］を選択します。

4 ［OPSEC PKI］タブで以下の設定を行います。

■ 自動登録の場合、［automatically enroll certificate］を選択します。

■ 認証局との接続に使用するプロトコルを［Connect to CA with protocol］から選択します。選択可能なプロトコルはSCEP、CPMV1、CPMV2のいずれかです。

注： SCEP自動登録の場合はこの手順をスキップできます。認証局の証明書は、SCEPパラメータの

設定後自動的に取得されます。

注： Entrust 5.0以降を使用している場合は、CPMV1を使用します。

50

認証局での登録

5 ［Properties...］ボタンをクリックします。

■ プロトコルにSCEPを選択した場合、［Properties for SCEP protocol］ウインドウで認証局の識別子（example.comなど）と認証局 /登録局のURLを入力します。

■ プロトコルにCPMV1を選択した場合、［Properties for CMP protocol - V1］ウインドウで、適切な IPアドレスとポート番号を入力します（デフォルトのポートは 829）。

■ プロトコルにCMPV2を選択した場合、［Properties for CMP protocol - V2］ウインドウで、トランスポート層にダイレクトTCPとHTTPのどちらを使用するかを指定します。

6 この認証局から CRL を取得する方法を選択します。

認証局がHTTPサーバでCRLを公開している場合、［HTTP Server(s)］を選択します。この場合、認証局から発行された証明書には、CRL配布ポイント拡張のURLにCRLの場所が含まれている必要があります。

認証局がLDAPサーバでCRLを公開している場合、［LDAP Server(s)］を選択します。この場合、LDAPアカウント・ユニットも定義する必要があります。LDAPオブジェクトを定義する方法については、『SmartCenter』を参照してください。

［LDAP Account Unit Properties］ウインドウの［General］タブで［CRL retrieval］チェック・ボックスがオンになっていることを確認します。

認証局によって発行された証明書には、CRL配布ポイント拡張に、CRLが存在するLDAP DNが含まれている必要があります。

7 ［Get...］ボタンをクリックします。

8 SCEP が選択されている場合、認証局に接続して証明書を取得しようとします。それ以外の場合、ピア認証局の証明書を保存したパスを参照し、証明書を選択します。

VPNは証明書を読み込んで詳細を表示します。証明書の詳細を確認します。認証局の証明書のSHA-1フィンガープリントおよびMD5フィンガープリントを表示して確認します。

9 ［OK］ボタンをクリックします。

認証局での登録

VPN対応のすべての内部管理エンティティに対して、証明書は内部認証局によって自動的に発行されます。このプロセスは、管理者がネットワーク・オブジェクトの［GeneralProperties］タブの［Check Point Products］で、［VPN］チェック・ボックスをオンにすると実行されます。

OPSEC PKIと外部チェック・ポイント認証局どちらの場合も証明書の取得プロセスは同じです。

注： 自動登録を選択しなかった場合、登録は手動で実行する必要があります。

第 3 章 PKI（Public Key Infrastructure） 51

PKI 機能の設定

OPSEC 認定 PKI での手動登録

PKCS#10証明書要求を作成するには、以下の手順に従います。

1 50 ページの「OPSEC 認定認証局の信頼」の手順に従って認証局オブジェクトを作成します。

2 関連するネットワーク・オブジェクトの［VPN］タブを開きます。

3 ［Certificate List］フィールドで、［Add...］ボタンをクリックします。

［Certificate Properties］ウィンドウが表示されます。

4 ［Certificate Nickname］フィールドに証明書のニックネームを入力します。

ニックネームは識別するためのもので、証明書の内容を表すものではありません。

5 ［CA to enroll from］ドロップダウン・ボックスから、証明書を発行するダイレクトOPSEC 認証局または外部チェック・ポイント認証局を選択します。

6 鍵ペアの生成と保存の方法を選択します。詳細については、48 ページの「分散鍵管理（DKM）と保存」を参照してください。

7 ［Generate...］ボタンをクリックします。

［Generate Certificate Properties］ウィンドウが表示されます。

注： リストに表示される認証局は、信頼できる認証局の直下の認証局または信頼できる認証局自身だけ

です。証明書を発行する認証局が、信頼できる認証局の直下の認証局ではない場合、その下位認証局は

リストには表示されません。

52

認証局での登録

8 適切な DN を入力します。

証明書に 終的に表示されるDNは、認証局管理者が決定します。

証明書でSubject Alternate Name拡張が必要な場合、［Define Alternate Name］チェック・ボックスをオンにします。

デフォルトでオブジェクトの IPが代替名拡張として追加されるようにするには、［Global Properties］>［SmartDashboard Customization］>［Configure］>［Certificates and PKI properties］を選択し、次のオプションを選択します。

add_ip_alt_name_for_opsec_certsadd_ip_alt_name_for_ICA_certs

この手順の設定は、内部認証局でも実行できます。

9 ［OK］ボタンをクリックします。

公開鍵とDNを使用して、DERエンコードされたPKCS#10証明書要求が作成されます。

10 証明書要求が作成されたら、［View...］ボタンをクリックします。

［Certificate Request View］ウインドウが表示されます。

11 ウインドウ内のすべてのテキストをコピーして、認証局に配布します。

認証局管理者は、証明書の発行を行う必要があります。発行方法は認証局ごとに異なる方法が提供されます。通常のユーザ用フォームとは別の高度な登録フォームが用意されている場合もあります。発行された証明書は、電子メールなどさまざまな方法で配布されます。証明書を取得したら、保存する必要があります。

a ネットワーク・オブジェクトの［Severs and OPSEC Applications］タブに移動して、適切な認証局オブジェクトを選択します。

b ［OPEC PKI］タブで［Get...］ボタンをクリックし、証明書を保存した場所に移動します。

c 適切なファイルを選択し、証明書の詳細を確認します。

d オブジェクトを閉じて保存します。

認証局での自動登録

認証局オブジェクトの［OPSEC PKI］タブで、［Automatically enroll certificate］が選択され、接続プロトコルにSCEPまたはCMPが選択されていることを確認します。以下の手順に従います。

1 関連するネットワーク・オブジェクトの［VPN］タブを開きます。

2 ［Certificate List］セクションで、［Add...］ボタンをクリックします。

［Certificate Properties］ウインドウが表示されます。

3 ［Certificate Nickname］フィールドに識別子として使用する任意の文字列を入力します。

第 3 章 PKI（Public Key Infrastructure） 53

PKI 機能の設定

4 ドロップダウン・リストボックスから証明書を発行する認証局を選択します。

5 鍵ペアの作成と保存の方法を選択します。

6 ［Generate］ボタンをクリックして、［Automatic enrollment］を選択します。

［Generate Keys and Get Automatic Enrollment Certificate］ウインドウが表示されます。

■ ［Key Identifier］フィールドに識別子を入力し、［Authorization Code］フィールドに認証コードを入力します。

■ ［OK］ボタンをクリックします。

7 ネットワーク・オブジェクトの［VPN］ページの［Certificates List］に証明書が表示されたら、［View］ボタンをクリックして、［Copy to Clipboard］または［Save to File］を選択し、［Certificate Request View］ウインドウのテキストをコピーまたは保存します。

8 要求を認証局管理者に送信します。

提供される手段は認証局ごとに異なります。たとえば、Webサイトに高度な登録フォームが用意されている場合があります。発行された証明書は、電子メールなどさまざまな方法で配布されます。証明書を受信したらディスクに保存します。

9 ネットワーク・オブジェクトの［VPN］タブで、［Certificates List］から適切な証明書を選択し、［Complete...］ボタンをクリックします。

注： リストに表示される認証局は、信頼できる認証局の直下の認証局または信頼できる認証局自身だけ

です。証明書を発行する認証局が、信頼できる認証局の直下の認証局ではない場合、その従属認証局は

リストには表示されません。

54

証明書の取り消し（全認証局タイプ）

10 発行された証明書を保存したフォルダを参照し、証明書を選択して詳細を確認します。

11 ネットワーク・オブジェクトを閉じ、［Save］を使用して保存します。

下位認証局を使用した登録

下位認証局を使用して登録する場合は、以下の点に注意してください。

■ 証明書を発行する下位認証局のパスワードを入力します。階層の 上位の認証局ではありません。

■ 下位認証局は信頼できる認証局の直下にある必要があります。

証明書の取り消し（全認証局タイプ）

内部認証局によって発行された証明書は、証明書オブジェクトを削除すると取り消されます。それ以外の場合、証明書の取り消しは認証局管理者が認証局オブジェクトの

［Advanced］タブのオブジェクトを使用して行います。さらに、証明書をモジュールから削除する必要があります。

証明書を削除するには、以下の手順に従います。

1 関連するネットワーク・オブジェクトの［VPN］タブを開きます。

2 ［Certificate List］フィールドで削除する証明書を選択し、［Remove］ボタンをクリックします。

SmartCenterサーバがその他の設定から証明書が使用中であると判断した場合、証明書は削除できません。たとえば、モジュールが 1つ以上のVPNコミュニティに属しており、削除しようとしている証明書がモジュールの唯一の証明書である場合がこれに該当します。

証明書の復旧と更新

証明書が取り消されたり期限切れになった場合、新しい証明書を作成するか、既存の証明書を更新する必要があります。

内部認証局による復旧と更新

失効または期限切れとなった証明書を削除すると、管理者の介入なしに、自動的に新しい証明書が作成されます。証明書を手動で更新するには、ゲートウェイ・オブジェクトの

［VPN］ページで［Renew...］ボタンをクリックします。

注： モジュールは、特定の認証局によって署名された証明書を1つだけ持つことができます。したがって、

新しい証明書の発行時に、同じ認証局によって署名された既存の証明書がある場合は、それを置き換える

かどうかを尋ねられます。

第 3 章 PKI（Public Key Infrastructure） 55

PKI 機能の設定

確認処理への一致基準の追加

外部管理VPNエンティティの証明書は、ローカルSmartCenterサーバでは処理されません。しかし、ピアに対してVPNトンネルの確立時に特定の証明書を提示するよう強制することができます。以下の手順に従います。

1 外部管理エンティティの［VPN］ページを開きます。

2 ［Matching Criteria...］をクリックします。

3 次のような、ピアが提示すると予測される証明書の特性を選択します。

■ 証明書を発行した認証局

■ 証明書の正確なDN■ 証明書のSubject Alternate Name拡張に表示される IPアドレス。この IPアドレスは、

IKEネゴシエーション時にVPNモジュールに表示されるVPNピア自身の IPアドレスと照合されます。

■ 証明書のSubject Alternate Name拡張に表示される電子メール・アドレス

CRL キャッシュの使用

CRLキャッシュの動作を取り消す、または変更するには、以下の手順に従います。

1 認証局オブジェクトの［Advanced］タブを開きます。

2 CRL キャッシュを有効にするには、［Cache CRL on the module］チェック・ボックスをオンにします。

内部認証局の場合、キャッシュを無効にしないでください。一般的に、すべての認証局タイプでキャッシュを常に有効にしておくことをお勧めします。キャッシュを無効にするのは（内部認証局を除く）、厳格なセキュリティによって継続的なCRLの取得が必要な場合のみです。

3 CRL キャッシュを有効にした場合、有効期限切れ、もしくは一定期間の経過後（先に期限切れになっていない場合）に CRL を削除するかどうかを選択します。また、期限が来るよりも早く CRL が頻繁に発行されるような場合、CRL を頻繁に取得するという選択肢もあります。デフォルトでは、24 時間が経過すると CRL がキャッシュから削除されます。

CRLキャッシュの詳細については、46 ページの「CRL事前取得キャッシュ」を参照してください。

注： 内部認証局にはCRLキャッシュが必要です。無効にしないでください。

56

CRL 事前取得キャッシュの変更

CRL 事前取得キャッシュの変更

事前取得キャッシュの動作は、グローバル・プロパティから変更できます。

1 ［Global Properties］>［SmartDashboard Customization］>［Configure...］を選択します。

［Advanced Configuration］ウインドウが表示されます。

2 チェック・ポイント認証局のプロパティを選択します。

CRL 猶予期間の設定

［Advanced］ページで［Policy］>［Global Properties］>［VPN］を選択し、猶予期間の値を設定します。猶予期間は、指定したCRL 有効期間の前後どちらに設定することもできます。

OSCP の設定

OCSPを使用するには、認証局オブジェクトが、CRLの代わりにOCSPによる取り消しチェックメソッドを使用するように設定する必要があります。

Dbeditを使用して、oscp_validationフィールドを trueに変更します。trueに設定すると、この認証局はOCSPを使用して証明書を検証します。この設定はルート認証局で行います。設定は下位認証局にも継承されます。

信頼されているOCSPサーバを設定するには、Dbeditを使用してobjectc.cを編集します。

1 oscp_serverタイプの新しいサーバ・オブジェクトを作成します。

2 OCSP サーバの URL と証明書を設定します。

3 認証局オブジェクトで、oscp_server を設定します。作成した OCSP サーバ・オブジェクトへの参照を追加し、ポリシーをインストールします。

第 3 章 PKI（Public Key Infrastructure） 57

OSCP の設定

58

サイト間 VPN

第 章4

サイト間VPNの概要

この章の構成

バーチャル・プライベート・ネットワークの必要性

通信者が必要とするのは、高速でスケーラブルで回復力があり、さらに以下の要素も併せ持つ接続性プラットフォームです。

■ 機密性

■ 完全性

■ 認証

機密性

通信で交換される非公開情報は、通信している者以外に見られてはなりません。

認証

通信者は接続先が目的の相手であると確認できなければなりません。

完全性

通信者間で交わされる機密データは変更されてはなりません。これは完全性チェックで確認することができます。

バーチャル・プライベート・ネットワークの必要性 61 ページ

VPNに対するチェック・ポイント・ソリューション 62 ページ

VPNトポロジ設計に関する特別な考慮事項 74 ページ

サイト間VPNの設定 74 ページ

61

VPNに対するチェック・ポイント・ソリューション

VPNに対するチェック・ポイント・ソリューション

バーチャル・プライベート・ネットワーク（VPN）はネットワークへの接続機能とその中を通過するデータの保護機能の両方を提供する安全な接続性プラットフォームです。たとえば、地理的に離れたネットワークをインターネット経由で接続している組織では、接続性はあってもプライバシー保護がないことがあります。VPN-1 Proは保護する必要のある接続を暗号化することにより、プライバシーを確保します。また、地理的に離れたネットワークをすべて専用線で接続している場合があります。このような会社では接続性とプライバシーは確保できますが、莫大な費用がかかります。VPN-1 Proは、地理的に離れたネットワークを公共のインターネット経由で接続することにより、安価な接続性ソリューションを提供します。

バーチャル・プライベート・ネットワークは、暗号化トンネルを使用して、データを保護し安全に交換するためのネットワークです。VPN-1 Proは、IKE（Internet Key Exchange）および IPSec（IP Security）プロトコルを使用して暗号化トンネルを作成します。IKEによってVPNトンネルが作成され、このトンネルを使用して IPSecでエンコードされたデータが転送されます。

IKEはトンネルを構築するプロセス、IPSecパケットはトンネルを通って暗号化データを運ぶトラックと考えられます。

図4-1 単純化したVPNトンネルの構造

機能の仕組み

図 4-2で、ホスト 1とホスト 6が通信する必要があります。ホスト 1とローカル・ゲートウェイ間では、接続は暗号化されないまま通過します。ゲートウェイは、パケットの発信元アドレスと宛先アドレスから、接続の暗号化が必要であると判断します。これが初めての接続である場合、ローカル・ゲートウェイは、ホスト 6の前にあるピア・ゲートウェイとの IKEネゴシエーションを開始します。このネゴシエーション時に、両ゲートウェイは互いを認証し、暗号化方式と鍵を取り決めます。IKEネゴシエーションが成功すると、VPNトンネルが構築されます。これ以降、ゲートウェイ間を通過するパケットはIPSecプロトコルによって暗号化されます。IKEは信憑性（ゲートウェイが相互に正しい相手と通信していること）を提供し、IPSecの基盤を構築します。トンネルが構築されると、IPSecが（暗号化による）プライバシーと（1方向ハッシュ関数による）完全性を提供します。

62

VPNコミュニティ

図4-2 IPSecによる機密性、完全性、認証

VPNトンネルが確立されると（図 4-2）、パケットは以下のように処理されます。

■ パケットが発信元ホストから送信され、ゲートウェイに到達します。

■ ゲートウェイがパケットを暗号化します。

■ パケットはVPNトンネルを通過し、2番目のゲートウェイに向かいます。実際には、パケットはインターネットを通過する標準的な IPパケットです。しかし、パケットが暗号化されているため、プライベートな「バーチャル」トンネルを通過していると考えることができます。

■ 2番目のゲートウェイがパケットを復号化します。

■ パケットは、暗号化されずに宛先ホストに到着します。ホストからは、直接接続しているように見えます。

IKEネゴシエーションの詳細については、「IPSecと IKE」を参照してください。

VPNコミュニティ

ゲートウェイ間のVPNトンネルの構築は、VPNコミュニティを設定すると簡単になります。VPNコミュニティは、VPNトンネル経由での通信が可能なVPN対応ゲートウェイの集合です。

以下の用語は、VPNコミュニティを理解するのに必要な用語です。

■ VPNコミュニティ・メンバ。VPNトンネルの一方にあるゲートウェイ。

■ VPNドメイン。ゲートウェイの背後にあるホスト。VPNドメインは、ゲートウェイの背後にあるネットワーク全体、またはネットワークの一部のこともあります。たとえば、ゲートウェイが企業LANおよびDMZを保護している場合、VPNドメインとして定義されるのは、企業LANのみです。

第4章 サイト間VPNの概要 63

VPNに対するチェック・ポイント・ソリューション

■ VPNサイト。コミュニティ・メンバとVPNドメイン。典型的なVPNサイトの例として、銀行の支店が挙げられます。

■ VPNコミュニティ。VPNトンネル /リンクとその属性の集合。

■ ドメイン・ベースVPN。コミュニティ内の各ゲートウェイの背後にある暗号化ドメインに基づいたVPNトラフィックのルーティング。スター・コミュニティでは、これにより、サテライト・ゲートウェイ同士がセンター・ゲートウェイ経由で互いに通信できるようになります。

■ ルート・ベースVPN。VPNコミュニティ内のトラフィックのルートは、ゲートウェイのオペレーティング・システムで設定されるルーティング情報（静的 /動的）に基づいて決定されます。

図4-3 VPN用語

暗号化とデータの完全性の確認に使用される方式により、ゲートウェイ間に構築されるトンネルのタイプが決まり、そのVPNコミュニティの特性と考えられます。

SmartCenterサーバは複数のVPNコミュニティを管理できます。つまり、特定の必要性に応じてコミュニティを作成し編成することが可能です。

リモート・アクセス・コミュニティ

リモート・アクセス・コミュニティは、通常企業LANの外側の遠隔地で作業を行うユーザのために構築されるVPNコミュニティです。このタイプのコミュニティにより、ユーザと企業LANの間で安全な通信ができるようになります。詳細については、「リモート・アクセスVPNについて」を参照してください。

注： 内部管理されているメンバのいずれかがNG FP3以前のバージョンの場合、コミュニティ内のサー

ビスを自由に定義することはできません（ゲートウェイ間コミュニティでは可能）。

64

VPNトポロジ

VPNトポロジ

も基本的なトポロジは、2つのゲートウェイで構成され、それらの間にVPNトンネルを構築できるトポロジです。SmartCenterサーバはさらに複雑なトポロジをサポートしているので、組織の特定の必要性に応じたVPNコミュニティの作成が可能です。SmartCenterは以下の 2つのVPNトポロジをサポートしています。

■ メッシュ

■ スター

メッシュ VPNコミュニティ

メッシュは、1つのVPNサイトがほかのどのVPNサイトとでもVPNトンネルを構築できるVPNコミュニティです。

図4-4 基本メッシュ・コミュニティ

第4章 サイト間VPNの概要 65

VPNに対するチェック・ポイント・ソリューション

スター VPNコミュニティ

スターは、センター・ゲートウェイ（ハブ）とサテライト・ゲートウェイ（スポーク）で構成されるVPNコミュニティです。このタイプのコミュニティでは、サテライトはセンター・ゲートウェイとして定義されているゲートウェイに対してのみVPNトンネルを構築できます。

図4-5 スター VPNコミュニティ

サテライト・ゲートウェイは、同様にサテライト・ゲートウェイとして定義されているほかのゲートウェイに対してはVPNコミュニティを構築できません。

センター・ゲートウェイは、［Star Community Properties］ウインドウの［Central Gateways］ページで［Mesh center gateways］オプションを選択している場合のみ、ほかのセンター・ゲートウェイに対してVPNトンネルを構築できます。

トポロジの選択

VPNコミュニティにどのトポロジを選択するかは、組織の全体的なポリシーによって異なります。たとえば、メッシュ・コミュニティは、内部管理されたネットワークの一部であるゲートウェイのみメンバになることができ、企業パートナーに属するゲートウェイはメンバになれないイントラネットに適しています。

スター VPNコミュニティは、外部パートナーに属するネットワークとの情報交換が必要な組織に適しています。パートナーは組織と通信する必要がありますが、パートナー間の通信は必要ありません。組織のゲートウェイはセンター・ゲートウェイとして定義し、パートナーはサテライトとして定義します。

66

VPNトポロジ

もっと複雑なシナリオとして、2つの国、LondonとNew Yorkに本社を持つ会社を考えてみます。各本社には複数の支社があります。各支社は国内の本社と通信することのみが必要で、ほかの支社と通信する必要はありません。そして、New York本社とLondon本社のみが直接通信する必要があります。このような条件を満たすには、LondonとNew Yorkの2つのスター・コミュニティを定義します。LondonとNew Yorkのゲートウェイをセンター・ゲートウェイに設定し、それぞれの支社をサテライト・ゲートウェイに設定します。これで、それぞれの国の各支社が国内の本社と通信できるようになります。次に 3番目のVPNコミュニティとして、LondonとNew Yorkのゲートウェイから構成されるVPNメッシュを作成します。

図4-6 2つのスターとメッシュ

トポロジと暗号化の問題

組織のセキュリティに関するポリシーにより、トポロジと暗号化の問題が発生する場合があります。たとえば、組織の支社が存在する国に、暗号化強度に関する規制がある場合があります。たとえば、Washingtonゲートウェイが暗号化に 3DESを使用するよう設定したポリシーがあるとします。また、そのポリシーでは、Londonゲートウェイは暗号化アルゴリズムとしてDESを使用して通信するよう規定しています。

さらに、WashingtonとLondonゲートウェイ（図 4-7）は、ゲートウェイ相互間の通信には強度の低いDESを使用することになっています。図4-7での解決方法を考えてみましょう。

第4章 サイト間VPNの概要 67

VPNに対するチェック・ポイント・ソリューション

図4-7 2つのメッシュ・コミュニティで異なる暗号化方式を使用する場合

このソリューションでは、WashingtonメッシュのゲートウェイはLondonスターのサテライトとしても定義されています。Londonスターのセンター・ゲートウェイはメッシュとして定義されています。Washingtonのゲートウェイは、DESを使用してLondonゲートウェイとVPNトンネルを構築します。内部的には、Washingtonゲートウェイは 3DESを使用してVPNトンネルを構築します。

68

VPNトポロジ

VPNゲートウェイの特殊条件

個々のゲートウェイは複数のVPNコミュニティに属することができますが、1つのVPNコミュニティ内で相互にVPNリンクを構築可能な2つのゲートウェイは、別のVPNコミュニティの中で重複してVPNリンクを構築することはできません。例を示します。

図4-8 特殊条件

LondonとNew Yorkゲートウェイは、London-NYメッシュ・コミュニティに属しています。このとき、さらにLondon、New York、Parisを含むVPNコミュニティを作成することはできません。つまり、LondonとNew Yorkゲートウェイの組み合わせを複数のVPNコミュニティに作成することはできません。

1つのコミュニティ内で相互にVPNリンクを構築できる 2つのゲートウェイは、2番目のコミュニティではリンクを構築できないという条件でのみ、別のVPNコミュニティに属することができます。例を示します。

第4章 サイト間VPNの概要 69

VPNに対するチェック・ポイント・ソリューション

図4-9 3つのVPNコミュニティ

図 4-9で、LondonゲートウェイとNew Yorkゲートウェイは、London-NYメッシュに属しています。この 2つのゲートウェイはParisスターVPNコミュニティ内のサテライト・ゲートウェイとしても定義されています。Parisスターでは、サテライト・ゲートウェイ（LondonとNY）はセンター・ゲートウェイであるParisゲートウェイとのみ通信できます。LondonとNew Yorkのサテライト・ゲートウェイが相互にVPNリンクを構築できないので、この構成は有効です。

コミュニティ・メンバ間の認証

ゲートウェイ間での暗号化鍵の交換とVPNトンネルの構築を行う前に、まず互いに認証する必要があります。ゲートウェイ間で互いに認証するには、以下の「クレデンシャル」のいずれかを提示します。

■ 証明書。各ゲートウェイは、ゲートウェイ自身の身元情報を含む証明書とゲートウェイの公開鍵（どちらも信頼できる認証局が署名したもの）を提示します。VPN-1 Proには、ユーザ設定を必要としない、すべての内部管理ゲートウェイの証明書を自動的に発行する独自の内部認証局があります。また、VPN-1 ProはほかのPKIソリューションをサポートしています。詳細については、「PKI（Public Key Infrastructure）」を参照してください。

■ プリシェアード・シークレット。ゲートウェイのペアごとにプリシェアード・シークレットが定義されています。各ゲートウェイは事前に決められたプリシェアード・シークレットを知っていることを証明します。プリシェアード・シークレットは、英数字の組み合わせから構成される、一種のパスワードです。

高い安全性を考慮するなら、証明書を使用することをお勧めします。また、SmartCenterサーバの内部認証局は、管理対象の各VPN-1 Proゲートウェイに自動的に証明書を発行するので、このタイプの証明を使用する方が便利です。

70

DAIPゲートウェイ

ただし、外部管理ゲートウェイ（別のSmartCenterサーバによって管理されるゲートウェイ）との間にVPNトンネルを構築する必要がある場合、以下の点に注意する必要があります。

■ 外部管理ゲートウェイが証明書をサポートしていて、その証明書が外部認証局によって発行される場合、両方のゲートウェイは双方の認証局を信頼する必要があります（「PKI（Public Key Infrastructure）」を参照。詳細については、77 ページの

「PKIを使用する外部ゲートウェイを持つVPNの設定」参照）。

■ 外部管理ゲートウェイが証明書をサポートしていない場合、VPNはプリシェアード・シークレットの使用をサポートします。詳細については、80 ページの「プリシェアード・シークレットを使用する外部ゲートウェイを持つVPNの設定」を参照してください。

「秘密情報」は外部ゲートウェイごとに定義されます。5つの内部管理ゲートウェイと 2つの外部管理ゲートウェイがある場合、プリシェアード・シークレットは 2つになります。5つの内部管理ゲートウェイで 2つのプリシェアード・シークレットが使用されます。つまり、特定の外部管理ゲートウェイとの通信に、すべての内部管理ゲートウェイが同じプリシェアード・シークレットを使用することになります。

DAIPゲートウェイ

DAIP（Dynamically Assigned IP）ゲートウェイは、外部インターフェイスの IPアドレスがISPによって動的に割り当てられるゲートウェイです。DAIPゲートウェイとの間にVPNゲートウェイを構築する場合、認証に使用できるのは証明書のみです。ピア・ゲートウェイは、証明書のDNを使用して内部管理DAIPゲートウェイを識別します。ピア・ゲートウェイは、一致基準設定を使用して、外部管理DAIPゲートウェイとサード・パーティDAIPゲートウェイを識別します。

DAIPゲートウェイは非DAIPゲートウェイとの間にVPNトンネルを開始できます。しかし、DAIPゲートウェイの外部 IPアドレスは常に変化するため、ピア・ゲートウェイはDAIPゲートウェイの接続に使用する IPアドレスを事前に知ることができません。その結果、DAIPウインドウにDNS解決が設定されていない限り、ピア・ゲートウェイ側からDAIPゲートウェイとの間にVPNトンネルを構築することはできません。詳細については、157 ページの「リンク選択」を参照してください。

DAIPゲートウェイの IPがセッション中に変化した場合、新しく割り当てられた IPアドレスを使用して、IKEの再ネゴシエーションが実行されます。

VPNルーティングが設定されたスター・コミュニティの場合、DAIPゲートウェイは外部IPからセンター・ゲートウェイを経由して、ほかのDAIPゲートウェイまたはインターネットに接続を開始することはできません。この構成では、DAIPの暗号化ドメインからの接続がサポートされています。

第4章 サイト間VPNの概要 71

VPNに対するチェック・ポイント・ソリューション

VPNコミュニティ内のトラフィックのルーティング

VPNルーティングは、VPNトラフィックの転送を制御するための方法です。VPNルーティングには以下の 2種類があります。

■ ドメイン・ベースVPN■ ルート・ベースVPN

ドメイン・ベースVPN

この方法では、コミュニティ内の各ゲートウェイの背後にある暗号化ドメインに基づいてVPNトラフィックのルートが決定されます。スター・コミュニティでは、これにより、サテライト・ゲートウェイ同士がセンター・ゲートウェイ経由で互いに通信できるようになります。ドメイン・ベースVPNの設定は、SmartDashboardを使用して直接実行します。詳細については、85 ページの「ドメイン・ベースVPN」を参照してください。

ルート・ベースVPN

VPNコミュニティ内のトラフィックのルートは、ゲートウェイのオペレーティング・システムで設定されるルーティング情報（静的 /動的）に基づいて決定されます。詳細については、95 ページの「ルート・ベースVPN」を参照してください。

アクセス制御とVPNコミュニティ

ゲートウェイをVPNコミュニティ内に設定しても、ゲートウェイ間に自動的にアクセス制御ポリシーが作成されるわけではありません。2つのゲートウェイが同じVPNコミュニティに所属しているだけで、ゲートウェイが相互にアクセスできるわけではありません。

ゲートウェイをVPNコミュニティ内に設定するということは、これらのゲートウェイがアクセス制御ポリシーによって通信を許可された場合に通信が暗号化されるということを意味します。アクセス制御は、セキュリティ・ポリシー・ルール・ベースで設定します。

セキュリティ・ポリシー・ルール・ベースの［VPN］カラムを使用して、VPN コミュニティのメンバにのみ適用されるアクセス制御ルールを作成できます。例を示します。

注： ドメイン・ベースVPNとルート・ベースVPNの両方を設定した場合、ドメイン・ベースVPNが

優先的に使用されます。

表 4-1

SOURCE DESTINATION VPN SERVICE ACTION

Any Any Community_A HTTP Accept

72

アクセス制御とVPNコミュニティ

ルールのすべての条件が満たされている場合のみ、つまりVPNコミュニティ A内の発信元および送信先 IPアドレス間のHTTP接続の場合のみ、接続がルールと一致します。条件の 1つでも満たされなければ、ルールは一致しません。ルールのすべての条件が満たされた場合、ルールと一致するので接続が許可されます。

セキュリティ・ポリシー・ルール・ベースのルールが、VPNコミュニティとコミュニティの外側のホスト・マシンの両方に有効な場合もあります。例を示します。

図4-10 VPNコミュニティ内のアクセス制御

セキュリティ・ポリシー・ルール・ベース内のルールで、以下のように任意の内部 IPと任意の IPの間のHTTP接続を許可しています。

図4-10で、ホスト1とゲートウェイ2の背後にある内部Webサーバとの間のHTTP接続は、このルールと一致します。ホスト 1とインターネット上のWebサーバとの間の接続もこのルールと一致しますが、ホスト 1と内部Webサーバ間の接続はVPNコミュニティ・メンバ間の接続なので暗号化され、ホスト 1とインターネットWebサーバ間は暗号化されずに通過します。

どちらの場合も、接続は単純にセキュリティ・ポリシー・ルールと照合されます。接続を暗号化するかどうかは、VPNレベルで処理されます。VPNは、アクセス制御とは別のレベ

ルのセキュリティです。

SOURCE DESTINATION VPN SERVICE ACTION

Any_internal_machine Any Any HTTP Accept

第4章 サイト間VPNの概要 73

VPNトポロジ設計に関する特別な考慮事項

すべての暗号化トラフィックの許可

VPNコミュニティの［Properties］ウインドウの［General］ページで［Accept all encryptedtraffic］を選択した場合、セキュリティ・ポリシー・ルール・ベースに新しいルールが追加されます。このルールは通常のルールや暗黙のルールではなく、自動コミュニティ・ルール

です。ベージュ色の背景色で区別できます。

サービスの除外

VPNの［Communities Properties］ウインドウの［Excluded Services］ページでは、ファイアウォール制御の接続など、暗号化しないサービスを選択できます。暗号化されないサービスとは、この接続に対してVPNトンネルを構築しないことを意味します。制御接続の詳細については 83 ページの「VPNコミュニティでのファイアウォール制御接続の認証方法」を参照してください。サービスの除外は、ルート・ベースVPNを使用している場合はサポートされない点に注意してください。

VPNトポロジ設計に関する特別な考慮事項

VPNトポロジを設計する上で、以下の幾つかの重要な判定項目があります。

1 安全な /プライベート・アクセスを必要とするユーザ

2 VPNから見た組織の構造

3 内部管理ゲートウェイは証明書を使用して互いに認証するが、外部管理ゲートウェイの認証方法はどうするか

■ これらの外部管理ゲートウェイはPKIをサポートしているか

■ 信頼できる認証局

サイト間VPNの設定

VPNコミュニティは、トラディショナル・モードとシンプル・モードのいずれかで設計できます。トラディショナル・モードでは、セキュリティ・ポリシー・ルール・ベースで使用できるアクションの 1つに［Encrypt］があります。［Encrypt］を選択すると、ゲートウェイ間のトラフィックはすべて暗号化されます。VPNコミュニティを使用して、シンプル・

モードで作業すると、より簡単にVPN-1 Proを設定できます。トラディショナル・モードの詳細については、「トラディショナル・モードVPN」を参照してください。

トラディショナル・モードからシンプル・モードへの切り替え

トラディショナル・モードからシンプル・モードに切り替えるには、以下の手順に従います（詳細については、465 ページの「旧来のポリシーからコミュニティ・ベースのポリシーへの変換」を参照）。

74

内部管理ゲートウェイ間のメッシュ・コミュニティの設定

1 ［Global Properties］>［VPN］ページで、［Simplified mode to all new Security Policies］または［Traditional or Simplified per new Security Policy］を選択します。［File］>［Save］を選択して保存します。保存していない場合は保存するよう要求されます。

2 ［File］>［New...］を選択します。［New Policy Package］ウインドウが表示されます。

3 新しいセキュリティ・ポリシー・パッケージの名前を作成し、［Security and Address Translation］を選択します。

4 ［VPN configuration method］で、［Simplified mode］を選択します（［Global Properties］ウインドウで［Traditional or Simplified per new Security policy］を選択した場合）。

［OK］ボタンをクリックします。

セキュリティ・ポリシー・ルール・ベースに、新しく［VPN］カラムが表示され、［Action］カラムの［Encrypt］オプションは使用できなくなります。これでシンプル・モードが設定されました。

内部管理ゲートウェイ間のメッシュ・コミュニティの設定

内部管理VPNコミュニティは、メッシュまたはスターのいずれかのトポロジになります。内部管理メッシュ・コミュニティを設定するには、まずネットワーク・オブジェクト

（ゲートウェイ）を作成し、それをコミュニティに追加します。

1 ［Network Objects］ツリーで［Network Objects］>［New］>［Check Point］>［Gateway...］を右クリックし、［Simple mode（wizard）］または［Classic mode］を選択します。

［Check Point Gateway properties］ウインドウが表示されます。

a ［General Properties］ページで、オブジェクトの名前を付けて IPアドレスを設定した後、［VPN］を選択し、SIC通信を確立します。

b ［Topology］ページで［Add］ボタンをクリックしてインタフェースを追加します。ツールボックス内にインタフェースが表示されたら、［Edit...］ボタンをクリックして、［Interface Properties］ウインドウを開きます。

c ［Interface Properties］ウインドウで、インタフェースの全般的なプロパティと背後にあるネットワークのトポロジを定義します。

d ［Topology］ページの［VPN Domain］セクションで、VPNドメインをトポロジ情報に従ってゲートウェイの背後にあるすべてのマシンとして設定するか、または手動で以下の項目として定義します。

i アドレス範囲

ii ネットワーク

iii グループ（アドレス範囲、ネットワーク、およびほかのグループの組み合わせで指定可能）

（VPNドメインは、MEP環境でゲートウェイがプライマリ・ゲートウェイのバックアップとして動作している場合など、ゲートウェイ自身のみを含むグループであることがあります）

第4章 サイト間VPNの概要 75

サイト間VPNの設定

ネットワークのゲートウェイ・オブジェクトが設定できました。これをVPNコミュニティに追加する必要があります。

2 ［Network objects］ツリーで、［VPN Communities］タブを選択します。

A［Site to Site］を右クリックします。

B ショートカット・メニューから［New Site To Site...］>［Meshed］を選択します。［Meshed Communities Properties］ウインドウが表示されます。

C ゲートウェイ間のすべてのトラフィックを暗号化する場合、［General］ページで［Accept all encrypted traffic］を選択します。そうでない場合、コミュニティ・メンバ間の暗号化トラフィックを許可する適切なルールをセキュリティ・ポリシー・ルール・ベースに作成します。

D［Participating Gateways］ページで、手順1で作成したゲートウェイを追加します。

これでVPNトンネルが設定されました。［VPN Properties］、［Advanced Properties］、［SharedSecret］などのほかのオプションの詳細については、「IPSecと IKE」を参照してください。

3 コミュニティで［Accept all encrypted traffic］を選択しなかった場合、アクセス制御ポリシーを作成します。例を示します。

「メッシュ・コミュニティ」は、手順 2で定義したVPNコミュニティです。

スター VPNコミュニティの設定

スターVPNコミュニティは、メッシュ・コミュニティとほとんど同じ手順で設定できます。［Star Community Properties］ウインドウに表示されるオプションが異なります。

■ ［General］ページの［Enable VPN routing for satellites］セクションで、［To center only］を選択します。VPNルーティングの詳細については、「VPNルーティング - リモート・アクセス」を参照してください。

■ ［Central Gateways］ページで、［Add...］ボタンをクリックして、センター・ゲートウェイを追加します。

■ センター・ゲートウェイ間で通信を行うようにする場合、［Central Gateways］ページで、［Mesh central gateways］を選択します。

■ ［Satellite Gateways］ページで、［Add...］ボタンをクリックして、サテライト・ゲートウェイを追加します。

注： ［VPN］ページでは証明書に関する設定はしません。内部管理ゲートウェイは内部認証局から自動

的に証明書を受け取ります。

表 4-2

SOURCE DESTINATION VPN SERVICE ACTION

Any Any Meshed community Any Accept

76

VPNトンネル確立の確認

VPNトンネル確立の確認

VPNトンネルが確立したことを確認するには、以下の手順に従います。

1 セキュリティ・ポリシー・ルール・ベース内の、VPNコミュニティのメンバ・ゲートウェイ間の特定のサービス（FTPなど）を暗号化するルールを編集します。

2 トラッキング・オプションとして［log］を選択します。

3 適切な接続（この例では、1番目のゲートウェイの背後にあるホストから、2番目のゲートウェイの背後にあるFTPサービスへのFTPセッション）を確立します。

4 SmartView Trackerを開いてログを調べます。図 4-11のように接続が暗号化されていることを確認できます。

図4-11 ログの例

PKIを使用する外部ゲートウェイを持つVPNの設定

外部ゲートウェイ（別のSmartCenterサーバによって管理されるゲートウェイ）を持つVPNを設定するのは、内部ゲートウェイ（同じSmartCenterサーバによって管理されるゲートウェイ）を持つVPNを設定するより複雑になります。これは以下のような理由によります。

■ 2つのシステムで設定を別々に行う必要があります。

■ 双方の管理者の間ですべての詳細事項について合意し調整する必要があります。IPアドレスやVPNドメイン・トポロジなどの詳細は自動検出できないので、相手のVPNゲートウェイの管理者から手動で取得する必要があります。

■ 双方のゲートウェイで異なる認証局を使用している場合があります。相手のVPNゲートウェイが内部認証局（ICA）を使用している場合でも、それは異なる認証局です。

外部管理ゲートウェイに関するさまざまなシナリオが考えられます。以下の説明では、標準的なケースについて述べていますが、相手が証明書を使用していると仮定しています。それ以外のケースについては、80 ページの「プリシェアード・シークレットを使用する外部ゲートウェイを持つVPNの設定」を参照してください。

第4章 サイト間VPNの概要 77

PKIを使用する外部ゲートウェイを持つVPNの設定

管理者は使用するコミュニティ・タイプを選択できますが、外部管理ゲートウェイを持つVPNではスター・コミュニティを使う方が自然です。内部ゲートウェイはセンター・ゲートウェイとして定義し、外部ゲートウェイはサテライト・ゲートウェイとして定義します。中央の内部ゲートウェイをメッシュ構成にするかどうかは、組織の要件によって決定します。以下の図に標準的なトポロジを示します。

これはゲートウェイA1とA2の管理者の視点から見たトポロジです。ゲートウェイB1とB2の管理者が、B1とB2をセンター・ゲートウェイとし、A1とA2をサテライトとして、スター・トポロジを定義することもできます。

図4-12 スター VPNコミュニティのサテライトとして定義された外部ゲートウェイ

設定に関する説明は、VPNの構築方法を理解していることを前提としています。詳細については、「サイト間VPNの概要」を参照してください。

また、PKIの設定方法も理解している必要があります。詳細については、39 ページの「PKI（Public Key Infrastructure）」を参照してください。

注： PKIおよび証明書を使用するVPNの方が、プリシェアード・シークレットを使用するVPNより安

全であると考えられます。

78

VPNトンネル確立の確認

スター VPNコミュニティのサテライトとして定義された外部ゲートウェイを持ち、証明書を使用するVPN-1 Proを設定するには、以下の手順に従います。

1 相手側VPNゲートウェイの証明書を発行した認証局の証明書を相手側の管理者から取得します。相手側ゲートウェイが内部認証局を使用している場合、Webブラウザを使用して以下のURLから認証局の証明書を取得できます。

http://<ピア・ゲートウェイまたは管理サーバの IPアドレス>:18264

2 SmartDashboardで、相手側の証明書を発行した認証局を認証局オブジェクトとして定義します。詳細については、51 ページの「認証局での登録」を参照してください。

3 内部認証局によって発行された証明書が目的のVPNトンネルに対して適切でない場合、自分の側に対して証明書を発行する認証局を定義します。

場合によっては、認証局の証明書をエクスポートして相手側管理者に提供する必要があります。

1 内部管理されているゲートウェイのネットワーク・オブジェクトを定義します。特に以下の作業は必須です。

■ ゲートウェイ・オブジェクトの［General Properties］ページで［VPN］を選択します。

■ ［Topology］ページで、［Topology］と［VPN Domain］を定義します。VPNドメインにゲートウェイの背後にある IPアドレスがすべて含まれていない場合、マシンのグループまたはネットワークを定義してそれをVPNドメインに設定して、VPNドメインを手動で定義します。

2 内部認証局がこのVPNトンネルに適切でない場合、［VPN］ページで関連する認証局からの証明書を生成します（51 ページの「認証局での登録」を参照）。

3 外部管理されているゲートウェイのネットワーク・オブジェクトを定義します。

■ チェック・ポイント・ゲートウェイでない場合、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択し、相互運用デバイス・オブジェクトを定義します。

■ チェック・ポイント・ゲートウェイの場合、［Network Objects］ツリーで右クリックし、［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

4 ピア・ゲートウェイのさまざまな属性を設定します。特に以下の作業は必須です。

■ ゲートウェイ・オブジェクトの［General Properties］ページで、［VPN］を選択します（外部管理のチェック・ポイント・ゲートウェイ・オブジェクトの場合のみ）。

■ ［Topology］ページで、相手側管理者から得たVPNドメイン情報を使用して［Topology］と［VPN Domain］を定義します。VPNドメインにゲートウェイの背後にある IPアドレスがすべて含まれていない場合、マシンのグループまたはネットワークを定義してそれをVPNドメインに設定して、VPNドメインを手動で定義します。

第4章 サイト間VPNの概要 79

プリシェアード・シークレットを使用する外部ゲートウェイを持つVPNの設定

■ ［VPN］ページで、［Matching Criteria］に、相手側が自分の認証局によって署名された証明書を提示しなければならないということを指定します。可能であれば、証明書に指定されている詳細も同じように指定します。

5 コミュニティを定義します。以下の詳細は、スター・コミュニティを選択したことを前提としていますが、メッシュ・コミュニティも選択肢となります。メッシュ・コミュニティの作業を行う場合、センター・ゲートウェイとサテライト・ゲートウェイの差異に関する説明を無視してください。

■ IKEプロパティを相手側管理者と取り決め、それをコミュニティ・オブジェクトの［VPN Properties］ページと［Advanced Properties］ページに設定します。

■ センター・ゲートウェイを定義します。通常は内部管理ゲートウェイです。ほかにコミュニティが定義されていない場合、センター・ゲートウェイをメッシュ構成にするかどうかを決定します。コミュニティ内にすでにセンター・ゲートウェイが存在する場合、センター・ゲートウェイをメッシュ構成にしないでください。

■ サテライト・ゲートウェイを定義します。通常は外部管理ゲートウェイです。

6 セキュリティ・ポリシーで関連アクセス・ルールを定義します。［VPN］カラムにコミュニティを追加し、［Service］カラムにサービスを追加し、適切な［Action］オプションと［Track］オプションを指定します。

7 セキュリティ・ポリシーをインストールします。

プリシェアード・シークレットを使用する外部ゲートウェイを持つVPNの設定

外部ゲートウェイ（別のSmartCenter サーバによって管理されるゲートウェイ）を持つVPN-1 Proを設定するのは、内部ゲートウェイ（同じSmartCenterサーバによって管理されるゲートウェイ）を持つVPN-1 Proを設定するより複雑になります。これは以下のような理由によります。

■ 2つのシステムで設定を別々に行う必要があります。

■ 双方の管理者の間ですべての詳細事項について合意し調整する必要があります。IPアドレスやVPNドメイン・トポロジなどの詳細は自動検出できないので、相手のVPNゲートウェイの管理者から手動で取得する必要があります。

外部管理ゲートウェイに関するさまざまなシナリオが考えられます。以下の説明では、標準的なケースについて述べていますが、相手がプリシェアード・シークレットを使用していると仮定しています。それ以外のケースについては、77 ページの「PKIを使用する外部ゲートウェイを持つVPNの設定」を参照してください。

注： PKIおよび証明書を使用するVPNの方が、プリシェアード・シークレットを使用するVPNより安

全であると考えられます。

80

VPNトンネル確立の確認

管理者は使用するコミュニティ・タイプを選択できますが、外部管理ゲートウェイを持つVPNではスター・コミュニティを使う方が自然です。内部ゲートウェイはセンター・ゲートウェイとして定義し、外部ゲートウェイはサテライト・ゲートウェイとして定義します。中央の内部ゲートウェイをメッシュ構成にするかどうかは、組織の要件によって決定します。以下の図に標準的なトポロジを示します。

これはゲートウェイA1とA2の管理者の視点から見たトポロジです。ゲートウェイB1とB2の管理者が、B1とB2をセンター・ゲートウェイとし、A1とA2をサテライトとして、スター・トポロジを定義することもできます。

図4-13 スター VPNコミュニティのサテライトとして定義された外部ゲートウェイ

設定に関する説明は、VPNの構築方法を理解していることを前提としています。詳細については、「サイト間VPNの概要」を参照してください。

スター VPNコミュニティのサテライトとして定義された外部ゲートウェイを持ち、プリシェアード・シークレットを使用するVPN-1 Proを設定するには、以下の手順に従います。

1 内部管理されているゲートウェイのネットワーク・オブジェクトを定義します。特に以下の作業は必須です。

■ ゲートウェイ・オブジェクトの［General Properties］ページで［VPN］を選択します。

■ ［Topology］ページで、［Topology］と［VPN Domain］を定義します。VPNドメインにゲートウェイの背後にある IPアドレスがすべて含まれていない場合、マシンのグループまたはネットワークを定義してそれをVPNドメインに設定して、VPNドメインを手動で定義します。

第4章 サイト間VPNの概要 81

プリシェアード・シークレットを使用する外部ゲートウェイを持つVPNの設定

2 外部管理されているゲートウェイのネットワーク・オブジェクトを定義します。

■ チェック・ポイント・ゲートウェイでない場合、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択し、相互運用デバイス・オブジェクトを定義します。

■ チェック・ポイント・ゲートウェイの場合、［Network Objects］ツリーで右クリックし、［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

3 ピア・ゲートウェイのさまざまな属性を設定します。特に以下の作業は必須です。

■ ゲートウェイ・オブジェクトの［General Properties］ページで、［VPN］を選択します（外部管理のチェック・ポイント・ゲートウェイ・オブジェクトの場合のみ）。

■ ［Topology］ページで、相手側管理者から得たVPNドメイン情報を使用して［Topology］と［VPN Domain］を定義します。VPNドメインにゲートウェイの背後にある IPアドレスがすべて含まれていない場合、マシンのグループまたはネットワークを定義してそれをVPNドメインに設定して、VPNドメインを手動で定義します。

4 コミュニティを定義します。以下の詳細は、スター・コミュニティを選択したことを前提としていますが、メッシュ・コミュニティも選択肢となります。メッシュ・コミュニティの作業を行う場合、センター・ゲートウェイとサテライト・ゲートウェイの差異に関する説明を無視してください。

■ IKEプロパティを相手側管理者と取り決め、それをコミュニティ・オブジェクトの［VPN Properties］ページと［Advanced Properties］ページに設定します。

■ センター・ゲートウェイを定義します。通常は内部管理ゲートウェイです。ほかにコミュニティが定義されていない場合、センター・ゲートウェイをメッシュ構成にするかどうかを決定します。コミュニティ内にすでにセンター・ゲートウェイが存在する場合、センター・ゲートウェイをメッシュ構成にしないでください。

■ サテライト・ゲートウェイを定義します。通常は外部管理ゲートウェイです。

5 外部コミュニティ・メンバの管理者とプリシェアード・シークレットを取り決めます。次に、コミュニティの［Shared Secret］ページで、［Use Only Shared Secret for all ExternalMembers］を選択します。各外部ピアにプリシェアード・シークレットを入力します。

6 セキュリティ・ポリシーで関連アクセス・ルールを定義します。［VPN］カラムにコミュニティを追加し、［Service］カラムにサービスを追加し、適切な［Action］オプションと［Track］オプションを指定します。

7 セキュリティ・ポリシーをインストールします。

82

ファイアウォールの暗黙ルールを無効にすると制御接続が遮断される理由

VPNコミュニティでのファイアウォール制御接続の認証方法

チェック・ポイント・ノードは、制御接続を使用してほかのチェック・ポイント・ノードと通信を行います。制御接続は、SmartCenterサーバからVPN-1 Proゲートウェイにセキュリティ・ポリシーをインストールする場合などに使用します。また、VPN-1 ProゲートウェイからSmartCenterサーバへのログの送信は制御接続によって行われます。制御接続には、SIC（Secure Internal Communication）が使用されます。

制御接続は、セキュリティ・ルール・ベースの暗黙のルールによって許可されています。暗黙ルールは、SmartDashboardの［Global Properties］の［FireWall Implied Rules］ページのオプションをオンまたはオフにすることで、セキュリティ・ルール・ベースに追加または削除できます。

管理者によっては暗黙ルールに頼らず、セキュリティ・ルール・ベースに明示的なルールを定義する場合があります。

ファイアウォールの暗黙ルールを無効にすると制御接続が遮断される理由

暗黙ルールを無効にすると、リモートVPN-1 Proゲートウェイにポリシーをインストールできない場合があります。暗黙ルールの代わりに明示的なルールを定義しても、ポリシーをインストールできないこともあります。この問題について、図 4-14と以下で説明します。

図4-14 制御接続を無効にすることで、ポリシーのインストールができない場合

管理者がSmartDashboardを設定してゲートウェイAとBの間にVPNを設定しようとしています。このためには、管理者はSmartCenterサーバからゲートウェイにポリシーをインストールする必要があります。

1 SmartCenterサーバはゲートウェイAへのポリシーのインストールに成功しました。ゲートウェイAについては、ゲートウェイAとBはすでに同じVPNコミュニティに属しています。しかし、ゲートウェイBにはまだこのポリシーがありません。

2 SmartCenterサーバはポリシーをインストールするため、ゲートウェイBへの接続を確立しようとします。

第4章 サイト間VPNの概要 83

VPNコミュニティでのファイアウォール制御接続の認証方法

3 制御接続を許可する明示的なルールがあるので、ゲートウェイAは接続を許可し、ゲートウェイBとの IKEネゴシエーションを開始して制御接続のためのVPNトンネルを構築します。

4 ゲートウェイBにはまだポリシーがないので、ゲートウェイAとのネゴシエート方法がわかりません。したがって、ゲートウェイBへのポリシーのインストールは失敗します。

この問題は、制御接続がVPNトンネルの中を通らないようにすることで解決できます。

VPN内部でのファイアウォール制御接続の許可

暗黙ルールを無効にした場合、制御接続がVPN-1 Proゲートウェイによって変更されないようにする必要があります。このためには、コミュニティ・オブジェクトの［ExcludedServices］ページで、制御接続に使用するサービスを追加します。

制御接続に使用されるサービスの検出

1 メイン・メニューで［View］>［Implied Rules］を選択します。

2 ［Global Properties］の［FireWall］ページで、［Accept VPN-1 Pro control connections］を選択します。

3 セキュリティ・ルール・ベースを確認し、どの暗黙ルールが表示されているか調べます。暗黙ルールで使用されるサービスに注目してください。

注： SmartCenterサーバとゲートウェイ間の制御接続は、コミュニティによる暗号化は行われませんが、

SIC（Secure Internal Communication）によって暗号化され認証されます。

84

第 章5

ドメイン・ベースVPN

この章の構成

概要

ドメイン・ベースVPNは、ゲートウェイ・モジュールとリモート・アクセス・クライアントの間のVPNトラフィックのルーティングを制御する方法の 1つです。

ゲートウェイの背後にあるホストにトラフィックを送信するには、そのゲートウェイに対して暗号化ドメインが設定されている必要があります。

VPNルーティングの設定は、SmartDashboardを使用して直接行うか、ゲートウェイのVPNルーティング設定ファイルを編集して行います。

概要 85 ページ

VPNルーティングとアクセス制御 86 ページ

VPNルーティングに関する特別な考慮事項 87 ページ

ドメイン・ベースVPNの設定 87 ページ

85

VPNルーティングとアクセス制御

図5-1 単純なVPNルーティング

図 5-1で、ゲートウェイAの背後にあるホスト・マシンの 1つが、ゲートウェイBの背後にあるホスト・マシンとの接続を開始します。技術的またはポリシー上の理由により、ゲートウェイAはゲートウェイBとVPNトンネルを確立することができません。VPNルーティングを使用すると、ゲートウェイAとBはゲートウェイCとのVPNトンネルを確立し、接続はゲートウェイCを経由してルーティングされます。

VPNルーティングとアクセス制御

VPNルーティング接続は、ほかのすべての接続と同様、同じアクセス制御ルールの対象になります。VPNルーティングが正しく設定されていても、接続を許可しないセキュリティ・ポリシー・ルールがあれば、接続は切断されます。たとえば、内部ネットワークの内側から外部の任意のホストへのFTPトラフィックをすべて禁止するルールがゲートウェイに設定されているとします。ピア・ゲートウェイがこのゲートウェイに対してFTP接続を確立すると、接続は切断されます。

VPNルーティングを成功させるには、センター・ゲートウェイにおいて、セキュリティ・ポリシー・ルール・ベースの 1つのルールで、着信と発信の両方向のトラフィックのトラフィックをカバーする必要があります。このルールの設定については、90 ページの「「VPNトラフィック許可ルール」の設定」を参照してください。

86

SmartDashboardを使用したゲートウェイ間のVPNルーティングの設定

VPNルーティングに関する特別な考慮事項

ROBO（Remote Office Branch Office）ゲートウェイに対して、VPNルーティング・オプション［To center and to other satellites through center］を設定するには、以下の手順に従います。

1 SmartLSMによって管理されるすべてのVPN-1 ROBOゲートウェイのVPNドメインを含むネットワーク・オブジェクトを作成します。

2 vpn_route.confファイルを編集し、このネットワーク・オブジェクトを「router」カラムに指定します（スター・コミュニティのセンター・ゲートウェイ）。

3 このvpn_route.confファイルをVPNコミュニティに参加するすべてのLSMプロファイルにインストールします。

ドメイン・ベースVPNの設定 このセクションの構成

一般的なVPNルーティングのパターンは、VPNスター・コミュニティを使用して設定できますが、すべてのVPNルーティング設定でSmartDashboardが使えるわけではありません。ゲートウェイ間のVPNルーティング（スターまたはメッシュ）は、設定ファイル$FWDIR¥conf¥vpn_route.confを編集して設定することもできます。

同じVPNコミュニティに属していないゲートウェイ間のVPNルーティングを設定することはできません。

SmartDashboardを使用したゲートウェイ間のVPNルーティングの設定

単純なハブ・アンド・スポーク構成（またはハブが1つだけの場合）の場合、 も簡単な設定方法は、SmartDashboardでVPNスター・コミュニティを設定する方法です。

1 ［Star Community properties］ウインドウの［Central Gateways］ページで、「ハブ」として機能するゲートウェイを選択します。

2 ［Satellite Gateways］ページで、「スポーク」として機能するゲートウェイを選択します。

3 ［VPN Routing］ページの［Enable VPN routing for satellites］セクションで、以下のいずれかのオプションを選択します。

SmartDashboardを使用したゲートウェイ間のVPNルーティングの設定

87 ページ

VPN設定ファイルの編集による設定 89 ページ

複数のハブの設定 90 ページ

ROBOゲートウェイの設定 93 ページ

第5章 ドメイン・ベースVPN 87

ドメイン・ベースVPNの設定

■ To center and to other Satellites through center。このオプションでは、ゲートウェイ間の接続性が確保されます。たとえば、スポーク・ゲートウェイがDAIPゲートウェイで、ハブ・ゲートウェイに静的 IPアドレスが割り当てられている場合などに使用します。

■ To center, or through the center to other satellites, to internet and other VPN targets。このオプションでは、ゲートウェイ間の接続性を確保できるだけでなく、ハブを経由してインターネットに送られるすべての通信の検査が可能になります。

図5-2 センター・ゲートウェイ経由のサテライト間通信

4 セキュリティ・ポリシー・ルール・ベースで適切なアクセス制御ルールを作成します。1つのルールで両方向のトラフィックをカバーする必要がある点に注意してください。

5 サテライトからインターネットへの接続のルーティングにハブを使用する場合は、サテライト・ゲートウェイのNATを有効にします。

2つのDAIPゲートウェイは、静的 IPアドレスを持つゲートウェイを経由することで、安全にルーティングできます。

注： 内部管理されているメンバのいずれかがNG FP3以前のVPNの場合は、コミュニティ内でNATを

無効にすることはできません（スター /メッシュどちらの場合も［Advanced VPN Properties］タブで

設定できます）。

88

VPN設定ファイルの編集による設定

VPN設定ファイルの編集による設定

VPNルーティングをより詳細に設定したい場合は、SmartCenterサーバのconfディレクトリにあるvpn_route.confファイルを編集します。

設定ファイルvpn_route.confは、ネットワーク・オブジェクトの名前を含むテキスト・ファイルです。宛先、次のホップ、インストール先ゲートウェイの形式です（各要素はタブで区切られています）。

ハブと 2つのスポークで構成される単純なVPNルーティングの場合を考えてみます（図 5-3）。すべてのマシンは、同一のSmartCenterサーバによって管理され、すべてのVPN-1

Pro実施モジュールは、同一のVPNコミュニティのメンバです。TelnetおよびFTPサービスのみスポーク間で暗号化し、ハブ経由で転送されます。

図5-3 TelnetとFTPのフィルタリング

これはVPNスター・コミュニティを設定することで簡単に行えますが、vpn_route.confファイルを編集しても同じことができます。

この例では、Spoke_B_VPN_DomはスポークBのVPNドメインが置かれているネットワーク・オブジェクト・グループの名前です。Hub_Cは、VPNルーティングのために使用するVPN-1 Proゲートウェイの名前です。Spoke_A_VPN_Domは、スポークAの暗号化ドメインを表すネットワーク・オブジェクトの名前です。実際のファイルでは、次のように記述されます。

図5-4 vpn_route.conf

宛先 次のホップのルータ・インタフェース

インストール先

Spoke_B_VPN_Dom Hub_C Spoke_A

Spoke_A_VPN_Dom Hub_C Spoke_B

第5章 ドメイン・ベースVPN 89

ドメイン・ベースVPNの設定

「VPNトラフィック許可ルール」の設定

SmartDashboardで、以下の手順に従います。

1 スターまたはメッシュ・コミュニティをダブルクリックします。

2 ［General Properties］ページで、［Accept all encrypted traffic］チェック・ボックスをオンにします。

3 スター・コミュニティで、［Advanced］をクリックして、［Both center and satellite Gateways］または［Satellite Gateways only］を選択し、暗号化トラフィックを中央およびサテライト・ゲートウェイの両方に許可するか、サテライト・ゲートウェイのみに許可するかを指定します。

4 ［OK］ボタンをクリックします。

選択したゲートウェイ間のVPNトラフィックを許可するルールがルール・ベースに表示されます。

複数のハブの設定

図 5-5では、2つのハブAとBを示し、ハブAには 2つのスポーク spoke_A1と spoke_A2があります。ハブB には 1つのスポーク spoke_Bがあります。また、ハブA はSmartCenterサーバAによって、ハブBはSmartCenterサーバBによって管理されます（図 5-5）。

図5-5 複数のvpn_route.confファイルの設定

90

複数のハブの設定

ハブAとハブBをベースにした 2つのVPNスター・コミュニティの場合、以下の条件を満たす必要があります。

■ スポークA1とスポークA2は、VPN-1 Proコミュニティの外に出ていくすべてのトラフィックをハブA経由にする必要があります。

■ また、スポークA1とスポークA2は、すべてのトラフィックをスター・コミュニティの中心となるハブAを経由させる必要があります。

■ スポークBは、スター・コミュニティの外へ出ていくすべてのトラフィックをハブB経由にする必要があります。

A_communiyはAとAに属するスポークで構成されたVPNコミュニティです。B_communityはVPNコミュニティです。Hubs_communityはHub_AとHub_Bで構成されたVPNコミュニティです。

SmartCenterサーバAでのVPNルーティングとアクセス制御の設定

SmartCenterサーバA上のvpn_route.confファイルは以下のようになります。

スポークA1とA2は結合されてネットワーク・グループ・オブジェクト「A_spokes」となります。セキュリティ・ポリシー・ルール・ベース内の適切なルールは以下のようになります。

宛先 次のホップのルータ・インタフェース

インストール先

Spoke_B_VPN_Dom Hub_A A_Spokes

Spoke_A1_VPN_Dom Hub_A Spoke_A2

Spoke_A2_VPN_Dom Hub_A Spoke _A1

Spoke_B_VPN_Dom Hub_B Hub_A

SOURCE DESTINATION VPN SERVICE ACTION

Any Any A_CommunityB_CommunityHubs_Community

Any Accept

第5章 ドメイン・ベースVPN 91

ドメイン・ベースVPNの設定

SmartCenterサーバBでのVPNルーティングとアクセス制御の設定

SmartCenterサーバB上のvpn_route.confファイルは以下のようになります。

セキュリティ・ポリシー・ルール・ベース内の適切なルールは以下のようになります。

両方のvpn_route.confファイルについて、以下の点に注意してください。

■ 「A_Community」は、Hub_A、Spoke_A1、およびSpoke_A2から構成されるスターVPNコミュニティです。

■ 「B_Community」は、Hub_BとSpoke_Bから構成されるスター VPNコミュニティです。

■ 「Hubs-Community」は、Hub_AとHub_Bから構成されるメッシュVPNコミュニティです（同時にメッシュ型のセンター・ゲートウェイを持つスター・コミュニティとなる場合もあります）。

宛先 次のホップのルータ・インタフェース

インストール先

Spoke_A1_VPN_Dom Hub_B Spoke_B

Spoke_A2_VPN_Dom Hub_B Spoke_B

Spoke_A1_VPN_Dom Hub_A Hub_B

Spoke_A2_VPN_Dom Hub_A Hub_B

SOURCE DESTINATION VPN SERVICE ACTION

Any Any B_CommunityA_CommunityHubs_Community

Any Accept

92

ROBOゲートウェイの設定

ROBOゲートウェイの設定

支社のゲートウェイがSmartLSMによってROBOゲートウェイとして管理されている場合、SmartCenter管理サーバのvpn_route.confファイルを編集して、ハブ・アンド・スポーク設定のVPNルーティングを有効にします。例を示します。

■ すべてのサテライトROBOゲートウェイからなる暗号化ドメインを含むグループを作成し、Robo_domainという名前を付けます。

■ すべてのセンター・ゲートウェイを含むグループを作成し、Center_gwsという名前を付けます。

■ vpn_route.confファイルに以下のルールを追加します。

VPNトンネル経由でROBOゲートウェイにアクセスする必要がある場合は、ROBOゲートウェイの外部 IPアドレスをROBO_domainに含める必要があります。

これまでは、スター VPNトポロジでサテライトのVPNルーティングを使用できるのは、ルータとして機能するセンター・ゲートウェイが 1つの場合のみでした。今後は、以下のいずれかの条件で、複数のルータ・ゲートウェイを使用できます。

■ ゲートウェイがvpn_route.confの「INSTALL ON」カラムに記述されていること。

■ サテライト・ゲートウェイがSmartDashboardで選択されていること。

また、これらのゲートウェイはNGX（R60）以上のゲートウェイである必要があります。

第5章 ドメイン・ベースVPN 93

ドメイン・ベースVPNの設定

94

第 章6

ルート・ベースVPN

この章の構成

概要

VPNトンネル・インタフェース（VTI）を使用すると、ルート・ベースVPNという新しい方法でVPNを設定できます。この方法は、ピア・ゲートウェイ間にVTIを作成することは、ゲートウェイ同士を直接接続することに類似しているという概念に基づいています。

VTIは、オペレーティング・システム・レベルの仮想インタフェースです。ピア・ゲートウェイの暗号化ドメインに対して通常のゲートウェイのように使用することができます。各VTIには、VPN-1 Proピア・ゲートウェイへの単一のトンネルが関連付けられています。このトンネル自体とそのすべてのプロパティは、以前と同様、2つのゲートウェイをリンクするVPNコミュニティによって定義されています。ピア・ゲートウェイも同様に対応する

概要 95 ページ

VPNトンネル・インタフェース（VTI） 96 ページ

ダイナミック・ルーティング・プロトコルの使用 99 ページ

ナンバードVTIの設定 99 ページ

クラスタ環境におけるVTI 102 ページ

クラスタ環境におけるVTIの設定 103 ページ

VTIにおけるダイナミック・ルーティング・プロトコルの有効化 109 ページ

VTIにおけるアンチスプーフィングの設定 113 ページ

ループバック・インタフェースの設定 114 ページ

アンナンバードVTIの設定 117 ページ

VPNトンネル経由のマルチキャスト・パケットのルーティング 120 ページ

95

VPNトンネル・インタフェース（VTI）

VTIで設定する必要があります。各ゲートウェイのネイティブ IPルーティング・メカニズムは、ほかの通常のインタフェースと同様、トラフィックをトンネルに転送することができます。

ピア・ゲートウェイの暗号化ドメイン宛てのすべてのトラフィックは、関連付けられたVTIを経由することになります。この構造により、ダイナミック・ルーティング・プロトコルでVTIを使用することができます。VPN-1 Proゲートウェイ上で実行されているダイナミック・ルーティング・プロトコル・デーモンは、IPSecトンネルの反対側で実行されている隣接するルーティング・デーモン（次のホップ先のように認識される）とルーティング情報を交換できます。

ルート・ベースVPNは、SecurePlatformおよびNokia IPSO 3.9プラットフォームを使用している場合のみサポートされています。また、同一のコミュニティに属する 2つのゲートウェイ間にのみ実装可能です。

VPNトンネル・インタフェース（VTI）VPNトンネル・インタフェースは、VPN-1モジュール上の仮想インタフェースです。既存のVPNに関連付けた上で、VPNピア・ゲートウェイに直接接続するためのP2Pインタフェースとして、IPルーティングによって使用されます。

発信パケットのVPNルーティング・プロセスは以下のとおりです。

■ 宛先アドレスXを含む IPパケットが、ルーティング・テーブルに対して照合されます。

■ ルーティング・テーブルでは、IPアドレスXがP2Pリンクを経由するように指定します。このP2Pリンクは、相手側ゲートウェイYに関連付けられたVPNトンネル・インタフェースです。

■ VPN-1カーネルは、パケットが仮想トンネル・インタフェースに入ると同時にそれを捕捉します。

■ パケットは、VPNコミュニティに定義されたピア・ゲートウェイYとの適切な IPSecセキュリティ・アソシエーション・パラメータを使用して暗号化され、新しいパケットの送信先 IPは、ピア・ゲートウェイYの IPアドレスになります。

■ 新しい送信先 IPに基づいて、Yのアドレスの適切なルーティング・テーブル・エントリに従い、パケットはVPN-1によって物理インタフェースに再転送されます。

着信パケットの場合は逆になります。

■ マシンがゲートウェイYからの IPSecパケットを受信します。

■ VPN-1は物理インタフェースでパケットを捕捉します。

■ VPN-1は発信元のVPNピア・ゲートウェイを特定します。

■ VPN-1は、カプセル化されたパケットから元の IPパケットを抽出します。

■ VPN-1は、ピアVPNゲートウェイのVPNトンネル・インタフェースが存在することを検出し、物理インタフェースから関連付けられたVPNトンネル・インタフェースにパケットを送ります。

■ パケットはVPNトンネル・インタフェースを経由して IPスタックに入ります。

96

図6-1 仮想インタフェースへのルーティング

ルート・ベースVPNでは、複数のVTIがローカル・ゲートウェイ上に作成されます。各VTIはリモートVPN-1ピアの対応するVTIに関連付けられます。ローカル・ゲートウェイからVTIを経由してルーティングされるトラフィックは、暗号化され、関連付けられたVPN-1 Proピア・ゲートウェイに転送されます。

図6-2 ルート・ベースVPN

このシナリオの場合、以下のように設定されています。

■ クラスタGWAとGWbを接続するVTIが 1つあります。

■ クラスタGWAとGWcを接続するVTIが 1つあります。

■ クラスタGWbとGWcを接続するVTIが 1つあります。

第6章 ルート・ベースVPN 97

VPNトンネル・インタフェース（VTI）

仮想インタフェースは、リモートVPN-1 Proピアに直接接続されたP2Pインタフェースのように動作します。ネットワーク・ホスト間のトラフィックは、オペレーティング・システムの IPルーティング・メカニズムを使用して、VPNトンネルに送られます。使用可能なトンネルを定義するため、ゲートウェイ・オブジェクトやVPNコミュニティ（およびアクセス制御ポリシー）は依然として必要です。しかし、各ピアのVPN暗号化ドメインは必要なくなります。暗号化するかどうかの判断は、トラフィックが仮想インタフェースを経由するかどうかによって決まります。ネットワークでダイナミック・ルーティング・プロトコル（OSPF/BGP）が使用できる場合、ルーティングは動的に変化します。

発信元がGWbの接続は、VTIを経由してGWc（またはGWcの背後にあるサーバ）に向かうルートになり、暗黙ルールによって許可されて、VTIのローカル IPアドレスを送信元IPアドレスとして暗号化されずにGWbから送信されます。この IPアドレスのルーティングができない場合、返信パケットは失われます。

この問題を解決するには、以下の設定が必要です。

■ GWbに、VTI経由でルーティングされたパケットをGWcにリダイレクトする静的ルートを設定します。

■ このルートを公開されたルートに一切含めないようにします。

■ GWcの IPアドレスを除外するルート・マップを追加します。

これらの IPアドレスをルート・ベースVPNから除外しても、ドメイン・ベースVPN定義を使用することで、これらのアドレスへのその他の接続を暗号化することは可能です（暗黙ルールで送信しない場合）。

VTIの設定方法には以下の 2種類があります。

■ 番号付けする方法

■ 番号付けしない方法

ナンバードVTIVPNトンネル・インタフェースに番号付けすると、インタフェースにローカル IPアドレスとリモート IPアドレスが割り当てられます。ローカル IPアドレスは、そのゲートウェイを発信元として、VTIを経由する接続の発信元 IPになります。複数のVTIで1つの IPアドレスを共有することはできますが、すでに使用されている既存の物理インタフェースの IPアドレスを使用することはできません。ナンバード・インタフェースは、SecurePlatformオペレーティング・システムを使用する場合のみサポートされています。

注： NGX（R60）以上では、SecurePlatform Proにダイナミック・ルーティング・スイートが含まれて

います。管理者はゲートウェイでデーモンを実行することで、変更されたルートをネットワークに公開

できます。

98

アンナンバードVTI

アンナンバードVTIVTIがアンナンバードの場合、ローカルおよびリモート IPアドレスは設定されません。アンナンバードVTIは、特定のプロキシ・インタフェースに割り当てる必要があります。プロキシ・インタフェースは、発信トラフィックの送信元 IPとして使用されます。アンナンバード・インタフェースを使用すると、インタフェースごとに IPアドレスを割り当てて管理する必要がなくなります。アンナンバード・インタフェースは、Nokia IPSO 3.9プラットフォームでのみサポートされています。

Nokia IPSO インタフェースは、物理インタフェースの場合も、ループバック・インタフェースの場合もあります。

ダイナミック・ルーティング・プロトコルの使用

VTIでは、ゲートウェイ間のルーティング情報の交換にダイナミック・ルーティング・プロトコルを使用できます。サポートされているダイナミック・ルーティング・プロトコルは以下のとおりです。

1 BGP4

2 OSPF

3 RIPv1（SecurePlatform Proのみ）

4 RIPv2（SecurePlatform Proのみ）

ナンバードVTIの設定

ルート・ベースVPNは、SecurePlatformおよびNokia IPSO 3.9プラットフォームを使用している場合のみサポートされています。また、同一のコミュニティに属する 2つのゲートウェイ間にのみ実装可能です。

ルート・ベースVPNの有効化

ドメイン・ベースVPNとルート・ベースVPNの両方を設定した場合、ドメイン・ベースVPNが優先的に使用されます。ルート・ベースVPNを優先的に使用するには、空のグループを作成し、VPNドメインとして割り当てる必要があります。

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Network Objects］を選択します。

2 チェック・ポイント・ゲートウェイを選択し、［Edit］を右クリックします。

3 プロパティ・リストで［Topology］をクリックします。

第6章 ルート・ベースVPN 99

ナンバードVTIの設定

4 ［VPN Domain］セクションで［Manually define］を選択します。

5 ［New］>［Group］>［Simple Group］を選択します。

6 ［Name］フィールドに名前を入力し、［OK］をクリックします。

ナンバードVTI新しいVPNコマンド・ライン・インタフェース（VPNシェル）を使用して、各VPN-1 Proピア・ゲートウェイのVPN-1 Pro実施モジュールにVPNトンネル・インタフェースを作成し、インタフェースをピア・ゲートウェイに関連付けます。VPN トンネル・インタフェースは、番号を付けることも付けないこともできます。VPN Shellの詳細については、475 ページの「VPNシェル」を参照してください。

すべてのナンバードVTIには、ローカル IPアドレスとリモート IPアドレスが割り当てられます。設定前に、VTIに割り当てる IPアドレス範囲を設定する必要があります。

図6-3

このシナリオの場合、以下のように設定されています。

■ クラスタGWAとGWbを接続するVTIが 1つあります。

■ クラスタGWAとGWcを接続するVTIが 1つあります。

■ クラスタGWbとGWcを接続するVTIが 1つあります。

このシナリオのデバイスは以下のとおりです。

100

ナンバードVTI

ClusterXL■ クラスタGWA

■ member_GWA1■ member_GWA2

VPN-1モジュール

■ GWb■ GWc

IP設定

■ クラスタGWA■ member_GWA1

■ 外部ユニーク IP eth0： 170.170.1.1/24■ 外部VIP eth0： 170.170.1.10/24■ 同期インタフェース eth1： 5.5.5.1/24■ VTI vt-GWbの IP： ローカル： 10.0.1.11、リモート： 10.0.0.2■ VTI vt-GWbのVIP： 10.0.1.10■ VTI vt-GWcの IP： ローカル： 10.0.1.21、リモート： 10.0.0.3■ VTI vt-GWcのVIP： 10.0.1.20

■ member_GWA2■ 外部ユニーク IP eth0： 170.170.1.2/24■ 外部VIP eth0： 170.170.1.10/24■ 同期インタフェース eth1： 5.5.5.1/24■ VTI vt-GWbの IP： ローカル： 10.0.1.12、リモート： 10.0.0.2■ VTI vt-GWbのVIP： 10.0.1.10■ VTI vt-GWcの IP： ローカル： 10.0.1.22、リモート： 10.0.0.3■ VTI vt-GWcのVIP： 10.0.1.20

■ GWb■ 外部ユニーク IP eth0： 180.180.1.1/24■ VTI vt-ClusterGWaの IP： ローカル： 10.0.0.2、リモート： 10.0.1.10■ VTI vt-GWcの IP： ローカル： 10.0.0.2、リモート： 10.0.0.3

■ GWc■ 外部ユニーク IP eth0： 190.190.1.1/24■ VTI vt-ClusterGWaの IP： ローカル： 10.0.0.3、リモート： 10.0.1.20■ VTI vt-GWbの IP： ローカル： 10.0.0.3、リモート： 10.0.0.2

第6章 ルート・ベースVPN 101

クラスタ環境におけるVTI

クラスタ環境におけるVTIクラスタ環境でナンバードVTIを設定する際は、幾つかの点に注意する必要があります。

■ 各メンバが一意の送信元 IPアドレスを持っていること ■ 各メンバのすべてのインタフェースが一意の IPアドレスを持っていること

■ 同じリモート・ピアに向かうすべてのVTIが同じ名前を持っていること

■ クラスタ IPアドレスがあること

102

ナンバードVTI

クラスタ環境におけるVTIの設定

以下の設定は、図 6-3の例に従っています。

表 6-1 member_GWA1の設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[member_GWa1]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWbを追加VPN shell:[/] > /interface/add/numbered 10.0.1.11 10.0.0.2 GWbInterface 'vt-GWb' was added successfully to the system---------vt-GWcを追加VPN shell:[/] > /interface/add/numbered 10.0.1.21 10.0.0.3 GWc Interface 'vt-GWc' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWb Type:numbered MTU:1500 inet addr:10.0.1.11 P-t-P:10.0.0.2 Mask:255.255.255.255 Peer:GWb Peer ID:180.180.1.1 Status:attached

vt-GWc Type:numbered MTU:1500 inet addr:10.0.1.21 P-t-P:10.0.0.3 Mask:255.255.255.255 Peer:GWc Peer ID:190.190.1.1 Status:attached

VPN shell:[/] > /quit [member_GWa1]# ifconfig vt-GWbvt-GWb Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.11 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[member_GWa1]# ifconfig vt-GWcvt-GWc Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.21 P-t-P:10.0.0.3 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

第6章 ルート・ベースVPN 103

クラスタ環境におけるVTIの設定

表 6-2 member_GWA2の設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[member_GWa2]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWbを追加 VPN shell:[/] > /interface/add/numbered 10.0.1.12 10.0.0.2 GWb Interface 'vt-GWb' was added successfully to the system---------vt-GWcを追加VPN shell:[/] > /interface/add/numbered 10.0.1.22 10.0.0.3 GWc Interface 'vt-GWc' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWb Type:numbered MTU:1500 inet addr:10.0.1.12 P-t-P:10.0.0.2 Mask:255.255.255.255 Peer:GWb Peer ID:180.180.1.1 Status:attached

vt-GWc Type:numbered MTU:1500 inet addr:10.0.1.22 P-t-P:10.0.0.3 Mask:255.255.255.255 Peer:GWc Peer ID:190.190.1.1 Status:attached

VPN shell:[/] > /quit [member_GWa2]# ifconfig vt-GWbvt-GWb Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.12 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[member_GWa2]# ifconfig vt-GWcvt-GWc Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.22 P-t-P:10.0.0.3 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

104

ナンバードVTI

インタフェース名を指定しなかった場合、自動的に名前が割り当てられます。VTIのデフォルト名は「vt-[ピア・ゲートウェイ名 ]」です。たとえば、ピア・ゲートウェイの名前がServer_2の場合、VTIのデフォルト名は「vt-Server_2」になります。ピア・ゲートウェイの名前が 13文字以上の場合、デフォルト・インタフェース名は、 後の 5文字+7バイトのハッシュになります。このハッシュはピア名から計算され、インタフェースの名前が一意であることが保証されます。

クラスタ・メンバのVTIを設定した後、SmartConsoleを使用して、各VTIのVIPを設定する必要があります。

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Network Objects］を選択します。

2 チェック・ポイント・クラスタを選択し、［Edit］を右クリックします。

3 ［Topology］ウインドウで、［Edit Topology］をクリックします。

4 ［Get all members’ topology］をクリックします。

VTIがトポロジに表示されます。

図6-4 設定時の画面

第6章 ルート・ベースVPN 105

クラスタ環境におけるVTIの設定

［Edit Topology］ウインドウでは、以下の条件に一致するVTIのメンバが同じ行に表示されます。

1 リモート・ピア名

2 リモート IPアドレス

3 インタフェース名

5 ［Topology］タブでVTIのVIPを設定します。

6 ［OK］ボタンをクリックしてポリシーをインストールします。

106

ナンバードVTI

表 6-3 GWbの設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[GWb]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWaを追加VPN shell:[/] > /interface/add/numbered 10.0.0.2 10.0.1.10 GWa Interface 'vt-GWa' was added successfully to the system---------vt-GWcを追加VPN shell:[/] > /interface/add/numbered 10.0.0.2 10.0.0.3 GWc Interface 'vt-GWc' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWa Type:numbered MTU:1500 inet addr:10.0.0.2 P-t-P:10.0.1.10 Mask:255.255.255.255 Peer:GWa Peer ID:170.170.1.10 Status:attached

vt-GWc Type:numbered MTU:1500 inet addr:10.0.0.2 P-t-P:10.0.0.3 Mask:255.255.255.255 Peer:GWc Peer ID:190.190.1.1 Status:attached

VPN shell:[/] > /quit [GWb]# ifconfig vt-GWavt-GWa Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.2 P-t-P:10.0.1.10 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[GWb]# ifconfig vt-GWcvt-GWc Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.2 P-t-P:10.0.0.3 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

第6章 ルート・ベースVPN 107

クラスタ環境におけるVTIの設定

表 6-4 GWcの設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[GWc]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWaを追加VPN shell:[/] > /interface/add/numbered 10.0.0.3 10.0.1.20 GWaInterface 'vt-GWa' was added successfully to the system---------vt-GWbを追加VPN shell:[/] > /interface/add/numbered 10.0.0.3 10.0.0.2 GWb Interface 'vt-GWb' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWa Type:numbered MTU:1500 inet addr:10.0.0.3 P-t-P:10.0.1.20 Mask:255.255.255.255 Peer:GWa Peer ID:170.170.1.10 Status:attached

vt-GWb Type:numbered MTU:1500 inet addr:10.0.0.3 P-t-P:10.0.0.2 Mask:255.255.255.255 Peer:GWb Peer ID:180.180.1.1 Status:attached

VPN shell:[/] > /quit [GWc]# ifconfig vt-GWavt-GWa Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.3 P-t-P:10.0.1.20 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[GWc]# ifconfig vt-GWbvt-GWb Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.3 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

108

ナンバードVTI

VTIにおけるダイナミック・ルーティング・プロトコルの有効化

以下の各コマンド・ライン画面は、図 6-2の例を使用して、VTIでOSPFダイナミック・ルーティング・プロトコルを有効にする方法を示しています。メンバが 1 つの場合とSecurePlatformを使用したクラスタ・メンバの場合の両方の例を示します。メンバが1つの場合とクラスタ・メンバの場合では、ネットワーク・コマンドが異なる点に注意してください。

高度なルーティング・コマンドと構文については、『SecurePlatform VSX & Advanced Routing Command Line Interface』を参照してください。

Cisco GRE対応デバイスと通信する場合は、P2P GREトンネルが必要です。トンネル・インタフェース定義を設定するには、以下のコマンドを使用します。

ip ospf network point-to-point

表 6-5 member_GWA1でのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[member_GWa1]# expertEnter expert password:

You are in expert mode now.

[Expert@member_GWa1]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータIDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 170.170.1.10---------OSPFを実行するインタフェース/IP（トポロジで定義したクラスタIPを使用）およびインタフェース/IPのエリアIDを定義localhost(config-router-ospf)#network 10.0.1.10 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.1.20 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit --------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit

第6章 ルート・ベースVPN 109

VTIにおけるダイナミック・ルーティング・プロトコルの有効化

表 6-6 member_GWA2でのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[member_GWa2]# expertEnter expert password:

You are in expert mode now.

[Expert@member_GWa2]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータIDを指定します。localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 170.170.1.10---------OSPFを実行するインタフェース/IP（トポロジで定義したクラスタIPを使用）およびインタフェース/IPのエリアIDを定義localhost(config-router-ospf)#network 10.0.1.10 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.1.20 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit --------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit

110

ナンバードVTI

表 6-7 GWbでのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[GWb]# expertEnter expert password:

You are in expert mode now.

[Expert@GWb]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータIDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 180.180.1.1---------OSPFを実行するインタフェース/IP（トポロジで定義したクラスタIPを使用）およびインタフェース/IPのエリアIDを定義localhost(config-router-ospf)#network 10.0.1.10 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.0.3 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit --------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit

第6章 ルート・ベースVPN 111

VTIにおけるダイナミック・ルーティング・プロトコルの有効化

表 6-8 GWcでのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[GWc]# expertEnter expert password:

You are in expert mode now.

[Expert@GWc]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータIDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 190.190.1.1---------OSPFを実行するインタフェース/IP（トポロジで定義したクラスタIPを使用）およびインタフェース/IPのエリアIDを定義localhost(config-router-ospf)#network 10.0.1.20 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.0.2 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit --------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit

112

ナンバードVTI

VTIにおけるアンチスプーフィングの設定

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Network Objects］を選択します。

2 チェック・ポイント・ゲートウェイを選択し、［Edit］を右クリックします。

3 プロパティ・リストで［Topology］をクリックします。

4 ［Get］>［Interfaces］をクリックして、ゲートウェイ・マシン上のインタフェース情報を読み取ります。

5 インタフェースを選択して、［Edit］をクリックします。

6 ［VPN Tunnel Interface Properties］ウインドウで［Topology］タブをクリックします。

7 ［IP Addresses behind peer gateway that are within reach of this interface］セクションで以下のいずれかのオプションを選択します。

■ Not Defined。すべてのトラフィックを許可します。

■ Specific。特定のネットワークを選択します。選択したネットワークの IPアドレスのみが、このインタフェースで許可されます。

第6章 ルート・ベースVPN 113

ループバック・インタフェースの設定

8 特定の内部ネットワークから外部インタフェースに着信するアドレスについてアンチスプーフィング・チェックが実行されないようにするには、［Perform Anti-Spoofing based on interface topology］セクションで、［Don't check packets from:］をオンにします。有効なアドレスを含み、これらの内部ネットワークを表すネットワーク・オブジェクトを定義し、ドロップ ダウン・リストからそのネットワーク・オブジェクトを選択します。

［Don't check packets from:］ドロップ ダウン・メニューから選択したオブジェクトは、アンチスプーフィング実施メカニズムから無視されます。

9 ［Spoof Tracking］セクションの［Log］チェック・ボックスをオンにして、［OK］ボタンをクリックします。

ループバック・インタフェースの設定

VTIがNokiaマシンおよびSPLATと接続する場合、ゲートウェイの［Topology］タブでループバック・インタフェースを設定して定義する必要があります。

Nokia Network Voyagerの場合

1 ログインすると以下の画面が表示されます。

［Interface Configuration］をクリックします。

114

ナンバードVTI

2 ［Configuration］ページで、［Interfaces］をクリックします。

3 ［Interface Configuration］ページで、［loop0］をクリックします。

第6章 ルート・ベースVPN 115

ループバック・インタフェースの設定

4 ［Physical Interface loop0］ページで、［Create a new loopback interface with IP address］フィールドに IPアドレスを入力し、［Reference mask length］フィールドに「30」と入力します。

［Apply］ボタンをクリックします。

5 ［Physical Interface loop0］ページが更新され、新しく設定されたループバック・インタフェースが表示されます。

［Save］ボタンをクリックします。

116

ナンバードVTI

アンナンバードVTIの設定

Nokia IPSOプラットフォームでは、アクティブ・パッシブ・モード限定で、VRRP HA構成のアンナンバードVTIがサポートされています。

VPNトンネル・インタフェースがアンナンバードの場合、ローカルおよびリモート IPアドレスは設定されません。インタフェースはプロキシ・インタフェースに関連付けられ、仮想インタフェースはプロキシ・インタフェースから IPアドレスを継承します。ゲートウェイによって開始されたトラフィックは、仮想インタフェースを経由します。このトラフィックの送信元 IPは物理インタフェースの IPになります。

アンナンバード・インタフェースを使用すると、インタフェースごとに2つの IPアドレス（ローカル IPとリモート IPアドレス）を割り当てたり、この情報をVPN-1 Proピア間で同期させる必要がなくなります。

アンナンバード・インタフェースは、Nokia IPSO 3.9プラットフォームでのみサポートされています。

Nokia Network Voyagerの場合

1 ログインすると以下の画面が表示されます。

［Config］ボタンをクリックします。

第6章 ルート・ベースVPN 117

アンナンバードVTIの設定

2 ［Configuration］ページで、［Check Point Firewall-1］をクリックします。

3 次のページで［FWVPN Configuration］をクリックします。

118

ナンバードVTI

4 ［FWVPN Tunnel Configuration］ページで、［Peer GW Object Name］フィールドに接続先のゲートウェイの名前を入力します。

［Proxy］ドロップ ダウン・メニューからプロキシ・インタフェースを選択します。

［Apply］ボタンをクリックします。

5 ［FWVPN Tunnel Configuration］ページに新しいインタフェースが表示されます。

第6章 ルート・ベースVPN 119

VPNトンネル経由のマルチキャスト・パケットのルーティング

Nokia IPSOプラットフォームでNokia Network Voyagerを使用してダイナミック・ルーティング・プロトコルを有効にする方法については、Nokia Network Voyagerのマニュアルを参照してください。

VPNトンネル経由のマルチキャスト・パケットのルーティング

マルチキャストは、単一のメッセージを選択した複数の受信先からなるグループに送信する機能です。IPマルチキャスト・アプリケーションは、各データグラム（IPパケット）をコンピュータのグループに向けて送信します。この技術は、データグラムを単一の受信者（ユニキャスト・アドレス）ではなく、受信者のグループ（マルチキャスト・アドレス）に送信することを目的としています。ネットワークは、受信する必要のあるネットワークにのみデータグラムを転送します。マルチキャストの詳細については、『ファイアウォールとSmartDefense』の「マルチキャスト・アクセス制御」を参照してください。

マルチキャスト・トラフィックは暗号化した上で、VPNトンネル・インタフェース（同一の物理インタフェースに関連付けられた仮想インタフェース）を使用して設定されたVPNトンネル経由で転送できます。通信に関わるすべてのゲートウェイは、発信元、宛先ともに各VPNトンネルごとに 1つずつ仮想インタフェースが必要です。また、マルチキャスト・ルーティング・プロトコルを有効にしておく必要があります。

仮想インタフェースの詳細については、475 ページの「VPNシェルを使用した仮想インタフェースの設定」を参照してください。

図6-5 マルチキャスト

120

ナンバードVTI

このシナリオの場合、以下のように設定されています。

■ ゲートウェイ 1には、ゲートウェイ 2にリンクされたVPNトンネル用の仮想インタフェースと、ゲートウェイ 3にリンクされたVPNトンネル用のもう 1つの仮想インタフェースがあります。

■ ゲートウェイ1の背後にあるホスト1は、マルチキャスト・グループ・アドレスに向けてマルチキャスト・セッションを開始します。このグループは、ゲートウェイ2の背後にあるホスト2と、ゲートウェイ3の背後にあるホスト3から構成されています。

VPN-1 Proゲートウェイでマルチキャスト・サービスを有効にして、ランデブー・ポイントとして機能するようにするには、そのゲートウェイのセキュリティ・ポリシーに、特定のマルチキャスト・サービスのみを暗号化せずに許可し、その他すべてのサービスはコミュニティ経由でのみ許可するルールを追加します。これに対応して、関連するすべてのゲートウェイで、マルチキャスト・プロトコルとサービスを有効にするアクセス・ルールを作成する必要があります。例を示します。

図6-6 サンプル・ルール

第6章 ルート・ベースVPN 121

VPNトンネル経由のマルチキャスト・パケットのルーティング

122

第 章7

トンネル管理

この章の構成

概要

バーチャル・プライベート・ネットワーク（VPN）は、安全な接続（通常はインターネット経由）を提供します。暗号化トンネルを作成することで、プライベート・ネットワーク内と同レベルのセキュリティを提供します。これにより、インターネット経由で外出先や自宅から作業するユーザが遠隔地の企業サーバに安全に接続したり、会社から支社やほかの会社に安全に接続することができます。VPNトンネルは以下のセキュリティを保証します。

■ 標準的な認証方式による認証

■ データの暗号化によるプライバシー保護

■ 標準的な保証方式による完全性

トンネルのタイプと数は、以下の機能を使用することで管理できます。

■ 永続的トンネル。この機能は、VPNトンネルのアクティブ状態を維持し、リアルタイムで監視できるようにします。

■ VPNトンネル共有。この機能は、ゲートウェイ間の相互運用性とスケーラビリティを拡張します。また、ピア・ゲートウェイ間に作成されるVPNトンネルの数も制御します。

すべてのVPNトンネルのステータスは、SmartView Monitorで表示できます。監視の詳細については、『SmartView Monitor』の「トンネルの監視」を参照してください。

概要 123 ページ

永続的トンネル 124 ページ

VPNトンネル共有 127 ページ

トンネル機能の設定 127 ページ

123

概要

永続的トンネル

企業がほかのサイトとの通信にVPNを使用する頻度が高くなるにつれ、接続性を中断されずに維持することが今までになく重要になっています。したがって、VPNトンネルがいつでも使用可能な状態であると確認することが重要になります。永続的トンネルはVPNトンネルの状態を常にアクティブに維持します。その結果、動作不良や接続性問題の発見も容易になります。管理者はVPNトンネルの両側を監視して、発生と同時に問題を認識できます。

コミュニティ内のVPNトンネルは個別に永続的トンネルに設定できます。永続的トンネルは常に監視されているため、VPNトンネルがダウンしたときに、ログ、警告、ユーザ定義のアクションなどを発行できます。VPNトンネルは、「トンネル・テスト」パケットを定期的に送信することで監視されます。パケットの応答を受信できる限り、VPNトンネルは「アップ」状態でいると考えられます。一定の時間内に応答を受信できない場合、VPNトンネルは「ダウン」状態であると考えられます。永続的トンネルは、チェック・ポイント・ゲートウェイ間のみに確立できます。永続的トンネルの設定は、コミュニティ・レベルで行います。また、以下の設定オプションがあります。

■ コミュニティ全体に対して永続的トンネルを指定できます。このオプションは、コミュニティ内のすべてのトンネルを永続的トンネルに設定します。

■ 特定のゲートウェイに対して永続的トンネルを指定できます。このオプションを使用すると、特定のゲートウェイで永続的トンネルを使用できます。

■ 単一のVPNトンネルに対して永続的トンネルを指定できます。この機能を使用すると、特定のゲートウェイ間の特定のゲートウェイを永続的トンネルに設定できます。

MEP環境における永続的トンネル

MEP（Multiple Entry Point）環境では、アクティブなVPNトンネルは、事前に定義されたプライマリ・ゲートウェイが使用できなくなった場合、プライマリ・ゲートウェイからバックアップ・ゲートウェイにルートが切り替えられます。MEP環境では、永続的トンネルはゲートウェイ間に設定します。またRIMを有効にすると、サテライト・ゲートウェイからは、センター・ゲートウェイが 1つに統合されているように見えます。その結果、接続は失敗せずに、新しく作成された永続的トンネル上の別のセンター・ゲートウェイにフェイルオーバーします。MEPの詳細については、177 ページの「複数エントリ・ポイントVPN」を参照してください。

124

永続的トンネル

図7-1 MEP環境における永続的トンネル

このシナリオの場合、以下のように設定されています。

■ ゲートウェイS1の背後にあるホスト 1は、永続的トンネルを通じて、ゲートウェイM1の背後にあるホスト 2と通信します。

■ M1とM2はMEP環境にあります。

■ M1とM2は、ルート・インジェクション・メカニズム（RIM）が有効のMEP環境にあります。

■ M1はプライマリ・ゲートウェイ、M2はバックアップ・ゲートウェイです。

この場合、M1が使用できない状態になると、S1とM2間に新しく作成された永続的トンネルを経由して接続が続行されます。

第7章 トンネル管理 125

概要

永続的トンネルのトンネル・テスト

トンネル・テストはチェック・ポイント独自のプロトコルで、VPNトンネルがアクティブであるかどうかをテストするのに使用されます。パケットの長さは決まっていません。初の1バイトのみ意味のあるデータが含まれています。これが「タイプ」フィールドです。

「タイプ」フィールドは以下のいずれかの値を取ります。

1 - テスト

2 - 応答

3 - 接続

4 - 接続済み

トンネル・テストには 2つのゲートウェイが必要です。一方が pingを実行し、もう一方がそれに応答するように設定します。信号発信ゲートウェイはVPNデーモンを使用して、暗号化された「トンネル・テスト」パケットを応答ゲートウェイに向けて送信します。応答ゲートウェイは、ポート 18234で特別なトンネル・テスト・パケットをListenするよう設定されます。

信号発信側はタイプ 1または 3を送信します。応答側は長さが同じでタイプがそれぞれ 2または 4のパケットを送信します。接続フェーズでは、トンネル・テストは 2つの方法で使用されます。

1 「接続」メッセージがゲートウェイに送信されます。「接続済み」メッセージを受信すると、接続が成功したと見なされます。応答を受信できない場合、IKEネゴシエーション完了の 10秒後まで「接続」メッセージが再送信されます。

2 接続のPMTU（Path Maximum Transmission Unit）を検出できるよう、さまざまな長さの一連のテスト・メッセージが送信されます。これも 大 10秒間行われます。このテストは長すぎるTCPパケットが送信されないようにするために実行されます。長すぎるTCPパケットは断片化され、パフォーマンスが低下します。

バージョンR54以降のゲートウェイは、信号発信側と応答側のどちらにもなれます。MEP環境では、センター・ゲートウェイは応答ゲートウェイにしかなれません。

Embedded NG 5.0以降のゲートウェイは、信号発信側と応答側のどちらにもなれます。このソフトウェアの古いバージョンは応答側にしかなれません。

サード・パーティ製ゲートウェイは、信号発信側と応答側のどちらにもなれません。

126

VPNトンネル共有

VPNトンネル共有

さまざまなベンダーが IPSecトンネルを多数のそれぞれ異なる方法で実装しているため、管理者は IPSecフレームワーク実装の複数の手法に対処する必要があります。

VPNトンネル共有は、ピア・ゲートウェイ間に作成されたVPNトンネルの数を制御することで、相互運用性とスケーラビリティを提供します。使用可能な設定は以下の 3種類あります。

■ ホストのペアごとに1つのVPNトンネル

■ サブネット・ペアごとに1つのVPNトンネル

■ ゲートウェイ・ペアごとに1つのVPNトンネル

トンネル機能の設定

このセクションの構成

トンネル管理オプションを設定するには、以下の手順に従います。

1 SmartDashboardで［Manage］>［VPN Communities］を選択します。［VPN Communities］ウインドウが表示されます。

2 設定するコミュニティ（スターまたはメッシュ）を選択し、［Edit...］をクリックします。

3 ［Tunnel Management］をクリックします。

［Tunnel Management］ウィンドウが表示されます。

永続的トンネル 129 ページ

トラッキング・オプション 132 ページ

永続的トンネルの停止 133 ページ

VPNトンネル共有 133 ページ

トンネルの監視 133 ページ

第7章 トンネル管理 127

トンネル機能の設定

図7-2 ［Meshed Communities Properties］ウインドウの［Tunnel Management］ページ

■ 永続的トンネルについては 129 ページの「永続的トンネル」を参照してください。

■ トラッキングについては、132 ページの「トラッキング・オプション」を参照してください。

■ VPNトンネル共有については、133 ページの「VPNトンネル共有」を参照してください。

128

永続的トンネル

永続的トンネル

［Community Properties］ウインドウの［Tunnel Management］ページで、［Set Permanent Tunnels］チェック・ボックスをオンにすると、以下の永続的トンネル・モードを使用できるようになります。

■ On all tunnels in the community ■ On all tunnels of specific gateways ■ On specific tunnels in the community

すべてのトンネルを永続的トンネルに設定するには、［On all tunnels in the community］を選択します。このオプションの選択を解除すると、コミュニティ内のすべての永続的トンネルが停止します。

［On all tunnels of specific gateways］を設定するには、以下の手順に従います。

1 ［On all tunnels of specific gateways］を選択し、［Select Gateways...］ボタンをクリックします。

［Select Gateways］ウィンドウが表示されます。

図 7-3の例は、［Remote -1- gw］と［Remote -2- gw］の 2つのゲートウェイのみが選択されています。その結果、［Remote -1- gw］または［Remote -2- gw］と接続するすべてのVPNトンネルは永続的トンネルになります。

特定のゲートウェイに接続された永続的トンネルを停止するには、ゲートウェイをハイライトして［Remove］ボタンをクリックします。

第7章 トンネル管理 129

トンネル機能の設定

図7-3 ［Selected Gateways］ウインドウ

2 特定のゲートウェイのトラッキング・オプションを設定するには、ゲートウェイをハイライトして［Gateway Tunnels Properties］ボタンをクリックします。

［On specific tunnels in the community］を設定するには、以下の手順に従います。

1 ［On specific tunnels in the community］を選択し、［Select Permanent Tunnels...］ボタンをクリックします。

［Select Permanent Tunnels...］ウィンドウが表示されます。

図 7-4の例では、［Remote -1- gw］と［Remote -3- gw］の間に永続的トンネルが設定され、さらに［Remote -2- gw］と［Remote -5- gw］の間に別の永続的トンネルが設定されています。

130

永続的トンネル

図7-4 ［Select Permanent Tunnels］ウインドウ

2 永続的トンネルに設定する 2つのゲートウェイが交差するセルをクリックします。

3 ［Selected Tunnel Properties］ボタンをクリックすると、［Tunnel Properties］ウインドウが表示されます。

図7-5 ［Tunnel Properties］ウインドウ

第7章 トンネル管理 131

トンネル機能の設定

4 ［Set these tunnels to be permanent tunnels］チェック・ボックスをオンにします。

2つのゲートウェイ間の永続的トンネルを停止するには、［Set these tunnels to be permanent tunnels］チェック・ボックスをオフします。

5 ［OK］ボタンをクリックします。

永続的トンネルの高度な設定

SmartDashboardで、以下の手順に従います。

1 ［Policy］>［Global Properties］を選択します。

［Global Properties］ウィンドウが表示されます。

2 プロパティ・リストから［SmartDashboard Customization］を選択します。

3 ［Advanced Configuration］セクションで［Configure］をクリックします。

［Advanced configuration］ウィンドウが表示されます。

4 ［VPN Advanced Properties］>［Tunnel Management］を選択して、トンネル・テストの送信数と送信間隔を調整するための 5つの属性を表示します。

■ life_sign_timeout。応答がないときにトンネル・テストの実行を続ける時間を指定します。指定した時間が経過すると相手ホストは「ダウン」状態であると判定されます。

■ life_sign_transmitter_interval。トンネル・テストの実行間隔を設定します。

■ life_sign_retransmissions_count。トンネル・テストの応答を受信できない場合、相手が「ダウン」状態であることを確認するため別のテストを再送信します。この属性には、応答を受信できないときにトンネル・テストを再送信する回数を設定します。

■ life_sign_retransmissions_interval。相手から応答を受信できなかったときに、トンネル・テストを再送信する間隔を設定します。

■ cluster_status_polling_interval。プライマリ・ゲートウェイとバックアップ・ゲートウェイ間のトンネル・テストの間隔を設定します。この属性はHAクラスタ以外には関係ありません。トンネル・テストはバックアップ・ゲートウェイによって送信されます。応答がない場合、バックアップ・ゲートウェイがアクティブになります。

トラッキング・オプション

管理者がVPNトンネルの 新のステータスを把握できるように、幾つかのタイプの警告が用意されています。トラッキング設定は、すべてのVPN トンネルに設定する場合は、［Community Properties］ウインドウの［Tunnel Management］ページで設定できます。または、永続的トンネル自体を設定するときに個別に設定することも可能です。オプションは、［Log］、［Popup Alert］、［Mail Alert］、［SNMP Trap Alert］、［User Defined Alert］の5つです。警告タイプのいずれか1つを選択すると、問題を発生と同時に特定し、問題に対してより効率的に対処できます。

132

永続的トンネルの停止

永続的トンネルの停止

永続的トンネルが必要なくなった場合は、トンネルを停止できます。永続的トンネルを停止するには、永続的トンネルをアクティブにする設定オプションの選択を解除して、ポリシーを再インストールします。

VPNトンネル共有

VPN コミュニティ単位で設定する場合、［Community Properties］ウインドウの［TunnelManagement］ページで設定します。

ゲートウェイ単位で設定する場合、ゲートウェイのプロパティ・ウインドウの［VPNAdvanced］ページで設定します。

VPNトンネル共有は、ピア・ゲートウェイ間に作成されたVPNトンネルの数を制御することで、相互運用性とスケーラビリティを提供します。VPNトンネル共有の設定は、VPNコミュニティ単位で設定することも、ゲートウェイ・オブジェクト単位で設定することもできます。

■ One VPN Tunnel per each pair of hosts。ホストのペア間でセッションが開始されるたびにVPNトンネルが作成されます。

■ One VPN Tunnel per subnet pair。2つのサブネット間でVPNトンネルが確立されると、同じサブネット間で実行される以降のセッションは同じVPNトンネルを共有します。これはデフォルト設定であり、IPSec業界規格に準拠しています。

■ One VPN Tunnel per Gateway pair。ピア・ゲートウェイ間に 1つのVPNトンネルを作成し、各ピア・ゲートウェイの背後にあるすべてのホストでそのVPNトンネルを共有します。

VPNコミュニティとそのコミュニティに属するゲートウェイ・オブジェクトの間でトンネル・プロパティに競合が発生した場合、より限定的な設定が優先されます。たとえば、あるゲートウェイが［One VPN Tunnel per each pair of hosts］に設定されていて、コミュニティが［One VPN Tunnel per subnet pair］に設定されている場合、［One VPN Tunnel per eachpair of hosts］が優先されます。

トンネルの監視

すべてのVPNトンネルのステータスは、SmartView Monitorで表示できます。監視の詳細については、『SmartView Monitor（R60A）』の「トンネルの監視」を参照してください。

第7章 トンネル管理 133

トンネル機能の設定

134

第 章8

ルート挿入メカニズム

この章の構成

概要

RIM（ルート・インジェクション・メカニズム）によって、VPN-1 Proゲートウェイはダイナミック・ルーティング・プロトコルを使用して、VPN-1 Proピア・ゲートウェイの暗号化ドメインを内部ネットワークに通知でき、逆向きの接続を開始できます。VPNトンネルが作成されると、RIMはVPN-1 Proゲートウェイのローカル・ルーティング・テーブルを更新して、VPN-1 Proピアの暗号化ドメインを追加します。

RIMはコミュニティに対して永続的トンネルが有効化されている場合のみ使用できます。永続的トンネルは、トンネル・テスト・パケットによって常にアクティブな状態に維持されています。ゲートウェイが応答に失敗すると、トンネルは「ダウン」していると判断されます。その結果、RIMは失敗したリンクへのルートをローカル・ルーティング・テーブルから削除します。これにより、隣接するダイナミック・ルーティング対応のデバイスが次々にルーティング情報を更新していきます。これにより、VPNトンネルを通過するよう指定されたすべてのトラフィックは、事前に定義された代替パスにリダイレクトされます。

概要 135 ページ

自動RIM 136 ページ

カスタム・スクリプト 138 ページ

tnlmon.confファイル 140 ページ

ピア・ゲートウェイ・インタフェースの挿入 140 ページ

RIMの設定 141 ページ

135

自動RIM

RIMの設定方法は 2種類あります。

■ 自動RIM - RIMはピア・ゲートウェイの暗号化ドメインにルートを自動的に挿入します。

■ カスタム・スクリプト - 特定の要件に応じて、RIMが実行すべきタスクを指定します。

ルート挿入は、MEP機能と統合できます（返信パケットは同じMEPゲートウェイを経由するよう指定されます）。MEPの詳細については、177 ページの「複数エントリ・ポイントVPN」を参照してください。

自動RIM自動RIMは、ゲートウェイのオペレーティング・システムがSecurePlatform、IPSO、またはLinuxの場合は、GUIで設定できます。これらのシステムでもカスタム・スクリプトを使用できますが、専用のスクリプトを記述する必要はありません。

図8-1 自動RIM

このシナリオの場合、以下のように設定されています。

■ ゲートウェイ 1と 2は、RIMとダイナミック・ルーティング・プロトコルの両方が有効になっています。

■ R1とR4は有効なルータです。

■ VPNトンネルが作成されると、RIMはゲートウェイ 1とゲートウェイ 2のローカル・ルーティング・テーブルを更新し、その他のゲートウェイの暗号化ドメインを追加します。

■ VPNトンネルが使用できなくなった場合、トラフィックは専用回線にリダイレクトされます。

136

ゲートウェイおよびルータのルーティング・テーブルは以下のとおりです。太字のエントリは、RIMによってゲートウェイのローカル・ルーティング・テーブルに挿入されたルートを表します。

ゲートウェイ 1

ゲートウェイ 2

R1（ゲートウェイ 1の背後）

R4（ゲートウェイ 2の背後）

ネットワークの宛先 ネットマスク ゲートウェイ メトリック

0.0.0.0 0.0.0.0 172.16.10.2 1192.168.21.0 255.255.255.0 172.16.10.2 1192.168.11.0 255.255.255.0 192.168.10.1 1

ネットワークの宛先 ネットマスク ゲートウェイ メトリック

0.0.0.0 0.0.0.0 172.16.20.2 1192.168.11.0 255.255.255.0 172.16.20.2 1192.168.21.0 255.255.255.0 192.168.20.1 1

ネットワークの宛先 ネットマスク ゲートウェイ メトリック

0.0.0.0 0.0.0.0 192.168.10.2 1192.168.21.0 255.255.255.0 192.168.10.2 1192.168.21.0 255.255.255.0 10.10.10.2 2

ネットワークの宛先 ネットマスク ゲートウェイ メトリック

0.0.0.0 0.0.0.0 192.168.20.2 1192.168.11.0 255.255.255.0 192.168.20.2 1192.168.11.0 255.255.255.0 10.10.10.1 2

第8章 ルート挿入メカニズム 137

カスタム・スクリプト

カスタム・スクリプト

カスタム・スクリプトは、コミュニティ内の任意のゲートウェイで実行できます。これらのスクリプトは、トンネルのステータスが「アップ」または「ダウン」に変更されるたびに実行されます。このようなイベントが発生したときに、たとえば、ダイヤルアップ接続を開始することができます。

スクリプト・テンプレートcustom_rim（オペレーティング・システムによって拡張子.shまたは.batが付きます）は、$FWDIR/Scriptsディレクトリにあります。図 8-2に基本的なスクリプト（SecurePlatform、IPSO、Solaris、またはLinuxでのみ使用可能）を示します。

図8-2 SecurePlatform、IPSO、Solaris、またはLinux用のサンプル・カスタム・スクリプト

#!/bin/sh

# This script is invoked each time a tunnel is configured with the RIM option# and the tunnel changed state.## You may add your custom commands to be invoked here.

# Parameters read from command line.RIM_PEER_GATEWAY=$1RIM_NEW_STATE=$2RIM_HA_STATE=$3RIM_FIRST_TIME=$4RIM_PEER_ENC_NET=$5

case "${RIM_NEW_STATE}" inup)# Place your action for tunnels that came up;;

down)# Place your action for tunnel that went down;;

esac

138

Windowsプラットフォームの場合、スクリプトはバッチ・ファイル形式になります。

図8-3 Windows用サンプル・カスタム・スクリプト

各変数の意味は以下のとおりです。

■ RIM_PEER_GATEWAY： ピア・ゲートウェイ

■ RIM_NEW_STATE： ゲートウェイのステータス（「アップ」または「ダウン」）の変更

■ RIM_HA_STATE： クラスタ内の単一のゲートウェイのステータス（「スタンバイ」または「アクティブ」）

■ RIM_FIRST_TIME： スクリプトはピアの暗号化ドメイン内の各ネットワークに対して個別に実行されます。1つのピアでスクリプトが何回も実行されることがありますが、このパラメータは、ピアでスクリプトが 初に実行されるときのみ、値「1」がスクリプトに渡されます。値「1」は、これがこのスクリプトの 初の実行であることを意味します。スクリプトが次に実行されるときは、値「0」が渡され、このパラメータは無視されます。たとえば、トンネルがダウンしたときにシステム管理者に電子メール警告を送信する場合などに使用できます。

■ RIM_PEER_ENC_NET： VPNピアのVPNドメイン

@echo off

rem . This script is invoked each time a tunnel is configured with the RIM optionrem . and the tunnel changed state.rem .rem . You may add your custom commands to be invoked here.

rem . Parameters read from command line.set RIM_PEER_GATEWAY=%1set RIM_NEW_STATE=%2set RIM_HA_STATE=%3set RIM_FIRST_TIME=%4set RIM_PEER_ENC_NET=%5

goto RIM_%RIM_NEW_STATE%

:RIM_uprem . Place your action for tunnels that came upgoto end

:RIM_downrem . Place your action for tunnel that went downgoto end

:end

第8章 ルート挿入メカニズム 139

tnlmon.confファイル

tnlmon.confファイル

R54とR55では、RIMの設定にtnlmon.confファイルを使用していました。tnlmon.confファイルを使用したRIM設定がすでにある場合は、SmartDashboardを使用してRIMを再設定する必要はありません。RIMは、GUIを使用して設定したゲートウェイとtnlmon.confファイルを使用して設定したゲートウェイが混在するコミュニティでも使用できます。サード・パーティ製ゲートウェイとの通信に RIM を使用することはできません。tnlmon.confファイルでRIMを設定した場合、GUIを使用したすべてのRIM設定より優先されます。

tnlmon.confファイルを使用したRIMの設定方法については、R54およびR55のユーザ・ガイドを参照してください。

ピア・ゲートウェイ・インタフェースの挿入

RIM_inject_peer_interfacesフラグは、ゲートウェイの背後のネットワークだけでなく、ピア・ゲートウェイの IPアドレスをルーティング・テーブルに挿入するのに使用します。

たとえば、VPNトンネルの構築後、RIMは両方のゲートウェイのローカル・ルーティング・テーブルに相手側ゲートウェイの暗号化ドメインを挿入します。しかし、RIMを有効にしたゲートウェイがHide NATを有効にしたゲートウェイと通信する場合、ピアのインタフェースも挿入する必要があります。

図8-4 Hide NATを使用するゲートウェイ

140

スター・コミュニティにおけるRIMの設定

このシナリオの場合、以下のように設定されています。

■ ゲートウェイAとBはともにRIMが有効なゲートウェイ、ゲートウェイCは外部インタフェースでHide NATを有効にしたゲートウェイです（背後のすべての IPアドレスを隠蔽します）。

■ ゲートウェイCの背後にあるホスト 1は、ゲートウェイAを経由してホスト 2とVPNトンネル接続を開始します。

図 8-4では、ゲートウェイCの背後にあるすべてのホストのルートはルータ 3に含まれています。しかし、ルータ 3にはゲートウェイCのHide NAT IPアドレスが含まれていないため、ホスト 1に正しくパケットを送ることができません。

パケットを正しく送り返す方法には 2段階あります。

1 ［Global Properties］ページで、RIM_inject_peer_interfacesフラグを選択します。このフラグは、Hide NATアドレスを含むゲートウェイCのすべての IPアドレスをルータ 3に挿入します。

2 挿入された情報がほかのゲートウェイに伝達されないようにルータを設定します。ルータが正しく設定されていないと、図 8-4の例では、ゲートウェイBがトラフィックをゲートウェイA経由でゲートウェイCに送信するような事態が発生します。

RIMの設定

このセクションの構成

スター・コミュニティにおけるRIMの設定

1 ［Star Community Properties］>［Tunnel Management］ページを開きます。

［Permanent Tunnels］セクションで、［Set Permanent Tunnels］チェック・ボックスをオンにします。以下の永続的トンネル・モードが使用できるようになります。

■ On all tunnels in the community ■ On all tunnels of specific gateways ■ On specific tunnels in the community

これらのオプションの詳細については、129 ページの「永続的トンネル」を参照してください。

スター・コミュニティにおけるRIMの設定 141 ページ

メッシュ・コミュニティにおけるRIMの設定 142 ページ

RIM_inject_peer_interfacesフラグの有効化 143 ページ

トラッキング・オプション 144 ページ

第8章 ルート挿入メカニズム 141

RIMの設定

トンネルを選択する際は、RIMを有効化できるのは永続的トンネルに設定されたトンネルのみである点に注意してください。コミュニティでMEPが有効になっている場合は、

［On all tunnels in the community］を選択する必要があります。

永続的トンネルの設定の詳細については、127 ページの「トンネル機能の設定」を参照してください。

2 ［Enable Route Injection Mechanism (RIM)］を選択します。

3 ［Settings...］ボタンをクリックします。

［Route Injection Mechanism Settings］ウインドウが表示されます。

以下の事項について決定します。

■ RIMをセンター・ゲートウェイまたはサテライト・ゲートウェイで自動的に実行するかどうか（SecurePlatform、IPSO、Linuxのみ）

■ トンネルのステータスが変化したときに（アップまたはダウン）センター・ゲートウェイまたはサテライト・ゲートウェイでカスタム・スクリプトを実行するかどうか

トラッキング・オプションについては、144 ページの「トラッキング・オプション」を参照してください。

4 カスタム・スクリプトを実行する場合は、各ゲートウェイの$FWDIR/Scriptsディレクトリにあるcustom_rim（拡張子は.shまたは.bat）を編集します。

メッシュ・コミュニティにおけるRIMの設定

1 ［Meshed Community Properties］>［Tunnel Management］ページを開きます。

［Permanent Tunnels］セクションで、［Set Permanent Tunnels］チェック・ボックスをオンにします。 以下の永続的トンネル・モードが使用できるようになります。

■ On all tunnels in the community ■ On all tunnels of specific gateways ■ On specific tunnels in the community

142

RIM_inject_peer_interfacesフラグの有効化

これらのオプションの詳細については、129 ページの「永続的トンネル」を参照してください。

トンネルを選択する際は、RIMを有効化できるのは永続的トンネルに設定されたトンネルのみである点に注意してください。永続的トンネルの設定の詳細については、127 ページの「トンネル機能の設定」を参照してください。

2 ［Enable Route Injection Mechanism (RIM)］を選択します。

3 ［Settings...］ボタンをクリックします。

［Route Injection Mechanism Settings］ウインドウが表示されます。

以下の事項について決定します。

■ ゲートウェイでRIMを自動的に実行するかどうか（SecurePlatform、IPSO、Linuxのみ）

■ トンネルのステータスが変化したときに（アップまたはダウン）ゲートウェイでカスタム・スクリプトを実行するかどうか

トラッキング・オプションについては、144 ページの「トラッキング・オプション」を参照してください。

4 カスタム・スクリプトを実行する場合は、各ゲートウェイの$FWDIR/Scriptsディレクトリにあるcustom_rim（拡張子は.shまたは.bat）を編集します。

RIM_inject_peer_interfacesフラグの有効化

RIM_inject_peer_interfacesフラグを有効にするには、以下の手順に従います。

1 SmartDashboardで、［Policy］>［Global Properties］を選択します。

2 ［SmartDashboard Customization］>［Configure］>［VPN Advasnced Properties］>［Tunnel Management］ページに移動します。

3 RIM_inject_peer_interfacesを選択します。

4 ［OK］ボタンをクリックします。

第8章 ルート挿入メカニズム 143

RIMの設定

トラッキング・オプション

管理者がゲートウェイの 新のステータスを把握できるように、幾つかのタイプの警告が用意されています。トラッキング設定は、［Route Injection Mechanism Settings］ページで設定できます。オプションは、［Log］、［Popup Alert］、［Mail Alert］、［SNMP Trap Alert］、

［User Defined Alert］の 5つです。

144

第 章9

ワイヤ・モード

この章の構成

ワイヤ・モードの必要性

全体的にVPNの使用量が多くなると、これまで以上に信頼性と継続性の高い接続が必要になります。接続に失敗すると、重要な情報を失う可能性もあります。情報を再送信するには、新しい接続を直ちに確立する必要があります。ワイヤ・モードでは、ステートフル・インスペクションを回避することで、VPN接続を正常にフェイルオーバーして、パフォーマンスの改善とダウンタイムの削減を実現できます。

チェック・ポイント・ソリューション

ワイヤ・モードは、ファイアウォールを回避して、既存の接続によるフェイルオーバーを正常に完了することで、接続性を改善するように設計されています。VPNコミュニティ内のトラフィックは、定義によって非公開になっており、セキュリティが確保されています。多くの場合、ファイアウォールと、VPN接続に関するファイアウォールのルールは必要ありません。ワイヤ・モードを使用する場合、内部インタフェースとコミュニティを「信頼済み」と定義することで、VPN接続のファイアウォールを回避できます。

パケットがゲートウェイに到達すると、ゲートウェイはパケットについて以下の 2つの事項を検証します。

1 この情報は、「信頼済み」の発信元から送信されているか。

2 この情報は、「信頼済み」の宛先へ送信されるのか。

ワイヤ・モードの必要性 145 ページ

チェック・ポイント・ソリューション 145 ページ

ワイヤ・モードのシナリオ 146 ページ

ワイヤ・モードの設定 150 ページ

145

ワイヤ・モードのシナリオ

2つの質問の答えが「はい」であり、両方のゲートウェイが属すVPNコミュニティで「ワイヤ・モードは有効」と設定されている場合、ステートフル・インスペクションは実行されず、信頼済みインタフェースのトラフィックは、ファイアウォールを回避して送受信されます。ステートフル・インスペクションは実行されないので、パケットが破棄される可能性はありません。VPN接続は、専用回線を使用したほかの接続と違いはありません。このような機能が「ワイヤ・モード」です。ステートフル・インスペクションが実行されないので、ダイナミック・ルーティング・プロトコルを導入できます（状態の検証があるため、このプロトコルはワイヤ・モード以外の設定では使用できません）。したがって、ワイヤ・モードは、ルート・ベースVPNに役立ちます。ルート・ベースVPNについては、95 ページの「ルート・ベースVPN」を参照してください。

ワイヤ・モードは、NGX（R60）ゲートウェイ以上でサポートされます。

ワイヤ・モードのシナリオ

このセクションの構成

ワイヤ・モードは、異なるインフラストラクチャでも、接続性とパフォーマンスを改善するために利用できます。このセクションでは、ワイヤ・モードの実装の効果が発揮されるシナリオを説明します。

MEP設定でのワイヤ・モード 147 ページ

ルート・ベースVPNでのワイヤ・モード 148 ページ

2つのVPNコミュニティ間のワイヤ・モード 149 ページ

146

MEP設定でのワイヤ・モード

MEP設定でのワイヤ・モード

図9-1 MEPシナリオでのワイヤ・モード

このシナリオの場合、以下のように設定されています。

■ ゲートウェイM1とゲートウェイM2では、両方ともワイヤ・モードを有効にしており、信頼済みの内部インタフェースがあります。

■ ゲートウェイM1とゲートウェイM2があるコミュニティでは、ワイヤ・モードを有効にしています。

■ ゲートウェイS1の内側にあるホスト 1は、VPNトンネルを通じて、ゲートウェイM1の内側にあるホスト 2と通信します。

■ MEPは、ゲートウェイM1をプライマリ・ゲートウェイとし、ゲートウェイM2をバックアップ・ゲートウェイとして、ゲートウェイM1とゲートウェイM2に対して設定します。MEPの詳細については、177 ページの「複数エントリ・ポイントVPN」を参照してください。

この場合、ゲートウェイM1がダウンすると、接続はゲートウェイM2にフェイルオーバーします。ゲートウェイM2がバックアップ・ゲートウェイとして設定されているので、ホスト 2から送信されたパケットは、ゲートウェイM1の内側にあるルータによって、ゲートウェイM2にリダイレクトされます。ワイヤ・モードが有効ではない場合は、ステートフル・インスペクションがゲートウェイM2で実行されます。この場合、ゲートウェイに到達したパケットは別のゲートウェイから送信されたパケットであり、このパケットが

第9章 ワイヤ・モード 147

ワイヤ・モードのシナリオ

「out-of-state」パケットであるとみなされるので、この接続は確立されないことになります。一方、ゲートウェイM2の内部インタフェースが「信頼済み」であり、コミュニティでワイヤ・モードが有効になっているので、ステートフル・インスペクションが実行されず、ゲートウェイM2は情報を失うことなく正常に接続を続行できることになります。

ルート・ベースVPNでのワイヤ・モード

図9-2 サテライト・コミュニティでのワイヤ・モード

図 9-2に示したシナリオでは、以下のように設定されています。

■ ワイヤ・モードは、センター・ゲートウェイCで有効になっています（内部の信頼済みインタフェースは指定されていません）。

■ コミュニティでは、ワイヤ・モードを有効にしています。

■ サテライト・ゲートウェイAの内側にあるホスト 1は、サテライト・ゲートウェイBの内側にあるホスト 2に対して、VPNトンネルを通じて接続を確立しようとします。

サテライト・コミュニティでは、センター・ゲートウェイを使用することで、コミュニティにある複数のサテライト・ゲートウェイの間で、トラフィックをルーティングします。

この場合、サテライト・ゲートウェイから送信されるトラフィックは、ゲートウェイCによってルーティングされているだけであり、ゲートウェイCのファイアウォールは通過できません。したがって、ゲートウェイCでステートフル・インスペクションを実行する必要はありません。コミュニティとゲートウェイCでワイヤ・モードを有効にしているため、これらは信頼済みであり、ステートフル・インスペクションが回避されます。ただし、ゲートウェイAとBでは、ステートフル・インスペクションが実行されます。

148

2つのVPNコミュニティ間のワイヤ・モード

2つのVPNコミュニティ間のワイヤ・モード

図9-3 2つのVPNコミュニティ間のワイヤ・モード

図 9-3に示したシナリオでは、以下のように設定されています。

■ ゲートウェイAはコミュニティ 1に属します。

■ ゲートウェイBはコミュニティ 2に属します。

■ ゲートウェイCはコミュニティ 1と 2に属します。

■ ワイヤ・モードは、センター・ゲートウェイCで有効になっています（内部の信頼済みインタフェースは指定されていません）。

■ ワイヤ・モードは、両方のコミュニティで有効になっています。

■ サテライト・ゲートウェイAの内側にあるホスト 1は、サテライト・ゲートウェイBの内側にあるホスト 2に対して、VPNトンネルを通じて接続を確立しようとします。

また同じコミュニティのメンバではない 2つのゲートウェイの間で、VPNトラフィックをルーティングするために、ワイヤ・モードを有効にすることもできます。ゲートウェイCは、両方のコミュニティのメンバであるため、両方のコミュニティを信頼済みとして認識します。ゲートウェイAの後方にあるホスト 1がゲートウェイBの後方にあるホスト 2に接続しようとすると、2つのコミュニティ間でトラフィックをルーティングするためにゲートウェイCが使用されます。実際には、トラフィックがゲートウェイCを通過することはないので、このゲートウェイでステートフル・インスペクションを実行する必要はありません。ただし、ゲートウェイAとBでは、ステートフル・インスペクションが実行されます。

第9章 ワイヤ・モード 149

ワイヤ・モードの特別な考慮事項

ワイヤ・モードの特別な考慮事項

現在、ワイヤ・モードは、SecurePlatformとNokia IPSOプラットフォームのみでサポートされています。

ワイヤ・モードの設定

ワイヤ・モードは、以下の 2つの場所で設定します。

1 コミュニティのプロパティ（メッシュまたはスター）

2 ゲートウェイのプロパティ

VPNコミュニティでのワイヤ・モードの有効化

1 SmartDashboardで、［Manage］>［VPN Communities］を選択します。［VPN Communities］ウィンドウが表示されます。

2 設定するコミュニティを選択して、［Edit...］をクリックします。

3 さまざまなオプションを表示するには、［Advanced Settings］をダブルクリックします。

4 ［Wire Mode］をクリックします。

［Wire Mode］ウィンドウが表示されます。

5 コミュニティでワイヤ・モードを有効にするには、［Allow uninspected encrypted traffic between Wire mode interfaces of the Community’s members］を選択します。

6 ワイヤ・モードのルーティングを有効にするには、［Wire Mode Routing - Allow members to route uninspected encrypted traffic in VPN routing configurations］を選択します。

特定のゲートウェイでのワイヤ・モードの有効化

1 SmartDashboardで、［Manage］>［Network Objects］を選択します。［Network Objects］ウィンドウが表示されます。

2 設定するゲートウェイを選択して、［Edit...］をクリックします。

3 ［VPN］をダブルクリックして、［VPN］ツリーを展開します。［VPN Advanced］を選択して、［VPN Advanced］ウィンドウを表示すします。

4 ゲートウェイでワイヤ・モードを有効にするには、［Support Wire Mode］を選択します。

5 ［Add］ボタンをクリックして、選択したゲートウェイが信頼するインタフェースを追加します。

6 ［Log Wire mode traffic］をクリックして、ワイヤ・モード・アクティビティのログを記録します。

150

第 章10

Directional VPNの適用

この章の構成

Directional VPNの必要性

VPNコミュニティがセキュリティ・ポリシー・ルール・ベースの［VPN］カラムで選択されている場合は、発信元と宛先の IPアドレスは、コミュニティ内の任意のゲートウェイに属すことができます。言い換えると、トラフィックは双方向であり、どのゲートウェイも接続の発信元にすることができ、どのゲートウェイも宛先のエンドポイントにできます。ただし、管理者が一方通行のトラフィックを適用したい場合（社内セキュリティ・ポリシーと整合させるため）があります。また、VPNコミュニティに含まれていないゲートウェイを対象として、暗号化したトラフィックの送受信を実行したいこともあります。VPNコミュニティ内でこれらの通信を適用するには、VPNでDirectional VPNを実装します。

チェック・ポイント・ソリューション

このセクションの構成

Directional VPNでは、発信元アドレスのあるべき場所と宛先アドレスのあるべき場所を指定します。この指定によって、以下の場所で通信が実施されます。

■ 1つのVPNコミュニティ内

■ VPNコミュニティ間

Directional VPNの必要性 151 ページ

チェック・ポイント・ソリューション 151 ページ

Directional VPNの設定 155 ページ

コミュニティ内でのDirectional VPNの適用 152 ページ

コミュニティ間での方向の適用 154 ページ

151

チェック・ポイント・ソリューション

コミュニティ内でのDirectional VPNの適用

図 10-1 では、Washington という名前の簡単なメッシュ VPN コミュニティを示します。Washingtonメッシュ内のVPNトラフィックは双方向です。つまり、どちらのゲートウェイ

（またはVPNドメイン内でゲートウェイの後方にあるホスト）でも、接続の発信元アドレスまたは宛先アドレスにすることができます。Directional VPNの適用を［Global Properties］ウィンドウで有効にしている場合、1 つの（双方向）コミュニティ・ルールは、3 つの

（一方向）一致条件で置き換えられます。

図10-1 コミュニティ内でのDirectional VPNの適用

一致条件は、一連の複合オブジェクトで表します。一致条件によって、トラフィックに以下の方向が適用されます。

■ コミュニティからローカルVPNドメインへ（Washington_Mesh =>internal_clear）■ ローカルVPNドメインからVPNコミュニティへ（internal_clear => Washington_Mesh）■ VPNルーティングによるVPNコミュニティへの送受信（Washington_Mesh =>

Washington_Mesh）

152

コミュニティ内でのDirectional VPNの適用

これらの方向条件は、1つの双方向コミュニティで生じるそれぞれの接続と一致します。オブジェクトとその方向を設定に追加できるようになります。

方向に指定できるオブジェクト

以下の図 10-2では、方向に指定できるオブジェクトをすべて説明します。Directional VPNに対して作成された、3つの新しいオブジェクトが含まれています。

図10-2 オブジェクトの一覧

1つのルールに設定できるVPN方向の数に制限はありません。図 10-1では、Washingtonメッシュには、以下のいずれの方向でも指定できます。

注： 以下のオブジェクトから開始されたクリア・テキスト接続は適用の対象になりません。

■ Any Traffic■ External_clear■ Internal_clear

第10章 Directional VPNの適用 153

チェック・ポイント・ソリューション

通常、［VPN］カラムでは、あまり多くの値を指定しないでください。多くの方向を指定する場合は、標準的な双方向条件による置換を検討してください。

コミュニティ間での方向の適用

VPN コミュニティの間でも、VPN の方向を適用できます。図 10-3 では、Washington とLondonという 2つのVPNコミュニティを示します。

図10-3 メッシュ・コミュニティとスター・コミュニティ間のDirectional VPN

Washingtonはメッシュ・コミュニティであり、Londonはスター・コミュニティです。セキュリティ・ポリシー・ルール・ベースの［VPN］カラムでは、Directional VPNルールが実装されています。つまり、VPN 接続がこのルールに一致するには、接続の発信元がWashingtonメッシュに存在し、宛先のホストがLondon スターに存在している必要があります。

ただし、LondonからWashingtonに対して、「応答」または「返信」の接続を確立することは可能です（TCP接続の開始時の 3方向ハンドシェイクでは、応答接続が必要）。唯一の必須条件は、 初のパケットが、Washingtonメッシュから送信される必要があるということです。London スター内のホストが、Washingtonメッシュ内のホストに対して接続を開こうとした場合、この接続は確立されません。

この方向適用によって、WashingtonまたはLondonのトポロジが影響を受けることはありません。2つのコミュニティ間のどこかで適用されていると考えられます。

154

コミュニティ内でのDirectional VPNの設定

Directional VPNの設定

このセクションの構成

コミュニティ内でのDirectional VPNの設定

コミュニティ内でDirectional VPNを設定するには、以下の手順に従います。

1 ［Global Properties］>［VPN］>［Advanced］で、［Enable VPN Directional Match in VPN Column］を選択します。

2 該当するルールの［VPN］カラムで、VPNコミュニティを右クリックします。ポップアップ・メニューから、［Edit Cell...］を選択します。

［VPN Match Conditions］ウィンドウが開きます。

3 ［Match traffic in this direction only］を選択して、［Add...］をクリックします。

［Directional VPN Match Condition］ウィンドウが開きます。

4 ［Match on traffic reaching the Gateway from:］ドロップダウン・ボックスから、［internal_clear］のオブジェクト（発信元）を選択します。

5 ［Match on traffic leaving the Gateway to:］ドロップダウン・ボックスから、関連するコミュニティ・オブジェクト（宛先）を選択します。

6 関連するコミュニティ・オブジェクトが発信元と宛先の両方になる、もう 1 つの方向一致を追加します。

この指定によって、ローカル・ドメインからコミュニティへのトラフィック、およびコミュニティ内でのトラフィックが可能になります。

7 ［OK］をクリックします。

コミュニティ間でのDirectional VPNの設定

コミュニティ間でDirectional VPNを設定するには、以下の手順に従います。

1 ［Global Properties］>［VPN］>［Advanced］で、［Enable VPN Directional Match in VPN Column］を選択します。

2 該当するルールの［VPN］カラム内で、右クリックします。ポップアップ・メニューから、［Edit Cell...］または［Add Direction...］を選択します。

コミュニティ内でのDirectional VPNの設定 155 ページ

コミュニティ間でのDirectional VPNの設定 155 ページ

第10章 Directional VPNの適用 155

Directional VPNの設定

［VPN Match Conditions］ウィンドウが開きます。

3 ［Add...］をクリックします。

［Directional VPN Match Conditions］ウィンドウが開きます。

4 左にあるドロップダウン・ボックスから、接続の発信元を選択します。

5 右にあるドロップダウン・ボックスから、接続の宛先を選択します。

6 ［OK］をクリックします。

156

第 章11

リンク選択

この章の構成

概要

リンク選択とは、着信 /発信VPNトラフィックに使用するインタフェースを判断して、適なパスを決定する選択方式です。リンク選択メカニズムを使用すると、管理者は、各

ゲートウェイのVPNトラフィックにどの IPアドレスを使用するかを個別に制御できます。

リモート・アクセス・クライアント設定は、サイト間設定と共に設定することも、別に設定することもできます。詳細については、345 ページの「リモート・アクセス・クライアントのリンク選択」を参照してください。

概要 157 ページ

リンク選択の使用 158 ページ

リンク選択のシナリオ 163 ページ

ODL（オンデマンド・リンク） 166 ページ

リンク選択と ISP の冗長性 167 ページ

旧バージョンとの互換性解決メカニズム 170 ページ

リンク選択の設定 170 ページ

157

リンク選択の使用

リンク選択の使用

このセクションの構成

リンク選択には、以下の 2つのメカニズムがあります。

■ 着信トラフィックの場合のリモート・ピアによる IP選択

■ 発信トラフィックの場合の発信ルートの選択

リモート・ピアによる IP 選択

リモート・ピアによってローカル・ゲートウェイの IPアドレスを解決する場合、幾つかの方式でアドレスを解決できます。リモート・ピアは、以下の情報を使用してローカル・ゲートウェイに接続できます。■ Always use this IP address:

■ Main address - VPNトンネルは、ゲートウェイの［General Properties］ページにある［IP Address］フィールドに指定されたゲートウェイのメイン IPで作成されます。

■ Selected address from topology table - ゲートウェイとのVPNトンネルは、ドロップダウン・メニューから選択した IPアドレスで作成されます。このドロップダウン・メニューには、ゲートウェイの［Topology］ページで設定した IPアドレスが表示されます。

■ Statically NATed IP - VPNトンネルは、NATで割り当てられたIPアドレスを使用して作成されます。このアドレスは、［topology］タブに表示される必要はありません。

■ Calculate IP based on network topology - この方式では、リモート・ピアの場所に基づくネットワーク・トポロジによってVPNトンネルに使用される IPアドレスが計算されます。詳細については、347 ページの「リモート・アクセスのシナリオでのリンク選択」を参照してください。

■ DNS Resolving - DAIP（Dynamically Assigned IP）ゲートウェイではこの方式が必要です。DAIPゲートウェイの IPアドレスは、事前には確認できないので、DAIPゲートウェイへのVPNトンネルを確立できるのは、DNS解決機能を使用している場合だけです。DAIP以外のゲートウェイにこの方式を使用する場合、IPアドレスを［Topology］タブで定義する必要があります。DNS解決機能を使用しない場合、DAIPゲートウェイでは、2つのピア間の 初の接続のみ実行できます。2番目の接続は、DAIPゲートウェイの IPアドレスが変更されるまでは、ピア・ゲートウェイによって接続を確立できます。

■ Full hostname - FQDN（完全修飾ドメイン名）を指定します。使用するDNSホスト名を、「gateway_name.domain_name」の形式で指定します。たとえば、オブジェクト名が「john」で、ドメイン名が「smith.com」である場合、FQDNは「john.smith.com」になります。

リモート・ピアによる IP 選択 158 ページ

発信ルート選択 160 ページ

158

リモート・ピアによる IP 選択

■ Gateways name and domain name（Specified in global properties） - ゲートウェイ名はゲートウェイの［General Properties］ページから取得され、ドメイン名は［Global Properties］ページから取得されます。

■ Use a probing method:

■ Using ongoing probing - セッションを開始すると、すべての送信先 IP アドレスは、継続的に RDP パケットを受信します。VPN トンネルは、 初に応答したIP（またはプライマリ IP が設定されてアクティブな場合は、プライマリ IP）を使用して、この IP が応答しなくなるまで、この IP を継続して使用します。接続が開かれて、バックグラウンド・プロセスとして続行されている間は、RDP プロービングがアクティブになります。

■ Using one time probing - セッションを開始すると、すべての送信先 IP アドレスは、ルートをテストするために RDP セッションを受信します。応答した 初のIP が選択され、次にポリシーがインストールされるまでこれが使用されます。

RDP プロービング

VPNのゲートウェイで複数の IPアドレスを使用できる場合、リンク選択ではプロービング手法によって使用するリンクを決定できます。

プロービングによって送信先 IPを選択する方式は、UDPポート259を使用する独自のプロトコルによって実装されます。このプロトコルには、以下の特徴があります。

■ チェック・ポイントの独自技術

■ RFC 908/1151に規定されたRDPに非準拠

■ チェック・ポイント製品間でのみ機能

プローブしない IPアドレス（内部 IPアドレス）は、プローブ対象の IPリストから削除できます。171 ページの「プロービングによるアドレス解決」を参照してください。

どちらのプロービング・オプション（one-timeと on-going）でも、プライマリ・アドレスを割り当てられます。

注： UDP RDPパケットは暗号化されません。RDPメカニズムは、接続性のテストのみ実行します。

第 11 章 リンク選択 159

リンク選択の使用

プライマリ・アドレス

VPNに使用できる IPアドレスが複数あるゲートウェイにいずれかのプロービング方式を実装する場合、IPアドレスの1つをプライマリ・アドレスとして設定することができます。これによって、ほかのインタフェースのメトリックが低い場合でも、ピアはプライマリIPアドレスに高い優先度を割り当てるようになります。

プライマリ・アドレスを有効にしても、発信VPNトラフィック用に選択される IPには影響はありません。リモート・ゲートウェイによって、プライマリ・アドレスを定義したピア・ゲートウェイに接続する場合、リモート・ゲートウェイは、ネットワーク速度（レイテンシ）またはルートのメトリックに関係なく、プライマリ・アドレス（アクティブな場合）に接続します。

プライマリ・アドレスで障害が発生し、接続がバックアップにフェイルオーバーされた場合、VPNトンネルは、プライマリが復旧するまでバックアップを使用し続けます。

使用可能と確認された 新のピア

ゲートウェイがピア・ゲートウェイとの正常な IKEネゴシエーションに使用した IPアドレスが、ピア・ゲートウェイが次の IPSecトラフィックや次の IKEネゴシエーションを開始するときの送信先 IPアドレスとして使用されます。これは、リンク選択の設定を静的

（プロービングなし）に設定した場合のみ該当します。

発信ルート選択

発信トラフィックの場合、リモート・ピアとの接続に使用するルートは、以下の 2つの方式のいずれかで決定できます。

■ Operating system routing table（デフォルト） - この方式では、ルーティング・テーブルを調べて、メトリックが も低く、VPNトンネルのネゴシエーションに 適なルートが判定されます。

■ Route based probing - この方式も、ルーティング・テーブルを調べて、メトリックがも低い 適なルートを判定します。ただし、ルートを選択する前に、RDPプロー

ビングによってルートが使用可能かどうかが確認されます。この後、ゲートウェイによって、使用可能なルートの中でメトリックが も低く、 適な（プレフィックスが も長い）ルートが選択されます。複数の外部インタフェースがある場合に、この方式をお勧めします。

ルート・ベース・プロービングでは、すべてのプライマリ・リンクで障害が発生した場合に起動されるODL（オンデマンド・リンク）を使用できます。優先度の高いリンクがすべて使用不可能になると、オンデマンド・リンクをアクティブにするスクリプトが実行されます。ODLの本来の機能を考えると、ODLのメトリックは、設定された 小値よりも大きく設定する必要があります。詳細については、166 ページの

「ODL（オンデマンド・リンク）」を参照してください。

160

ルート・ベース・プロービングの使用

IKEとRDPセッションの場合、ルート・ベース・プロービングでは、応答トラフィックに同じ IPアドレスとインタフェースが使用されます。

ルート・ベース・プロービングがサポートされるのは、SecurePlatform、Linux、Nokia IPSOプラットフォームに限られます。

ルート・ベース・プロービングの使用

ローカル・ゲートウェイでRDPプロービングを使用する場合、そのゲートウェイ自体とリモート・ピア・ゲートウェイを結ぶあらゆるルートが調べられ、これらが使用可能であるかどうかが確認されます。次に、図 11-1に示すように、2つのゲートウェイ間で も効果的なルートが決定されます。

図 11-1 ルート・ベース・プロービング

このシナリオの場合、ゲートウェイAには、192.168.10.10と 192.168.20.10の 2つの外部インタフェースがあります。ピア・ゲートウェイBにも、192.168.30.10と 192.168.40.10の2つの外部インタフェースがあります。

ゲートウェイAのルーティング・テーブルは以下のとおりです。

宛先 ネットマスク 次のホップ メトリック

192.168.40.10 255.255.255.0 192.168.10.20 1

192.168.40.10 255.255.255.0 192.168.20.20 2

第 11 章 リンク選択 161

リンク選択の使用

ゲートウェイBのルーティング・テーブルは以下のとおりです。

ゲートウェイAからの発信トラフィックに両方のルートを使用できる場合、192.168.10.10から 192.168.40.10へのルートのメトリックが も低くなり（優先度が も高い）、このルートが 適であると判断されます。

応答トラフィック

リモートで開始されたトンネルに応答するため、インタフェースと次のホップが選択されますが、これらの選択方法には以下の 2つがあります（これらの設定は IKEとRDPセッションにのみ関連します）。

■ Use outgoing traffic configuration -［Outgoing Route Selection］セクションで選択した同じ選択方式でインタフェースを選択するには、このオプションを選択します。

■ Reply from the same interface - このオプションでは、受信時と同じインタフェースと次のホップを使用して、返信トラフィックが送信されます。

送信元 IP アドレスの設定

発信パケットに使用する送信元 IP アドレスを、ゲートウェイによって開始されるセッションに設定できます。

VPNトンネルを開始するとき、以下のいずれかの方法によって、送信元 IPアドレスを設定します。

■ Automatic（derived from the method of IP selection by remote peer） - 発信トラフィックの送信元 IPアドレスは、［IP Selection by Remote Peer］セクションで選択した方式によって取得されます。

［IP Selection by Remote Peer］セクションで［Main address or Selected address from topology table］を選択した場合、この方式に指定した IPが、VPNトンネルの開始時に設定される送信元 IPになります。

［IP Selection by Remote Peer］セクションで、［Calculate IP based on network topology］、［Statically NATed IP, Use DNS resolving］、または［Use a probing method］を選択している場合は、選択された発信インタフェースの IPアドレスが、VPNトンネルの開始時に設定される送信元 IPになります。

宛先 ネットマスク 次のホップ メトリック

192.168.20.10 255.255.255.0 192.168.40.20 1

192.168.20.10 255.255.255.0 192.168.30.20 2

注： ルート・ベース・プロービングを有効にしている場合は、［Reply from the same interface］が選択

されています。

162

1 つの外部インタフェースがあるゲートウェイ

■ Manual

■ Main IP address - 送信元 IPは、ゲートウェイの［General Properties］ページから取得されます。

■ Selected address from topology table - ドロップダウン・メニューから選択した IPが送信元 IPになります。

■ IP address of chosen interface - 送信元 IPは、トラフィックがルーティングされているインタフェースの同じ IPです。

これらの設定は、RDPと IKEセッションに適用されます。IKEセッションに応答する場合は、reply_from_same_IP（デフォルト： true）属性を使用して、［Source IP address settings］ウィンドウの設定に従うか、同じ IPから応答します。詳細については、172 ページの「送信元 IPアドレスの設定」を参照してください。

リンク選択のシナリオ

リンク選択は、さまざまなインフラストラクチャで使用できます。このセクションでは、リンク選択の実装の効果が発揮されるシナリオを説明します。

このセクションの構成

1 つの外部インタフェースがあるゲートウェイ

これは も単純な事例です。図 11-2では、ローカル・ゲートウェイにはVPN用の外部インタフェースが1つあります。

注： ルート・ベース・プロービングを有効にすると、reply_from_same_IPが trueであるとみなさ

れます。

1 つの外部インタフェースがあるゲートウェイ 163 ページ

異なる通信先が使用する複数の IP アドレスがあるゲートウェイ 165 ページ

1 つの外部インタフェースと静的 NAT デバイスの内側に 1 つのインタフェースがあるゲートウェイ

165 ページ

第 11 章 リンク選択 163

リンク選択のシナリオ

図 11-2 VPN 用の 1 つの IP がある場合

ここで、以下の視点から、ローカル・ゲートウェイの設定を検討します。

■ ピア・ゲートウェイが、VPNトラフィックに使用するローカル・ゲートウェイ上のIPをどのように選択するか

VPNには使用可能なインタフェースは 1つしかないので、以下のようになります。

■ リモート・ピアがVPNのローカル・ゲートウェイの IPを検出する方法を指定するには、［Main address］を選択するか、［Selected address from topology table］ドロップダウン・メニューから IPアドレスを選択します。

■ IPアドレスが静的NATデバイスの内側にある場合は、［Statically NATed IP］を選択します。

設定については、170 ページの「メイン IPと単一 IPによるアドレス解決」を参照してください。

DAIP（動的 IP アドレス）を使用するゲートウェイ

DAIPゲートウェイのIPアドレスは事前に確認できないので、DAIPゲートウェイとのVPNトンネルのネゴシエーションは、DNS解決機能を使用している場合にのみ開始できます。ピア・ゲートウェイは、ホスト名を使用してDAIPゲートウェイの IPアドレスを解決できます。ホスト名は、［Link Selection］ページに入力できます。また、［global properties］ページから取得できます。DNS解決を使用しない場合、DAIPゲートウェイでは接続の開始のみ実行できます。2番目の接続は、DAIPゲートウェイの IPアドレスが変更されるまでは、ピア・ゲートウェイによって接続を確立できます。

設定については、171 ページの「DNSルックアップによるアドレス解決」を参照してください。

164

異なる通信先が使用する複数の IP アドレスがあるゲートウェイ

異なる通信先が使用する複数の IP アドレスがあるゲートウェイ

このシナリオでは、ローカル・ゲートウェイに 2つの異なるインタフェースからのポイント・ツー・ポイント接続があります。各インタフェースは、異なるリモートの通信先によって使用されます。

図 11-3 異なる通信先が使用する複数の IP アドレスがある場合

図 11-3では、ローカル・ゲートウェイには、VPNに使用する IPアドレスが 2つあります。1つのインタフェースはピア・ゲートウェイAとのVPNに使用され、もう 1つのインタフェースはピア・ゲートウェイBとのVPNに使用されます。

ピア・ゲートウェイがローカル・ゲートウェイの IPを検出する方法を判定するには、ワンタイム・プロービングを有効にします。それぞれのピア・ゲートウェイに使用できる IPが1つしかないため、プロービングを1度実行するだけで済みます。

171 ページの「プロービングによるアドレス解決」を参照してください。

1 つの外部インタフェースと静的 NAT デバイスの内側に 1 つのインタフェースがあるゲートウェイ

このシナリオでは、ローカル・ゲートウェイにはVPNに使用できる外部インタフェースが 2つあります。インタフェースAのアドレスは、NATデバイスを使用して変換されます。

第 11 章 リンク選択 165

ODL（オンデマンド・リンク）

図 11-4 ローカル・ゲートウェイが NAT デバイスの後方にある場合

ピア・ゲートウェイがローカル・ゲートウェイの IPを検出する方法を判定するには、継続

プロービングを有効にします。静的NAT IPアドレスをプローブするには、［Probing Settings］ウィンドウの［Probe the following addresses］リストに、そのアドレスを追加する必要があります（171 ページの「プロービングによるアドレス解決」を参照）。

ODL（オンデマンド・リンク）

ルート・ベース・プロービングでは、すべてのプライマリ・リンクで障害が発生した場合に起動されるODLを使用できます。障害が検出されると、ODLを起動して該当するルーティング情報を変更するカスタム・スクリプトが実行されます。ODLの本来の機能を考えると、ODLのメトリックは、設定された 小値よりも大きく設定する必要があります。

図 11-5 ODL（オンデマンド・リンク）

166

1 つの外部インタフェースと静的 NAT デバイスの内側に 1 つのインタフェースがあるゲートウェイ

図 11-5では、ゲートウェイには2つの外部リンクがあります。1つは ISP用で、もう1つはISDNダイヤルアップ用です。どちらもインターネットに接続できます。

図 11-5に示したゲートウェイの場合、ルート・ベース・プロービング・メカニズムによって、オンデマンド以外のすべてのリンクにプロービングが実施され、メトリックが 小のアクティブなリンクが選択されます。優先度の高いリンクがすべて使用不可能になると、オンデマンド・リンクをアクティブにするスクリプトが実行されます。リンクが復旧すると、シャットダウン・スクリプトが実行され、ISPのリンクを使用して接続が続行されます。

173 ページの「オンデマンド・リンクの設定」を参照してください。

リンク選択と ISP の冗長性

ISPの冗長性によって、冗長な ISP接続を使用して、1つまたはクラスタリングした複数のVPN-1 Proゲートウェイでインターネットへ接続できるので、インターネット接続の信頼性を高めることができます。標準的なVPNの機能として、以下の 2つの操作モードがあります。

■ 負荷共有モードでは、両方の ISPに接続して、発信接続の負荷を ISP間で共有します。新しい接続は、ランダムにリンクに割り当てられます。一方のリンクに障害が発生した場合は、新しいすべての発信接続はアクティブなリンクに転送されます。この設定では、接続の可用性を維持すると同時に、WANの帯域幅を効果的に増やすことができます。この効果は、ファイアウォール・トラフィックに限られます。VPNトラフィックの場合は、この方式によって冗長性が得られます。

■ プライマリ /バックアップ・モードでは、プライマリ・リンクを通じて ISPに接続し、プライマリ ISPリンクに障害が発生した時点でバックアップ ISPに切り替えます。プライマリ・リンクが復旧すると、新しい発信接続はプライマリに割り当てられ、既存の接続はそれが完了するまでバックアップ・リンク側で続行されます。

［ISP Redundancy］ウィンドウで設定した値はデフォルトで［Link Selection］ページに適用され、既存の設定は上書きされます。［Primary/Backup］を設定した場合、この設定は［LinkSelection］設定に反映されます。ISPの冗長性については、『ファイアウォールとSmartDefense』の「ISPの冗長性」を参照してください。

注： オンデマンド・リンクは、1つのRDPセッションを使用して、1度だけプローブされます。

したがって、オンデマンド・リンク間のフェイルオーバーはサポートされません。

第 11 章 リンク選択 167

リンク選択と ISP の冗長性

図 11-6 複数の ISP にリンクするローカル・ ゲートウェイ

図 11-6の場合、ローカル・ゲートウェイには ISP AとBへのリンクがあり、両方の ISPがインターネット接続を提供しています。

［VPN］>［Topology］>［ISP Redundancy］ウィンドウで、適切な設定を行います。［ISPRedundancy］を設定した場合、［Link Selection］ページのデフォルトは、［Use ongoing probing］になります。ただし、リンク選択でプローブされるのは、［ISP Redundancy］ウィンドウに指定した ISPだけです。この設定により、ゲートウェイ・インタフェースの1つが接続不能になっても、VPNトンネルの接続フェイルオーバーが可能になります。

リンク選択に対して異なる設定が必要となる場合もあります。

168

1 つの外部インタフェースと静的 NAT デバイスの内側に 1 つのインタフェースがあるゲートウェイ

図 11-7 2 つの ISP と 2 つのゲートウェイ

このシナリオの場合、以下のように設定されています。

■ ゲートウェイA、B、Cには 2つの ISPがあります。

■ ［ISP Redundancy］がゲートウェイAで設定されています。

■ ゲートウェイAは、ゲートウェイBに接続するために ISP 1を使用し、ゲートウェイCに接続するために ISP 2を使用する必要があります。どちらかの ISPが使用不能になった場合は、もう一方の ISPを使用します。

図 11-7では、ゲートウェイAの管理者は以下の 3つの操作を行う必要があります。

■ ［ISP Redundancy］ウィンドウの［Apply settings to VPN traffic］ボックスをオフにします。

■ ［Link Selection］ウィンドウで、［Outgoing Route Selection］を［Route Based Probing］に変更します。

■ ピア・ゲートウェイBに対して ISP 1の優先度が 高になり、ピア・ゲートウェイCに対して ISP 2の優先度が 高になるように、ルーティング・テーブルを設定します。

このシナリオの場合、リモート・ピア・ゲートウェイによって異なる ISPが使用されるため、負荷分散が実現します。リモート・ピア・ゲートウェイが多数ある場合、ピア・ゲートウェイのグループごとに、優先的に使用する ISPを個別に設定できます。

第 11 章 リンク選択 169

旧バージョンとの互換性解決メカニズム

旧バージョンとの互換性解決メカニズム

NGX以前のゲートウェイと接続する場合、［Early Versions Compatibility］解決メカニズムによって、リンク選択方式が調整されます。

以前のバージョンでは使用できないリンク選択方式でNGXゲートウェイを設定した場合、NGX 以前のゲートウェイは、接続に使用する IP アドレスを解決できません。［EarlyVersions Compatibility］解決メカニズムを設定すると、NGXゲートウェイの IPアドレスを解決できるように、NGX以前のゲートウェイで使用できる解決方式が割り当てられます。174 ページの「旧バージョンとの互換性解決メカニズムの設定」を参照してください。

リンク選択の設定

このセクションの構成

リンク選択は、［VPN］>［Link Selection］ウィンドウで、ゲートウェイごとに設定します。

メイン IP と単一 IP によるアドレス解決

リモートVPNピアが、ゲートウェイのメイン IPアドレス、またはVPNトラフィック用に予約された単一 IPアドレスに接続する必要がある場合、ゲートウェイ・オブジェクトの

［VPN］>［Link Selection］ページで、以下のいずれかを選択します。

■ Main address（ゲートウェイ）

■ Selected address from topology table（ドロップダウン・メニューから IPアドレスを選択します）

■ Statically NATed IP（必要な IPアドレスを入力します）

メイン IP と単一 IP によるアドレス解決 170 ページ

DNS ルックアップによるアドレス解決 171 ページ

プロービングによるアドレス解決 171 ページ

発信ルート選択の設定 172 ページ

応答トラフィックの設定 172 ページ

送信元 IP アドレスの設定 172 ページ

オンデマンド・リンクの設定 173 ページ

旧バージョンとの互換性解決メカニズムの設定 174 ページ

発信リンクのトラッキング 175 ページ

170

DNS ルックアップによるアドレス解決

DNS ルックアップによるアドレス解決

リモートVPNピアで、DNSルックアップによってローカル・ゲートウェイの IPアドレスを解決する必要がある場合、以下のようにします。

1 ゲートウェイ・オブジェクトの［VPN］>［Link Selection］ページで、［Use DNS resolving:］を選択します。

検索されるFQDN（完全修飾ドメイン名）は、このページで設定するか、［Global Properties］から取得できます。

■ Full hostname - ゲートウェイのFQDN、たとえばwww.checkpoint.comを入力します（検索されるDNSサーバではありません）。WWWはホスト、checkpointは第 2レベルのドメイン、.comはトップレベルのドメインです。

■ Derived from global properties - この方式を選択した場合、ホスト名はゲートウェイの［General Properties］ページから取得され、ドメイン名は［Global Properties］>

［VPN］ページから取得されます。

プロービングによるアドレス解決

リモート・ピアで、RDPプロービングによってローカル・ゲートウェイの IPアドレスを解決する必要がある場合、以下のようにします。

1 ゲートウェイ・オブジェクトの［VPN］>［Link Selection］ページで、［Use a probing method］を選択します。

2 ［Using ongoing probing］または［Using one time probing］を選択します。［Configure...］をクリックします。

［Probing Settings］ウィンドウが開きます。

以下のいずれかを選択します。

■ Probe all addresses defined in the topology tab■ Probe the following addresses

第 11 章 リンク選択 171

リンク選択の設定

リモート・ピアは、使用可能なすべてのインタフェースをプローブしたり、リストに手動で定義された IPアドレスだけをプローブしたりできます。静的にNATで割り当てた IPアドレス（［topology］タブで設定したインタフェースには割り当てられていない）は、手動で定義される IPリストに追加できます。

ほかのインタフェースに対する優先度をインタフェースに設定するのは、ワンタイム・プロービングまたは継続プロービングによって IPを解決するゲートウェイの場合だけです。

［Primary Address］を選択して、ドロップダウン・ボックスからインタフェースを選択します。

発信ルート選択の設定

発信ルート選択は、［VPN］>［Link Selection］ウィンドウで、ゲートウェイごとに設定します。

発信トラフィックのインタフェースを選択する方式を選択するには、以下のいずれかを選択します。

■ Operating system routing table。優先度が 高のリンクを使用します。

■ Route based probing。すべてのリンクをプローブして、優先度が 高のアクティブなリンクでトラフィックを送信します。

応答トラフィックの設定

［Link Selection］ページで、以下の手順に従います。

1 ［Setup］をクリックします。

2 以下のいずれかを選択します。

■ Use outgoing traffic configuration（デフォルト）。［Outgoing Route Selection］セクションでの設定を使用します。

■ Reply from the same interface。発振元のインタフェースと次のホップにトラフィックを返信します。

送信元 IP アドレスの設定

［Link Selection］ページで、以下の手順に従います。

1 ［Source IP address settings...］をクリックします。

2 以下のいずれかを選択します。

■ Automatic (derived from the method of IP selection by remote peer)（デフォルト） - 発信トラフィックの送信元 IPアドレスは、［IP Selection by Remote Peer］セクションで選択した方式によって取得されます。

■ Manual

■ Main IP address - 送信元 IP は、ゲートウェイの［General Properties］ページから取得されます。

172

オンデマンド・リンクの設定

■ Selected address from topology table - ドロップダウン・メニューから選択した IPが送信元 IP になります。

■ IP address of chosen interface - 送信元 IP は、トラフィックがルーティングされているインタフェースの同じ IP です。

IKEセッションに応答する場合は、Dbeditを使用して reply_from_same_IP（デフォルト： true）属性を設定し、［Source IP address settings］ウィンドウの設定に従うか、同じ IPから応答します。trueに設定すると、同じ IPアドレスが使用されます。falseに設定すると、IPアドレスが［Source IP address settings］ウィンドウから取得されます。

オンデマンド・リンクの設定

オンデマンド・リンクを有効にできるのは、［Route Based Probing］を設定した場合だけです。編集するプロパティは以下のとおりです。

オンデマンド・リンク・コマンドは、データベース・ツールDBeditを使用して、プロパティを変更することで設定します。

また、コマンドuse_on_demand_linksとon_demand_metric_minを以下のように設定できます。

1 SmartDashboard で、［Policy］>［Global Properties］>［SmartDashboard Customization］>［Configure］をクリックします。

2 ［VPN Advanced Properties］ツリーを展開して、［Link Selection］ページをクリックします。

表 11-1 ODL の設定

プロパティ 説明

use_on_demand_links オンデマンド・リンクを有効にします（デフォルト： FALSE）。

on_demand_metric_min オンデマンド・リンクに対して、 小のメトリック・レベルを定義します。リンクがオンデマンドとみなされるのは、メトリックが設定した 小メトリック以上の場合だけです。

on_demand_initial_script このプロパティには、オンデマンド・スクリプトの名前を指定します。このスクリプトは、オンデマンド以外のすべてのルートが応答しなくなったときに実行されます。このスクリプトは $FWDIR/confディレクトリに配置します。

on_demand_shutdown_script このスクリプトは、障害が発生したリンクが使用可能になると実行されます。このスクリプトは $FWDIR/confディレクトリに配置します。

第 11 章 リンク選択 173

リンク選択の設定

3 ［use_on_demand_links］チェック・ボックスをオンにして、オンデマンド・リンクを有効にします。

4 on_demand_metric_min コマンドの横にあるオンデマンド・リンクに対して 小のメトリック・レベルを設定します。

旧バージョンとの互換性解決メカニズムの設定

SmartDashboardで、以下の手順に従います。

1 ［Policy］>［Global Properties］>［VPN］>［Early Versions Compatibility］をクリックします。

2 NGX 以前のゲートウェイで IP アドレスを解決するためにトポロジ計算を使用する必要がある場合、［Static calculation based on network topology］を選択します。

3 ［Dynamic interface resolving mechanism］を選択して、表 11-2 に示す方式のいずれかに変換します。

NGXゲートウェイでは、NGX以前のゲートウェイで使用されていた方式が、以下のように「変換」されます。

表 11-2 下位互換性

NGX ゲートウェイの方式 NGX 以前のゲートウェイで使用される方式

Selected address from topology table Ongoing Probing

Statically NATed IP Ongoing Probing

Use DNS resolving Ongoing Probing

Calculate IP based on network topology Main IP

Main IP Main IP

Ongoing Probing Ongoing Probing

One Time Probing One Time Probing

注： プロービングのために手動で IPアドレス・リストを作成した場合、NGX（R60）以前のゲート

ウェイでは、IPアドレス・リストに指定されたアドレスだけではなく、すべての IPアドレスがプローブ

されます。

174

発信リンクのトラッキング

発信リンクのトラッキング

リンク・トラッキングをローカル・ゲートウェイでアクティブにした場合、このゲートウェイは、リモートVPNピア（VPNトンネル）に対して実行した新しい解決結果のログを送信します。動的な継続的解決をリモート・ピアで設定した場合、またはルート・ベース・プロービングをローカル・ゲートウェイでアクティブにした場合、すべての解決の変化に対してログ・エントリが発行されます。

第 11 章 リンク選択 175

リンク選択の設定

176

第 章12

複数エントリ・ポイントVPN

この章の構成

概要

MEP（複数エントリ・ポイント）は、VPN接続に対して高可用性と負荷共有ソリューションを提供する機能です。VPN-1 Pro実施モジュールをインストールしたゲートウェイでは、内部ネットワークに対して1つのエントリ・ポイントが提供されます。このゲートウェイによって、リモート・マシンは内部ネットワークを「使用」できるようになります。したがって、ゲートウェイが使用不能になると、内部ネットワークも使用できなくなります。MEP環境では2つ以上のVPN-1 Proゲートウェイが設定され、同じVPNドメインへのアクセスを有効にして保護します。このため、ピア・ゲートウェイには常にアクセスが保証されます。

概要 177 ページ

明示的MEP 179 ページ

暗黙的MEP 187 ページ

返信パケットのルーティング 190 ページ

MEPの設定 191 ページ

177

概要

MEPまたはクラスタリングを使用したVPNの高可用性

MEPとクラスタリングは両方とも高可用性と負荷共有を実現する方法です。ただし、以下のような違いがあります。

■ ClusterXL Gateway Clusterのメンバとは異なり、MEPゲートウェイの場所には物理的な制約がありません。MEPゲートウェイは、地理的に離れているマシンでもかまいません。VPN-1 Proクラスタの場合、クラスタに組み込むゲートウェイは同じ場所に設置して、syncインタフェースで直接的に接続する必要があります。

■ MEPゲートウェイは、異なるSmartCenterサーバで管理できますが、クラスタ・メンバは同じSmartCenterサーバで管理する必要があります。

■ MEP設定の場合、MEPゲートウェイ間では「状態の同期」が実行されません。VPN-1 Proクラスタの場合は、すべてのゲートウェイで、内部ネットワークの全接続の「状態」が確認されています。ゲートウェイの 1つに障害が発生すると、接続はシームレスに別のゲートウェイに移行され（フェイルオーバーの実行）、接続は続行されます。MEP設定の場合、ゲートウェイに障害が発生すると、その時点の接続が失われて、バックアップ・ゲートウェイの 1つによって次の接続が確立されます。

■ MEP環境では、どのゲートウェイを使用するかという判断は、リモート サイトの側で行われます。一方、クラスタの環境では、この判断はゲートウェイ側で行われます。

機能の仕組み

MEPは、独自のプロービング・プロトコル（PP）によって実装されます。このプロトコルは、特別なUDP RDPパケットをポート 259に送信して、IP通信が可能かどうかを確認します。このプロトコルはチェック・ポイントの独自技術であり、RFC 908/1151に規定されたRDPには準拠していません。

リモートVPN-1 Proのピアは、すべてのMEPゲートウェイに対して継続的にプロービングやポーリングを行い、稼動しているゲートウェイを検出して設定された選択メカニズムに従ってゲートウェイを選択します。RDPパケットは常に送信されているので、全ゲートウェイのステータスが常に確認されており、変化が生じたときにはステータス情報がすぐに更新されます。こうして、「稼動中」のすべてのゲートウェイの情報を把握できます。

MEPを実装するには、以下の 2つの方法があります。

■ 明示的MEP - 複数のセンター・ゲートウェイを持つスター・コミュニティのみが明示的MEPを使用でき、ゲートウェイの内側にあるネットワークに複数のエントリ・ポイントを提供します。可能な場合は、明示的MEPをお勧めします。

注： これらのUDP RDPパケットは暗号化されず、ピアの可用性のテストのみを実行します。

178

機能の仕組み

■ 暗黙的MEP - 全体的または部分的に重複する暗号化ドメインが存在する環境、またはプライマリ -バックアップ・ゲートウェイを設定した環境では、すべてのシナリオで暗黙的MEPがサポートされます。NGX（R60）以前のバージョンですでに暗黙的MEPを設定していた場合、アップグレードしても以前の設定がそのまま維持されます。

明示的MEPサイト間のスター VPNコミュニティの場合、明示的MEPはコミュニティ・オブジェクトを通じて設定します。MEPを有効にすると、サテライトは、すべてのゲートウェイの「統一された」VPNドメインを各ゲートウェイのVPNドメインであるとみなします。この統一されたVPNドメインは、図 12-1に図示するように、各ゲートウェイのVPNドメインと考えられます。

図12-1 統一された暗号化ドメイン

図 12-1のスターVPNコミュニティには、2つのセンター・ゲートウェイM1、M2と（MEPは有効化）、3つのサテライト・ゲートウェイS1、S2、S3があります。S2がホスト 1（M1とM2の内側にある）との接続を確立する場合、セッションはM1またはM2のいずれかを通じて開始されます。MEPゲートウェイ内での優先度は、MEPのエントリ・ポイント選択メカニズムによって決定されます。

第12章 複数エントリ・ポイントVPN 179

明示的MEP

選択されたエントリ・ポイントがM2であり、これが使用できなくなった場合、ホスト 1への接続はM1へフェイルオーバーされます。返信パケットは、RIMまたは IPプールNATによってルーティングされます。返信パケットの詳細については、190 ページの「返信パケットのルーティング」を参照してください。

接続のエントリ・ポイントとして使用するゲートウェイを選択するには、以下の 4つの方法があります。

■ Select the closest gateway to source (First to respond)■ Select the closest gateway to destination (By VPN domain)■ Random Selection (for Load distribution)■ Manually set priority list (MEP rules)

［By VPN domain］または［Manually set priority list］を選択する場合は、［Advanced］オプションで詳細を設定します。

MEPの選択方式■ First to Respond。この方式では、ピア・ゲートウェイに 初に応答したゲートウェイ

が選択されます。たとえば、MEP設定としてLondonとNew Yorkに 1つずつゲートウェイがある場合、このオプションを選択します。EnglandにあるVPN-1 ProピアがLondonのゲートウェイに 初に接続を試行し、次にNew Yorkのゲートウェイに接続を試行することは合理的です。Londonのゲートウェイは、EnglandのVPN-1 Proピアに対して地理的に近いので、Londonのゲートウェイが 初に応答し、これが内部ネットワークのエントリ・ポイントになります。「First to Respond」を参照してください。

■ By VPN domain。この方式では、送信先 IPが特定のVPNドメインに属している場合に、そのドメインのゲートウェイがエントリ・ポイントとして選択されます。このゲートウェイはプライマリ・ゲートウェイとなり、MEP設定のほかのゲートウェイはバックアップ・ゲートウェイになります。「By VPN Domain」を参照してください。

■ Random Selection。この方式では、VPN接続を確立するために、リモートVPN-1 Proピアによってゲートウェイがランダムに選択されます。一組の発信元 /宛先 IPアドレスごとに、新しいゲートウェイがランダムに選択されます。組織内に同じ性能を持つマシンが複数ある場合があります。このような場合、負荷分散を有効にすると合理的です。マシンは、ランダムに等しく使用されます。「Random Selection」を参照してください。

■ Manually set priority list。この方式では、コミュニティ全体または個々のサテライト・ゲートウェイに対して、ゲートウェイの優先度を手動で設定できます。「Manually Set Priority List」を参照してください。

180

MEPの選択方式

First to Respond

プライマリ・ゲートウェイがない場合、すべてのゲートウェイは「同じ優先度」になります。図 12-2のようにすべてのゲートウェイが「同じ優先度」になる場合、以下の処理が実行されます。

■ リモートVPN-1 Proピアが、MEP設定に含まれるすべてのゲートウェイにRDPパケットを送信します。

■ プローブするRDPパケットに応答した 初のゲートウェイが、ネットワークへのエントリ・ポイントとして選択されます。First to Respond（ 初の応答）の基本概念は、「地理的な近さ」です。リモートVPN-1 Proピアに「 も近い」ゲートウェイが

初に応答します。

■ VPNトンネルは、 初に応答したゲートウェイとの間で確立されます。それ以降のすべての接続には、選択されたゲートウェイが使用されます。

■ ゲートウェイが応答しなくなった場合は、新しいゲートウェイが選択されます。

図12-2 プライマリがなく、優先度が等しい場合

第12章 複数エントリ・ポイントVPN 181

明示的MEP

By VPN Domain

MEP を有効にする前、各 IP アドレスは特定のVPN ドメインに属しています。［By VPNDomain］を使用すると、そのドメインのゲートウェイがエントリ・ポイントとして選択されます。図 12-3 の場合、スター VPN コミュニティは、2 つのMEP センター・ゲートウェイ（M1とM2。両方とも独自のVPNドメインがある）と、1つのリモート・サテライトS1で構成されています。

図12-3 By VPN domain

ホスト 2（サテライトS1のVPNドメインにあります）は、ホスト 1との接続を開始します。接続は、M1でもM2でも確立できます。ただし、ホスト 1はM2の元のVPNドメインに含まれています。このため、M2は送信先 IPアドレスに「 も近い」ゲートウェイであるとみなされます。したがって、ホスト 1 に対して、M2 はプライマリ・ゲートウェイであると判断され、M1はバックアップ ゲートウェイであると判断されます。中央に追加のゲートウェイがある場合は、これらのゲートウェイもM2のバックアップ・ゲートウェイとみなされます。

182

MEPの選択方式

VPNドメインが全体的または部分的に暗号化ドメインと重複している場合、ネットワークに対して「 も近い」エントリ・ポイントとして、複数のゲートウェイが選択されます。この結果として、複数のゲートウェイが「プライマリ」であるとみなされます。使用可能なプライマリ・ゲートウェイまたはバックアップ・ゲートウェイが複数ある場合、ゲートウェイは追加的な選択メカニズムによって選択されます。この詳細な選択メカニズムは、以下のいずれかです（186 ページの「詳細設定」を参照）。

■ First to Respond■ Random Selection (for load distribution)

返信パケットには、センター・ゲートウェイでRIMを使用できます。RIMも有効な場合は、専用回線に対して、VPNトンネルよりも低い優先度でメトリックを設定します。サテライトS1は、MEPゲートウェイとの間で、同時に複数のVPNトンネルを確立できます。たとえば、ホスト 1のエントリ・ポイントとしてM2を選択し、ホスト 3のエントリ・ポイントとしてM1を選択することができます。M1とM2の両方でホスト 1とホスト 3への接続を確立しますが、低い優先度でメトリックを設定しているため、専用回線が使用されるのは、ゲートウェイの 1つがダウンした場合に限られます。

Random Selection

この方式では、着信トラフィックのエントリ・ポイントとして、異なるゲートウェイがランダムに選択されます。使用可能なすべてのゲートウェイに着信トラフィックを等しく分散するため、1つのゲートウェイに大量の着信トラフィックが集中することを防止できます。

ほかのすべてのMEP設定と同様に、ゲートウェイはRDPパケットによってプローブされ、応答するゲートウェイのリストが作成されます。ゲートウェイは、応答するゲートウェイのリストからランダムに選択されます。ゲートウェイが応答しなくなると、別のゲートウェイが選択されます（ランダムに）。

一組の発信元 /宛先 IPごとに、新しいゲートウェイがランダムに選択されます。発信元 /宛先 IPが変わらない場合、接続は選択されたゲートウェイで継続されます。

この設定では、RIMはサポートされません。IPプールNATを有効にして、返信パケットが選択されたゲートウェイで適切にルーティングされるようにする必要があります。

第12章 複数エントリ・ポイントVPN 183

明示的MEP

Manually Set Priority List

中核的なネットワークへのエントリ・ポイントとして選択されるゲートウェイ（スター・コミュニティのセンター・ゲートウェイから）は、発信元ゲートウェイごとに優先度を手動で設定して制御できます。図 12-4に示すように、それぞれの優先度によってMEPルールが設定されます。

図12-4 MEPルール

図 12-4 の場合、3つのMEPメンバ（M1、M2、M3）が、3つのサテライト・ゲートウェイ（S1、S2、S3）に対して、ネットワークのエントリ・ポイントとなっています。サテライトS1を、M1、M2、M3の順でゲートウェイを選択するように設定できます。この場合、M1に も高い優先度が与えられ、M3に も低い優先度が与えられます。サテライトS2を、M2、M3（M1は選択しません）の順にゲートウェイを選択するように設定できます。

図 12-5に示すように、［MEP manual priority list］ウィンドウでは、これらの各優先度によって、MEPルールを構成します。

184

MEPの選択方式

図12-5 MEPルール

［MEP manual priority list］ウィンドウは、デフォルト・ルールと、デフォルト・ルールへの例外となるルールに分割されています。デフォルトMEPルールが適用されるのは、以下の場合です。

■ MEPルールが定義されていない場合

■ ［Exception priority rules］セクションに接続の発信元が見つからない場合

［Exception priority rules］セクションには、第 1、第 2、第 3の 3つの優先度レベルがあります。優先度レベルはこの 3つしかありませんが、以下のように設定できます。

■ 同じ優先度を複数のセンター・ゲートウェイに割り当てることができます。

■ 同じルールを複数のサテライト・ゲートウェイに割り当てることができます。

■ 優先度レベルを空白にできます。

図 12-6に示した第 2のMEPルールの場合、センター・ゲートウェイM3とM1は、優先度を持っています。同じルールがサテライトS2とS3に適用されます。

図12-6 MEPルールの例

第12章 複数エントリ・ポイントVPN 185

明示的MEP

複数のゲートウェイに同じ優先度を割り当てている場合、［Advanced］設定に従ってゲートウェイが選択されます。186 ページの「詳細設定」を参照してください。

詳細設定

中央で複数のゲートウェイが使用可能になっており、これらの間の優先度が明確ではない場合があります。たとえば、図 12-6の場合は、複数のゲートウェイに「第2」の優先度が割り当てられています。このシナリオでは、［Advanced］オプションから［First to Respond］または［Random Selection」を選択して、ゲートウェイの選択方法を決定します（［RandomSelection］では、ゲートウェイ間で負荷分散を実行できます）。

「manually set priority list」がMEPの選択メカニズムである場合、RIMがサポートされます。

RIMは、「manually set priority list」で設定できます。［Advanced］ボタンで使用できるランダム選択メカニズムは、MEPに使用されるランダム選択メカニズムとは異なるからです。

MEPに使用される「random selection」メカニズムでは、発信元 /宛先 IPの各組に対して、異なるゲートウェイが選択されます。［Advanced］ボタンで使用できるRandom Selectionメカニズムでは、1つのMEPエントリ・ポイントがランダムに選択され、すべての接続にこれが使用されます。発信元 /宛先 IPの各組でゲートウェイが変わることはありません。各サテライト・ゲートウェイにエントリ・ポイントとしてゲートウェイがランダムに割り当てられるので、負荷分散の機能が実現されます。これによって、同時にRIMも有効にできます。

トラッキング

MEPに対してトラッキング・オプションを有効にすると、各サテライト・ゲートウェイで以下の情報がログに記録されます。

■ 選択されたピア・ゲートウェイ（MEP内のゲートウェイ）

■ 選択されたゲートウェイの優先度（第 1、第 2、第 3）■ 選択されたゲートウェイが応答しているかどうか

たとえば、図 12-4に示すシナリオでは、サテライトS1が、ゲートウェイM1、M2、M3があるVPNドメインへの接続を開きます。M1は選択されたピアです。トラッキングを有効にしている場合、ログは以下のようになります。

Resolved peer for tunnel from S1 to the MEP that contains M1, M2, and M3, is: M1 (Primary gateway, responding).

186

MEPの選択方式

暗黙的MEP暗黙的MEPを実装する場合、以下の 3つの実装方式があります。

■ First to Respond。この方式では、ピア・ゲートウェイに 初に応答したゲートウェイが選択されます。たとえば、MEP 設定としてLondon とNew York に 1つずつゲートウェイがある場合、このオプションを選択します。EnglandにあるVPN-1 ProピアがLondonのゲートウェイに 初に接続を試行し、次にNew Yorkのゲートウェイに接続を試行することは合理的です。Londonのゲートウェイは、EnglandのVPN-1 Proピアに対して地理的に近いので、Londonのゲートウェイが 初に応答し、これが内部ネットワークのエントリ・ポイントになります。「First to Respond」を参照してください。

■ プライマリ -バックアップ。この方式では、1つ以上のバックアップ・ゲートウェイによって、プライマリ・ゲートウェイに「高可用性」を実現します。リモートVPN-1 Proピアは、プライマリ・ゲートウェイを使用するように設定されますが、プライマリがダウンした場合にバックアップ・ゲートウェイに切り替えられます。MEP環境に 2台のマシンがあり、一方が高性能である場合に、この設定を使用できます。高性能のマシンをプライマリと設定すると合理的です。また、両方のマシンは性能面で同等で、一方に低コストまたは高速のインターネット接続がある場合も有効です。この場合、インターネット接続が優れているマシンをプライマリとして設定します。

「プライマリ -バックアップ・ゲートウェイ」を参照してください。

■ 負荷分散。この方式では、接続を確立するために、リモートVPN-1 Proピアによってゲートウェイがランダムに選択されます。一組の発信元 /宛先 IPアドレスごとに、新しいゲートウェイがランダムに選択されます。組織内に同じ性能を持つマシンが複数ある場合があります。このような場合、負荷分散を有効にすると合理的です。マシンは、ランダムに等しく使用されます。「Random Selection」を参照してください。

暗黙的MEPがサポートされるのは、暗号化ドメインが重複している複数のゲートウェイが同じコミュニティにある場合です。ゲートウェイが異なるコミュニティにある場合は、暗号化ドメインには 1つのゲートウェイしか使用されません。

First to Respond

プライマリ・ゲートウェイがない場合、すべてのゲートウェイは「同じ優先度」になります。すべてのゲートウェイが「同じ優先度」の場合、以下のようになります。

■ リモートVPN-1 Proピアが、MEP設定に含まれるすべてのゲートウェイにRDPパケットを送信します。

■ プローブするRDPパケットに応答した 初のゲートウェイが、ネットワークへのエントリ・ポイントとして選択されます。First to Respond（ 初の応答）の基本概念は、「地理的な近さ」です。リモートVPN-1 Proピアに「 も近い」ゲートウェイが

初に応答します。

注： NGX（R60）以前のバージョンですでに暗黙的MEPを設定していた場合、アップグレードしても

以前の設定がそのまま維持されます。

第12章 複数エントリ・ポイントVPN 187

暗黙的MEP

■ VPNトンネルは、 初に応答したゲートウェイとの間で確立されます。それ以降のすべての接続には、選択されたゲートウェイが使用されます。

■ ゲートウェイが応答しなくなった場合は、新しいゲートウェイが選択されます。

スター・コミュニティでは、以下の条件が両方とも満たされた場合に限り、RDPパケットがゲートウェイに送信されて、 初に応答したゲートウェイがルーティングに使用されます。

1 複数のセンター・ゲートウェイがある。

2 以下のVPNルーティング・オプションのいずれかが選択されている。■ To center and to other satellites through center■ To center, or through the center to other satellites, to internet and other VPN targets

図12-7 暗黙的MEP

このシナリオの場合、以下のように設定されています。

■ MEPはコミュニティで有効になっていません。

■ First to Respond方式が使用されています。

■ ゲートウェイXはゲートウェイAを通じてVPNドメインAにアクセスします。

■ ゲートウェイXはゲートウェイBを通じてVPNドメインBにアクセスします。

■ ゲートウェイXはゲートウェイAまたはBを通じてVPNドメインCにアクセスします。

スター・コミュニティでは、以下の条件が両方とも満たされた場合、RDPパケットがゲートウェイに送信されて、 初に応答したゲートウェイがルーティングに使用されます。

1 複数のセンター・ゲートウェイがある。

2 以下のVPNルーティング・オプションのいずれかが選択されている。■ To center and to other satellites through center■ To center, or through the center to other satellites, to internet and other VPN targets

188

MEPの選択方式

プライマリ -バックアップ・ゲートウェイ

バックアップ・ゲートウェイによって、プライマリ・ゲートウェイに冗長性が可能になります。プライマリ・ゲートウェイに障害が発生した場合、接続はバックアップに移行されます。

図 12-8では、 初のゲートウェイを「プライマリ」として設定し、第 2のゲートウェイを「バックアップ」として設定しています。バックアップ・ゲートウェイは、プライマリのVPNドメイン全体を継承します。何らかの理由によってプライマリ・ゲートウェイが使用できなくなると、リモートVPN-1 Proピアはリンクがダウンしたことを検出して、バックアップ・ゲートウェイへ通信を移行します。既存の接続内でのフェイルオーバーはサポートされません。その時点の接続は失われます。

プライマリ・ゲートウェイが復旧した場合、通信中の接続はそのままバックアップ・ゲートウェイを通じて継続され、新しい接続からプライマリ・ゲートウェイが使用されます。

図12-8 プライマリ・ゲートウェイを定義したMEP設定

負荷分散

1つのゲートウェイに接続の過剰な負担がかかることを防止するため、接続をすべてのゲートウェイで均等に共有して、負荷を分散することができます。すべてのゲートウェイに同じ優先度（プライマリなし）を設定し、同じVPNドメインに対してMEPを設定した場合、ゲートウェイ間で負荷を分散できます。ほかのすべてのMEP設定と同様に、ゲートウェイはRDPパケットによってプローブされ、応答するゲートウェイのリストが作成されます。ゲートウェイは、応答するゲートウェイのリストからランダムに選択されます。ゲートウェイが応答しなくなると、新しいゲートウェイが選択されます（ランダムに）。

一組の発信元 /宛先 IPごとに、新しいゲートウェイがランダムに選択されます。発信元 /宛先 IPが変わらない場合、接続は選択されたゲートウェイで継続されます。

注： プライマリ -バックアップ・ゲートウェイの選択方式を使用する場合、暗号化ドメインを重複させ

ることはできません。

第12章 複数エントリ・ポイントVPN 189

返信パケットのルーティング

返信パケットのルーティング

返信パケットを正しくルーティングするために、MEP設定のゲートウェイは、以下のいずれかを使用できます。

■ IPプールNAT（静的NAT）■ RIM（Route Injection Mechanism）

IPプールNAT（Network Address Translation）

IPプールNATはNATの一種ですが、リモートVPNドメインから取得した送信元 IPアドレスが、登録された IPアドレス・プールから取得した IPアドレスにマッピングされます。MEP設定のゲートウェイを使用して対称型のセッションを維持するため、MEP設定のゲートウェイは IPアドレス範囲を使用してNATを実行します。この IPアドレス範囲は、そのゲートウェイ専用の範囲であり、内部ネットワーク内で発信元のゲートウェイにルーティングされます。返信パケットがゲートウェイに到達すると、ゲートウェイは元の送信元 IPアドレスを復元して、発信元にパケットを転送します。

RIM

RIM（Route Injection Mechanism）によって、VPN-1 Pro ゲートウェイはダイナミック・ルーティング・プロトコルを使用して、VPN-1 Proピア・ゲートウェイの暗号化ドメインを内部ネットワークに通知できます。VPNトンネルが作成されると、RIMはVPN-1 Proゲートウェイのローカル・ルーティング・テーブルを更新して、VPN-1 Proピアの暗号化ドメインを追加します。

MEP設定のゲートウェイへのトンネルがダウンした場合、ゲートウェイは、自身のローカル・ルーティング・テーブルからその「返信ルート」を削除します。この変更はゲートウェイの後方にあるルータに配布されます。

RIM は、ローカル・ルーティング・テーブルの更新にはゲートウェイの機能を使用し、ゲートウェイの後方にあるネットワークへの変更の配布にはダイナミック・ルーティング・プロトコルを使用しています。変更の配布にダイナミック・ルーティング・プロトコルを使用できない場合、ゲートウェイでRIMを有効にしても意味がありません。

MEPを有効にした場合、コミュニティ全体に対して永続的なトンネルが有効になっている場合にのみ、RIMを有効にできます。MEP設定では、First to Respond、Manual set prioritylist、By VPN domainメカニズムを使用している場合に、RIMを使用できます。 初の 2つの選択方法の場合、サテライト・ゲートウェイ側からは、1つのトンネルでこれらに接続しているように、センター・ゲートウェイが統一された環境に「見えます」。したがって、選択されたMEPゲートウェイだけがルートを追加できます。By VPN domainのMEPでは、すべてのMEPゲートウェイがルートを追加できます。この環境では、MEPゲートウェイの後方にあるルータを正しいゲートウェイにパケットを返信するように設定する必要があります。

エントリ・ポイントの選択メカニズムがRandom Selectionである場合、RIMは使用できません。

RIMの詳細については、135 ページの「ルート挿入メカニズム」を参照してください。

190

MEPの選択方式

特別な考慮事項

1 センター・ゲートウェイの 1つが外部で管理されるゲートウェイである場合、以下のようになります。

■ センター・ゲートウェイのVPNドメインは、外部管理ゲートウェイによって自動的に継承されません。

■ RIM設定は、自動的にダウンロードされません。

2 VPN-1 Edgeゲートウェイは、MEPゲートウェイとして設定できませんが、MEP設定のゲートウェイには接続できます。

3 DAIPゲートウェイをMEPゲートウェイとして設定するには、DNS解決が必要です。

MEPの設定

MEPを設定するには、以下の項目を決定してください。

1 MEPの方式

■ 明示的MEP - 179 ページの「明示的MEP」を参照してください。

■ 暗黙的MEP - 187 ページの「暗黙的MEP」を参照してください。

2 応答パケットを返信する方式（必要に応じて）

■ IPプールNAT■ RIM - RIMを設定するには、141 ページの「RIMの設定」を参照してください。

第12章 複数エントリ・ポイントVPN 191

MEPの設定

明示的MEPの設定

明示的MEPは、複数のセンター・ゲートウェイが定義されたサイト間スター VPNコミュニティでのみ使用できます。MEPを設定するには、以下の手順に従います。

1 ［Star Community properties］>［Advanced Settings］>［MEP（Multiple Entry Point）］を選択します。［Enable center gateways as MEP］を選択します。

2 エントリ・ポイント・メカニズムを以下から選択します。

■ 初に応答

■ VPNドメイン別

■ ランダム選択

■ 手動による優先度リスト

192

暗黙的MEPの設定

「VPNドメイン別」または「手動設定の優先度リスト」を選択する場合、［Advanced］をクリックして、同じ優先度を持つ複数のゲートウェイから複数のゲートウェイを選択する方法を指定する必要があります。

「手動設定の優先度リスト」を選択する場合、［Set］をクリックして一連のMEPルールを設定します。

3 必要に応じて、トラッキング・オプションを選択します。

暗黙的MEPの設定

重複する暗号化ドメインで 初に応答したゲートウェイ

複数のゲートウェイが同じ（重複する）VPNドメインに接続する場合、リモートVPNピアはこれらのゲートウェイはMEPであると判断し、プロービング・プロトコルに応答した 初のゲートウェイが選択されます。First to Respondを設定するには、すべてのゲートウェイによって共有されるネットワークの部分を 1つのグループとして定義して、このグループをVPNドメインとして割り当てます。

重複するすべての暗号化ドメインを表示するには、vpn overlap_encdomコマンドを使用します。詳細については、461 ページの「VPNコマンドライン・インタフェース」を参照してください。

各ゲートウェイ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。次に、すべてのゲートウェイに対して、VPNドメインを定義します（これらの一部は重複します）。

プライマリ -バックアップ

1 ［Global Properties］ウィンドウを開き、［VPN］>［Advanced］ページで、［Enable Backup Gateway］を選択します。

2 ネットワーク・オブジェクト・ツリーの［Groups］セクションで、バックアップ・ゲートウェイとして機能するゲートウェイのグループを作成します。

3 プライマリ・ゲートウェイとして選択するネットワーク・オブジェクトの［Properties］ウィンドウを開き、［VPN］ページで［Use Backup Gateways］を選択します。そして、ドロップダウン・ボックスからバックアップ・ゲートウェイのグループを選択します。この設定により、このゲートウェイは、特定のVPNドメインのプライマリ・ゲートウェイとして動作します。

第12章 複数エントリ・ポイントVPN 193

MEPの設定

4 バックアップ・ゲートウェイに対してVPNを定義します。バックアップ・ゲートウェイには、独自のVPNドメインがない場合もあります。これらは、単純にプライマリのバックアップとして機能します。バックアップ・ゲートウェイに独自のVPNドメインがない場合、VPNドメインにはそのバックアップ・ゲートウェイだけを組み込む必要があります。

A バックアップ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。

B グループまたはバックアップ・ゲートウェイのみを含むネットワークを選択します。

バックアップにVPNドメインが存在する場合、以下の操作を実行します。

A バックアップ・ゲートウェイの IPアドレスがプライマリのVPNドメインに含

まれていないことを確認します。

B 各バックアップ・ゲートウェイに対して、ほかのバックアップ・ゲートウェイのVPNドメインと重複しないVPNドメインを定義します。

5 必要に応じて、返信パケットを処理する IPプールNATまたはRIMを設定します。IPプールNATを設定するには、194 ページの「IPプールNATの設定」を参照してください。RIMを設定するには、141 ページの「RIMの設定」を参照してください。

負荷分散

1 ［Global Properties］ウィンドウを開き、［VPN］>［Advanced］ページで、［Enable load distribution for Multiple Entry Point configurations (Site to Site connections)］を選択します。このオプションをオンにすると、MEP設定の環境で、MEP設定のゲートウェイがリモートVPN-1 Proピアによってランダムに選択されます。

2 すべてのゲートウェイに対して、同じVPNドメインを定義します。

IPプールNATの設定

IPプールNATを設定するには、以下の手順に従います。

1 ［Global Properties］>［NAT］ページで、［Enable IP Pool NAT］を選択します。

2 アドレスの使用状況、アドレスの割り当て /解放についてのトラッキング・オプションを設定します。

注： プライマリ・ゲートウェイのVPNドメインとバックアップ・ゲートウェイのVPNドメインに、

重複があってはいけません。つまり、両方に属する IPアドレスは存在しません。

194

IPプールNATの設定

3 各ゲートウェイに対して、そのゲートウェイの IPプールNATアドレスを示すネットワーク・オブジェクトを作成します。IPプールとして、ネットワーク、グループ、またはアドレス範囲を指定できます。以下に例を示します。

■ ネットワーク・オブジェクト・ツリーで［Network Objects］ブランチを右クリックし、［New］>［Address Range...］を選択します。［Address Range Properties］ウィンドウが開きます。

■ ［General］タブで、アドレス範囲の 初の IPと 後の IPを入力します。

■ ［OK］をクリックします。ネットワーク・オブジェクト・ツリーの［Address Ranges］ブランチに、新しいアドレス範囲が表示されます。

4 IPプールNAT変換を実行するゲートウェイ・オブジェクトで、［Gateway Properties］ウィンドウを開き、［NAT］>［IP Pool NAT］ページで、以下のいずれかを選択します。

■ ［Allocate IP Addresses］。作成したアドレス範囲を選択します。

■ ［Define IP Pool addresses on gateway interfaces］。このオプションを選択する場合、［Interface Properties］ウィンドウの［IP Pool NAT］タブで、必要なインタフェースごとに IPプールを定義する必要があります。

5 ［IP Pool NAT］ページで、以下のいずれか（またはすべて）を選択します。

■ Use IP Pool NAT for VPN clients connections■ Use IP Pool NAT for gateway to gateway connections■ Prefer IP Pool NAT over Hide NAT

6 ［Advanced...］をクリックします。

■ 未使用のアドレスが IPプールに返却されるまでの待機時間を分単位で指定します。

■ ［OK］を 2回クリックします。

7 各内部ルータのルーティング・テーブルを編集して、NATプールから割り当てられたIPアドレスを持つパケットが適切なゲートウェイにルーティングされるようにします。

第12章 複数エントリ・ポイントVPN 195

MEPの設定

196

第 章13

トラディショナル・モードVPN

この章の構成

トラディショナル・モードVPNについて

シンプル・モードでは、単純でエラーが少なく、より安全性の高いVPNを作成して維持することができます。また、組織のVPNトポロジや、誰と誰が通信できるのかを簡単に理解できます。さらにVPNルーティングなどの新しいVPN機能は、シンプル・モードのセキュリティ・ポリシーのみでサポートされます。

ただし、大規模なVPN導入環境で複雑なネットワークを使用している組織の場合は、ポリシーをシンプル・モードに移行できるまで、既存のVPN定義を維持してトラディショナル・モードを継続して使用することを選択できます。

トラディショナル・モードVPNをシンプル・モードに変換する方法については、465 ページの「旧来のポリシーからコミュニティ・ベースのポリシーへの変換」を参照してください。

トラディショナル・モードVPNについて 197 ページ

VPNドメインと暗号化ルール 198 ページ

VPNプロパティの定義 199 ページ

内部管理および外部管理されるゲートウェイ 199 ページ

VPN作成の考慮事項 200 ページ

トラディショナル・モードVPNの設定 200 ページ

197

VPNドメインと暗号化ルール

VPNドメインと暗号化ルール

図 13-1では、ゲートウェイ間のVPNと、各ゲートウェイのVPNドメインを示しています。Net_AとNet_Bは、ゲートウェイ 1のVPNドメイン、Net_Dはゲートウェイ 2のVPNドメイン、Net_Eはゲートウェイ 3のVPNドメインです。

図13-1 ゲートウェイ間のVPNと各ゲートウェイの暗号化（VPN）ドメイン

表 13-1に、VPNをルール内で実装する方法を示します。VPNトラディショナル・モードでは、暗号化ルール・アクションが定義された1つのルールで、アクセス制御と暗号化の両方に対応します。

暗号化ルールに一致する接続は、ポリシーを適用するゲートウェイによって、暗号化

（または復号化）されて転送されます。

表 13-1 トラディショナル・ルール・ベースでの暗号化ルールの例

SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON

Net_ANet_E

Net_ANet_E

My_Services Encrypt Log Gateway 1Gateway 3

198

接続が暗号化ルールに一致しても、暗号化されない場合もあります。以下のルールを考えてみます。

1 発信元または宛先がVPN-1 Proゲートウェイの内側にあり、ゲートウェイのVPNドメインに含まれていない場合、接続は破棄されます。

図 13-1と表 13-2を参照してください。たとえば、送信元XがNet_Cにあり、送信先YがNet_Dにある場合、ゲートウェイ 1によって接続が破棄されます。これは、アクションが暗号化を要求しても、発信元がゲートウェイ 1のVPNドメインに含まれていないために、接続の暗号化ができないからです。

2 発信元と宛先が同じゲートウェイの VPN ドメインにある場合、接続は暗号化されずに

確立されます。

図 13-1と表 13-2を参照してください。たとえば、送信元XがNet_Aにあり、送信先Y がNet_Bにある場合、X から送信された接続要求がゲートウェイに到達し、このゲートウェイによって応答メッセージがYに転送されます。この場合、接続の復号化を実行できるゲートウェイがY 側にないため、この接続は暗号化されません。SmartView Trackerログには、「Both endpoints are in the Encryption Domain」というメッセージが記録されます。

VPNプロパティの定義

同じゲートウェイの間で、さまざまな暗号化方式を使用できます。2つのゲートウェイの間で、異なる方式を使用して、接続ごとに暗号化を実行できます。これは、暗号化ルールごとに異なる IKEフェーズ IIプロパティを定義できるからです。

IKEフェーズ Iプロパティは、ゲートウェイごとに定義します。

内部管理および外部管理されるゲートウェイ

VPNトンネルの両端にあるゲートウェイは、同じSmartCenterサーバで管理することも、異なるSmartCenterサーバで管理することもできます。同じSmartCenterサーバによって管理されるVPN-1 Proゲートウェイは、内部ゲートウェイと呼ばれます。異なるSmartCenterサーバによって管理される場合は、外部ゲートウェイと呼ばれます。

通信相手のVPN-1 Proゲートウェイが外部である場合、相手側の管理者からゲートウェイの詳細情報を取得して、SmartDashboardでこれらを設定する必要があります。

表 13-2 暗号化が実行されない暗号化ルール

SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON

X Y My_Services Encrypt Log Policy Targets

第13章 トラディショナル・モードVPN 199

VPN作成の考慮事項

VPN作成の考慮事項

さまざまな方法でVPNを設定できます。設定を始める前に、以下のような幾つかの問題を考慮する必要があります。

認証方式の選択

VPN-1 ProゲートウェイによってVPNトンネルを作成する場合は、相互の認証を行う必要があります。この認証は、証明書またはプリシェアード・シークレットによって実行されます。証明書の方が強力な認証方式と考えられています。

認証局の選択

ゲートウェイで証明書を使用する場合、SmartCenterサーバの ICA（内部認証局）またはサード・パーティのOPSEC認定の認証局から証明書が発行されます。

内部認証局を使用すると、サイト間VPNやリモート・アクセスVPNなどのチェック・ポイント・アプリケーションでも、非常に簡単にPKIを利用できるようになります。ただし、管理者は、セキュリティで保護された電子メールやディスクの暗号化など、一般的な用途のために組織内ですでに使用されているCAを引き続き使用したいことがあります。

ゲートウェイを内部で管理して認証のために証明書を使用する場合、内部CAによって署名された証明書を両方のゲートウェイで使用することが も簡単な方法です。

トラディショナル・モードVPNの設定

このセクションの構成

トラディショナル・モード・ポリシーの編集

既存のトラディショナル・モード・ポリシーは、トラディショナル・モードで開きます。新しいトラディショナル・モード・ポリシーを開始するには、以下の手順に従います。

1 ［Global Properties］ウィンドウの［VPN］ページで、［Traditional mode to all new Security Policies］または［Traditional or Simplified per new Security Policy］を選択して、ポリシーを保存します。

トラディショナル・モード・ポリシーの編集 200 ページ

ICA証明書を使用した内部ゲートウェイ間のVPN設定 201 ページ

サード・パーティのCA証明書を使用した内部ゲートウェイ間のVPN

202 ページ

証明書を使用した外部管理ゲートウェイとのVPN設定 203 ページ

プリシェアード・シークレットを使用したVPN設定 205 ページ

200

ICA証明書を使用した内部ゲートウェイ間のVPN設定

［Traditional or Simplified per new Security Policy］を選択した場合、以下の手順に従います。

2 ［File］メニューから［New］を選択します。［New Policy Package］ウィンドウが開きます。

3 新規のポリシー・パッケージに名前を付けます。

4 ［Security and Address Translation］を選択します。

5 VPN設定方式領域で、［Traditional mode］を選択して［OK］ボタンをクリックします。

セキュリティ・ポリシー・ルール・ベースで、使用可能なアクションの 1つが［Encrypt］であることに注意してください。

ICA証明書を使用した内部ゲートウェイ間のVPN設定

ゲートウェイの定義

1 VPNの構成要素となるゲートウェイごとに、チェック・ポイント・ゲートウェイ・オブジェクトを定義します。ネットワーク・オブジェクト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

2 チェック・ポイント・ゲートウェイ・オブジェクトの［General Properties］ページで、［VPN］カラムを選択します。

3 ［Communication］ウィンドウで、SIC（Secure Internal Communication）を確立します。

4 ［Topology］ページで、各ゲートウェイ・インタフェースに対して、IPアドレス、ネットワーク・マスク、偽装対策を定義します。

5 さらに［Topology］ページで、［VPN Domain］を定義します。この場合、以下のいずれかを選択します。■ All IP Addresses behind gateway based on Topology information■ Manually defined。ドロップダウン・リストから既存のネットワークやグループを

選択するか、［New...］をクリックしてマシンまたはネットワークの新規グループを作成します。

6 ［VPN］ページの［Certificate List］領域にある［Add］をクリックし、ICAによって発行された証明書を追加します。

7 ［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

■ ［Support authentication methods］領域で、［Public Key Signatures］を選択します。ICAによって発行された証明書だけをゲートウェイで使用するには、［Specify］をクリックして ICAを選択します。

■ IKEフェーズ I暗号化方式とデータの完全性チェック方式を選択するか、オンになっているデフォルト設定を受け入れます。

第13章 トラディショナル・モードVPN 201

トラディショナル・モードVPNの設定

暗号化ルールの定義

8 セキュリティ・ルール・ベースで、暗号化ルールを定義します。

9 このルールの IKEフェーズ IIプロパティを変更する場合は、［Encrypt］アクションをダブルクリックし、必要に応じて値を変更します。

サード・パーティのCA証明書を使用した内部ゲートウェイ間のVPN1 CA証明書を取得し、認証局（CA）オブジェクトを定義します。詳細については、

51 ページの「認証局での登録」を参照してください。

ゲートウェイの定義

2 チェック・ポイント・ゲートウェイ・オブジェクトを定義します。ネットワーク・オブジェクト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

3 ［General Properties］ページで、任意の［VPN］カラムを選択します。

4 ［Communication］ウィンドウで、SIC（Secure Internal Communication）を確立します。

5 ［Topology］ページで、各ゲートウェイ・インタフェースに対して、IPアドレス、ネットワーク・マスク、偽装対策を定義します。

6 さらに［Topology］ページで、［VPN Domain］を定義します。この場合、以下のいずれかを選択します。■ All IP Addresses behind gateway based on Topology information■ Manually defined。ドロップダウン・リストから既存のネットワークやグループを

選択するか、［New...］をクリックして新規のネットワークまたはグループを作成します。

7 ［VPN］ページの［Certificate List］領域にある［Add］ボタンをクリックし、手順 1で定義した認証局によって発行された証明書を追加します。詳細については、51 ページの「認証局での登録」を参照してください。

8 ［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

■ ［Support authentication methods］領域で、［Public Key Signatures］を選択します。手順 1で指定したCAによって発行された証明書だけをゲートウェイで使用するには、［Specify］をクリックしてCAを選択します。

■ IKEフェーズ I暗号化方式とデータの完全性チェック方式を選択するか、オンになっているデフォルト設定を受け入れます。

9 VPNの構成要素となるゲートウェイごとに、手順 2から手順 8までを繰り返します。

202

証明書を使用した外部管理ゲートウェイとのVPN設定

暗号化ルールの定義

10 セキュリティ・ルール・ベースで、暗号化ルールを定義します。

11 このルールの IKEフェーズ IIプロパティを変更する場合は、［Encrypt］アクションをダブルクリックし、必要に応じて値を変更します。

証明書を使用した外部管理ゲートウェイとのVPN設定

相手側の管理者からの情報取得

通信先の管理者から、外部管理ゲートウェイのゲートウェイ・トポロジとVPNドメイン情報を取得します。

また、相手側の管理者と、VPNの認証、暗号化、データ完全性チェック方式について合意する必要があります。

相手側の管理者、または相手側のCAから直接的に、相手側のCA証明書を取得する必要もあります。

CAの定義

1 CA証明書を取得して、内部管理ゲートウェイに対して、CA（認証局）オブジェクトを作成します。詳細については、51 ページの「認証局での登録」を参照してください。

2 外部管理ゲートウェイに対してCAオブジェクトを定義し、相手側のCA証明書を使用してこれを設定します。

内部管理ゲートウェイの定義

3 チェック・ポイント・ゲートウェイ・オブジェクトを作成します。ネットワーク・オブジェクト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

4 ［General Properties］ページで、任意の［VPN］カラムを選択します。

5 ［Communication］ウィンドウで、SIC（Secure Internal Communication）を確立します。

6 ［Topology］ページで、各ゲートウェイ・インタフェースに対して、IPアドレス、ネットワーク・マスク、偽装対策を定義します。

7 さらに［Topology］ページで、［VPN Domain］を定義します。この場合、以下のいずれかを選択します。■ All IP Addresses behind gateway based on Topology information■ Manually defined。ドロップダウン・リストから既存のネットワークやグループを

選択するか、［New...］をクリックして新規のネットワークまたはグループを作成します。

第13章 トラディショナル・モードVPN 203

トラディショナル・モードVPNの設定

8 ［VPN］ページの［Certificate List］領域にある［Add］ボタンをクリックし、手順 1で定義した認証局によって発行された証明書を追加します。詳細については、51 ページの「認証局での登録」を参照してください。

9 ［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

■ ［Support authentication methods］領域で、［Public Key Signatures］を選択します。手順 1で指定したCAによって発行された証明書だけをゲートウェイで使用するには、［Specify］をクリックしてCAを選択します。

■ IKEフェーズ I暗号化方式とデータの完全性チェック方式を選択するか、オンになっているデフォルト設定を受け入れます。

10 内部管理ゲートウェイごとに、手順 3から手順 9までを繰り返します。

外部管理ゲートウェイの定義

11 外部管理ゲートウェイ・オブジェクトを作成するには、以下の手順に従います。

■ チェック・ポイント・ゲートウェイである場合、［Network Objects］ツリーで右クリックして、［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

■ チェック・ポイント・ゲートウェイではない場合は、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択します。

12 外部チェック・ポイント・ゲートウェイだけの場合は、［General Properties］ページで、［VPN］を選択します。

13 相手側の管理者が提供したトポロジ情報を使用して、［Topology］ページで、各ゲートウェイ・インタフェースの IPアドレスとネットワーク・マスクを手動で定義します。

14 相手側の管理者が提供したVPNドメイン情報を使用して、［Topology］ページの［VPN Domain］セクションでVPNドメインを定義します。［All IP Addresses behind gateway based on Topology information］を選択するか、手動でマシンのグループまたはネットワークを定義し、これらをVPNドメインとして設定します。

15 ［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

■ IKEフェーズ I暗号化方式とデータの完全性チェック方式（ピア・ゲートウェイの管理者と合意したもの）を選択するか、デフォルトを受け入れます。

■ ［Support authentication methods］領域で、［Public Key signatures］を選択します。

16 ［VPN］ページで、［Matching Criteria...］をクリックします。［Certificate Matching Criteria］ウィンドウが開きます。このウィンドウの設定によって、外部管理ゲートウェイに定義されたCAの証明書の提示を強制し、証明書の詳細情報とここで指定した情報が一致することが要求されます。この処理は、IKEネゴシエーション中に内部管理ゲートウェイによって実行されます。

204

プリシェアード・シークレットを使用したVPN設定

暗号化ルールの定義

17 セキュリティ・ルール・ベースで、暗号化ルールを定義します。

18 このルールの IKEフェーズ IIプロパティを変更する場合は、［Encrypt］アクションをダブルクリックし、必要に応じて値を変更します。

プリシェアード・シークレットを使用したVPN設定

プリシェアード・シークレットを使用してゲートウェイを認証する場合、VPN内の各ゲートウェイをプリシェアード・シークレットに対応できるようにする必要があります。次に、各ゲートウェイで、ほかの各ゲートウェイに対するプリシェアード・シークレットを定義します。ただし、ゲートウェイの各ペアに対しては、片方のゲートウェイのペアについてのプリシェアード・シークレットを定義するだけです。

たとえば、A、B、C、Dの 4つのゲートウェイがあるVPNでは、A-B、A-C、A-D、B-C、B-D、C-Dの 6つの秘密情報を使用します。

■ Aでは、B、C、Dに対する秘密情報を定義します。

■ Bでは、CとDに対する秘密情報を定義します。

■ Cでは、Dに対する秘密情報を定義します。

VPN-1 Proの内部ゲートウェイと外部ゲートウェイで、以下の手順に従います。外部管理ゲートウェイを使用する場合、相手側である外部ゲートウェイの管理者は、自身が管理するゲートウェイを適切に設定する必要があります。

相手側の管理者からの情報取得

外部管理ゲートウェイを使用する場合は、外部ゲートウェイのトポロジとVPNドメイン情報を相手側の管理者から取得します。

また、相手側の管理者と、VPNのプリシェアード・シークレット、認証、暗号化、データ完全性チェック方式について合意する必要があります。

ゲートウェイの定義

1 ゲートウェイ・オブジェクトを定義します。

■ ゲートウェイが内部ゲートウェイである場合、チェック・ポイント・ゲートウェイ・オブジェクトを定義します。ネットワーク・オブジェクト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

■ ゲートウェイが外部管理である場合、以下の手順に従います。

注： 内部管理メンバの1つがNG FP3よりも前のバージョンである場合、コミュニティ内の外部管理

VPN-1 Pro実施モジュール用に定義したプリシェアード・シークレットはサポートされません。

第13章 トラディショナル・モードVPN 205

トラディショナル・モードVPNの設定

• チェック・ポイント・ゲートウェイである場合、［Network Objects］ツリーで右クリックして、［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

• チェック・ポイント・ゲートウェイではない場合は、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択します。

2 内部管理ゲートウェイまたはチェック・ポイント外部管理ゲートウェイに対して、ゲートウェイ・オブジェクトの［General Properties］ページで、［VPN］カラムを選択します。

3 内部管理ゲートウェイだけの場合は、［Communication］ウィンドウで、SIC（Secure Internal Communication）を確立します。

4 ［Topology］ページで、各ゲートウェイ・インタフェースに対して、IPアドレス、ネットワーク・マスク、偽装対策を定義します。

5 さらに［Topology］ページで、［VPN Domain］を定義します。この場合、以下のいずれかを選択します。■ All IP Addresses behind gateway based on Topology information■ Manually defined。ドロップダウン・リストから既存のネットワークやグループを

選択するか、［New...］をクリックしてマシンまたはネットワークの新規グループを作成します。

6 ［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

■ ［Support authentication methods］領域で［Pre-shared Secret］を選択して、［Edit Secrets...］をクリックします。プリシェアード・シークレットをサポートするピア・ゲートウェイのみがリストに表示されます。

■ 各ピア・ゲートウェイに対して、秘密情報を入力します。

■ IKEフェーズ I暗号化方式とデータの完全性チェック方式を選択するか、オンになっているデフォルトを受け入れます。

7 VPNの構成要素となるゲートウェイごとに、手順 1から手順 6までを繰り返します。

暗号化ルールの定義

8 セキュリティ・ルール・ベースで、暗号化ルールを定義します。

9 このルールの IKEフェーズ IIプロパティを変更する場合は、［Encrypt］アクションをダブルクリックし、必要に応じて値を変更します。

206

リモート・アクセス VPN

第 章14

リモート・アクセスVPNについて

この章の構成

リモート・アクセスVPNの必要性

ユーザが遠隔地から組織にアクセスする場合、リモート・クライアントは、接続の安全性を確保するだけではなく、以下のような特殊な問題にも対応する必要があります。

■ リモート・アクセス・クライアントの IPが不明な場合。

■ リモート・アクセス・クライアントが、日中の就業時間は企業LANに接続詞、夜間は何らかのNATデバイスの後方にあると思われるホテルのLANに接続する場合。

■ リモート・クライアントが、ワイヤレス・アクセス・ポイントから企業LANに接続する必要がある場合。

■ 通常、リモート・クライアント・ユーザがオフィス外に出ると、リモート・クライアントは社内のセキュリティ・ポリシーで保護されなくなります。リモート・アクセス・クライアントがインターネットの脅威にさらされるだけではなく、クライアントを通じて企業ネットワークが攻撃を受ける可能性もあります。

これらの問題を解決するために、ネットワークへのリモート・アクセスをセキュリティで適切に保護するセキュリティ・フレームワークが求められています。

リモート・アクセスVPNの必要性 209 ページ

リモート・アクセス用のチェック・ポイント・ソリューション 210 ページ

リモート・アクセス用VPNの考慮事項 217 ページ

リモート・アクセス用VPNの設定 219 ページ

209

リモート・アクセス用のチェック・ポイント・ソリューション

リモート・アクセス用のチェック・ポイント・ソリューション

このセクションの構成

チェック・ポイントのリモート・アクセスVPNソリューション、VPN-1 SecuRemoteを使用すると、リモート・ユーザと組織の内部ネットワークの間でVPNトンネルを確立できます。VPNトンネルでは、以下のことを保証します。

■ 標準的な認証方式による認証

■ データの暗号化によるプライバシー保護

■ 業界標準の完全性保証方式による完全性

SecuRemote/SecureClientは、VPNの機能をリモート・ユーザまで広げることで、LAN、ワイヤレスLAN、さまざまなダイヤルアップ接続（ブロードバンドを含む）を使用して、ユーザが安全にVPNトンネルで重要な情報をネットワークやサーバに送信できるようにします。ユーザは、VPN-1 Proゲートウェイの内部データベースまたは外部LDAPサーバのいずれかで管理します。

SecuRemoteユーザを認証した後、安全で透過的な接続が確立されます。

SecuRemoteは、以下の製品で使用できます。

■ VPN-1 Proゲートウェイ

■ VPN-1 Edgeゲートウェイ

SecureClientの拡張機能によるSecuRemoteの機能強化

SecureClientは、以下の機能を追加することで、SecuRemoteの機能を拡張するリモート・アクセス・クライアントです。

■ セキュリティ機能

■ 接続機能

■ 管理機能

リモート・ユーザとゲートウェイ間での接続の確立 211 ページ

リモート・アクセス・コミュニティ 212 ページ

リモート・アクセス・コミュニティに対するアクセス制御 214 ページ

クライアント -ゲートウェイ認証スキーム 215 ページ

リモート・クライアントに対するネットワーク要素の識別 213 ページ

高度な機能 217 ページ

210

リモート・ユーザとゲートウェイ間での接続の確立

セキュリティ機能

■ デスクトップ・セキュリティ・ポリシー （「デスクトップ・セキュリティ」を参照）

■ ログと警告

■ SCV（Secure Configuration Verification）（「SCV（Secure Configuration Verification）」を参照）

接続機能

■ オフィス・モード・アドレス（「オフィス・モード」を参照）

■ ビジター・モード（「接続性の問題の解決」を参照）

■ ハブ・モード （「VPNルーティング・リモート・アクセス」を参照）

管理機能

■ ソフトウェアの自動配布 （「SecureClientのパッケージング」を参照）

■ 高度なパッケージ機能 /配布オプション（「SecureClientのパッケージング」を参照）

■ 診断ツール

リモート・ユーザとゲートウェイ間での接続の確立

VPN-1 Proゲートウェイで保護されたネットワーク・リソースにアクセスできるようにするため、VPN トンネルの確立プロセスが開始されます。ピア間で IKE（Internet KeyExchange）ネゴシエーションが実行されます。

IKEネゴシエーションで、ピアの IDが認証されます。ゲートウェイによってユーザの IDが検証され、クライアントによってゲートウェイの IDが検証されます。認証は、ICA（内部認証局）が発行したデジタル証明書など、幾つかの方式で実行できます。また、サード・パーティのPKIソリューション、プリシェアード・シークレット、またはサード・パーティの認証方式（SecurIDやRADIUSなど）でも認証できます。

IKEネゴシエーションが正常に完了した後、安全な接続（VPNトンネル）がクライアントとゲートウェイの間で確立されます。クライアントとゲートウェイのVPNドメイン（ゲートウェイの後方にあるLAN）を結ぶすべての接続は、IPSec標準によって、VPNトンネル内で暗号化されます。何らかの方式で認証するようにユーザが指示される場合を除いて、VPNの確立プロセスは透過的に実行されます。

第14章 リモート・アクセスVPNについて 211

リモート・アクセス用のチェック・ポイント・ソリューション

図14-1 リモートからゲートウェイへ

図 14-1の場合、リモート・ユーザがゲートウェイ 1への接続を開始します。ユーザ管理は、VPNデータベースではなく、VPNサイト 2のLDAPサーバで実施されます。認証は、IKEネゴシエーション中に実行されます。ゲートウェイ 1は、ゲートウェイ 2の後方にあるLDAPサーバでクエリを実行してユーザの存在を検証します。ユーザの存在が確認されると、次にゲートウェイはユーザ証明書の検証などでユーザを認証します。IKEが正常に完了すると、トンネルが作成され、リモート・クライアントがホスト 1に接続します。

クライアントがゲートウェイの後方にある場合（たとえば、ユーザがオフィスから企業LANにアクセスしている場合）、クライアントからLANゲートウェイの後方にある宛先への接続は暗号化されません。

リモート・アクセス・コミュニティ

チェック・ポイント・リモート・アクセス・コミュニティでは、リモート・ユーザのグループとVPN-1 Proゲートウェイを結ぶVPNを短時間で設定できます。リモート・アクセス・コミュニティは、VPN-1 Proゲートウェイとリモート・ユーザの間で安全な通信を定義する仮想エンティティです。リモート・ユーザとゲートウェイのVPNドメイン間のすべての通信は、SmartDashboardの［Global Properties］ページでリモート・アクセス通信に対して定義したパラメータに従って、セキュリティ（認証と暗号化）で保護されます。

212

リモート・クライアントに対するネットワーク要素の識別

リモート・クライアントに対するネットワーク要素の識別

SecuRemote/SecureClientによってネットワーク・リソースとの暗号化接続を制御するには、組織の内部ネットワークの要素情報を取得する必要があります。これらの要素はトポ

ロジと呼ばれ、SmartCenterサーバで管理しているVPN-1 Proモジュールからダウンロードできます。

サイトのトポロジ情報には、ネットワークの IPアドレスや、同じSmartCenterサーバで管理しているほかのゲートウェイのVPNドメインのホスト・アドレスなどがあります。送信先 IPがサイトのトポロジ内部に含まれている場合、接続はVPNトンネルで確立されます。

ユーザがサイトを作成すると、クライアントは自動的にサイトにアクセスして、トポロジ情報と、クライアントに対して管理者が定義したさまざまな設定プロパティをダウンロードします。この接続はセキュリティで保護されており、SSLを通じて IKEによって認証されます。サイトのトポロジには検証タイムアウトがあり、その期間を過ぎると、更新されたトポロジがクライアントによってダウンロードされます。ネットワーク管理者は、リモート・クライアントに自動トポロジ更新を設定することもできます。これによって、ユーザの作業は不要になります。

コネクト・モード

リモート・アクセス・クライアントは、コネクト・モードを使用してゲートウェイに接続します。

コネクト・モードで、リモート・ユーザは特定のゲートウェイへのVPNリンクを開始します。これ以降、ほかのゲートウェイの後方にあるホストに接続する場合は、必要に応じて追加のVPNリンクが透過的に開始されます。

コネクト・モードには、以下の機能があります。

■ オフィス・モード。クライアントとゲートウェイの間のルーティング問題を解決します。233 ページの「オフィス・モード」を参照してください。

■ ビジター・モード。ポート 443での通常のTCP接続で、クライアントとゲートウェイ間の全トラフィックをトンネル化する必要がある場合に使用します。

■ ゲートウェイによる全トラフィックのルーティング（ハブ・モード）。高いレベルのセキュリティと接続性を実現します。

■ 自動接続。アプリケーションがゲートウェイの後方にあるホストに接続を開始しようとすると、ユーザはそのゲートウェイへのVPNリンクを開始するように指示されます。たとえば、電子メール・クライアントがゲートウェイXの後方にある IMAPサーバにアクセスしようとすると、ユーザはこのゲートウェイへのトンネルを開始するようにSecureClientに指示されます。

■ ユーザ・プロファイル（場所プロファイル）。「ユーザ・プロファイル」を参照してください。

第14章 リモート・アクセスVPNについて 213

リモート・アクセス用のチェック・ポイント・ソリューション

ユーザ・プロファイル

モバイル・ユーザは、接続に関してさまざまな問題に直面します。たとえば、午前中はパートナー企業のLANに接続し、夜は滞在しているホテルで何らかのNATデバイスに保護されているLANに接続します。

これらの変化する接続条件に対処するため、異なるユーザ・プロファイルを使用します。ユーザが自分自身のプロファイルを作成するか、ネットワーク管理者がユーザに代わって複数のプロファイルを作成します。管理者がプロファイルを作成した場合、ユーザがサイト・トポロジを更新するときにプロファイルがクライアントにダウンロードされます。ユーザは、リストから使用するプロファイルを選択します。たとえば、NATデバイスに対応できるようにUDPカプセル化を有効にするプロファイル、または、リモート・クライアントがポート 443でVPN接続をトンネル化する必要がある場合にビジター・モードを有効にするプロファイルなどです。デスクトップ・セキュリティ・ポリシーのダウンロードに使用するポリシー・サーバも、プロファイルに指定されます。

リモート・アクセス・コミュニティに対するアクセス制御

通常、管理者は、ネットワークとのアクセスを制御するために、幾つかのルールを定義する必要があります。リモート・アクセス・コミュニティに属するリモート・アクセス・クライアントの場合も同様です。リモート・クライアントがゲートウェイを通じて内部ネットワークにアクセスする場合は、そのアクセス方法を制御するために、ポリシー・ルールを作成する必要があります（コミュニティのメンバになっても、ネットワークへのアクセス権が自動的に与えられるわけではありません）。

ゲートウェイのセキュリティ・ポリシー・ルール・ベースで、アクセス制御、つまり、接続を許すかどうかを定義します。接続を暗号化するかどうかは、コミュニティで決定します。発信元と宛先の両方が同じコミュニティに属す場合は接続が暗号化され、それ以外の場合は暗号化されません。たとえば、FTP接続を許可するルールを考えてみましょう。ルールに一致した接続がコミュニティのメンバ間で確立される場合、接続は暗号化されます。接続が同じコミュニティのメンバ間ではない場合、この接続は暗号化されません。

ゲートウェイのセキュリティ・ポリシーは、ゲートウェイの後方にあるリソースへのアクセスを制御し、VPN-1 Proゲートウェイとその後方にあるネットワークを保護します。リモート・クライアントはゲートウェイの後方にないので、ゲートウェイのセキュリティ・ポリシーでは保護されません。SecureClientによるリモート・アクセスは、デスクトップ・セキュリティ・ポリシーで保護できます。281 ページの「デスクトップ・セキュリティ」を参照してください。

214

クライアント -ゲートウェイ認証スキーム

クライアント -ゲートウェイ認証スキーム

認証は、ゲートウェイとリモート・クライアントの間で安全な通信チャネルを確立する上で重要な要素となっています。以下のようなさまざまな認証方式を使用できます。

■ デジタル証明書

■ プリシェアード・シークレット

■ その他の認証方式（ハイブリッド・モードで使用可能）

デジタル証明書

デジタル証明書は管理が簡単であり、 も推奨される認証方式です。通信を行う両者が、身元を証明する手段として証明書を提示します。両者は、相手側の証明書が有効であることを検証します（信頼済みの既知のCAによって署名されており、証明書が期限切れまたは無効になっていないことを検証します）。

デジタル証明書は、チェック・ポイントの内部認証局またはサード・パーティのPKIソリューションによって発行されます。チェック・ポイントの ICAはVPNと密接に統合されており、リモート・アクセスVPNを設定する場合は も簡単に使用できます。ICAは、VPN-1 Proゲートウェイ（自動的）とリモート・ユーザ（生成または開始）の両方に証明書を発行できます。

ICAを使用して証明書を生成し、「ネットワークを使用せずに」ユーザに送ります。または、SmartCenterサーバで証明書の生成プロセスを開始します。このプロセスは、ユーザによって個別に完了されます。また管理者は、ICA管理ツールで証明書の生成を開始できます（ユーザをLDAPサーバで定義している場合は、これが唯一のオプションです）。

VPN-1 Proゲートウェイとリモート・ユーザ間の認証の証明書を作成する場合、サード・パーティの認証局を使用することもできます。サポートされている証明書の形式は、PKCS#12、CAPI、およびEntrustです。

ユーザに、証明書を保存するためのハードウェア・トークンを提供することもできます。このオプションの場合、秘密鍵はハードウェア・トークンだけに存在するので、高いレベルのセキュリティを実現できます。

IKEネゴシエーションの証明書検証プロセスの一環として、クライアントとゲートウェイが互いに相手側の証明書を証明書を発行したCAのCRL（証明書失効リスト）と照合します。クライアントがCRLを取得できない場合、ゲートウェイはクライアントの代わりにCRLを取得して、IKEネゴシエーション中にこのCRLをクライアントに転送します（CRLは、セキュリティのためCAによってデジタル署名されています）。

第14章 リモート・アクセスVPNについて 215

リモート・アクセス用のチェック・ポイント・ソリューション

プリシェアード・シークレット

この認証方式は、仕組みが簡単という利点がありますが、証明書と比べると安全性が劣ります。通信する両者は、VPNを確立する前にパスワードについて合意します。パスワードは「ネットワーク外」で交換され、何度も再利用されます。認証プロセス中に、合意したパスワードを相手側が知っているかどうか、クライアントとゲートウェイの両側で検証されます。

ハイブリッド・モードで使用可能なその他の認証方式

さまざまな組織が、さまざまなユーザ認証方式を使用しており、リモート・アクセスでもこれらの方式を使用できることが望まれています。ハイブリッド・モードは、この要求に対応する、非対称な形式で認証を使用できる IKEモードです。ハイブリッド・モードの場合、ユーザは以下に示した方式のいずれかを使用して、ゲートウェイを認証します。ゲートウェイはその応答として、強力な証明書ベースの認証を使用して、クライアントに対して自身の身元を証明します。ハイブリッド・モードで使用可能な認証方式は、VPNの通常のユーザ認証ですべてサポートされます。

■ ワン・タイム・パスワード － ユーザは、Security Dynamics SecurIDカードに表示された番号を入力するように指示されます。SecurID認証スキームには、スキーム固有のパラメータはありません。VPN-1 Pro実施モジュールは、ACE/Agent 5.0として動作します。エージェント設定用です。

SoftID（RSAのSecurIDのソフトウェア版）およびその他のさまざまなワン・タイム・パスワード・カード、およびUSBトークンもサポートされます。

■ VPN-1 Pro-パスワード － ユーザは内部VPN-1 Proパスワードを入力するように指示されます。

■ OSパスワード － ユーザは、オペレーティング・システム・パスワードを入力するように指示されます。

■ RADIUS － ユーザは、RADIUSサーバで定義されている正しい情報を入力するように指示されます。

■ TACACS － ユーザは、TACACSまたはTACACS+サーバで定義されている正しい情報を入力するように指示されます。

■ SAA。SAAは、SecuRemote/SecureClient用のOPSEC API拡張機能であり、これを使用すると、生体認証などサード・パーティの認証方式をSecuRemote/SecureClientで使用できます。

証明書またはプリシェアード・シークレットに基づかない認証方式については、『ファイアウォールとSmartDefense』の「認証」を参照してください。

注： ［pre-shared secret］タブで設定したパスワードはハイブリッド・モードの IKEで使用され、プリ

シェアード・シークレット・モードでは使用されません。プリシェアード・シークレット IKEモードは、

4.1クライアントの環境で使用します。

216

高度な機能

高度な機能

リモート・アクセスVPNは、その他にも以下のような高度な機能をサポートします。

■ 接続性とルーティングの問題の解決。「オフィス・モード」と「接続性の問題の解決」を参照してください。

■ ユーザ /グループごとの IP ■ L2TPクライアント

SecuRemote/SecureClientの代替手段

クライアント・ソフトウェアのインストールや保守の手間を避けるために、チェック・ポイントではSSL Network Extenderも提供しています。これは、Webブラウザでユーザ・マシンにインストールされる、実装が容易なシン・クライアントです。ブラウザはSSL対応のWebサーバに接続して、ActiveXコンポーネントとしてシン・クライアントをダウンロードします。インストールは自動的に実行されます。

リモート・アクセス用VPNの考慮事項

このセクションの構成

リモート・アクセスVPNを設計するとき、以下の問題を考慮してください。

リモート・アクセスのポリシー定義

セキュリティ・ポリシー・ルール・ベースには、リモート・ユーザにLANへのアクセス権を付与するルールを含める必要があります。どのサービスへのアクセスを許可するかを検討します。制限が必要なサービスに対しては、セキュリティ・ポリシー・ルール・ベースの明示的なルールで制限します。

ICAを使用したユーザ証明書の作成方法

チェック・ポイントの ICA（内部認証局）では、以下の2つの方法で証明書を作成してリモート・ユーザに送ることができます。

1 管理者がSmartCenterサーバでリモート・ユーザの証明書を生成し、リムーバブル・メディアに保存して、ネットワークを使用せずにクライアントに転送します。

リモート・アクセスのポリシー定義 217 ページ

ICAを使用したユーザ証明書の作成方法 217 ページ

内部ユーザ・データベースと外部ユーザ・データベース 218 ページ

NTグループ /RADIUSクラス認証機能 219 ページ

第14章 リモート・アクセスVPNについて 217

リモート・アクセス用VPNの考慮事項

2 管理者は、SmartCenterサーバ（または ICA管理ツール）で証明書プロセスを開始し、レジストレーション・キーを取得します。管理者は、このレジストレーション・キーを「ネットワークを使用せずに」ユーザに送信します。クライアントは、CMCプロトコルにより ICAへのSSL接続を確立し、レジストレーション・キーを使用して証明書生成プロセスを完了します。この場合、以下の処理が実行されます。

■ 秘密鍵がクライアントで生成されます。

■ 作成された証明書は、マシンのハードドライブ、CAPIストレージ・デバイス、またはハードウェア・トークンに、ファイルとして保存できます。

地理的に離れたリモート・ユーザには、この方法が特に適しています。

内部ユーザ・データベースと外部ユーザ・データベース

リモート・アクセス機能には、柔軟なユーザ管理スキームが含まれています。ユーザをさまざまな方法で管理できます。

■ 内部 － VPN-1 Proでは、SmartCenterサーバで設定されるユーザごとに、静的なパスワードをローカル・ユーザ・データベースに保存できます。追加のソフトウェアは必要ありません。

■ LDAP － LDAPは、複数のベンダーが使用しているオープンな業界標準です。チェック・ポイント製品は、LDAP技術に準拠しています。この準拠によって、以下の操作が可能です。

■ ユーザをLDAPサーバで外部から管理できます。

■ 実施モジュールによってCRLを取得できます。

■ LDAPユーザ・データベースに収集されたほかのアプリケーションのユーザ情報を、多くの異なるアプリケーションで共有できます。VPN-1 Proは、認証の目的でユーザ情報を使用します。

■ RADIUS － RADIUS（Remote Authentication Dial-In User Service）は、認証機能をアクセス・サーバから切り離すことで、セキュリティとスケーラビリティを提供する外部認証スキームです。

認証スキームとしてRADIUSを使用すると、VPN-1 Proによって、リモート・ユーザの認証要求がRADIUSサーバに転送されます。ユーザは、ユーザ・アカウント情報を保存しているRADIUSサーバによって認証されます。RADIUSプロトコルでは、ゲートウェイとの通信にUDPが使用されます。RADIUSサーバとRADIUSサーバ・グループ・オブジェクトは、SmartDashboardで定義します。

■ ACE/Server（SecurIDトークン管理サーバ） - RSA Securityが開発したSecurIDでは、ユーザがトークン認証機能を持ち、PINまたはパスワードを入力する必要があります。トークン認証機能ではワン・タイム・パスワードが生成され、RSA ACE/Serverと同期されます。トークンは、ハードウェアまたはソフトウェアの形で使用できます。ハードウェア・トークンはキーホルダー型またはクレジット・カード型のデバイスで、ソフトウェア・トークンはPCまたはユーザが認証したいデバイスに保存されます。すべてのトークンでは、ランダムな一回限りのアクセス・コードが生成され、これは 1分ごとに変化します。ユーザが保護されたリソースの認証を試行する場合、一回限り有効のコードがACE/Serverによって検証される必要があります。

218

NTグループ /RADIUSクラス認証機能

認証スキームとしてSecurIDを使用すると、VPN-1 Proによって、リモート・ユーザの認証要求がACE/Serverに転送されます。ACEでは、RSAユーザと割り当てられたハード・トークンまたはソフト・トークンがデータベースで管理されます。VPN-1 Pro実施モジュールは、ACE/Agent 5.0として動作します。つまり、すべてのアクセス要求は、認証されるためRSA ACE/Serverに転送されます。エージェントの設定については、ACE/Serverのマニュアルを参照してください。

内部データベースでのユーザ管理とSmartDirectory（LDAP）サーバでのユーザ管理には、大きな違いが 2つあります。第 1に、SmartDirectory（LDAP）サーバのユーザ管理は外部から実行することになり、ローカルには実行できません。第 2に、SmartDirectory（LDAP）サーバ・テンプレートは、動的に変更してユーザに適用できます。つまり、ユーザ定義の変更と管理は簡単に実行することができ、変更は即時または「同時」に反映されます。SmartDirectory（LDAP）テンプレートに適用した変更は、このテンプレートを使用している全ユーザにすぐに反映されます。

NTグループ /RADIUSクラス認証機能

認証は、NT グループまたはRADIUS クラスに応じて実行できます。この方法では、リモート・アクセス・ユーザは、属しているリモート・アクセス・コミュニティ・グループに応じて認証されます。

リモート・アクセス用VPNの設定

このセクションの構成

注： NTグループのみがサポートされ、Active Directoryはサポートされません。

リモート・アクセスVPNの確立 220 ページ

LDAPでのユーザと認証方式の定義 222 ページ

内部データベースでのユーザ・プロパティと認証方式の定義 222 ページ

ICA管理ツールでのユーザ証明書の開始 222 ページ

SmartDashboardでのユーザ証明書の生成 222 ページ

SmartDashboardでのユーザ証明書の開始 223 ページ

ユーザとゲートウェイの証明書の設定（サード・パーティPKIを使用）

223 ページ

ハイブリッド・モードの有効化と認証方式 225 ページ

NTグループとRADIUSクラスの認証の設定 225 ページ

プリシェアード・シークレットの使用 226 ページ

第14章 リモート・アクセスVPNについて 219

リモート・アクセス用VPNの設定

以下の設定手順は、シンプル・モードで操作することを前提としています。シンプル・モードではない場合、［Policy］>［Global Properties］>［VPN］を選択して、［Simplified mode to allnew Security Policies］を選択し、新しいセキュリティ・ポリシーを作成します。

リモート・アクセスVPNを確立するには、ゲートウェイ側（SmartCenterサーバ経由）とリモート・ユーザ側の両方で設定が必要です。

ゲートウェイ側では、管理者は以下の処理を実行する必要があります。

1 ゲートウェイの定義

2 ユーザ管理方法の決定

3 VPNコミュニティとそのメンバの設定

4 セキュリティ・ポリシー・ルール・ベースでの適切なアクセス制御ルールの設定

5 ゲートウェイへのポリシーのインストール

リモート・クライアント側では、ユーザは以下の処理を実行する必要があります。

1 サイトの定義

2 内部CAへの登録と証明書の取得（必要な場合）

3 サイトへの接続

詳細については、『SecuRemote/SecureClient』を参照してください。

リモート・アクセスVPNの確立

リモート・アクセスVPNを確立する場合の一般的なワークフローを図 14-2に示します。上部の「ゲートウェイの作成とゲートウェイ・プロパティの定義」から始めて、「ポリシーの

インストール」までたどっていきます。

この図以降のセクションでは、各段階の詳細を手順ごとに説明します。

図 14-2に、リモート・アクセスVPNを確立する場合の一般的なワークフローを示します。

LDAPユーザ・グループの定義 226 ページ

ユーザ・グループの定義 226 ページ

VPNコミュニティとそのメンバの定義 226 ページ

アクセス制御ルールの定義 226 ページ

ポリシーのインストール 227 ページ

ユーザ証明書の管理 227 ページ

リモート・アクセスVPNの暗号化プロパティの変更 229 ページ

RSAのハード・トークンとソフト・トークンの使用 230 ページ

220

リモート・アクセスVPNの確立

図14-2 リモート・アクセスVPNを確立する場合のワークフロー

第14章 リモート・アクセスVPNについて 221

リモート・アクセス用VPNの設定

ゲートウェイの作成とゲートウェイ・プロパティの定義

1 SmartDashboardで、ゲートウェイ・ネットワーク・オブジェクトを作成します。

2 ネットワーク・オブジェクトの［General Properties］ページで［VPN］を選択します。

3 ［Communication...］をクリックして、VPN-1 Pro実施モジュールとSmartCenterサーバ間に、安全な通信チャネルを確立します。

4 ゲートウェイの［Topology］ページで、ゲートウェイのインタフェースとVPNドメインを定義します。

ゲートウェイに対して、証明書が内部CAによって自動的に発行されます。

LDAPでのユーザと認証方式の定義

1 VPN-1 Pro実施モジュールによってLDAPサーバから情報を取得できるように、ライセンスを取得してインストールします。

2 LDAPアカウント・ユニットを作成します。

3 LDAPユーザとしてユーザを定義します。LDAPユーザ用の新規ネットワーク・オブジェクトが、ユーザ・ツリーに作成されます（LDAPユーザは、右側にあるオブジェクト・リスト・ウィンドウにも表示されます）。

詳細については、『SmartCenter』に記載されている「LDAPとユーザ管理」を参照してください。

内部データベースでのユーザ・プロパティと認証方式の定義

『SmartCenter』の「SmartCenterの概要」を参照してください。

ICA管理ツールでのユーザ証明書の開始

1 ユーザをダブルクリックして、ユーザのプロパティ・ウィンドウを開きます。［Encryption］タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。このウィンドウの［Authentication］タブで、［Public Key］を選択します。

2 ICA管理ツールで、ユーザ証明書を開始します。詳細については、『SmartCenter』を参照してください。

SmartDashboardでのユーザ証明書の生成

1 ［User properties］ウィンドウの［Encryption］タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。［Authentication］タブで、［Public key］を選択します。

2 ［User Properties］ウィンドウの［Certificates］タブで、［Generate and Save］をクリックします。

222

SmartDashboardでのユーザ証明書の開始

3 PKCS #12パスワードを入力して、確認します。

PKCS #12は、ユーザの秘密鍵、証明書などを保存したり転送したりする場合に便利な形式です。PKCS #12ファイルとパスワードは、フロッピー・ディスクなどを使用して、「ネットワーク外」でユーザに安全に送信する必要があります。

4 ［Global Properties］の［Authentication］ウィンドウで、サフィックスの照合を追加または無効にします。

証明書のあるユーザの場合、DNに特定のサフィックスがある証明書だけを受け入れるように指定できます。この機能はデフォルトで有効になっており、この機能が必要になるのは、ユーザ名が完全なDNではない場合に限られます。このサフィックスに対して、すべての証明書のDNが確認されます。

SmartDashboardでのユーザ証明書の開始

リモート・ユーザに対して証明書を生成する代わりに、証明書の生成プロセスを開始するだけで済みます。このプロセスはユーザによって完了されます。

証明書の作成プロセスを開始するには、以下の手順に従います。

1 ［User properties］ウィンドウの［Encryption］タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。［Authentication］タブで、［Public key］を選択します。

2 ［User Properties］ウィンドウの［Certificates］タブで、［Initialize］をクリックして、［Copy to clipboar］を選択します。レジストレーション・キーがクリップボードにコピーされます。

3 テキスト・エディタ（たとえば、メモ帳）を開いて、レジストレーション・キーを貼り付けます。

4 このレジストレーション・キーを「ネットワークを使用せずに」ユーザに送ります。

5 ［Global Properties］の［Authentication］ウィンドウで、サフィックスの照合を追加または無効にします。

証明書のあるユーザの場合、DNに特定のサフィックスがある証明書だけを受け入れるように指定できます。この機能はデフォルトで有効になっており、この機能が必要になるのは、ユーザ名が完全なDNではない場合に限られます。このサフィックスに対して、すべての証明書のDNが確認されます。

ユーザとゲートウェイの証明書の設定（サード・パーティ PKIを使用）

サード・パーティのPKIを使用する場合、以下を作成します。

■ ユーザの証明書

■ ゲートウェイの証明書

第14章 リモート・アクセスVPNについて 223

リモート・アクセス用VPNの設定

PKCS#12、CAPI、またはEntrust標準をサポートするサード・パーティのOPSEC PKI認証局を使用して、VPN-1 Proゲートウェイとユーザに対して証明書を発行できます。ゲートウェイはCAを信頼し、CAによって発行された証明書を持っている必要があります。

LDAPサーバで管理するユーザの場合、証明書に表示される完全なDN（識別名）は、ユーザ名と同じです。ただし、ユーザを内部データベースで管理する場合、証明書のユーザ名とDNは一致しません。したがって、内部データベースのユーザ名は、証明書に表示される完全なDN、または証明書のCN部に表示される名前と同じにする必要があります。たとえば、証明書に表示されるDNが以下のように表示されるとします。

CN=John, OU=Finance, O=Widget Enterprises, C=US

内部データベースのユーザ名は、以下のいずれかにする必要があります。■ John■ CN=John, OU=Finance, O=Widget Enterprises, C=US

サード・パーティのPKIソリューションを使用するには

1 ［User properties］ウィンドウの［Encryption］タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。［Authentication］タブで、［Public key］を選択します。

2 SmartDashboardで、サード・パーティの認証局をオブジェクトとして定義します。「認証局での登録」を参照してください。

3 サード・パーティのCAからVPN-1 Proゲートウェイの証明書を生成します。詳細については、「認証局での登録」を参照してください。

4 サード・パーティのCAから、リモート・ユーザの証明書を生成します（詳細については、関連するサード・パーティのマニュアルを参照してください）。証明書をユーザに転送します。

5 ［Global Properties］の［Authentication］ウィンドウで、サフィックスの照合を追加または無効にします。

証明書のあるユーザの場合、DNに特定のサフィックスがある証明書だけを受け入れるように指定できます。この機能はデフォルトで有効になっており、以下の 2つの条件の両方が満たされる場合にのみ必要になります。

■ ユーザが内部データベースで定義されている ■ ユーザ名が完全なDNではない

注： 証明書のDNには、ユーザのLDAPブランチを含める必要があります。一部のPKIソリューション

の場合、たとえば、DNにコモン・ネームしか含まれていないなど、サブジェクトDNのブランチ情報が

（デフォルトで）すべて含まれていないことがあります。これは、CAの設定で調整できます。

224

ハイブリッド・モードの有効化と認証方式

このサフィックスに対して、すべての証明書のDNが確認されます。

ハイブリッド・モードの有効化と認証方式

ハイブリッド・モードでは、ゲートウェイとリモート・アクセス・クライアントでさまざまな認証方式を使用できます。ハイブリッド・モードを有効にするには、以下の手順に従います。

［Policy］>［Global Properties］>［Remote Access］>［VPN - Basic］を選択して、［Hybrid Mode(VPN-1 & FireWall-1 authentication)］を選択します。

ハイブリッド・モードでのユーザ認証方式の定義

1 ［User Properties］ウィンドウの［Authentication］タブで、適切な認証スキームを選択します。

2 ユーザの認証についてのクレデンシャルを入力します。

3 これらのクレデンシャルをユーザに送ります（ネットワーク外）。

ユーザの認証方式、認証サーバ、ゲートウェイでの認証方式の有効化については、『ファイアウォールとSmartDefense』の「認証」を参照してください。

NTグループとRADIUSクラスの認証の設定

このグループ認証機能を有効にするには、以下の手順に従います。

1 objects.Cのadd_radius_groupsプロパティを「true」に設定します。

2 RADIUSを認証方式として共用 *プロファイルを定義します。

3 「発信元」はNT ServerまたはRADIUSによって認証するリモート・ユーザ・グループであると設定したルールを、ポリシー・ルール・ベース内に作成します。

オフィス・モードの IP割り当てファイル

この方式はオフィス・モードでも使用できます。ipassignment.confファイルにリストされるグループは、NTグループ認証またはRADIUSクラスで認証するグループを指しています。249 ページの「ipassignment.confファイルによるオフィス・モード」を参照してください。

注： 認証局の階層を使用している場合、ユーザのチェーン証明書が、ゲートウェイが信頼している同じ

ルートCAに到達する必要があります。

第14章 リモート・アクセスVPNについて 225

リモート・アクセス用VPNの設定

プリシェアード・シークレットの使用

プリシェアード・シークレットを使用する場合、リモート・ユーザとVPN-1 Proゲートウェイは、相手側が共有秘密情報であるユーザのパスワードを知っていることを検証して相互に認証します。プリシェアード・シークレットの使用を有効にするには、以下の手順に従います。

1 ［Policy］>［Global Properties］>［Remote Access］>［VPN - Basic］で、［Pre-Shared Secret（For SecuRemote/SecureClient users）］を選択します。

2 ［Hybrid Mode］をオフにします。

3 ユーザごとに、［User Properties］ウィンドウの［Encryption］タブで［IKE］を選択し、［Edit...］をクリックして、［IKE Phase 2 Properties］ウィンドウを表示します。

4 ［Authentication］タブで［Password (Pre-Shared Secret)］を有効にして、［Password (Pre-shared secret)］と［Confirm Password］フィールドにプリシェアード・シークレットを入力します。

5 「ネットワークを使用せずに」ユーザにパスワードを通知します。

LDAPユーザ・グループの定義

『SmartCenter』の「LDAPとユーザ管理」を参照してください。

ユーザ・グループの定義

SmartDashboardで、リモート・アクセス・ユーザに対してグループを作成します。このグループに対して適切なユーザを追加します。

VPNコミュニティとそのメンバの定義

1 VPNコミュニティ・ツリーで、［Remote_Access_Community］をダブルクリックします。［Remote Access Community Properties］ウィンドウが開きます。

2 ［Participating Gateways］ページで［Add...］をクリックして、リモート・アクセス・コミュニティに追加するゲートウェイを指定します。

3 ［Participating User Groups］ページで［Add...］をクリックして、リモート・アクセス・ユーザを追加するグループを指定します。

アクセス制御ルールの定義

アクセス制御は、VPNと接続していないセキュリティ層です。リモート・アクセス・コミュニティがあるからといって、このコミュニティのメンバにネットワークへのアクセスを自動的に認めるわけではありません。特定のサービスへのアクセスを遮断したり許可したりするために、セキュリティ・ポリシー・ルール・ベースに適切なルールを作成する必要があります。

226

ポリシーのインストール

1 リモート・アクセス接続に対応するルールをセキュリティ・ポリシー・ルール・ベースに作成します。

2 ［VPN］カラムのエントリをダブルクリックします。［VPN Match Conditions］ウィンドウが開きます。

3 ［Only connections encrypted in specific VPN Communities］を選択します。

4 ［Add...］をクリックして、このセキュリティ・ポリシー・ルールに特定のコミュニティを追加します。

5 サービスとアクションを定義します。たとえば、組織内のSMTP_SRVという名前のSMTPサーバに対して、リモート・アクセス・ユーザにアクセスを許可するには、以下のルールを作成します。

ポリシーのインストール

ポリシーをインストールして、サイト・トポロジの作成や更新を行うようにユーザに指示します。

ユーザ証明書の管理

ユーザ証明書の管理では、以下の操作を行います。

■ ユーザ証明書のステータスの追跡

■ 証明書の自動更新

■ 証明書の破棄

SOURCE DESTINATION VPN SERVICE ACTION TRACK

Any SMTP_SRV Remote_Access_Community SMTP Accept Log

第14章 リモート・アクセスVPNについて 227

リモート・アクセス用VPNの設定

ユーザ証明書のステータスの追跡

ユーザ証明書のステータスは、ユーザの［Properties］ウィンドウの［Certificates］タブでいつでも追跡できます。ステータスは、［Certificate state］フィールドに表示されます。

［Pending until］フィールドに指定された日付までにユーザが証明書を生成しなかった場合、レジストレーション・キーは削除されます。

ユーザがLDAPで定義されている場合、追跡は ICA管理ツールで実行します。

証明書の自動更新

ユーザの ICA証明書は期限切れになる数日前に自動的に更新できます。期限切れになる前に、クライアントは、CAでの証明書更新処理を開始します。正常に完了すると、クライアントは更新された証明書を受信します。

証明書の自動更新を設定するには、以下の手順に従います。

1 ［Policy］>［Global Properties］>［Remote Access］>［Certificates］を選択します。

2 ［Renew users internal CA certificates］を選択して、期間を指定します。この期間は、証明書の有効期限に達するまでの日数であり、この値で逆算した日付でクライアントは証明書の更新処理を開始します。

3 セキュリティ・ポリシーをインストールします。

4 サイトのトポロジを更新するようにユーザに指示します。

証明書の破棄

証明書を破棄する方法は、証明書を内部で管理しているか、LDAPによって外部で管理しているかで異なります。

内部管理ユーザの場合

ユーザを削除すると、証明書は自動的に破棄されます。証明書は、いつでも無効にしたり、破棄したりできます。

証明書の生成を開始しており、ユーザが生成を完了していない場合は、［User Properties］ウィンドウの［Certificates］タブで［Disable］をオンにすることで、保留状態の証明書を無効にできます。

証明書がすでに有効になっている場合は、［User Properties］ウィンドウの［Certificates］タブで［Revoke］をクリックして、この証明書を破棄できます。

LDAPで管理しているユーザの場合

ユーザをLDAPで管理している場合、証明書は ICA管理ツールを使用して破棄します。

228

リモート・アクセスVPNの暗号化プロパティの変更

リモート・アクセスVPNの暗号化プロパティの変更

リモート・アクセス・コミュニティに含まれているユーザの暗号化プロパティは、デフォルトで設定されます。暗号化アルゴリズム、データの完全性チェック方式、およびDiffie-Hellmanグループなどを変更する必要がある場合、すべてのユーザに対してプロパティをグローバルに変更することも、ユーザごとにプロパティを設定することもできます。

ユーザの暗号化プロパティをグローバルに変更するには、以下の手順に従います。

1 ［Policy］>［Global Properties］>［Remote Access］>［VPN - (IKE Phase 1)］を選択します。

適切な値を設定します。

■ Support encryption algorithms - リモート・ホストでサポートされる暗号化アルゴリズムを選択します。

■ Use encryption algorithms - 選択したアルゴリズムの中で も優先度が高い暗号化アルゴリズムを選択します。使用できる暗号化アルゴリズムが複数ある場合、このフィールドで選択したアルゴリズムが使用されます。

■ Support Data Integrity - データの完全性を保証するためにリモート・ホストでサポートされるハッシュ・アルゴリズムを選択します。

■ Use Data Integrity - 複数のアルゴリズムがある場合、ここで選択したハッシュ・アルゴリズムに 高の優先度が与えられます。

■ Support Diffie-Hellman groups - リモート・ホストでサポートされるDiffie-Hellmanグループを選択します。

■ Use Diffie-Hellman group - SecureClientユーザは、このフィールドで選択したDiffie-Hellmanグループを使用します。

ユーザにグローバルな暗号化プロパティを適用し、特定のユーザのプロパティを変更するには、［Policy］>［Global Properties］>［Remote Access］>［VPN - IPSEC(Phase2)］を選択します。

1 ウィンドウで必須のプロパティを設定して、［Enforce Encryption Algorithm and Data Integrity on all users］を無効にします。

2 ［User Properties］ウィンドウの［Encryption］タブで、［IKE］を選択して［Edit］をクリックします。

［IKE Phase 2 Properties］ウィンドウが表示されます。

3 ［Encryption］タブを選択します。

4 ユーザの暗号化アルゴリズムとデータの完全性チェック・アルゴリズムを［Global Properties］の定義から取得する場合は、［Global Properties］ウィンドウの［Defined in the Remote Access VPN］ページを選択します。このユーザのアルゴリズムをカスタマイズするには、［Defined below］を選択して、適切な暗号化アルゴリズムとデータの完全性チェック・アルゴリズムを選択します。

第14章 リモート・アクセスVPNについて 229

リモート・アクセス用VPNの設定

RSAのハード・トークンとソフト・トークンの使用

認証にSecurIDを使用する場合、RSAのACE管理サーバでユーザを管理する必要があります。ACEでは、RSAユーザと割り当てられたハード・トークンまたはソフト・トークンがデータベースで管理されます。SecureClientは、サイトのゲートウェイにアクセスします。ゲートウェイは、ユーザの認証情報を確認するために、ACE Serverにアクセスします。このためには、以下のように設定する必要があります。

■ リモート・ユーザは、ACE Server上でRSAユーザとして定義する必要があります。

■ VPN-1 Proゲートウェイの場合、SecurIDユーザは、SecurIDのグループに追加する必要があります（このグループは、認証方式としてSecurIDを指定された外部ユーザ・プロファイル・アカウントを持っています）。

SecurID認証デバイス

さまざまなバージョンのSecurIDデバイスを使用できます。古い形式としては、トークン・

コードと呼ばれる数字コードやタイム・バーを表示する小型のデバイスがあります。トークン・コードは、60秒ごとに変化して、認証に使用する基礎的な情報を提供します。認証するとき、ユーザはトークン・コードの 初に、PIN番号と呼ばれる特別なパスワードを追加する必要があります。タイム・バーは、次のトークン・コードを生成するまでの残り時間を示します。リモート・ユーザは、PIN番号とトークン・コードの両方をSecureClientの接続ウィンドウに入力するように要求されます。

新しい形式のデバイスは、クレジット・カードに似ており、トークン・コードやタイム・バーが表示され、PIN番号を入力するテンキーがあります。このタイプのデバイスでは、トークン・コードと入力したPIN番号を合わせて、パスコードが作成されます。SecureClientでは、パスコードのみが必要になります。

SoftIDは、パスコード・デバイスと同じように機能しますが、デスクトップにあるソフトウェアだけで構成されています。

230

RSAのハード・トークンとソフト・トークンの使用

［Advanced］ビューにはトークン・コードとパスコードのほかに［COPY］ボタンが表示され、ユーザはSoftIDとSecureClientの間でコピーと貼り付けを実行できます。

SoftIDとSecureClient

リモート・ユーザがRSAの softIDを正常に使用するには、以下の手順に従ってください。

1 管理者は、Ace Server上でリモート・ユーザを作成します。

2 管理者は「ネットワーク外」で、SDTIDトークン・ファイル（または複数のトークン）をリモート・ユーザに配布します。

3 リモート・ユーザがトークンをインポートします。

4 SecureClientの以下のuserc.cプロパティをOPTIONSセクションで設定する必要があります。

support_rsa_soft_tokens (true)

リモート・ユーザには、3つのウィンドウが表示されます。

第14章 リモート・アクセスVPNについて 231

リモート・アクセス用VPNの設定

リモート・ユーザは、このウィンドウでトークン・シリアル番号とPINを入力する必要があります。リモート・ユーザがPIN番号を入力しないと、以下のウィンドウが表示されます。

PINを入力する必要があります。

トークンでパスフレーズが必要な場合は、リモート・ユーザに対して以下のウィンドウが表示されます。

232

第 章15

オフィス・モード

この章の構成

リモート・クライアントをLANに含める必要性

組織の内部ネットワークに対するリモート・アクセスが広く普及するようになり、リモート・ユーザは、組織にある可能な限り多くの内部リソースにアクセスできることが重要になっています。

通常、リモート・アクセスが可能になると、クライアントは ISPなどがローカルで割り当てた IPアドレスを使用して接続できます。クライアントは、NATデバイスの背後に隠されているルーティング不能なプライベート IPアドレスを受け取ることもあります。したがって、以下の問題が発生する可能性があります。

■ ネットワーク・プロトコルまたはリソースの一部では、クライアントの IPアドレスを内部 IPアドレスにする必要があります。たとえば、ルータのACL（アクセス制御リスト）で、特定の IPアドレスまたは内部 IPアドレスのみに、ネットワーク・リソースへのアクセスを許可している場合があります。リモート・クライアントの IPアドレスを事前に知っていなければ、この状態に対応することが困難になります。

■ ルーティング不能な IPアドレスが割り当てられると、企業LANで使用される同じルーティング不能な IPアドレスを持つほかのクライアントや、別のNATデバイスの背後にある同じ IPアドレスを持つほかのクライアントと、アドレスの競合が発生する可能性があります。

たとえば、SecuRemote/SecureClientが、10.0.0.1の IPアドレスを受け取ります。このアドレスは IPSecパケットのヘッダに挿入されます。このパケットは、NAT処理されます。パケットの新しい送信元 IPアドレスは 192.168.17.5です。ゲートウェイはNAT

リモート・クライアントをLANに含める必要性 233 ページ

オフィス・モード・ソリューション 234 ページ

オフィス・モードでの考慮事項 244 ページ

オフィス・モードの設定 245 ページ

233

オフィス・モード・ソリューション

処理された IPのカプセル化を解除して、パケットを復号化します。IPアドレスは、元の送信元 IPアドレス 10.0.0.1に戻されます。同じ IPアドレスを持つ内部ホストが存在すると、パケットが破棄される可能性があります（偽装対策をオンにしている場合）。重複する IPアドレスが存在せず、パケットが内部サーバに転送される場合、このサーバは存在しないアドレスに対して応答しようとします。

■ ISPによって、2人のリモート・ユーザに同じ IPアドレスが割り当てられる場合があります。たとえば、2人のユーザが、内部でプライベート・アドレスを使用して外部への発信トラフィックにはNATで IPアドレスを割り当てるホテルから組織にアクセスする場合などです。両方のユーザは、同じ IPアドレスで内部ネットワークにアクセスしようとします。組織の内部ネットワークのリソース側では、この 2人のユーザを区別することができません。

オフィス・モード・ソリューション

このセクションの構成

オフィス・モードについて

オフィス・モードでは、VPN-1ゲートウェイで IPアドレスをリモート・クライアントに割り当てられます。この割り当ては、ユーザが接続して認証されるとすぐに実行されます。ユーザが接続している限り、割り当てリースは継続的に更新されます。アドレスは、一般的な IPアドレス・プール、またはユーザ・グループごとに指定される IPアドレス・プールから選択されます。アドレスはユーザごとの指定、またはDHCPサーバでの指定が可能で、アドレスを指定すると、名前解決サービスが使用可能になります。DNSによる名前解決によって、企業ネットワーク側からクライアントへのアクセスが容易になります。

オフィス・モードの使用を全ユーザに許可することも、特定のユーザ・グループに限定することもできます。たとえば、この機能では、特定のユーザ・グループ（リモート・ステーションからLANにアクセスする管理者など）のみに特権的なアクセス権を与えることができます。また、オフィス・モードを導入する初期の段階では、特定のユーザ・グループに対して「試験的に」この機能を適用し、残りのユーザは旧来の方法で作業するという手法も有効です。

オフィス・モードについて 234 ページ

オフィス・モードの動作 235 ページ

IPアドレスの割り当て 237 ページ

IPアドレス・リース期間 238 ページ

名前解決の使用 ― WINSとDNS 239 ページ

偽装対策 239 ページ

複数の外部インタフェースがある環境でのオフィス・モードの使用

239 ページ

234

オフィス・モードの動作

オフィス・モードは、以下の環境でサポートされます。

■ SecureClient■ SNX■ Crypto■ L2TP

オフィス・モードの動作

ユーザが組織に接続すると、IKEネゴシエーションがVPN-1 Proゲートウェイに対して自動的に開始されます。オフィス・モードを使用すると、configモードと呼ばれる特別な IKEモードが IKEのフェーズ Iとフェーズ IIの間に挿入されます。configモード時に、クライアントはゲートウェイから IPアドレスを要求します。DNSサーバ IPアドレス、WINSサーバ IPアドレスなど、ほかのパラメータもこの方法で設定できます。

ゲートウェイが IPアドレスを割り当てると、クライアントはその IPアドレスをオペレーティング・システム上の仮想アダプタに割り当てます。企業LANへのパケットのルーティングは、このアダプタを経由するように変更されます。この方法でルーティングされるパケットは、ゲートウェイによって割り当てられた IPアドレスを、送信元 IPアドレスとして保持します。パケットは、実際のアダプタから送信される前に、外部 IPアドレス（実際のアダプタに割り当てられたアドレス）を発信元アドレスとして割り当てられ、IPsecによってカプセル化されます。この方法では、ルーティング不能な IPアドレスをオフィス・モードで使用することができ、オフィス・モードのルーティング不能なアドレスはIPsecパケット内に隠蔽されます。

オフィス・モードを正常に使用するには、VPN-1 Proゲートウェイによって割り当てられるIPアドレスが、企業LAN内からそのゲートウェイまでルーティング可能である必要があります。これにより、クライアントに送信されたLAN上のパケットを、同じゲートウェイを通じて返信できます（「非フラット・ネットワークでのオフィス・モードと静的ルート」も参照）。

詳細情報

以下の手順では、オフィス・モードで接続したリモート・ユーザが組織内のリソースと情報を交換するときのプロセスを説明します。

■ ユーザはLAN上のリソースへの接続を試行し、内部ネットワークを宛先としたパケットが送信されます。このパケットは、オフィス・モードが設定した仮想インタフェースによってルーティングされ、リモート・ユーザに割り当てられた送信元 IPアドレスを保持します。

注： SecuRemoteだけを使用しているリモート・ユーザは、オフィス・モードではサポートされません。

第15章 オフィス・モード 235

オフィス・モード・ソリューション

■ パケットは暗号化され、このパケットに対して、新しいカプセル化された IPヘッダが作成されます。カプセル化されたパケットの送信元 IPアドレスはリモート・クライアントの元の IPアドレスであり、宛先はVPN-1ゲートウェイの IPアドレスになります。次に、カプセル化されたパケットは、インターネット経由で組織に送信されます。

■ 組織のVPN-1 Proゲートウェイはパケットを受信し、パケットをカプセルから抽出して復号化し、元のパケットに戻します。元のパケットはリモート・ユーザに割り当てられた送信元 IPアドレスを保持しています。次にゲートウェイは、カプセルから抽出したパケットをその宛先へ転送します。

■ 内部リソースは、内部アドレスから転送されたように見えるパケットを受信します。内部リソースはパケットを処理して、応答パケットをリモート・ユーザに返信します。これらのパケットは、リモート・ユーザに割り当てられた（内部）IPアドレスへルーティングされます。

■ ゲートウェイはこのパケットを受信し、リモート・ユーザの元の（ルーティング可能な）IPアドレスを使用してパケットを暗号化およびカプセル化し、リモート・ユーザへ返信します。

図15-1 リモート・クライアントへ適切にルーティングされるパケット

図 15-1では、以下のように動作します。

■ リモート・ホストは、カプセル化されたパケットの内側のアドレスとしてオフィス・モードのアドレスを使用し、カプセル化ヘッダのアドレスに 10.0.0.1を使用します。

■ パケットのアドレスは、NATによって、新しい発信元アドレス（192.168.17.5）に変換されます。

■ ゲートウェイはNATされた IPアドレスをカプセルから抽出して、パケットを復号化します。送信元 IPアドレスは、オフィス・モードのアドレスになります。

■ パケットは内部サーバへ転送され、内部サーバが適切に応答します。

236

IPアドレスの割り当て

非フラット・ネットワークでのオフィス・モードと静的ルート

フラット・ネットワークは、すべてのステーションがブリッジまたはルータを経由しないで、相互に通信できるネットワークです。ネットワークの 1セグメントが、「フラット・ネットワーク」です。静的ルートは、システム管理者が（ルータに対して）手動で割り当てたルートで、ネットワークの変化を反映するには手動で更新する必要があります。

LANが非フラット（ステーションがルータやブリッジを経由して相互に通信する形式）である場合、リモート・クライアントに宛てられたLAN上のパケットがゲートウェイへ適切にルーティングされるように、リモート・クライアントのOMアドレスを静的にルータに割り当てる必要があります。

IPアドレスの割り当て

ゲートウェイによってリモート・ユーザに割り当てる内部 IPアドレスは、以下のいずれかの方法で割り当てることができます。

■ IPプール

■ DHCPサーバ

IPプール

システム管理者は、リモート・クライアント・マシンで利用できる IPアドレス範囲を指定します。オフィス・モードでの接続を要求する各クライアントに対して、IPプールから固有の IPアドレスが与えられます。

送信元 IPアドレスに基づく IPの割り当て

IPプールの IPアドレスは予約されており、送信元 IPアドレスに基づいてリモート・ユーザに割り当てることができます。リモート・ホストがゲートウェイに接続するとき、その IPアドレスは定義済みの送信元 IPアドレス範囲と照合されます。IPアドレスがこの範囲に含まれていた場合、この目的のために予約された IP範囲から、オフィス・モードのIPアドレスが割り当てられます。

この予約された IPプール内の IPアドレスを設定して、個別に設定したアクセス権限セットをこれらのリモート・ユーザに与えられます。

DHCPサーバ

DHCP（Dynamic Host Configuration Protocol）サーバを使用すると、オフィス・モードのクライアントに IPアドレスを割り当てることができます。リモート・ユーザがオフィス・モードでゲートウェイに接続すると、ゲートウェイは、オフィス・モード・ユーザ用に予約されている IPアドレス範囲から IPアドレスをユーザに割り当てるように、DHCPサーバに対して要求します。

第15章 オフィス・モード 237

オフィス・モード・ソリューション

VPN-1 ProゲートウェイのDHCP要求には、さまざまなクライアント属性を含めることができ、これによってDHCPクライアントを区別できます。これらの属性は、クライアント側のオペレーティング・システムで事前に設定しておき、IPアドレスの割り当てプロセスで、異なるDHCPサーバによって利用できます。VPN-1 ProゲートウェイのDHCP要求には、以下の属性を含めることができます。

■ ホスト名

■ FQDN（完全修飾ドメイン名）

■ ベンダー・クラス

■ ユーザ・クラス

RADIUSサーバ

RADIUSサーバは、リモート・ユーザの認証に使用できます。リモート・ユーザがゲートウェイに接続するとき、ユーザ名とパスワードはRADIUSサーバに渡されます。このサーバが情報が正しいことをチェックして、ユーザの認証を行います。RADIUSサーバは、IPアドレスを割り当てるように設定することもできます。

IPアドレス・リース期間

リモート・ユーザのマシンに IPアドレスが割り当てられると、マシンはそのアドレスを一定期間使用できます。この期間は「IPアドレス・リース期間」と呼ばれます。IPリース期間の半分が経過すると、リモート・クライアントはリース更新を自動的に要求します。したがって、IPリース期間が 60分に設定されていれば、更新要求は 30分後に送信されます。更新が認められると、クライアントは30分ごとに更新の要求を繰り返します。更新に失敗すると、クライアントは残りの半分の時間が経過後（この場合 15分後、次に 7.5分後）に再び更新を試行します。更新が許可されず、リース期間の 60分が経過して時間切れとなると、トンネル・リンクが終了します。接続を更新するには、リモート・ユーザはゲートウェイに再接続する必要があります。再接続時には、IKEネゴシエーションが開始され、新しいトンネルが作成されます。

IPアドレスがゲートウェイ上の事前に定義された IPプールから割り当てられる場合、IPリース期間はゲートウェイによって決定されます。デフォルトのリース期間は 15分です。

DHCPサーバを使用して IPアドレスをユーザに割り当てる場合、DHCPサーバの設定によって IPリース期間が決定されます。ユーザがゲートウェイへの接続を切断してから短時間の間に再接続すると、ユーザには前と同じ IPアドレスが与えられる可能性が高くなります。

注： 認証と IP割り当ては、同じRADIUSサーバで実行する必要があります。

238

名前解決の使用 ― WINSとDNS

名前解決の使用 ― WINSとDNSリモート・ユーザが内部ネットワーク上のリソースへアクセスできるようにするため、管理者はリモート・ユーザ用のWINSサーバとDNSサーバを指定できます。この情報は、IKEconfigモード時に IPアドレス割り当て情報と一緒にリモート・ユーザに送信され、リモート・ユーザが組織の内部リソースにアクセスしようとするとき、リモート・ユーザのオペレーティング・システムが名前と IPアドレス間の解決に使用します。

偽装対策

偽装対策では、ネットワーク管理者が、VPN-1 Proゲートウェイのインタフェースごとに、通過を許可する IPアドレスを設定します。偽装対策では、IPアドレスの受信や送信は、相手が適切なゲートウェイ・インタフェースであると確認された場合にのみ実行されます。オフィス・モードの場合は、偽装対策機能に問題が生じます。なぜなら、クライアント・マシンは、複数のインタフェース（インターネットへの外部インタフェースやワイヤレスLANインタフェースなど）を通じて接続や認証ができるため、複数のインタフェースでオフィス・モードの IPアドレスが検出される可能性があるからです。オフィス・モードでは、偽装対策機能を強化し、検出されたオフィス・モード IPアドレスが実際にユーザに割り当てられ、IPsecカプセル化パケットの送信元 IPアドレス（外部 IPアドレス）で認証されます。

複数の外部インタフェースがある環境でのオフィス・モードの使用

VPNの場合、通常、ルーティングは暗号化の前に実行されます。ゲートウェイに複数の外部インタフェースがあるような複雑な環境でオフィス・モードを使用する場合、問題が発生する可能性があります。このような環境では、リモート・ユーザの仮想 IPアドレスに宛てたパケットは、ゲートウェイにある特定の外部インタフェースでルーティングされるパケットとしてマークされます。 初にルーティングの決定が行われた後、パケットが IPSECでカプセル化されます。カプセル化の後、これらのパケットの送信先 IPアドレスはクライアントの元の IPアドレスに変更されます。しかし、カプセル化されたパケットに選択するルーティング・パスは、元のパケットの外部インタフェースとは異なる外部インタフェースで転送されることがあるため（送信先 IPアドレスが変わったため）、この場合には、ルーティング・エラーが発生することになります。このエラーを防止するために、オフィス・モードでは、カプセル化の後ですべてのオフィス・モード・パケットのルーティングが実行されます。

サイト単位のオフィス・モード

リモート・ユーザが接続して、ゲートウェイからオフィス・モード IPアドレスを受け取った後は、このゲートウェイ暗号化ドメインに対するすべての接続では、オフィス・モード IPが内部の送信元 IPとして使用されます。オフィス・モード IPは、暗号化ドメインのホストがリモート・ユーザの IPアドレスとして認識するアドレスです。

第15章 オフィス・モード 239

オフィス・モード・ソリューション

特定のゲートウェイが割り当てるオフィス・モード IPアドレスは、それ自体の暗号化ドメインと共に、隣接する暗号化ドメインでも使用できます。隣接する暗号化ドメインは、アドレスを割り当てたゲートウェイと同じVPNコミュニティに属すゲートウェイの背後にある必要があります。リモート・ホスト接続は、受け取ったオフィス・モード IPアドレスに依存しているため、IPを発行したゲートウェイが使用不能になると、このサイトに対するすべての接続が終了します。

サイトのすべてのゲートウェイがリモート・ユーザのオフィス・モード IPアドレスを認識するには、すべてのゲートウェイがオフィス・モードの IPアドレス範囲の情報を持っており、すべてのネットワークでこの IP範囲がルーティング可能になっている必要があります。ただし、サイト単位のオフィス・モード機能を使用している場合、ユーザ単位の IP機能は実装できません。

図15-2 サイト単位のオフィス・モード

注： サイト単位のオフィス・モードをアクティブ化した場合、オフィス・モードの偽装対策は適用され

ません。

240

問題

このシナリオの場合、以下のように設定されています。

■ リモート・ユーザは、ゲートウェイ 1への接続を確立します。

■ ゲートウェイ1は、オフィス・モード IPアドレスをリモート・ユーザに割り当てます。

■ ゲートウェイ 1に接続されている場合、リモート・ユーザはゲートウェイ 1に発行されたオフィス・モード IPアドレスを使用して、ゲートウェイ 2の背後にあるホストに接続できます。

ユーザ単位の IPアドレスの有効化

問題

設定によっては、特定の IPアドレスに対して、ネットワークの一部に対するアクセスがルータまたはその他のデバイスで制限されています。したがって、オフィス・モードで接続するリモート・ユーザは、ルータで接続が許可されている IPアドレスを取得する必要があります。

解決策

この機能を実装するには、IPアドレスをDHCPサーバで割り当てるか、IPプールで割り当てるかによって、2つの方法があります。

DHCPサーバ

オフィス・モード・アドレスがDHCPサーバで割り当てられる場合、以下の手順に従います。

1 オブジェクト・ツリーからチェック・ポイント・オブジェクトを開きます。

2 ［Object Properties］>［Remote Access］>［Office Mode］ページで、以下の操作を行います。

■ オフィス・モードを有効にします（すべてのユーザまたは関連するグループに対して）。

■ DHCPサーバを選択して、［MAC address for DHCP allocation］で［calculated per user name］を選択します。

3 モジュールにポリシーをインストールします。

注： この機能を実装する場合、オフィス・モードの偽装対策を有効にする必要があります。詳細につい

ては、239 ページの「偽装対策」を参照してください。

第15章 オフィス・モード 241

ユーザ単位の IPアドレスの有効化

4 モジュールで以下のコマンドを実行して、ユーザに割り当てるMACアドレスを取得します。

5 DHCPサーバで、IPアドレスとMACアドレスを指定して、指定されたユーザ専用のIPアドレスを割り当てて、新しい予約を作成します。

ipassignment.confファイル

モジュールにある$FWDIR/conf/ipassignment.confファイルは、ユーザ単位の IP機能を実装するために使用されます。管理者はこのファイルを使用することで、オフィス・モードでの接続時またはL2TPクライアントでの接続時に、特定のアドレスを特定のユーザに割り当てたり、特定のアドレス範囲を特定のグループに割り当てたりすることができます。

ファイルの構文を理解するには、以下のサンプル・ファイルのコメント（文字#で始まる行）を参照してください。

vpn macutil <username>

注： このファイルは、手動ですべてのモジュールに追加する必要があります。

242

解決策

ipassignment.confのサンプル・ファイル

# This file is used to implement the IP-per-user feature. It allows the # administrator to assign specific addresses to specific users or specific# ranges to specific groups when they connect using Office Mode or L2TP.# # The format of this file is simple: Each line specifies the target # gateway, the IP address (or addresses) we wish to assign and the user # (or group) name as in the following examples:## Gateway Type IP Address User Name# ============= ===== =========================== ======================== # Paris-GW, 10.5.5.8, Jean# Brasilia, addr 10.6.5.8, Joao # comments are allowed# Miami, addr 10.7.5.8, CN=John,OU=users,O=cpmgmt.acme.com.gibeuu# Miami range 100.107.105.110-100.107.105.119/24 Finance# Miami net 10.7.5.32/28 Accounting## Note that real records do not begin with a pound-sign (#), and the commas# are optional. Invalid lines are treated as comments. Also, the # user name may be followed by a pound-sign and a comment.## The first item is the gateway name. This could be a name, an IP# address or an asterisk (*) to signify all gateways. A gateway will# only honor lines that refer to it.## The second item is a descriptor. It can be 'addr', 'range' or 'net'.# 'addr' specifies one IP for one user. This prefix is optional.# 'range' and 'net' specify a range of addresses. These prefixes are# required.## The third item is the IP address or addresses. In the case of a single # address, it is specified in standard dotted decimal format.# ranges can be specified either by the first and last IP address, or using# a net specification. In either case you need to also specify the subnet# mask length ('/24' means 255.255.255.0). With a range, this is the subnet# mask. With a net it is both the subnet mask and it also determines the# addresses in the range.## The last item is the user name. This can be a common name if the# user authenticates with some username/password method (like hybrid# or MD5-Challenge) or a DN if the user authenticates with a # certificate.

第15章 オフィス・モード 243

オフィス・モードでの考慮事項

オフィス・モードでの考慮事項

このセクションの構成

IPプールとDHCPIPアドレスをファイアウォールによって（IPプールを使用して）割り当てるか、DHCPサーバによって割り当てるかは、ネットワーク管理の手間と経費から判断する問題です。ネットワーク管理者の中には、すべての動的 IPアドレスを同じ場所から管理することを望んでいる人もいます。このような場合、中央DHCP サーバが適しています。さらに、DHCPではファイアウォール IPプールを使用した場合と異なり、クラスタ・メンバごとに異なるプールを用意せずに、クラスタがすべてのアドレスを 1つのプールから割り当てることができます。一方で、DHCPサーバの購入は不必要な経費であると考える管理者もいます。この場合、IPプール・オプションが適切です。

ルーティング・テーブルの変更

オフィス・モードで割り当てられた IPアドレスは、内部LANルータによってそのアドレスを割り当てたゲートウェイ（またはゲートウェイ・クラスタ）へルーティングする必要があります。この処理により、リモート・アクセスのオフィス・モード・ユーザ宛のパケットは、確実にゲートウェイに転送され、カプセル化されてクライアント・マシンに返信されます。この場合、組織のルーティング・テーブルを変更する必要となることがあります。

複数の外部インタフェース機能の使用

この機能を有効にすると、オフィス・モードは IPSECを使用してパケットがカプセル化された「後に」ルーティングを決定するので、239 ページの「複数の外部インタフェースがある環境でのオフィス・モードの使用」で説明したルーティングの問題が回避されます。この機能では、ゲートウェイを経由するパケットのルーティングに新たにチェックや変更が追加されるため、パフォーマンスに影響が出ます。したがって、この機能の使用は、以下の 2つの条件が重なった場合に限って推奨します。

■ ゲートウェイに複数の外部インタフェースがある場合 ■ オフィス・モード・パケットが間違った外部インタフェースへルーティングされる

場合

IPプールとDHCP 244 ページ

ルーティング・テーブルの変更 244 ページ

複数の外部インタフェース機能の使用 244 ページ

244

オフィス・モード ― IPプールの設定

オフィス・モードの設定

このセクションの構成

オフィス・モードの設定に先立って、標準のVPNリモート・アクセスが設定済みであると仮定します。VPNリモート・アクセスの設定方法については、「リモート・アクセスVPNについて」を参照してください。

オフィス・モードの設定を開始する前に、オフィス・モードを使用するリモート・ユーザに割り当てる内部アドレス空間を選択する必要があります。この空間のアドレスが企業ドメインで使用するアドレスと競合しない限り、この空間は任意の IPアドレス空間でかまいません。10.x.x.xなど、インターネット上でルーティングできないアドレス空間でも選択できます。

オフィス・モードの基本的な設定では、IPプールを使用します。DHCPを使用してアドレスを割り当てるオフィス・モードの設定については、250 ページの「オフィス・モード― DHCPの設定」を参照してください。

オフィス・モード ― IPプールの設定

IPプールを使用して基本的なオフィス・モードを導入するには、以下の手順に従います。

1 ［Manage］>［Network Objects］>［New］>［Network］を選択して、IPプールを表すネットワーク・オブジェクトを作成します。

［Network Properties — General］タブで、以下のように IPプールとしてアドレス範囲を設定します。

■ ［Network Address］で、使用する開始アドレス（10.130.56.0など）を指定します。

■ 使用するアドレス数に基づいて、［Net Mask］にサブネット・マスクを入力します。たとえば、255.255.255.0を入力すると、オフィス・モード・アドレスとして、10.130.56.1から 10.130.56.254までの 254の全 IPアドレスが指定されます。

■ ［Broadcast Address section］タブと［Network Properties — NAT］タブでは、値を変更する必要はありません。

■ ネットワーク・オブジェクトのプロパティ・ウィンドウを閉じます。

2 リモート・ユーザが内部ネットワークに接続するときに使用するゲートウェイのゲートウェイ・オブジェクトを開き、［Remote Access］>［Office Mode］ページを選択します。すべてのユーザまたは特定グループに対して、［Office Mode］を有効にします。

オフィス・モード ― IPプールの設定 245 ページ

ipassignment.confファイルによるオフィス・モード 249 ページ

オフィス・モード ― DHCPの設定 250 ページ

SecureClientでのオフィス・モード設定 253 ページ

第15章 オフィス・モード 245

オフィス・モードの設定

図15-3［Office Mode］ページ

■ ［Allocate IP from network］で、事前に作成した IPプール・ネットワーク・オブジェクトを選択します。

■ IP lease duration ― リモート・ホストが IPを使用する期間を指定します。

■ ［Multiple Interfaces］では、オフィス・モード・パケットのカプセル化の後にルーティングするかどうかを指定します。これを指定すると、ゲートウェイに複数の外部インタフェースがあるときにトラフィックを正しくルーティングできます。

■ オフィス・モード・パケットが偽装されていないことをファイアウォールによって確認する場合は、［Anti-Spoofing］を選択します。

オフィス・モード・ユーザがWINSサーバとDNSサーバのどちらを使用するかを指定できます。WINSとDNSサーバの両方、またはどちらかを指定するには、引き続き手順 3を

実行します。それ以外の場合は手順 6へ進みます。

注： WINSとDNSサーバをSmartCenterマシンで設定するのは、IPプールを使用する方式を選択した場

合だけです。

246

オフィス・モード ― IPプールの設定

3 ［Manage］>［Network objects］>［New］>［Node］>［Host］を選択してDNSサーバ・オブジェクトを作成し、DNSマシン名、IPアドレス、およびサブネット・マスクを指定します。別のDNSサーバがある場合は、この手順を繰り返します。

4 ［Manage］>［Network objects］>［New］>［Node］>［Host］を選択してWINSサーバ・オブジェクトを作成し、WINSマシン名、IPアドレス、およびサブネット・マスクを指定します。別のWINSサーバがある場合は、この手順を繰り返します。

5 ［Check Point Gateway — Remote Access］>［Office Mode］ページの［IP Pool］セクションで、［optional parameters］ボタンをクリックします。

■ ［IP Pool Optional Parameters］ウィンドウで、プライマリとバックアップのDNSサーバ /WINSサーバに対して、適切なオブジェクトを選択します。

■ ［Domain name］フィールドに、内部名が定義されているドメインのサフィックスを指定します。この指定により、クライアントがDNSサーバをアドレスで指定するとき、このサフィックスを追加するようにクライアントに指示します（たとえば、example.com）。

6 ポリシーをインストールします。

7 オフィス・モード・ユーザ用に予約した内部アドレス空間を宛先として指定された全トラフィックが、VPN-1 Proゲートウェイ経由でルーティングされるように、すべての内部ルータを設定します。たとえば、上記の例では、10.130.56.0のクラスCサブネットワークに、ゲートウェイの IPアドレス経由のルートを追加する必要があります。

オフィス・モードでゲートウェイに接続するには、ゲートウェイ側での設定手順に加えて、幾つかの設定手順をクライアント側で実行する必要があります。

253 ページの「SecureClientでのオフィス・モード設定」を参照してください。

第15章 オフィス・モード 247

オフィス・モードの設定

送信元 IPアドレスに基づく IP割り当ての設定

送信元 IPアドレスに基づいて IP割り当てを行う場合、この機能は、テキスト・ファイルのuser.defを編集して設定します。このファイルは、リモート・アクセス用の実施モジュールを管理するSmartCenterサーバの¥FWDIR¥confディレクトリにあります。

送信元 IPのアドレス範囲は、対応するオフィス・モードのアドレス範囲と同時に定義する必要があります。¥FWDIR¥conf¥user.defファイルでは、複数のモジュールに対して複数の定義を指定できます。

初の行で定義された範囲は、発信元の IPアドレス範囲です。第 2の行で定義された範囲は、オフィス・モードの IPアドレス範囲です。

図15-4 送信元 IPアドレスに基づく IP割り当ての例

このシナリオの場合、以下のように設定されています。

■ (10.10.5.0, 10.10.5.129)、(10.10.9.0, 10.10.9.255)、および (70.70.70.4, 70.70.70.90)は、VPNリモート・クライアントの送信元 IPアドレス範囲です。

■ (1.1.1.5, 1.1.1.87)、(1.1.1.88, 1.1.1.95)、および (8.8.8.6, 8.8.8.68)は、リモート・ユーザに割り当てられるオフィス・モード IPアドレスです。これらのユーザの送信元 IPは、同じ行で定義する範囲に含まれます。

■ たとえば、10.10.10.5.0から 10.10.5.129までの送信元 IPアドレスを持つユーザは、1.1.1.5から 1.1.1.87までのオフィス・モード・アドレスを受け取ります。

送信元 IPアドレスに基づく IP割り当ては、¥FWDIR¥conf¥objects_5_0.Cファイル内にフラグを設定して有効にします。以下のフラグを追加します。

om_use_ip_per_src_range（これ以降に値を指定します）

以下の値のいずれかを、フラグに適用する必要があります。

■ Exclusively - 発信元の範囲でリモート・ホストの IPが見つからない場合、リモート・ユーザはオフィス・モード IPアドレスを取得しません。

■ True - 発信元の IP範囲でリモート・ホストの IPが見つからない場合、ユーザは別の方式によってオフィス・モード IPアドレスを取得します。

■ False（デフォルト）- フラグは使用されません。

248

ipassignment.confファイルによるオフィス・モード

ipassignment.confファイルによるオフィス・モード

VPN-1 Pro 実施モジュールの¥FWDIR¥confディレクトリにあるテキスト・ファイルipassignment.confを編集すると、SmartCenterサーバで作成されたオフィス・モード設定を変更できます。モジュールは、SmartCenterサーバでオブジェクトに定義された設定ではなく、これらのオフィス・モード設定を使用します。

Ipassignment.confでは、以下の項目を指定できます。

■ ユーザ /グループ単位の IP。これを指定すると、特定のユーザまたはユーザ・グループが常に同じオフィス・モード・アドレスを受信できます。これによって管理者は、オフィス・モードで接続する、ユーザに特定のアドレスを割り当てたり、特定の IP範囲 /ネットワークをグループに割り当てたりできます。

■ 特定のユーザまたはグループに対する個別のWINSサーバ

■ 個別のDNSサーバ

■ ファイル内の各エントリに対する個別のDNSドメイン・サフィックス

サブネット・マスクとオフィス・モード・アドレス

ipassignment.confファイルを使用して、サブネット・マスクを 1人のユーザに割り当てることはできません。IPプールを使用している場合、マスクはネットワーク・オブジェクトから取得されます。DHCPを使用している場合は、デフォルトで 255.255.255.0になります。

構文のチェック

ipassignmentファイルの構文は、ipafile_checkコマンドでチェックできます。

シェル・プロンプトで、以下のコマンドを実行します。vpn ipafile_check ipassignment.conf

第15章 オフィス・モード 249

オフィス・モードの設定

以下の 2つのパラメータを使用できます。

■ warn。エラーを表示します。

■ detail。詳細をすべて表示します。

以下に例を示します。

オフィス・モード ― DHCPの設定

1 DHCPを選択した場合は、DNSとWINSのパラメータがDHCPサーバからダウンロードされます。DHCPによるオフィス・モードを使用し、ユーザにDNSとWINSの両方、またはいずれかの情報を提供する場合、DHCPサーバ上のDNSまたはWINSの情報が正しい IPアドレスに設定されていることを確認します。

2 DHCPサーバの設定では、オフィス・モード・ユーザの IPアドレス空間（10.130.56.0など）を指定しておきます。

3 ［Manage］>［Network objects］>［New］>［Node］>［Host］を選択してDHCPサーバを指定し、新しいノード・オブジェクトを作成します。そして、マシン名、IPアドレス、およびサブネット・マスクを指定します。

250

オフィス・モード ― DHCPの設定

4 リモート・ユーザが内部ネットワークに接続するときに使用するゲートウェイのゲートウェイ・オブジェクトを開き、［Remote Access］>［Office Mode］ページを選択します。すべてのユーザまたは特定グループに対して、オフィス・モードを有効にします。

■ ［Automatic (use DHCP)］オプションをオンにします。

■ 事前に作成したDHCPオブジェクトを選択します。

■ ［Virtual IP address for DHCP server replies］で、オフィス・モード用に予約されたIPアドレスのサブネットワークから IPアドレス（たとえば、10.130.56.254）を指定します。オフィス・モードは、IP割り当てのためにDHCPリレー方式をサポートするので、応答の宛先をDHCPサーバに指定できます。DHCPサーバからこのアドレスへのパケットがゲートウェイ経由でルーティングされるように、DHCPサーバ上のルーティングと内部ルータのルーティングを調整する必要があります。

偽装対策を使用する場合は、手順 5に進みます。それ以外の場合は、手順 7に進みます。

5 ［Manage］>［Network Objects］>［New］>［Network］を選択して、DHCPサーバでオフィス・モードに割り当てたアドレス空間を表すネットワーク・オブジェクトを作成します。

［Network Properties — General］タブで、以下のようにDHCPアドレス範囲を設定します。

■ ［Network Address］で、使用する開始アドレス（10.130.56.0など）を指定します。

■ 使用するアドレス数に基づいて、［Net Mask］にサブネット・マスクを入力します。たとえば、255.255.255.0を入力すると、リモート・ホストのオフィス・モード・アドレスとして、10.130.56.1から10.130.56.254までの254の IPアドレスがすべてDHCPサーバ上で予約されます。

■ ［Broadcast Address section］タブと［Network Properties — NAT］タブでは、値を変更する必要はありません。

■ ネットワーク・オブジェクトのプロパティ・ウィンドウを閉じます。

6 ゲートウェイ・オブジェクトに戻り、［Remote Access］>［Office Mode］ページを開きます。［Additional IP addresses for Anti-Spoofing］で、IPアドレス範囲（オフィス・モード用にDHCPサーバ上で予約したもの）を表しているネットワーク・オブジェクトを選択します。

7 ポリシーをインストールします。

8 オフィス・モード・ユーザ用に予約した内部アドレス空間を宛先として指定された全トラフィックが、VPN-1 Proゲートウェイ経由でルーティングされるように、すべての内部ルータを設定します。たとえば、上記の例では、10.130.56.0のクラスCサブネットワークに、ゲートウェイの IPアドレス経由のルートを追加する必要があります。

第15章 オフィス・モード 251

オフィス・モードの設定

オフィス・モードでゲートウェイに接続するには、ゲートウェイ側での設定手順に加えて、幾つかの設定手順をクライアント側で実行する必要があります。253 ページの

「SecureClientでのオフィス・モード設定」を参照してください。

オフィス・モード - RADIUSサーバの使用

RADIUSサーバを設定して IPアドレスを割り当てるには、以下の手順に従います。

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Servers and OPSEC Applications］をクリックします。

2 RADIUSサーバを選択して、［Edit］をクリックします。

［RADIUS Server Properties］ウィンドウが表示されます。

3 ［RADIUS Accounting］タブをクリックします。

4 ［Enable IP Pool Management］を選択します。

5 RADIUSサーバがリモート・ユーザとの通信に使用するサービスを選択します。

RADIUSサーバをリモート・ユーザの認証を実行するように設定するには、以下の手順に従います。

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Network Objects］をクリックします。

2 ゲートウェイを選択して、［Edit］をクリックします。

3 ゲートウェイのプロパティで、［Remote Access］>［Office Mode］を選択します。

注： オフィス・モードがサポートされるのは、コネクト・モードの場合に限られます。

252

SecureClientでのオフィス・モード設定

図15-5［Office Mode］プロパティ・ウインドウ

4 ［Office Mode Method］セクションで、［From the RADIUS server used to authenticate the user］を選択します。

5 ［OK］をクリックします。

SecureClientでのオフィス・モード設定

オフィス・モードでゲートウェイに接続するには、クライアント・マシンで以下の手順を実行する必要があります。

1 システム・トレイでSecureClientアイコンを右クリックします。ポップアップ・メニューから［Configure］を選択します。

2 ［Tools］>［Configure Connection Profile］>［Advanced］を選択し、［Support Office Mode］を選択します。

3 ［OK］、［Save and Close］の順にクリックし、［File］メニューから［Exit］を選択します。

第15章 オフィス・モード 253

オフィス・モードの設定

4 画面の右下隅にあるSecureClientアイコンをダブルクリックします。ダイヤルアップ接続を使用してゲートウェイに接続する場合は、［Use Dial-up］を選択し、ドロップダウン・メニューからユーザのダイヤルアップ接続プロファイル名を選択します

（プロファイルがすでに存在していると仮定した場合）。ダイヤルアップを使用しない場合（ゲートウェイへの接続をネットワーク・インタフェース・カード経由で行う場合）は手順 5へ進みます。

5 ［Connect］を選択し、オフィス・モードを使用して組織に接続します。

管理者は、プロファイルを事前に設定してユーザに提供することで、設定作業を簡素化できます。

サイトごとのオフィス・モード

SmartDashboardで、以下の手順に従います。

1 ［Policy］>［Global Properties］>［Remote Access］>［VPN - Advanced］をクリックします。

［VPN - Advanced］ウィンドウが表示されます。

図15-6［VPN - Advanced］ウインドウ

254

サイトごとのオフィス・モード

2 ［Office Mode］セクションで、［Use first allocated Office Mode IP address for all connections to the Gateways of the site］を選択します。

3 ［OK］をクリックします。

第15章 オフィス・モード 255

オフィス・モードの設定

256

第 章16

SecuRemote/SecureClient

この章の構成

SecureClientの必要性

自宅で、または週末に、電子メールを送受信するユーザは、安全に送受信を行う必要があります。外出時には、ホテルのインターネット接続やビジネス・パートナーのネットワーク接続など、さまざまなネットワーク環境の問題が存在します。

チェック・ポイント・ソリューション

VPN-1 SecuRemote/SecureClientを使用すると、インターネットからの攻撃に対してマシンを保護し、安全な方法で組織に接続できます。ユーザはインターネットを通じて個人的なファイルにアクセスできますが、権限のないユーザがこのファイルを表示したり変更したりすることはありません。VPN-1 SecuRemote/SecureClientを使用して、リモート・ユーザはネットワーク・アダプタ（ワイヤレス・アダプタを含む）またはモデム・ダイヤルアップを使用して組織に接続します。通信する双方が目的の接続先と通信していることを確認すると、それ以降のすべての通信がプライベート（暗号化）で安全な通信になります。この通信環境を図 16-1に図示します。

SecureClientの必要性 257 ページ

チェック・ポイント・ソリューション 257 ページ

VPNコミュニティのSCV詳細度 258 ページ

選択的ルーティング 259 ページ

デスクトップ・セキュリティ・ポリシー 262 ページ

NATトラバーサル・トンネリング機能 263 ページ

SecureClientの設定 264 ページ

257

VPNコミュニティのSCV詳細度

図16-1 サイトに接続するSecureClient

機能の仕組み

SecuRemote/SecureClientでは通信者を認証し、双方で送受信するデータを暗号化することで安全な接続を実現します。VPN-1 SecuRemote/SecureClientは、標準的なインターネット・プロトコルを利用して強力な暗号化と認証を実装します。認証とは、両方の通信者が自分自身の身元を適切に証明することです。暗号化によって、認証された通信者だけが、相互に送受信するデータを読み取ることができるようになります。さらにデータの完全性が維持されますが、これはデータが転送中に改変されないことを表します。

VPNコミュニティのSCV詳細度

リモート・ホストがネットワーク・セキュリティ・ポリシーとの完全な互換性を維持できるように、検証なしで特定のホストにアクセスを与えることができます。たとえば、リモート・ホスト上でウイルス対策ソフトウェアが 新の状態ではなくなっている場合、ゲートウェイは通常、この接続を完全に遮断します。ただし、適切な更新プログラムを取得するために、ウイルス対策サーバへのアクセスを与えることができます。更新プログラムを取得してリモート・ホストにインストールすると、このホストはSCVチェックに合格して、完全なアクセス権が与えられます。

SCV詳細度がサポートされるのは、シンプル・モードの設定に限られます。

検証されていないSCV接続の遮断

クライアントが検証されていない場合に、検証が必要とされている接続を遮断するため、local.scvファイルにはblock_scv_client_connectionsオプションがあります。この機能がアクティブである場合、クライアントが未検証の状態になると、すべてのSCV接続が遮断されます。クライアントが検証されたときに確立した接続も遮断されます。ただし、SCV接続だけが遮断されます。つまり、遮断されるのは、クライアントが検証状態であることを必要とする接続だけです。その他の接続は遮断されません。

258

機能の仕組み

選択的ルーティング

VPNトンネルの設定では、使用するゲートウェイごとに、VPNドメインを設定する必要があります。選択的ルーティング機能には柔軟性があり、VPNサイト間コミュニティやRA（Remote Access）コミュニティごとに、異なる暗号化ドメインを定義できるように設計されています。

リモート・アクセスVPN専用の暗号化ドメイン

図16-2 RA用の暗号化ドメインへのアクセス

このシナリオの場合、以下のように設定されています。

■ ゲートウェイ 1と 2は、サイト間VPNを通じて接続されます。

■ 各ゲートウェイには、独自の暗号化ドメインがあります。

■ ゲートウェイ 1は、SecuRemote/SecureClientユーザにも利用されます。

■ 選択的ルーティングを使用する場合、RA（Remote Access）暗号化ドメインは、ゲートウェイ 1で設定され、サーバ 1とファイル・サーバ 1のみにアクセスを許可します。

第16章 SecuRemote/SecureClient 259

選択的ルーティング

この場合、リモート・ホストには、暗号化ドメインの一部に対するアクセス権が許可されます。SecuRemote/SecureClientユーザだけが、暗号化ドメイン内で許可されたサーバにアクセスできます。ユーザは、サーバ2とファイル・サーバ2へのアクセスを拒否されます。

リモート・アクセス暗号化ドメインでの外部リソースの追加

図16-3 外部リソースへのアクセス

このシナリオの場合、以下のように設定されています。

■ SecureClientユーザはゲートウェイ 1に接続します。

■ ゲートウェイ 1には、外部リソースを含む暗号化ドメインがあります。

■ ゲートウェイ 1は、VPNドメインへのアクセスと、インターネットなどの外部リソースへのアクセスをSecureClientユーザに許可します。

図 16-3で説明したシナリオの場合、外部リソースはRA暗号化ドメインの一部です。したがって、リモート・ホストで外部リソースにアクセスする場合、このリソースへの接続はゲートウェイ 1で開始されます。

また、ゲートウェイには、SecureClientユーザからDMZ上のサーバへトラフィックを転送する機能があります。

260

機能の仕組み

外部暗号化ドメインへのリモート・アクセスVPNの提供

図16-4 外部暗号化ドメインへのアクセス

このシナリオの場合、以下のように設定されています。

■ ゲートウェイ 1と 2は、サイト間VPNを通じて接続されます。

■ 各ゲートウェイには、独自の暗号化ドメインがあります。

■ ゲートウェイ 1はSecureClientユーザが利用します。

この場合、リモート・ユーザの暗号化ドメインは、1つのゲートウェイの範囲を超えて拡張されます。ゲートウェイ 1は、ゲートウェイ 2の背後にあるサーバ 2とファイル・サーバ 2に宛てられたSecureClient暗号化トラフィックを転送します。したがって、SecureClientユーザは、ゲートウェイ 2の背後にあるリソースにアクセスするときに、再び認証を受ける必要はありません。また、ほかのゲートウェイの背後にあるほかのリソースに対して、すべてのSecureClientアクティビティをログに記録できます。

注： リモート・ホストがゲートウェイ1の背後にあるリソースに正常にアクセスするには、以下のいず

れかの条件を満たす必要があります。

■ すべてのオフィス・モード IPは、ゲートウェイ2の暗号化ドメインに含まれている

■ ゲートウェイ 1でHide NATを有効にする

第16章 SecuRemote/SecureClient 261

デスクトップ・セキュリティ・ポリシー

デスクトップ・セキュリティ・ポリシー

ポリシーをダウンロードする状況

ユーザがSecureClientでサイトを作成すると、ポリシー・サーバのリストがクライアントのマシンにダウンロードされます。SecureClientマシンがサイトに接続すると、ポリシーは、ポリシー・サーバから自動的にダウンロードされます。また、ポリシーの自動ダウンロードは無効にできます。この設定は、ユーザのプロファイルで管理します。

ポリシーの有効期限と更新

デスクトップ・セキュリティ・ポリシーは、一定期間のみ有効です。期間の半分が経過すると、リモート・クライアントは、更新 /アップデートをポリシー・サーバから検索します。以前の更新が失敗した場合でも、クライアントは現在のポリシーを更新しようとします。更新プロセスが何度も失敗すると、現在のデスクトップ・セキュリティ・ポリシーの有効期限が切れて、リモート・クライアントは以前のポリシーを保持します。

セキュリティ・ポリシーの更新では、モバイル・ユーザのログ・ファイルがポリシー・サーバにアップロードされます。

事前にパッケージされたポリシー

以下の手順を実行すると、SecureClientを事前にパッケージして、デフォルト・ポリシーを含めることができます。

1 SC.tar.gzを開きます。

2 ポリシー・ファイルを tar.gzディレクトリに入れます（local.scv、local.dt、local.lpなど）。

3 product.iniのインストール・セクションに、initialpolicy.batを指定します。

4 パッキング・ツールを使用して、クライアントのパッケージングを再実行します（または、tar.gzから設定を実行します）。

5 生成された package/tar.gzディレクトリから、SCをインストールします。クライアントを初めて開始するときに、ポリシーがアクティブになります。

ポリシー・サーバの高可用性

ゲートウェイに接続すると、ゲートウェイの背後にあるポリシー・サーバに自動的にログオンします。代替ポリシー・サーバが接続プロファイルに定義されている場合、userc.cファイルでuse_profile_ps_configurationオプションを trueと設定してポリシー・サーバの高可用性機能をアクティブにすると、別のゲートウェイにあるポリシー・サーバにログオンできます。

262

ワイヤレス・ホットスポット /ホテルでの登録

ワイヤレス・ホットスポット /ホテルでの登録

ワイヤレス・ホットスポットは、空港のラウンジ、コーヒー・ショップ、ホテルなど、公共の場所で利用できるワイヤレス・ブロードバンド・インターネット・アクセス・サービスです。

ホットスポット・アプリケーションを使用している場合、ユーザはWebブラウザを起動して、インターネットへの接続を試行します。接続が試行されると、ホットスポット・サーバによってブラウザは自動的にホットスポットの［Welcome］ページにリダイレクトされ、登録を行うように指示されます。この登録プロセスで、ユーザは必要な情報を入力します。登録が完了すると、ユーザはインターネットの利用を続行できます。

ホットスポットでは、ユーザには制限的な発信ポリシーが適用され、ハブ・モードでホットスポットへの登録を実行できます。

ユーザがホットスポットの有効化を選択すると、SecureClientによって、デスクトップ・セキュリティ・ポリシーやハブ・モードのルーティングが変更され、ホットスポットへの登録が有効になります。この変更は、時間、OIPアドレスとポートの数で制限されます。SecureClientは、登録フェーズでアクセスした IPアドレスとポートを記録します。

ログの有効化

ログを有効にすると、すべてのアクティビティがリモート・ホストにローカルに保存されます。この情報は、問題のトラッキングやトラブルシューティングに役立ちます。ログ・ファイルに保存される情報には機密情報が含まれている可能性があるため、この情報はシステム管理者のみに送信する必要があります。

ログを有効化する機能は、事前にパッケージされたポリシーに含めることもできます。

NATトラバーサル・トンネリング機能

VPNトンネルを確立する場合、事前のネゴシエーションでは、大きなパケットが生成される可能性があります。一部のNATデバイスでは、大きなパケットを適切に断片化できず、接続が不可能になる場合があります。この問題を解決するため、以下のように幾つかの方法を利用できます。

■ ［NAT-T］ - NAT-Tは IETF RFC 3947と 3948に基づいています。リモート・ユーザがゲートウェイに対してVPNセッションを開始すると、リモート・ホストは、NAT-Tを使用して通信できるとゲートウェイに通知します。 初のネゴシエーションでは、通信の両ピアで、トラフィックがNATデバイスを経由しているかどうかが検証されます。ピア間でNATデバイスが検出されると、ピア間の通信はUDPポート4500に切り替えられます。アグレッシブ・モードの場合、NAT-Tはサポートされません。VPNセッション全体で使用するUDPポート 4500は、有効にしておく必要があります。

第16章 SecuRemote/SecureClient 263

モードの切り替え

NAT-Tは、Edge、L2TPクライアント、およびサード・パーティのゲートウェイでサポートされます。

■ IKE over TCP - IKE over TCPでは、IKEフェーズ Iで作成される大きなUDPパケットの問題を解決します。IKEネゴシエーションは、TCPパケットを使用して実行します。TCPパケットはフラグメント化されず、TCPパケットの IPヘッダでは、DFフラグがオンになります（「断片化しない」という意味）。フェーズ Iでは、IKEネゴシエーションのために、リモート・ホストとゲートウェイの間で完全なTCPセッションが開始されます。

■ UDP Encapsulation - この方法では、読み取り可能なポート情報を含んだ特殊なUDPヘッダが、IPSecパケットに追加されます。新しいポート情報は、元の情報と同じではありません。ポート番号2746が、発信元ポートと宛先ポートの両方に含まれます。NATデバイスは、秘匿操作にこの発信元ポートを使用しますが、宛先アドレスとポート番号には同じ値が使用されます。ピア・ゲートウェイが宛先アドレスのポート番号として 2746を受信すると、ゲートウェイはルーチンを呼び出してパケットのカプセル化を解除します。

モードの切り替え

VPN-1 SecureClient製品には、簡易ビューと詳細ビューの 2つのビューがあります。プロファイルの管理機能や複数のサイトが必要ないユーザには、簡易ビューをお勧めします。詳細ビューでは、プロファイルを管理したり、複数のVPN-1サーバを定義したりできます。

HTMLベースのヘルプ

SecureClientパッケージには、HTMLベースのユーザ・マニュアルを含めることができます。HTMLヘルプには、詳細なヘルプと画像が含まれます。

SecureClientの設定

この章の構成

VPNコミュニティのSCV詳細度の設定 265 ページ

block_scv_client_connectionsの設定 265 ページ

選択的ルーティングの設定 265 ページ

デスクトップ・セキュリティ・ポリシーの有効期限の設定 267 ページ

NATトラバーサルの設定 269 ページ

264

VPNコミュニティのSCV詳細度の設定

VPNコミュニティのSCV詳細度の設定

SmartDashboardで、以下の手順に従います。

1 ［Policy］>［Global Properties］をクリックします。

2 ［Remote Access］の横にある［+］をクリックしてブランチを展開し、［Secure Configuration Verification (SCV)］を選択します。

3 ［Apply SCV on Simplified Mode Security Policies］チェック・ボックスをオンにして、［Exceptions］ボタンをクリックします。

SCV検証なしで使用できるホストが表示されます。

4 ［Add］をクリックして、SCV検証から除外するホストとサービスを設定します。

block_scv_client_connectionsの設定

未検証になったユーザを遮断するには、local.scvファイルで属性block_scv_client_connectionsを trueに設定します。詳細については、315 ページの

「local.scvセット」を参照してください。

選択的ルーティングの設定

SmartDashboardで、以下の手順に従っいます。

1 ネットワーク・オブジェクト・ツリーで、編集するゲートウェイをハイライトして、右クリックします。

2 ［Edit］を選択します。

［Check Point Gateway］プロパティ・ページが表示されます。

3 ［Topology］を選択して、［Topology］ウィンドウを表示します。

第16章 SecuRemote/SecureClient 265

SecureClientの設定

図16-5 チェック・ポイント・ゲートウェイの［Topology］ウインドウ

4 ［Set domain for Remote Access Community］ボタンをクリックします。

［VPN Domain per Remote Access Community］ウィンドウが表示されます。

5 ［Set］ボタンをクリックします。

［Set VPN Domain per Remote Access Community］ウィンドウが表示されます。

6 ドロップダウン・メニューから、リモート・アクセスVPNドメインを表すオブジェクトを選択します。

7 ［OK］をクリックします。

266

デスクトップ・セキュリティ・ポリシーの有効期限の設定

デスクトップ・セキュリティ・ポリシーの有効期限の設定

1 SmartDashboardで、［Policy］>［Global Properties］をクリックします。

［Global Properties］ウィンドウが表示されます。

2 ［Remote Access］を選択して、［Remote Access -VPN-1 SecuRemote/SecureClient］ウィンドウを表示します。

3 ［VPN-1 SecureClient - Desktop Security Policy expiration time］セクションでは、セキュリティ・ポリシーを現在のポリシーで有効に使用する期間（分単位）を選択します。

4 ［OK］をクリックします。

ホットスポット /ホテルでの登録の設定

ホットスポットの有効化オプションは、userc.cファイルを使用して設定します。ホットスポットの設定（デフォルト）は、以下のとおりです。

:hotspot(:enabled (false):log (false):connect_timeout (600):max_ip_count (5):block_hotspot_after_connect (false):max_trials (0):local_subnets (false):ports(

:(80):(443):(8080)

))

表 16-1 ホットスポットのパラメータ

パラメータ デフォルト 説明

enabled false trueに設定すると、ユーザはホットスポットの登録を実行できます。

log false trueに設定すると、登録時にアクセスした IPアドレスとポートのリストがログと共に送信されます。

connect_timeout 600 登録を完了するまでの 大秒数です。

max_ip_count 5 登録時に使用できる IPアドレスの 大数です。

block_hotspot_after_connect false 正常な接続に対して trueを設定すると、記録されたポートとアドレスは解放された状態になりません。

第16章 SecuRemote/SecureClient 267

SecureClientの設定

ログの有効化の設定

ログの有効化は、SmartDashboardとSecuRemote/SecureClientで設定します。

SmartDashboardで、以下の手順に従います。

1 ［Global Properties］>［Remote Access］>［VPN - Advanced］を選択します。

2 ［Allow users to save troubleshooting logs］を選択します。

3 ［OK］をクリックします。

デスクトップのシステム・トレイで、以下の手順に従います。

1 SecureClientアイコンを右クリックします。

ポップアップ・メニューから［Settings］を選択します。

2 ［Advanced］タブで［Enable Logging］を選択し、［Save Logs］をクリックします。

以下のメッセージが表示されるまで待ちます。

max_trials 0 エンド・ユーザはホットスポットの登録を試行しますが、この値は、登録の失敗時にユーザに許可する大の試行回数を表します。この上限値に達すると、

そのユーザは二度と登録の試行できなくなります。再起動したり、VPN接続に成功すると、カウンタはリセットされます。また、max_trialsの値を変更すると、変更内容は再起動や接続の成功時のみ有効になります。max_trialsの値を 0に設定すると、試行できる回数は無制限になります。

local_subnets false アクセスをローカル・サブネットに限定します。

ports 804438080

アクセスを特定のポートに制限します。

表 16-1 ホットスポットのパラメータ

パラメータ デフォルト 説明

268

NATトラバーサルの設定

3 ログをデフォルトの場所に保存します。

注： デフォルトの場所は、Windowsの隠しフォルダです。このフォルダを見つける必要がある場合は、［コントロール パネル］>［フォルダ オプション］>［表示］で、［すべて

のファイルとフォルダを表示する］を選択します。

4 場所のウィンドウを閉じます。ファイルは、自動的に保存されます。

事前にパッケージするポリシーでのログの有効化

product.iniファイルの[install]セクションに以下のコマンドのいずれかを追加して、事前にパッケージするポリシーに対して、ログの有効化または無効化を指定します。

■ logging.bat enable

■ logging.bat disable

NATトラバーサルの設定

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Remote Access］>［Connection Profiles］をクリックします。

［Connection Profiles］ウィンドウが表示されます。

2 接続プロファイルを選択して、［Edit］をクリックします。

3 ［Advanced］タブで、［Connectivity Enhancements］をクリックします。

第16章 SecuRemote/SecureClient 269

モード切り替えの有効化 /無効化

図16-6［Connection Profile Properties］-［Advanced］タブ

4 ［Use NAT traversal tunneling］を選択します。

5 ［Support IKE over TCP］と［Force UDP Encapsulation］の両方、またはいずれかを選択します。

6 ［OK］をクリックします。

モード切り替えの有効化 /無効化

userc.cファイルで、フラグenable_mode_switchingを trueに設定します。

パッケージへのHTMLヘルプの追加1 SecuRemote/SecureClientの.tgz配布ファイルを開きます。

2 .tgzを開いたディレクトリに、SR_HELP.TGZを追加します。

3 product.iniとproduct.ini.simpのインストール・セクションにsc_help_install.batを指定します。

4 パッケージング・ツールを使用して、パッケージングを再実行します。273 ページの「パッケージング・ツールの設定」を参照してください。

270

第 章17

SecureClientのパッケージング

この章の構成

リモート・クライアントのインストールを簡単にする必要性

組織へのリモート・アクセスの普及につれ、リモート・クライアントの管理は困難になります。多くの場合、ユーザには自分自身でソフトウェアのインストールと設定を行うだけの技術的な知識がないため、管理者は大勢のユーザをサポートする必要があります。しかも、ユーザの多くが地理的に分散し、使用しているプラットフォームの種類も多岐にわたることがあります。組織に複数のユーザ・グループがあり、それぞれに異なる設定が求められる場合、管理者の作業はさらに複雑化します。

管理者には、大規模なユーザ・コミュニティへのソフトウェアの設定と配布を自動化するツールが必要です。このツールには、以下の 2つの課題があります。

■ ユーザが自分自身で行う必要がないようにソフトウェアの事前設定機能があること

■ 事前設定済みのソフトウェアを自動的に配布する機能

チェック・ポイント・ソリューション

このセクションの構成

リモート・クライアントのインストールを簡単にする必要性 271 ページ

チェック・ポイント・ソリューション 271 ページ

パッケージング・ツールの設定 273 ページ

概要 272 ページ

パッケージング・ツール・ウィザード 272 ページ

271

チェック・ポイント・ソリューション

概要

パッケージング・ツールを使用すると、管理者は事前設定済みのSecureClientとSecuRemoteパッケージを作成できます。そしてユーザは設定の詳細情報を指定しなくてもこのパッケージをインストールできるため、ユーザがSecureClientやSecuRemoteソフトウェアの設定を間違えることもありません。事前のパッケージングは、以下のいずれかを使用して実行できます。

■ チェック・ポイント・パッケージング・ツール・ウィザード

■ MSIパッケージング

以下のような利点があります。

■ 設定（サイトの作成、接続や暗号化パラメータの指定など）は、専門の管理者が行い、不慣れなユーザによる障害を防ぎます。

■ インストールとサポートのコストが大幅に削減されます。

■ 各ユーザが個別に指定するのではなく、管理者が事前に定義するため、ユーザのセキュリティ設定が組織全体で統一化されます。

■ 管理者は、リモート・ユーザのセキュリティ・ソフトウェアを自動的に更新できるので、セキュリティ上の脅威により迅速に対応できます。

パッケージング・ツール・ウィザード

概要

パッケージング・ツール・ウィザードを使用すると、管理者はカスタムのSecureClientとSecuRemoteインストール・パッケージを作成できます。各パッケージでは、SecuRemote/SecureClientのバージョンと事前設定済みのユーザ・プロファイルをさまざまに組み合わせて保存できます。

管理者は、VPNゲートウェイへの接続モード（コネクト /トランスペアレント）や暗号化プロパティなど、クライアントのインストールと設定内容を事前に設定できます。これらの設定は、パッケージ・プロファイルに保存します。

管理者は、さまざまなユーザ・グループに対して、さまざまなパッケージ・プロファイルを作成できます。たとえば、管理者はWindows XPユーザ用の設定パラメータ、Windows 98ユーザ用の設定パラメータを使用してプロファイルを作成できます。すべてのプロファイルは中央のデータベースに保存されます。

パッケージング・ツールでは、クライアント・インストール・パッケージ（たとえば、汎用のSecureClientインストール・パッケージ）とパッケージ・プロファイルを組み合わせて事前設定済みのSecureClientパッケージを作成します。

SecureClientパッケージには、SecureClientのインストール後に実行されるスクリプトも含めることができます。

272

分割インストール

ユーザのサイト定義の自動化

インストールした後でクライアントがすぐに組織に接続できるように、管理者は、サイトの部分的なトポロジ情報であるサイトまたはSmartCenterサーバの IPアドレスを指定できます。この情報はパッケージに含まれます。ユーザがサイトに初めて接続して認証を行うとき、サイトの完全なトポロジがクライアントにダウンロードされます。

MSIパッケージング・ソリューション

MSIは、Windows環境でアプリケーションを配布する場合の標準的なファイル形式です。プロファイルを作成して保存すると、SecuRemoteとSecureClientユーザに配布できるようになります。

MSIパッケージでは、SecuRemote/SecureClient Extended Viewがデフォルト設定でインストールされ、コマンド・ライン・ベースのツールcpmsi_toolを使用してカスタマイズできます。

分割インストール

サード・パーティのソフトウェア配布システムを使用しているときにSecuRemote/SecureClientカーネルがインストールされると、配布サーバとの接続が切断されるため、配布サーバはインストールが中断されたことを認識できません。

このような問題を解決するために、分割インストール機能を使用できます。

パッケージング・ツールの設定

このセクションの構成

パッケージング・ツールのインストールと設定

1 SecureClientのパッケージング・ツールは、チェック・ポイントCDからインストールします。パッケージング・ツール・コンポーネントをまだインストールしていない場合は、SmartConsoleクライアント・インストール・ウィンドウでそのコンポーネントを選択します。

2 ［スタート］>［プログラム］>［Check Point Smart Console DAL］>［SecureClient Packaging Tool］を選択して、SecureClientパッケージング・ツールを起動します。SecureClient Packagingツールのメイン・ウィンドウが表示されます。

パッケージング・ツールのインストールと設定 273 ページ

MSIパッケージングの設定 277 ページ

第17章 SecureClientのパッケージング 273

パッケージング・ツールの設定

図17-1 SecureClient Packagingツールのメイン・ウィンドウ

新しいパッケージ・プロファイルの作成

1 新しいプロファイルを作成するには、［Select Profile］>［New］を選択します。プロファイルの詳細を入力して、［Next］をクリックします。

2 パッケージング・ツール・ウィザードでは、それ以降に表示される複数のウィンドウで、ポリシー、暗号化、トポロジ（部分的なトポロジ情報を含む）、証明書、クライアントのインストール、ログオン・パラメータ（SDL/Gina DLL）など、ユーザ・プロファイルの各種パラメータを設定します。これらの機能の詳細については、マニュアルの関連する章を参照してください。

3 クライアントの事前設定をすべて終了すると、［Finish］画面が表示されます。この画面では、プロファイルに表示されている変更内容で新しいパッケージを作成するか、新しいパッケージを作成しないでプロファイル生成プロセスを終了するかを選択できます。この画面には以下のオプションが表示されます。

• No, Create Profile only — ウィザードで事前に定義した設定に基づいてプロファイルを作成して、メインのパッケージング・ツール・ウィンドウに戻ります。

• Yes, Create profile and generate package — このオプションを選択すると、作成したプロファイルは保存され、パッケージ生成ウィザードが表示されます。このウィザードの手順については、275 ページの「パッケージの生成と配布の準備」を参照してください。

この段階で新しいパッケージを生成しないと選択した場合でも、後でいつでも保存したプロファイルからパッケージを作成できます。

274

パッケージング・ツールのインストールと設定

パッケージの生成と配布の準備

このセクションでは、クライアントに配布できるように、パッケージ・プロファイルに定義された設定に基づいてSecureClientパッケージを生成し、そのパッケージをASDサーバにアップロードする方法について説明します。

準備

基本となるパッケージがまだ用意できていない場合は、以下の手順で用意します。

1 元のSecureClientインストール・パッケージを入手します。このパッケージが基本となるパッケージであり、パッケージング・ツールでは、これに基づいて新しいカスタムのSecureClientパッケージを作成します。

2 適切なSecureClientパッケージを空のディレクトリにコピーします。パッケージが圧縮（zipまたは tar）されている場合は、パッケージを空のディレクトリへ展開します。

ウィザード

基本となるパッケージを用意したら、以下の手順に従います。

3 SecureClientパッケージ生成ウィザードを実行します。

新しいパッケージ・プロファイルを作成すると、すぐにこのウィザードを実行できます（［Yes, Create profile and generate package］を選択）。また、メイン・パッケージング・ツール・ウィンドウで、以前に作成されたプロファイルをハイライトし、

［Profile］>［Generate］を選択しても、このウィザードを実行することができます。

4 新しいカスタムのSecureClientパッケージをASDサーバにアップロードするようにパッケージング・ツールに指示するには、［Generation Information］ウィンドウの

［Save package on ASD servers for automatic distribution］をオンにします（図 17-2）。また、この時点ではパッケージの生成のみを選択して、後でパッケージをASDサーバにアップロードすることもできます。そのためには、［Save package on ASD servers for automatic distribution］をオンにしません。後でパッケージをアップロードするときは、メニューから［Profile］>［Save］［Package］を選択し、そのパッケージのアップロードを指定します（277 ページの「生成済みパッケージの自動配布の準備」を参照）。

第17章 SecureClientのパッケージング 275

パッケージング・ツールの設定

図17-2 ウィザードの使用

5 次に、パッケージの発信元フォルダと宛先フォルダの入力を要求されます。

［Source folder］では、手順 2で用意した基本SecureClientインストール・パッケージを保存したディレクトリを選択します。上位ディレクトリではなく、SecureClient設定ファイルが実際に保存されているディレクトリを選択します。

［Destination folder］では、新しいパッケージのコピー先となる空のディレクトリを選択します。

［Next］をクリックして次のウィンドウへ進みます。

6 パッケージの詳細をパッケージから取得できない場合、パッケージの詳細（オペレーティング・システムの種類、SecureClientのバージョンとサービス・パック）の入力を要求されます。パッケージの詳細がほかのパッケージと競合する場合（たとえば、Windows 98 SecureClientパッケージをFP3からNG with Application Intelligenceに更新した場合）、古いパッケージから新しいパッケージへの置換に同意するように要求されます。

要求したアクションがパッケージング・ツールによって実行され、その結果がダイアログ・ボックスに表示されます。

276

パッケージング・ツールのインストールと設定

生成済みパッケージの自動配布の準備

このオプションを使用すると、既存のパッケージをASDサーバへアップロードできます。このオプションを選択する場合、パッケージがすでに生成されて保存されているが、ASDサーバには保存されていないことを前提としています。パッケージをASDサーバへアップロードするには、以下の手順を実行します。

1 パッケージング・ツールのメイン・ウィンドウで、［Profile］>［Save Package］を選択します。

パッケージング・ツールによってウィンドウが表示され、生成済みのパッケージへの完全なパスを入力するように要求されます。

完全なパスを入力し、［Next］をクリックして次のウィンドウに進みます。

パッケージング・ツールによって指定の場所からパッケージが取得され、ASDサーバへアップロードされ、その結果がダイアログ・ボックスに表示されます。

パッケージへのスクリプトの追加

ユーザがSecureClientをインストールまたはアンインストールした後にスクリプトを実行するには、以下の手順に従います。

1 product.iniファイルを編集します。

2 インストールの後処理スクリプトを指定するには、ファイル名を［install］セクションに追加します。

3 アンインストールの後処理スクリプトを指定するには、ファイル名を［uninstall］セクションに追加します。

スクリプトは、OSのPATH変数でアクセスできる必要があります。

スクリプト自体はパッケージの一部ではないので、クライアントには別に転送する必要があります。

MSIパッケージングの設定

リモート・ユーザ用のプロファイルをカスタマイズするには、チェック・ポイントが提供した.msiファイルを保存します。このファイルを保存しておくと、このファイルに基づいて設定可能なファイルを別に作成し、カスタマイズして変更した値を保存できます。設定可能なファイルを編集するには、以下の手順に従います。

1 ［cpmsi_tool <SC-MSI-package-name> out <file-name>］を使用して、パッケージからファイルを抽出します。

2 ファイルをカスタマイズします。

3 ［cpmsi_tool <SC-MSI-package-name> in <file-name>］を使用して、ファイルをパッケージに再び戻します。

第17章 SecureClientのパッケージング 277

MSIパッケージングの設定

設定可能なファイルは以下のとおりです。■ product.ini■ userc.c■ userc.set■ reg.ini■ SecuRemoteAuthenticate.wav■ SecuRemoteConnected.wav■ SecuRemoteDisconnected.wav■ SecuRemoteFailed.wav■ logo.bmp■ logging.bat■ install_boot_policy.bat■ collect.bat■ scvins.bat■ scvuins.bat■ msfw.bat■ harden.bat

パッケージ内のファイルの追加と削除

パッケージに新しいファイルを追加するには、以下のコマンドを実行します。

cpmsi_tool <SC-MSI-package-name> add <file-name>

新たに追加したファイルを削除するには、以下のコマンドを実行します。

cpmsi_tool <SC-MSI-package-name> remove <file-name>

インストールのコマンド・ライン・オプション

コマンド・ライン・パラメータは、以下のとおりです。

表 17-1 インストールのコマンド・ライン

パラメータ 説明

/i pkg_name インストール

/x pkg_name アンインストール

/q 自動インストール

/l*v log_file_name ログの収集

278

分割インストール

分割インストール

アクティブにするには、以下の手順に従います。

1 product.iniファイルにSplitKernelInstall=0を設定します。

2 カーネルを除いて、製品をインストールします。

3 エンド・ユーザは、自動的な再起動を開始します。

4 再起動の後、自動的なカーネルのインストールが実行されます。

5 2回目の自動再起動が実行されます。

デバッグ

MSIインストールをデバッグする場合は、/l*v log_file_name_parameterを実行します。トラブルシューティングには、log_file_nameとinstall_securemote.elgを使用します。

Zonelabs Integrity ClientSecureClient MSIパッケージとZoneLabs統合パッケージをインストールする場合、以下のコマンドを使用します。

msiexec /i <package_name> [ZL=1] [INSTALLDIR=<install_dir>] [/qr|/qb|/qb!]

■ package_name - SecureClient msiパッケージの名前

■ ZL=1 - ZoneLabs設定でのインストール

■ INSTALLDIR=<install_dir> - パッケージのインストール先であるフォルダ

■ [/qr|/qb|/qb!] - 無人インストールで使用する標準的なMSI UIレベル・サポート

このコマンドを使用すると、product.iniファイルは自動的に修正されます。

第17章 SecureClientのパッケージング 279

Zonelabs Integrity Client

280

第 章18

デスクトップ・セキュリティ

この章の構成

デスクトップ・セキュリティの必要性

VPN-1 Pro ゲートウェイは、それを経由してネットワークとの間で送受信されるトラフィックに対してセキュリティ・ポリシーを実施することでそのネットワークを保護します。保護されたネットワークの外側にあるリモート・クライアントは攻撃に対して無防備です。リモート・クライアントへのトラフィックはVPN-1 Proゲートウェイを通過しないためです。このトラフィックに対してセキュリティ・ポリシーは実施されません。

さらに深刻な危険が存在します。攻撃者がリモート・クライアントに侵入して保護されたネットワークに対しても侵入路を確保できた場合、保護されたネットワークまでもセキュリティが破られる可能性があります（VPNトンネル経由でウイルスを転送する方法などを使用）。VPN-1 Proゲートウェイ・モジュールによって制限の厳しいセキュリティ・ポリシーを実施しても、無防備なリモート・クライアントを経由して攻撃が行われるとLANは充分な防御ができません。

デスクトップ・セキュリティの必要性 281 ページ

デスクトップ・セキュリティ・ソリューション 282 ページ

デスクトップ・セキュリティの考慮事項 286 ページ

デスクトップ・セキュリティの設定 287 ページ

281

デスクトップ・セキュリティ・ソリューション

デスクトップ・セキュリティ・ソリューション

このセクションの構成

デスクトップ・セキュリティについて

チェック・ポイントVPN-1 SecureClientは、リモート・クライアントに対してデスクトップ・セキュリティ・ポリシーを実施することによりリモート・クライアントを保護します。管理者はデスクトップ・セキュリティ・ポリシーをルール・ベースの形で定義します。特定のユーザ・グループまたはすべてのユーザにルールを割り当てられ、柔軟にポリシーを定義できます。

デスクトップ・セキュリティ・ポリシーはSmartCenterサーバによってVPN-1 Proゲートウェイにインストールされたポリシー・サーバへダウンロードされます。ポリシー・サーバはデスクトップ・セキュリティ・ポリシーのリポジトリとして機能します。SecureClientマシンは自身のデスクトップ・セキュリティ・ポリシーをポリシー・サーバからダウンロードします。

SecureClient が組織のゲートウェイに接続してVPN を確立すると、SecureClient はポリシー・サーバにも接続可能となり、デスクトップ・セキュリティ・ポリシーを取得してこのポリシーの実施を開始します。SecureClientは発信元、宛先、およびサービスに基づいて接続の許可、暗号化、または破棄を実行できます。

図18-1 ポリシー・サーバからのデスクトップ・セキュリティ・ポリシーの取得

デスクトップ・セキュリティについて 282 ページ

デスクトップ・セキュリティ・ポリシー 283 ページ

ポリシー・サーバ 284 ページ

ポリシーのダウンロード 285 ページ

282

デスクトップ・セキュリティ・ポリシー

デスクトップ・セキュリティ・ポリシー

デスクトップ・セキュリティ・ポリシーは以下の 2つの要素で構成されます。

■ 着信ルール ― SecureClientマシンに宛てた接続に対して実施

■ 発信ルール ― SecureClientから発信する接続に対して実施

デスクトップ・セキュリティ・ポリシー内のルールでは以下を指定します。

■ 発信元

■ 宛先

■ サービス

■ アクション（許可、破棄、暗号化）

■ トラッキング（ログ、警告）

トラフィックの通過を認めるルールが許可ルールであったとしても、組織内のマシン（ゲートウェイのVPNドメイン内のすべてのマシン）への接続は自動的に暗号化されます。

暗黙的なルール

管理者が明示的に定義した着信 /発信ルールに加えて、暗黙的な「クリーンアップ」ルールが着信 /発信ポリシーの末尾に自動的に追加されます。

■ 暗黙的な発信ルールはSecureClientマシンから発信するすべての接続を許可し、その結果、過去のどのルールとも一致しない接続を可能にします。

■ 暗黙的な着信ルールは明示的に許可されない接続は拒否するという前提に基づいて、過去のどのルールとも一致しない接続であってもSecureClientに宛てられた接続はすべて遮断します。

ユーザの詳細設定

場所とユーザ・グループに基づいてリモート・ユーザに異なるルールを定義できます。

場所 — たとえば、組織内から接続するユーザ（組織内から接続するラップトップ PCにSecureClientをインストールしているユーザなど）には制限の少ないポリシーを定義し、組織外（ホテルの部屋）から接続する同じユーザには制限の厳しいポリシーを定義できます。これはルールの実装対象となるユーザの場所をユーザのセキュリティ・ルールベース内に設定して定義します。

ユーザ・グループ — たとえば、通常のユーザには制限付きルールを定義し、システム管理者にはより多くのアクセス権限を許可できます。

さらに特定のユーザ・グループではなく、すべてのユーザを指定することですべてのリモート・ユーザに実施するルールを定義できます。

第18章 デスクトップ・セキュリティ 283

デスクトップ・セキュリティ・ソリューション

ルールでは個々のユーザではなく、ユーザ・グループを指定します。SecureClientはログインを試行しているユーザの所属グループを認識しないので、その情報を以下の方法でポリシー・サーバから取得する必要があります。SecureClientが自らの身元をポリシー・サーバに証明すると、ポリシー・サーバはユーザが所属するユーザ・グループを解決してこの情報をSecureClientへ送信します。SecureClientがユーザの所属グループを確認すると、そのユーザに対して定義されているルールを実施できます。またルールはRADIUSサーバ上の radiusグループにも適用できます。

デフォルト・ポリシー

SecureClientを起動すると、SecureClientはポリシー・サーバに接続する前に「デフォルトのポリシー」を実施します。このポリシーはポリシー・サーバからダウンロードされた

新のポリシー内にあり、すべてのユーザを対象として定義したルールから構成されています。これはこの時点でSecureClientがユーザの所属するユーザ・グループを知らないからです。ユーザが更新されたポリシー（および現在のユーザ・グループの情報）をポリシー・サーバからダウンロードするまでは、このデフォルトのポリシーが実施されます。

SecureClientとポリシー・サーバ間の接続が切断されると、接続が回復してポリシーがダウンロードされるまでデフォルトのポリシーが実施されます。

ポリシー・サーバ

ポリシー・サーバとは

ポリシー・サーバはVPN-1 Proゲートウェイにインストールされるモジュールであり、デスクトップ・セキュリティ・ポリシーのリポジトリとして機能します。SecureClientマシンは自身のデスクトップ・セキュリティ・ポリシーをポリシー・サーバからダウンロードします。

高可用性と負荷分散

負荷分散と高可用性のために複数のポリシー・サーバを設定できます。負荷分散は、多数のユーザが平日の作業開始時にログインするときなど、大きな負荷が発生するときに特に重要です。

コネクト・モード

■ High Availability between all Policy Servers, trying selected first — SecureClientは常に指定されているポリシー・サーバの使用を 初に試行します。このサーバが使用できない場合、SecureClientは残りのサーバの中から別のサーバを無作為に選択します。

■ High Availability only among selected Policy Servers — SecureClientは指定されているグループの中からポリシー・サーバを無作為に選択します。このオプションでは負荷がポリシー・サーバ間で均等に分散されるため、負荷分散の効果も得られます。

284

ポリシーのダウンロード

ポリシーのダウンロード

ポリシーをダウンロードする状況

ユーザがSecureClientでサイトを作成すると、ポリシー・サーバのリストがクライアントのマシンにダウンロードされます。ユーザがコネクト・モード（デフォルトのモード）を使用している場合、SecureClientマシンをサイトに接続するとポリシーがポリシー・サーバから自動的にダウンロードされます。また、ポリシーの自動ダウンロードは無効にできます。この設定は、ユーザのプロファイルで管理します。

ポリシーの更新

ポリシーのタイムアウト（デフォルトでは 60分）が定義されている場合、指定された時間の半分が経過すると、SecureClientはポリシー・サーバに再接続して新しいポリシーをダウンロードします。複数のポリシー・サーバを定義した場合（284 ページの「高可用性と負荷分散」を参照）、SecureClientは前回ポリシーを正常にダウンロードできたポリシー・サーバに対して再び接続を試行します。このポリシー・サーバに接続できない場合は、別のサーバに対して接続を試行します。

SecureClientが新しいポリシーをポリシー・サーバからダウンロードできなかった場合、一定時間（デフォルトは 5分）が経過した時点で接続が再び試行されます。タイムアウトしたあとSecureClientが新しいポリシーをダウンロードできない場合は、デフォルトのポリシーに戻ります。

ログと警告

デスクトップ・セキュリティ・ポリシーで指定されたログと警告はSecureClient Diagnosticsを使用して表示できます。さらにすべての警告は保存され、SmartCenterサーバへアップロードされます。クライアントがポリシー・サーバに接続すると、クライアントは警告をスプーリング・プロセスへアップロードします。このプロセスによって警告はSmartCenterサーバへ渡されます。SmartView Trackerではこれらの警告を表示できます。

第18章 デスクトップ・セキュリティ 285

デスクトップ・セキュリティの考慮事項

デスクトップ・セキュリティの考慮事項

このセクションの構成

デスクトップ・セキュリティ・ポリシーの計画

ユーザのポリシーはセキュリティと利便性のバランスを適切に考慮しながら、慎重に計画する必要があります。ポリシーを設定する場合はデスクトップ・ユーザができるだけ自由に作業でき、同時にリモート・ユーザのデスクトップを外部から攻撃しにくくする必要があります。ここでは、考察すべき幾つかのポイントを説明します。

■ ポートで特定のサーバを実行している場合を除いて、SecureClientに対しては、いかなるサービスへのアクセスも明示的に許可しないでください（着信ポリシーでサービスを許可するなど）。接続の確立をクライアントに許可する場合でも、接続の確立を許可する相手や許可する発信元については慎重に検討する必要があります。

■ ポリシーの制限を厳しくすると（POP3、IMAP、およびHTTPのみを許可して残りを遮断するなど）、ユーザの作業は困難になります。発信ポリシーで特定のサービスだけを許可してそれ以外をすべて遮断した場合、ある種のサービスをユーザが必要としていることが明らかになるたびに発信ポリシーを変更し、クライアントがその新しいポリシーを取得したことを確認する必要があります。発信ポリシーを実装する良の方法は、特定の問題のあるサービス（Netbusなど）だけを遮断して残りを許

可するというルールを使用することです。

■ 組織の暗号化ドメインに宛てた発信接続は、そのサービスに対する発信ルールが「許可」と指定されている場合でも必ず暗号化されます。

■ 暗黙的なルール（283 ページの「暗黙的なルール」を参照）では、過去のルールで明示的に指定しなかったサービスでも許可または遮断できます。たとえば、顧客が自分のマシン上でサーバを実行する場合、その顧客のマシンへの接続を許可する明示的なルールを作成する必要があります。このルールを作成しないと、暗黙的な着信ルール（デフォルトで遮断を行う）によって接続が遮断されます。

デスクトップ・セキュリティ・ポリシーの計画 286 ページ

ポリシー・サーバの二重認証の防止 287 ページ

286

ポリシー・サーバの二重認証の防止

ポリシー・サーバの二重認証の防止

ポリシー・サーバの高可用性を実現すると、ユーザは 1つのゲートウェイ経由で組織に接続し、別のモジュールにインストールされているポリシー・サーバにも接続できます。この場合はゲートウェイ・モジュールで 1回、ポリシー・サーバで 1回、合わせて 2回の認証が求められます。通常、ユーザが特定のゲートウェイ経由で組織に接続し、そのゲートウェイにポリシー・サーバ・モジュールがインストールされている場合は、［HighAvailability among all Policy Servers, trying selected first］オプションを使用するようにユーザのプロファイルを設定します。この設定により、ユーザが組織に接続する際に経由するゲートウェイとしてプライマリ・ポリシー・サーバが選択されるので、認証の重複を回避できます。このようにゲートウェイへのユーザ認証の後、ゲートウェイにインストールされているポリシー・サーバからユーザがセキュリティ・ポリシーをダウンロードすることが自動的に許可されます。

デスクトップ・セキュリティの設定

このセクションの構成

サーバ側の設定

1 ポリシー・サーバ・アドオン・モジュールをチェック・ポイント・インストールCDからインストールします。ポリシー・サーバ・アドオンはVPN-1 Proゲートウェイ・モジュールがインストールされているマシンだけにインストールします。

2 ポリシー・サーバをインストールしたゲートウェイ・オブジェクトを開き、［General Properties］タブを選択します。［Check Point Products］セクションで［SecureClient Policy Server］を選択します。

3 ［Authentication］タブを選択します。［Policy Server］>［Users］セクションで、このポリシー・サーバからポリシーを取得することを許可されたユーザ・グループを選択します。

4 ほかの各ポリシー・サーバについて、手順 2と 3を繰り返します。

5 ［Policy］>［Global Properties］を表示して［Remote Access］を選択します。［Revert to default policy after］で、デスクトップ・セキュリティ・ポリシーのタイムアウトを選択します（詳細については 285 ページの「ポリシーの更新」を参照してください）。

6 ポリシー選択ツールバーで［Desktop Security］を選択します。

サーバ側の設定 287 ページ

クライアント側の設定 288 ページ

第18章 デスクトップ・セキュリティ 287

デスクトップ・セキュリティの設定

7 着信ルールを設定します。［Rules］>［Add Rule］メニュー項目を使用して、ポリシーへルールを追加できます。

着信ルールでは、SecureClient（デスクトップ）が宛先であり、ルールの適用対象のユーザを指定できます。

8 発信ルールを設定します。

発信ルールでは、SecureClient（デスクトップ）が発信元であり、ルールの適用対象のユーザを指定できます。

9 ポリシーをインストールします。高度なセキュリティ・ポリシーをゲートウェイにインストールし、デスクトップ・セキュリティ・ポリシーをポリシー・サーバにインストールします。

クライアント側の設定

コネクト・モード

1 デスクトップの右下にあるSecureClientアイコンをダブルクリックし、［Properties］をクリックします。

2 サイトへの接続後にポリシー・サーバに自動的にログオンする場合は、［Logon to Policy Server］を選択します。

3 サイトに複数のポリシー・サーバがあり、SecureClientによってこれらのサーバ間の負荷分散を試行する場合は、［Support Policy Server High Availability］を選択します。この機能を使用する場合、以下のいずれかを選択する必要があります。

■ High Availability among all servers, trying selected first — プライマリ・ポリシー・サーバを選択します。

■ High Availability only among selected servers ― 接続先となるサーバを選択します。

管理者がユーザ用にカスタム・プロファイルを作成すると、ユーザはこれらの手順を設定する必要がなくなります。

288

第 章19

L2TP（Layer Two Transfer Protocol）クライアント

この章の構成

L2TPクライアントをサポートする必要性

一部の組織では、内部ネットワークへのリモート・アクセスに機能が豊富で安全なチェック・ポイントSecuRemote/SecureClientよりも、Microsoft製 IPSecクライアントを使用する方が効果的な場合があります。

Microsoft L2TP IPSec クライアントを使用する理由としては、このクライアントが元々Windows 2000とWindows XPオペレーティング・システムの一部であり、追加のクライアントをインストールする必要がなく無料で使用できるという点があります。

L2TPクライアントをサポートする必要性 289 ページ

ソリューション - L2TPクライアントの使用 290 ページ

Microsoft IPSec/L2TPクライアントを選択するときの考慮事項 295 ページ

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定 296 ページ

289

ソリューション - L2TPクライアントの使用

ソリューション - L2TPクライアントの使用

このセクションの構成

L2TPクライアントについて

チェック・ポイントVPN-1 Proゲートウェイでは、さまざまなサード・パーティ製 IPSecクライアントとの間にVPNを作成できます。ここでは、Microsoft IPSec/L2TPクライアントを中心に説明します。

L2TP（Layer Two Tunneling Protocol）によってVPN（バーチャル・プライベート・ネットワーク）接続を確立すると、インターネットを通じてプライベート・ネットワークにアクセスできます。L2TPは業界標準のインターネット・トンネリング・プロトコルです。

チェック・ポイントは、Windows 2000とWindows XPマシンでMicrosoft IPSec/L2TPクライアントをサポートします。このクライアントはWindowsオペレーティング・システムの標準搭載機能です。

Microsoft IPSec/L2TPクライアント・ユーザのためにリモート・アクセス環境を構築する方法は、SecuRemote/SecureClientsのためにリモート・アクセスを設定する方法と基本的に変わりません。Microsoft IPSec/L2TPクライアント用にリモート・アクセスを設定する前に、第 14章の「リモート・アクセスVPNについて」を読んで理解することを強くお勧めします。

L2TPクライアントについて 290 ページ

Microsoft IPSec/L2TPクライアントとチェック・ポイント・ゲートウェイ間でのVPNの確立

291 ページ

L2TP接続の動作 292 ページ

IPSec/L2TPを使用する場合のVPN-1 Proゲートウェイの要件 292 ページ

ユーザとクライアント・マシンの認証 292 ページ

ユーザの証明書の目的 294 ページ

290

Microsoft IPSec/L2TPクライアントとチェック・ポイント・ゲートウェイ間でのVPNの確立

Microsoft IPSec/L2TPクライアントとチェック・ポイント・ゲートウェイ間でのVPNの確立

図 19-1に示すように、Microsoft IPSec/L2TPクライアントのユーザがVPN-1 Proゲートウェイで保護されたネットワーク・リソースにアクセスできるように、Microsoft IPSec/L2TPクライアントとゲートウェイの間にはVPNトンネルが確立されます。

図19-1 IPSecクライアントとチェック・ポイント・ゲートウェイの接続

VPNの確立プロセスはユーザには透過的であり、以下のように実行されます。

1 Microsoft IPSec/L2TPクライアントのユーザがVPN-1 Proゲートウェイへの接続を開始します。

2 Microsoft IPSec/L2TPクライアントは、暗号化トンネルの構築を開始するためにピア・ゲートウェイとの間で IKE（Internet Key Exchange）ネゴシエーションを開始します。

3 IKEネゴシエーションの間、リモート・クライアント・マシンとVPN-1 Proゲートウェイの識別情報が認証されます。この認証は証明書を使用して実行されます。両方の通信者は、認証情報を証明する手段として相互に証明書を送信します。これによって、認証されたマシンだけが接続を確立できます。

4 両方のピアは暗号化鍵を交換して IKEネゴシエーションを終了します。

5 この時点で暗号化がクライアントとゲートウェイの間で確立されます。クライアントとゲートウェイ間のすべての接続は、IPSec標準を使用してこのVPNトンネル内で暗号化されます。

6 クライアントは短時間のL2TPネゴシエーションを開始します。クライアントはこのネゴシエーションの 後に IPSecで暗号化され、カプセル化されたL2TPフレームをゲートウェイに渡すことができます。

第19章 L2TP（Layer Two Transfer Protocol）クライアント 291

ソリューション - L2TPクライアントの使用

7 この時点でVPN-1 Proゲートウェイは、Microsoft IPSec/L2TPクライアントのユーザを認証します。この認証は手順 3でのクライアント・マシンの認証に対して追加的に実行されます。身元の証明は以下の 2つの方式で実行できます。

■ 証明書

■ MD5チャレンジ。ユーザはユーザ名とパスワード（プリシェアード・シークレット）の入力を指示されます。

8 VPN-1 Proゲートウェイはリモート・クライアントにオフィス・モード IPアドレスを割り当てて、内部ネットワークでクライアントをルーティングできるようにします。オフィス・モードのすべての方式でアドレスを割り当てることができます。

9 Microsoft IPSec/L2TPクライアントはゲートウェイに接続して、内部ネットワークの場所を参照して接続できます。

L2TP接続の動作

IPSec/L2TPクライアントを使用する場合、組織に接続すると同時に外部に接続することはできません。

クライアントがゲートウェイに接続すると、クライアントから送信されるすべてのトラフィックはこのゲートウェイに送信されて暗号化されるからです。この場合、ゲートウェイの背後にある保護されたネットワークにトラフィックが到達するかどうかは関係ありません。次に、このゲートウェイの暗号化ドメインに宛てられていない暗号化トラフィックはすべて破棄されます。

IPSec/L2TPを使用する場合のVPN-1 Proゲートウェイの要件

Microsoft IPSec/L2TPクライアントを使用するには、リモート・アクセス用にVPN-1 Proゲートウェイを設定する必要があります。この設定は、SecuRemote/SecureClientを使用する時にリモート・アクセスで必要となる設定と非常によく似ています。たとえば、VPN-1 Proゲートウェイとユーザ・グループを含むリモート・アクセス・コミュニティを作成する点などです。

さらに必要な作業は、オフィス・モード機能によってクライアントにアドレスを提供するためにVPN-1 Proゲートウェイを設定することです。

ユーザとクライアント・マシンの認証

L2TP接続を認証するには以下の 2つの方式があります。

■ 旧来の認証の使用

■ 証明書の使用

292

ユーザとクライアント・マシンの認証

認証方式

L2TPクライアントでは、接続を確立するために以下の認証スキームを使用できます。

■ チェック・ポイント・パスワード

■ OSパスワード

■ RADIUS■ LDAP■ TACACS

ユーザ名とパスワードを使用してユーザの身元を検証します。すべてのユーザはリモート・アクセス・コミュニティのメンバにする必要があり、オフィス・モードに応じて設定する必要があります。

証明書

L2TP接続の確立プロセスでは2段階の認証が実行されます。第1にクライアント・マシンとVPN-1 Proゲートウェイは、証明書を使用して相互に相手の認証情報を認証します。次にクライアント・マシンのユーザとVPN-1 Proゲートウェイは、証明書またはプリシェアード・シークレットを使用して相互に認証を行います。

Microsoft IPSec/L2TPクライアントは、クライアント・マシンの IKE認証とユーザ認証のための個別の証明書を保持しています。

VPN-1 Proゲートウェイでユーザ認証に証明書を使用する場合、VPN-1 Proゲートウェイはユーザ認証と IKE認証に対して同じ証明書を使用することも異なる証明書を使用することもできます。

クライアントとユーザの証明書は、同じCAでも異なるCAでも発行できます。SmartDashboardでは、ユーザとクライアント・マシンはユーザとして個別に定義されます。

証明書は以下のいずれかで発行できます。

■ SmartCenterサーバの ICA（内部認証局）

■ OPSECが認定した認証局

証明書にはPKCS#12形式を使用する必要があります。この形式は秘密鍵と証明書を保存したり転送したりする場合に互換性の高い形式です。証明書はクライアント・マシンに転送されて保存されます。

第19章 L2TP（Layer Two Transfer Protocol）クライアント 293

ソリューション - L2TPクライアントの使用

IKEでのクライアント・コンピュータの認証

IKEネゴシエーションでVPN-1 Proゲートウェイに対して自らの身元を証明するために、Microsoft IPSec/L2TPクライアント・マシンには証明書が必要になります。

すべてのクライアント・マシンに個別に証明書を生成することをお勧めします。1つの証明書をすべてのクライアント・マシンで共有することも可能ですが、この環境ではユーザがログオンに使用したマシンを識別できなくなります。たとえば、SmartView Trackerには「user=bob, machine=bob_laptop」ではなく、「user=bob, machine=generic_laptop」と表示されます。セキュリティ上、これは望ましくありません。代わりに、すべてのクライアント・

マシンに個別に異なるマシン証明書を割り当ててください。

クライアント・マシンの管理者は、マシンの証明書ストアに証明書をインストールする必要があります。

ユーザの認証

Microsoft IPSec/L2TPクライアントに接続する場合、各ユーザを認証する必要があります。ユーザは以下の方式で認証できます。

■ 証明書 ■ MD5チャレンジ。ユーザはユーザ名とパスワード（プリシェアード・シークレット）

の入力を指示されます。ユーザには「ネットワークを使用せずに」パスワードを通知する必要があります。

ユーザの証明書はユーザの証明書ストアに簡単に追加できます。ユーザの証明書をスマート・カードに保存した場合、カードをクライアント・マシンに挿入すると証明書が自動的に証明書ストアに保存されます。

ユーザの証明書の目的

PKI証明書の利用を、事前に定義した目的のみに限定できます。証明書は「クライアントの認証」、「サーバの認証」、「IPSec」、「電子メールの署名」など 1つ以上の目的に利用できます。利用目的は証明書のExtended Key Usageエクステンションに示されます。

IKE 認証に使用する証明書には、利用目的は必要ありません。ユーザ認証の場合に、Microsoft IPSec/L2TPクライアントでこの目的が必要とされます。

■ ユーザ証明書では「クライアントの認証」を目的とする必要があります。

■ ゲートウェイの証明書では「サーバの認証」を目的とする必要があります。

ほとんどのCA（ICAを含む）では、これらの目的はデフォルトで指定されません。つまり、IPSec/L2TPクライアントに対して証明書を発行するCAは、適切な目的で証明書を発行するように設定する必要があります（Extended Key Usageエクステンションで）。

294

ユーザの証明書の目的

発行する証明書で適切な目的が設定されるように、SmartCenterサーバ上の ICAを設定できます。OPSEC が認定したCA の場合、目的を含めて証明書要求を作成するようにSmartCenterサーバを設定できます（Extended Key Usageエクステンションで）。

また、L2TP ネゴシエーションのときにゲートウェイの証明書を検証しないように、Microsoft IPSec/L2TPクライアントを設定できます。クライアントは IKEネゴシエーションですでにゲートウェイの証明書を検証しているので、これはセキュリティの問題になりません。

Microsoft IPSec/L2TPクライアントを選択するときの考慮事項

SecureClientの機能性は、個人用ファイアウォール以上のものです。この製品は完全なデスクトップ・セキュリティ・ソリューションで、管理者はクライアントに対して完全なデスクトップ・セキュリティ・ポリシーを定義できます。一方、IPSecクライアントは基本的なリモート・クライアントであり、一部の組織にとって充分な機能を備えています。

IPSec/L2TPクライアントを使用する場合、組織に接続すると同時に外部に接続することはできません。結果的に組織への接続時にマシンを限定的に使用できるので、組織によってはこれが適切な接続ポリシーになる場合もあります。一方、SecuRemote/SecureClientの場合は組織とインターネットに同時に接続できます。

第19章 L2TP（Layer Two Transfer Protocol）クライアント 295

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定

このセクションの構成

一般的な設定手順

Microsoft IPSec/L2TPクライアント用にリモート・アクセスVPNを確立する場合、VPN-1Proゲートウェイとクライアント・マシンの両方で設定を行う必要があります。設定の手順はSecuRemote/SecureClient用のリモート・アクセスとほとんど同じですが、追加手順が幾つかあります。Microsoft IPSec/L2TPクライアント用にリモート・アクセスを設定する前に、第 14章の「リモート・アクセスVPNについて」を読んで理解することを強くお勧めします。

一般的な手順は以下のとおりです。

1 SmartDashboardを使用してユーザに対してクレデンシャル（通常は証明書）を生成するなど、リモート・アクセス環境を設定します。

2 クライアント・マシンを認証するために証明書を生成します。

3 VPN-1 Proゲートウェイでオフィス・モードとL2TPサポートを設定します。

4 クライアント・マシンでユーザ証明書ストアにユーザの証明書を保存し、マシン証明書ストアにクライアント・マシンの証明書を保存します。

5 クライアント・マシンでMicrosoft IPSec/L2TPクライアントの接続プロファイルを設定します。

設定の詳細は以下のセクションで説明します。

一般的な設定手順 296 ページ

リモート・アクセス環境の設定 297 ページ

クライアント・マシンと証明書の定義 297 ページ

オフィス・モードとL2TPサポートの設定 297 ページ

クライアント・マシンの準備 297 ページ

マシン証明書ストアへのクライアント証明書の保存 297 ページ

ユーザ証明書ストアへのユーザ証明書の保存 298 ページ

Microsoft IPSec/L2TPクライアントの接続プロファイルの設定 299 ページ

ユーザ証明書の目的の設定 300 ページ

L2TP接続の確立 301 ページ

詳細情報 301 ページ

296

リモート・アクセス環境の設定

リモート・アクセス環境の設定

1 219 ページの「リモート・アクセス用VPNの設定」の手順に従ってください。

クライアント・マシンと証明書の定義

2 クライアント・マシンごとに対応するユーザを定義するか、すべてのマシンに対してまとめて 1人のユーザを定義して、各クライアント・マシン・ユーザに証明書を生成します。この手順は、ユーザや証明書を定義するときに必要な手順と同じです

（219 ページの「リモート・アクセス用VPNの設定」を参照）。

3 クライアント・マシンに対応するユーザをユーザ・グループに追加し、ユーザ・グループをリモート・アクセスVPNコミュニティに追加します。

オフィス・モードとL2TPサポートの設定

4 オフィス・モードを設定します。詳細な手順については、245 ページの「オフィス・モードの設定」を参照してください。

5 ゲートウェイ・オブジェクトの［Remote Access］ページで、［Support L2TP］をオンにします。

6 ユーザに対して［Authentication Method］を選択します。

■ 証明書を使用するには［Smart Card or other Certificates (encryption enabled)］を選択します。

■ ユーザ名と共有秘密情報（パスワード）を使用するには、［MD5-challenge］を選択します。

7 ［Use this certificate］では、自らの身元をユーザに証明するためにゲートウェイが提示する証明書を選択します。ユーザの認証方式として手順 6の［Authentication Method］で証明書を選択した場合、この証明書が使用されます。

クライアント・マシンの準備

1 Windows環境では、クライアント・マシンの［サービス］で［IPSec Policy Agent］が実行中であることを確認します。このサービスは［自動］に設定する必要があります。

2 ほかの IPSecクライアント（SecuRemote/SecureClientなど）がマシンにインストールされていないことを確認します。

マシン証明書ストアへのクライアント証明書の保存

3 管理者の権限でクライアント・マシンにログオンします。

4 Microsoftの管理コンソールを起動します。［スタート］>［ファイル名を指定して実行］をクリックします。

5 「MMC」と入力してEnterキーを押します。

第19章 L2TP（Layer Two Transfer Protocol）クライアント 297

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定

6 ［コンソール］>［スナップインの追加と削除］を選択します。

7 ［スタンドアロン］タブで、［追加］をクリックします。

8 ［スタンドアロン スナップインの追加］ウィンドウで［証明書］を選択します。

9 ［証明書スナップイン］ウィンドウで［コンピュータ アカウント］を選択します。

10 ［コンピュータの選択］ウィンドウで、新しい証明書を保存したコンピュータ（ローカルであるかどうかを問わず）を選択します。

11 この手順を完了するには［完了］をクリックします。［スナップインの追加と削除］ウィンドウを閉じるには［閉じる］をクリックします。

12 MMCの［コンソール］ウィンドウでは、新しい証明書のブランチがコンソール・ルートに追加されています。

13 ［証明書］ブランチの［個人］エントリを右クリックして、［すべてのタスク］>［インポート］

を選択します。証明書のインポート・ウィザードが表示されます。

14 証明書のインポート・ウィザードでは、証明書の場所を参照します。

15 証明書ファイルのパスワードを入力します。

16 ［証明書ストア］ウィンドウで、証明書ストアが証明書の種類に基づいて自動的に選択されていることを確認します。

17 ［完了］をクリックしてインポートを完了します。

MMCを使用すると、「ローカル・コンピュータ」の証明書ストアで証明書を表示できます。

ユーザ証明書ストアへのユーザ証明書の保存

18 クライアント・マシンで証明書を保存した場所を開き、ユーザの証明書アイコン（.p12ファイル）をダブルクリックします。証明書のインポート・ウィザードが表示されます。

19 パスワードを入力します。

20 ［証明書ストア］ウィンドウで、証明書ストアが証明書の種類に基づいて自動的に選択されていることを確認します。

21 ［完了］をクリックしてインポートを完了します。

MMCを使用すると、「現在のユーザ」の証明書ストアで証明書を表示できます。

298

Microsoft IPSec/L2TPクライアントの接続プロファイルの設定

Microsoft IPSec/L2TPクライアントの接続プロファイルの設定

クライアント・マシンの証明書とユーザの証明書を適切に配布したら、L2TPの接続プロファイルを設定します。

1 クライアント・マシンでデスクトップにある［マイ ネットワーク］アイコンを右クリックして、［プロパティ］を選択します。

2 ［ネットワークとダイヤルアップ接続］ウィンドウで、［新しい接続の作成］を選択します。ネットワークの接続ウィザードが表示されます。

3 ［ネットワーク接続の種類］ウィンドウが表示されます。Windows 2000マシンの場合は、［インターネット経由でプライベート ネットワークに接続する］を選択します。Windows XPマシンの場合は、［職場のネットワークへ接続する］を選択して次のウィンドウで［仮想プ

ライベート ネットワーク接続］を選択します。

4 ［接続先のアドレス］ウィンドウでゲートウェイの IPアドレスまたは解決可能なホスト名を入力します。

5 ［接続の利用範囲］ウィンドウで、［すべてのユーザ］または［自分のみ］を選択して新しい接続を利用できるユーザを設定します。

6 後のウィンドウでは、「L2TP_connection」など新しい接続に名前を指定します。

7 新しい接続の種類に対して［接続］ウィンドウが表示されます。

L2TP接続の設定を完了するには以下の手順に従ってください。順番が重要なので注意してください。

8 ［接続］ウィンドウで［プロパティ］をクリックします。

9 ［ネットワーク］タブでL2TPサーバを選択します。

10 ［セキュリティ］タブで［詳細］>［設定］を選択し、［拡張認証プロトコルを使う］または［次のプロトコルを許可する］を選択します。

［拡張認証プロトコルを使う］を選択した場合は、［MD5-challenge］または［スマート カー

ドまたはその他の証明書 (暗号化は有効 )］を選択します。ゲートウェイでの設定と同じにします。

［次のプロトコルを許可する］を選択した場合は、［暗号化されていないパスワード (PAP)］を選択します。

詳細については 297 ページの「オフィス・モードとL2TPサポートの設定」を参照してください。

11 設定を保存して［接続］ウィンドウに戻るには、［OK］をクリックします。

12 ［接続］ウィンドウでは、ユーザ名とパスワードを入力するか、または証明書を選択します。

第19章 L2TP（Layer Two Transfer Protocol）クライアント 299

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定

ユーザ証明書の目的の設定

目的を指定された証明書を発行するようにCAを設定するには

1 ICAを使用している場合は ICA管理ツール（このツールの詳細については『SmartCenter』の「内部認証局（ICA）と ICA管理ツール」を参照）を起動し、［Configure the CA］ページを表示して以下の手順に従います。

■ 「サーバの認証」を目的としてゲートウェイの証明書を発行するには、［IKE Certificate Extended Key Usage］プロパティの値を 1に変更します。

■ 「クライアントの認証」を目的としてユーザの証明書を発行するには、［IKE Certificate Extended Key Usage］プロパティの値を 2に変更します。

OPSECに認定されたCAを使用して証明書を発行している場合は、DBeditコマンド・ラインを使用するか、グラフィカル・データベース・ツールを使用して、グローバル・プロパティ cert_req_ext_key_usageの値を1に変更します。この操作により、SmartCenterサーバは目的を指定された証明書を要求するようになります（目的はExtended Key Usageエクステンションで指定）。

2 SmartDashboardを使用してVPN-1 Proゲートウェイに対して新しい証明書を発行します（［VPN］ページの［Certificate List］セクションで［Add］をクリックします。新しい［Certificate Properties］ウィンドウが開きます）。証明書のプロパティを参照して、証明書に表示されるExtended Key Usageエクステンションを調べます。

3 VPN-1 Proゲートウェイ・オブジェクトの［Remote Access］ページを開き、［L2TP Support］セクションで新しい証明書を選択します。

目的が「サーバの認証」の場合は検証を実行しないようにMicrosoft IPSec/L2TPクライアントを設定するには

以下の手順では、目的が「サーバの認証」である場合はゲートウェイの証明書を要求しないようにMicrosoft IPSec/L2TPクライアントに指定します。

1 クライアント・マシンでデスクトップにある［マイ ネットワーク］アイコンを右クリックして、［プロパティ］を選択します。

2 ［ネットワークとダイヤルアップ接続］ウィンドウでL2TP接続プロファイルをダブルクリックします。

3 ［プロパティ］をクリックして［セキュリティ］タブを選択します。

4 ［詳細 (カスタム設定 )］を選択して［設定］をクリックします。

5 ［セキュリティの詳細設定］ウィンドウの［ログオンのセキュリティ］で［拡張認証プロトコル (EAP) を使う］を選択し、［プロパティ］をクリックします。

300

L2TP接続の確立

6 ［スマート カードまたはほかの証明書のプロパティ］ウィンドウで［サーバの証明書の有効化］をオフにして［OK］をクリックします。

L2TP接続の確立

7 L2TP接続を確立するには［Connect］をクリックします。

8 接続に割り当てられた IPアドレスを確認するには、接続の［Status］ウィンドウにある［Details］タブを表示するか、ipconfig /allコマンドを実行します。

詳細情報

Microsoft IPSec/L2TPクライアントの高度な機能を設定する場合は、以下のセクションを参照してください。

■ 355 ページの「非プライベート・クライアント IPアドレス」。

■ 241 ページの「ユーザ単位の IPアドレスの有効化」。

■ 363 ページの「逆向き接続（サーバからクライアント）」。

L2TPプロトコルはRFC 2661で定義されています。IPSecを使用したL2TPの暗号化はRFC3193で規定されています。L2TPプロトコルとMicrosoft IPSec/L2TPクライアントの詳細については、Windows 2000とXPのヘルプで「ネットワークとダイヤルアップ接続」のセクションを参照してください。

注： クライアントは IKE認証のときにゲートウェイの証明書に関して、「サーバの認証」以外のすべての

要素を検証します。

第19章 L2TP（Layer Two Transfer Protocol）クライアント 301

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定

302

第 章20

SCV（Secure Configuration Verification）

この章の構成

リモート・クライアント・セキュリティ・ステータスの検証の必要性

ネットワークとファイアウォールの管理者は、組織内のコンピュータを簡単に制御できます。Microsoftドメイン・ベースの環境では、この制御はネットワーク・ドメイン・コントローラでユーザの権限を制御することで実行します。管理者はブラウザ内の JavaやActiveXコントロールなどの危険なコンポーネントを無効にし、ウイルス対策チェッカをインストールしてチェッカが正常に動作していることを確認できます。

リモート・ユーザの場合はLANの外側から（インターネットを通じて）組織にアクセスし、通常はドメインに接続できないため、管理者が設定できるオプションは制限されます。管理者は、ドメイン・コントローラでリモート・ユーザの設定を制御して確認することができません。

たとえば、ActiveXを有効にしたリモート・ユーザが悪意のあるActiveXコントロールが仕込まれたWebサイトに接続し、このコントロールによってコンピュータのセキュリティが破られたとします。このリモート・ユーザが組織のLANに接続した場合、LANまでが外部からの攻撃を受けやすくなります。

リモート・クライアント・セキュリティ・ステータスの検証の必要性

303 ページ

SCV（Secure Configuration Verification）ソリューション 304 ページ

SCVの考慮事項 309 ページ

SCVの設定 310 ページ

303

SCV（Secure Configuration Verification）ソリューション

適切に設定されたデスクトップ・セキュリティ・ポリシーは重要ですが、ポリシーはこの種の攻撃に対しては対応できません。なぜなら、この攻撃はユーザ・マシンに対するアクセス制御の弱点を狙うのではなく、クライアント上のアプリケーション設定の弱点を巧みに利用するからです。

SCV（Secure Configuration Verification）ソリューション

このセクションの構成

SCV（Secure Configuration Verification）について

SCV（Secure Configuration Verification）を使用すると、管理者はリモート・コンピュータの設定を監視し、設定が組織のセキュリティ・ポリシーに準拠していることを確認し、準拠していないマシンとの接続を遮断できます。SCVはデスクトップ・セキュリティ・ポリシーに置き換わるものではなく、これを補完するものです。SCVはSecureClientマシンが企業のセキュリティ・ポリシーに準拠して設定されていることを保証して、企業のセキュリティを強化します。

SCVはSCVチェックを作成して使用するためのプラットフォームです。SCVチェックには、ユーザのブラウザ設定、デスクトップ・コンピュータ上にインストールされたウイルス対策ソフトウェアの現在のバージョン、パーソナル・ファイアウォール・ポリシーの適切な操作など、安全に設定されたクライアント・システムを定義する条件セットが含まれています。これらのセキュリティ・チェックは、事前に設定した間隔でSecureClientによって実行されます。VPN-1 Proゲートウェイは、SCVチェックの結果に基づいてクライアントからLANへの接続を許可するか遮断するかを決定します。

チェック・ポイントのSCVソリューションには、オペレーティング・システムとユーザ・ブラウザを対象とする、定義済みのSCVチェックが付属しています。また、ウイルス対策ソフトウェア・メーカーなどのOPSECパートナーは、自社製品にSCVチェックを追加できます。

SCV（Secure Configuration Verification）について 304 ページ

SCVの機能の仕組み 305 ページ

SCVチェック 307 ページ

SCVポリシーの構文 312 ページ

local.scvセット 315 ページ

完全な local.scvファイルの例 317 ページ

304

SCVの機能の仕組み

SCVの機能の仕組み

SCVは以下の 6つの手順で機能します。

1 クライアントへのSCVプラグインのインストール

2 SmartCenterサーバでのSCVポリシーの設定

3 クライアントへのSCVポリシーのダウンロード

4 SCVポリシーの検証

5 ランタイムSCVチェック

6 組織のセキュリティ・ポリシー SCVの認識

クライアントへのSCVプラグインのインストール

SCVチェックは、クライアントの設定項目をチェックしてその結果を返す特別なDLLによって実行されます。SCVアプリケーションはSCV DLLをシステム・レジストリに登録します。

SCV設定の 初の手順は、SCVチェックを実行するアプリケーションをクライアントにインストールすることです。インストール中にこれらのアプリケーションは自らをSCVプラグインとして登録し、SCV DLLのハッシュ値を書き込んで改ざんを防止します。

SmartCenterサーバでのSCVポリシーの設定

SCVポリシーはSCVプラグインで提供されるチェックに基づくルール、すなわち条件のセットです。これらの条件は各SCVチェックで要求される結果を定義し、クライアントはこの結果に基づいて安全に設定されているクライアントか、安全に設定されていないクライアントかに分類されます。たとえば、ファイル共有アプリケーションを許可しない管理者は、ファイル共有アプリケーション・プロセスが実行されていないことを検証するルールをSCVポリシーで定義します。

すべてのSCVテストで必要な結果が返されると、クライアントは安全に設定されていると見なされます。SCVテストで 1つでも予期しない結果が返されると、クライアントは安全に設定されていないと見なされます。

クライアントへのSCVポリシーのダウンロード

SecureClientがポリシー・サーバからデスクトップ・ポリシーをダウンロードするとき、同時にSCVポリシーもダウンロードします。

注： この例で説明するSCVチェックは、SmartCenterサーバに付属の定義済みのSCVチェックに含ま

れています（307 ページの「チェック・ポイントSCVチェック」を参照）。このチェックは特定のプロ

セスをテストするために設定する必要があります。

第20章 SCV（Secure Configuration Verification） 305

SCV（Secure Configuration Verification）ソリューション

SCVポリシーの検証

SecureClientはSCVポリシーをダウンロードしたあと、ハッシュ値を計算してその結果をDLLのインストール時に指定されたDLLのハッシュ値と比較することで、SCVポリシーに指定されたSCV DLLが改ざんされていないことを確認します（クライアントへの SCVプラグインのインストールを参照）。

ランタイムSCVチェック

SecureClientは定期的（デフォルトでは 15秒ごと）にSCV DLLを起動して、SCVポリシーに指定されたSCVチェックを実行してその結果をSCVポリシーと比較します。安全に設定されていないクライアントでポップアップの通知を表示したり、SmartCenterサーバへログを送信するようにSCVポリシーを設定できます。

組織のセキュリティ・ポリシー SCVの認識

SecureClientはこの時点でクライアントが安全に設定されているかどうかを判定できます。管理者は組織のすべてのクライアントを上記の手順に従って設定したあと、クライアントのSCVステータスに応じてVPN-1 Proゲートウェイで実行すべきアクションを設定します。たとえば、管理者は安全に設定されていないクライアントに対しては、企業LANにあるリソースの一部または全部にアクセスできないように設定できます。この設定により、クライアントのセキュリティ設定の不備によって生じる危険から組織が保護されます。

管理者はリモート・クライアントに対してSCVを実施するかしないかを選択できます。SCVを実施すると、ルールに従って安全に設定されたクライアントだけがアクセスを許可されます。SCVを実施しない場合、ルールに従ってすべてのクライアントがアクセスを許可されます。

シンプル・モードの場合、これはグローバルに設定します。トラディショナル・モードでは、ルールごとに個別に設定します。詳細については、310 ページの「サーバ側の設定」を参照してください。

クライアントがVPN-1 Proゲートウェイに接続すると、SecureClientとゲートウェイ間でIKEネゴシエーションが実行されます。ゲートウェイのセキュリティ・ポリシーがSCVチェックを要求すると、ゲートウェイはクライアントが安全に設定されているかどうかをチェック（SCV）する間、その接続を保留します。ゲートウェイがクライアントのSCVステータスをすでに知っている場合（過去 5分以内にSCVステータスのチェックが実行された場合）、以下の動作が実行されます。

■ クライアントが安全に設定されている場合、ゲートウェイは接続を許可します。

■ クライアントが安全に設定されていない場合、ゲートウェイは接続を破棄するか、接続を許可してログを記録します（この動作は設定可能です）。

306

SCVチェック

ゲートウェイがクライアントのSCVステータスを知らない場合は、SCVクエリを含む ICMP配信不能エラー・メッセージをクライアントに送信してSCVチェックを開始します。クライアントはSCVクエリを受信すると、SCVステータスの確認を試行します。コネクト・モードの場合、クライアントはポリシー・サーバにも接続し、更新されたSCVポリシーをダウンロードします。同時にSCVクエリを受信したクライアントは、UDPポート18233経由で20秒間隔で5分間、ゲートウェイにSCVステータスの応答メッセージを送信します。これらの応答メッセージはキープアライブ・メカニズムとして使用され、クライアントがSCVステータスを確認している間、ゲートウェイのステータス・テーブル内でユーザの接続を維持します。キープアライブ・パケットにより、ユーザは後続の接続を5分間隔で開くことができ、この間SCVクエリを使用する必要はありません。クライアントは自身のSCVステータスを決定すると、SCVステータスを含むSCV応答メッセージをUDPポート18233経由でゲートウェイに返信します。ゲートウェイはユーザのSCVステータスを受信すると、ユーザの接続の処理方法を決定します。

SCVチェック

チェック・ポイントSCVチェック

SecureClientインストールの一部として、以下のようにSCVチェックが用意されています。

■ SC_VER_SCV — 管理者の指定に基づいてSecureClientのバージョンが 新であることを検証する、バージョン・チェック。

■ Network Configuration Monitor — 以下の項目を検証します。

■ すべてのネットワーク・インタフェース・カードでデスクトップ・ポリシーがSecureClientによって実施されること

■ IP以外のプロトコルがすべてのインタフェースで無効になっていること

■ OS Monitor — リモート・ユーザのオペレーティング・システムのバージョン、サービス・パック、およびスクリーン・セーバの設定（起動時間、パスワード保護など）を検証します。

■ HotFix Monitor — オペレーティング・システムのセキュリティ・パッチがインストールされているかどうかを検証します。

■ Group Monitor — ユーザがマシンにログオンしているか、またユーザが管理者によって指定された特定のドメイン・ユーザ・グループのメンバであるかを検証します。

■ Process Monitor — 指定されたプロセスがクライアント・マシンで動作しているかどうかをチェックします（ファイル共有アプリケーションが動作していないこと、またはウイルス対策ソフトウェアが動作していることなど）。Process Monitorでは、プロセスが動作していないこともチェックできます。

■ user_policy_scv — ユーザがポリシー・サーバにログオンしているか、デスクトップ・ポリシーが 新であるかなど、デスクトップ・ポリシーの状態をチェックします。

■ Browser Monitor — Internet Explorerのバージョンのほか、JavaとActiveXの各種オプションなど特定の設定項目を検証します。

第20章 SCV（Secure Configuration Verification） 307

SCV（Secure Configuration Verification）ソリューション

■ Registry Monitor — 特定のキーまたは値がシステム・レジストリに存在することを検証します。RegMonitorでは、キーの存在だけではなくキーの内容までチェックできます。

■ ScriptRun — 指定された実行プログラム（たとえば、特定のファイルが存在するかどうかをチェックし、その結果に基づいて戻り値を設定するスクリプト）をSecureClientマシン上で実行し、実行プログラムの戻り値をテストします。ScriptRunでは、追加的な設定チェックを行うスクリプトを実行できます。

■ Anti-Virus Monitor — ウイルス対策プログラムが実行されているかどうかを検出し、そのバージョンをチェックします。サポートされるウイルス対策プログラムは、Norton、Trend Office Scan、およびMcAfeeです。

■ SCVMonitor — SCV製品のバージョン、特にクライアントのマシンにインストールされたSCV DLLのバージョンを検証します。

■ HWMonitor — CPUの種類、ファミリ、およびモデルを検証します。

サード・パーティのSCVチェック

サード・パーティ・ベンダーは、チェック・ポイントのOPSEC SCV SDKを使用してSCVチェックを記述できます。これらのアプリケーションがインストールされたあと、管理者はSCVポリシー内でこれらのSCVチェックを使用できます。

スクリプトのその他の要素

■ SCVpolicy — SCVNamesに定義されたチェックの中から、ユーザのデスクトップで実行するSCVチェックを選択します（316 ページの「SCVNames」を参照）。

■ SCVGlobalParams — 一般的なSCVパラメータを定義するために使用します。

ネットワーク管理者は特定のSCVチェックのセット（たとえば、ユーザのSecureClientがセキュリティ・ポリシーを実施しているかどうかのチェックのみ）、または必要なすべてのSCVチェックのセット（たとえば、上記のすべてのSCVチェック）を簡単に有効にできます。SCVチェックはSCV DLLによって個別に実行されており、SecureClientはSCVプラグインを通じて 15秒ごとにステータスをチェックしています。このチェックにより、ユーザが安全に設定されているかどうかが判定されます。1つ以上のテストで不適合になると、SecureClientは安全に設定されていないと見なされます。

注： 特定のSCVチェックを実施するには、SCVNamesセクションにチェックのパラメータを設定して

SCVPolicyにチェックの名前を指定します。

308

SCVポリシーの設計

SCVの考慮事項

このセクションの構成

SCVポリシーの設計

SmartCenterサーバのファイル$FWDIR/conf/local.scvには、SCVのインストールで提供するチェックのための基本的なSCV ポリシーのサンプルが含まれています。実行するSCVテストを判定するときにこのファイルが参考になります。OPSEC製品にウイルス対策チェックや完全性 SCV チェックなどの追加的な SCV チェックが必要な場合は、http://www.opsec.comにアクセスしてください。

ユーザ権限

SCVを効果的に実装するには、リモート・ユーザがデスクトップ上で管理者権限を使用できないようにすることをお勧めします。ユーザに管理者権限を与えるとユーザがシステム設定を変更できるようになり、SCVテストが失敗する原因となります。SCVチェックに通過しなかったデスクトップは、組織にとってセキュリティ上の潜在的な脅威となります。

たとえば、管理者はユーザが JavaアプレットをWebサイトからダウンロードできないようにユーザのブラウザを設定できます。通常のユーザにはこれらのアプレットのダウンロードを禁止し、管理者権限を持つユーザにはブラウザの設定を上書きできるように設定します。SCVポリシーを適切に定義すると、ブラウザの設定が変更されたことを通知して、ゲートウェイ側で適切なアクションを開始できます。ただし、SCVポリシーの設定が誤っている場合、またはゲートウェイ側でのユーザSCVステータスのチェックに不備がある場合など、ゲートウェイからLANへのアクセスを誤ってユーザに許可すると、LANにとってユーザのデスクトップはセキュリティ上の潜在的なリスクとなります。

SCVポリシー自体は保護されています。ユーザが管理者権限を持っている場合でも、受信したSCVポリシーの定義ファイルは変更できません。クライアントに提供されるSCVポリシー・ファイルは、クライアントに到達する前に署名され、SecureClientによってクライアント側の署名と照合されます。これらの署名が一致しない場合、SCVチェックは失敗します。

SCVポリシーの設計 309 ページ

ユーザ権限 309 ページ

NGより前のクライアントでのSCVの使用 310 ページ

第20章 SCV（Secure Configuration Verification） 309

SCVの設定

NGより前のクライアントでのSCVの使用

NG以前のクライアントには上記のSCVメカニズムがありません。たとえば、バージョン4.1クライアントは以下の限定されたSCVテストだけを実行できます。

■ 複数の定義済みセキュリティ・ポリシーの 1つが、すべてのインタフェースにインストールされていることのチェック

■ IP転送が無効になっていることのチェック

■ TCP/IP以外のプロトコルがインストールされていないことのチェック

これらのクライアントに対してSCVを使用しても、実行できるテストが限られるので前述のような完全なSCV 機能は実行できません。限られたテストだけでクライアントのSCVステータスを判定するようにゲートウェイを設定することも可能ですが、この設定では適切に判定できない可能性があります。これらの基本的なテストでは網羅されないパラメータがあるので、ユーザ・デスクトップのセキュリティ・レベルが正確に判定できないからです。

通常は、新バージョンでSCVメカニズムに追加された機能強化を活用できるよう、以前のクライアントを 新バージョンにアップグレードすることをお勧めします。

SCVの設定

このセクションの構成

サーバ側の設定

1 まずSCVに対して一般的なパラメータを幾つか設定する必要があります。SmartDashboardを起動して［Policy］>［Global Properties］を表示し、［Remote Access］>［Secure Configuration Verification (SCV)］タブを選択します。このタブには以下のようなオプションがあります。

■ Apply Secure Configurations on Simplified Mode - シンプル・ポリシー・モードの全リモート・アクセス・ルールで、SCVフラグをオンにするかどうかを指定します。

■ Upon Verification failure - クライアントで1つまたは複数のSCVチェックが不適合になったときに実行されるアクションを指定します。クライアントの接続を遮断するか、接続を許可してこのイベントのログを送信するかのどちらかを選択します。

サーバ側の設定 310 ページ

クライアント側の設定 311 ページ

SCVポリシーの構文 312 ページ

310

クライアント側の設定

■ Basic configuration verification on client’s machine - クライアントのデスクトップにある全ネットワーク・インタフェース・カードにポリシーがインストールされているか、またこれらのインタフェース・カードにTCP/IPプロトコルだけがインストールされているかを確認するために、SecureClientによってSCVチェックを実行するかしないかを指定します。

■ Configurations Violation Notification on client’s machine - リモート・ユーザがSCVチェックに適合しなかったことを示すログを、SmartCenterマシンに保存するかしないかを指定します（これは一般的な通知メッセージです。したがって、ユーザのデスクトップで不適合と見なされた特定のSCVチェックに関しては、詳細な情報がありません）。

2 NG以前のクライアントをSCVチェック済みと見なすかどうかを設定するには、［Policy］>［Global Properties］を開いて［Remote Access］>［Early Version Compatibility］タブを選択します。このタブで定義済みのポリシーのリストから

［Required policy for all desktops］を選択します。選択したポリシーが実施されない以前のクライアントをSCVチェック済みと見なさない場合は、［Client is enforcing required policy］を選択します。

3 ［Global Properties］画面を閉じます。

4 シンプル・モード（VPNコミュニティをサポートするモード）を使用している場合は、この手順を省略します。トラディショナル・モードを使用している場合はセキュリティ・ポリシー・ルール・ベースを編集し、リモート・アクセス・ルール

（Client EncryptルールまたはClient Authルール）用のSCVチェックを追加します。リモート・アクセス・ルールのためにSCVを有効にするには、そのルールのアクション・タブを右クリックして［Edit properties］>［Apply rule Only if Desktop Configuration is Verified］を選択します。［OK］をクリックしてプロパティ画面を閉じます。

5 $FWDIR/confディレクトリにあるlocal.scvファイルを編集して、SCV ポリシーを設定します。詳細については 312 ページの「SCVポリシーの構文」と 315 ページの「local.scvセット」を参照してください。

6 ポリシーをインストールします。ポリシーのインストール・ダイアログ・ボックスで、ゲートウェイに高度なセキュリティ・ポリシーを選択し、ポリシー・サーバにデスクトップ・セキュリティ・ポリシーを選択します。

クライアント側の設定

1 OPSEC SCVアプリケーションを使用する場合は、アプリケーションをクライアントにインストールしてアプリケーションとSCVの統合を有効にします（この方法については、アプリケーションのマニュアルを参照してください）。

2 SecureClientを起動し、ゲートウェイに接続してSCVポリシーを取得します。詳細については「デスクトップ・セキュリティ」を参照してください。

第20章 SCV（Secure Configuration Verification） 311

SCVの設定

SCVポリシーの構文

SCVポリシーは管理者によってテキスト・ファイル$FWDIR/conf/local.scvの中に設定されます。管理者はテキスト・エディタまたはhttp://www.opsec.comにあるSCVEditorというツールを使用してこのファイルを手動で編集できます。local.scvファイルはセット、サブセット、および式を含んだポリシー・ファイルです。

セットとサブセット

各セットにはそれぞれ特定の目的が事前に定義されています。たとえば、あるセットは特定のパラメータの定義に使用でき、また別のセットは特定のイベントが発生したときに実行するアクションを指定できます。セットは、セット名と再帰的な階層で区別されされます。各セットにはサブセットを指定でき、また各サブセットには独自のサブセットを指定できます。サブセットには論理式を含むこともできます。複数のサブセットおよび条件を指定するセットやサブセットは左括弧と右括弧 ()で囲み、セット /サブセット名で開始します。同じ階層にあるサブセットおよび式の区別にはコロン :を使用します。以下に例を示します。

上記の例では、SetNameという名前のセットにSubSetName1とSubSetName2という 2つのサブセットが含まれています。SubSetName1 には 2 つの条件（ExpressionName1_1 とExpressionName1_2）が含まれています。SubSetName2には 1つの条件（ExpressionName2_1）と1つのサブセット（SubSetName2_1）が含まれています。SubSetName2_1には1つの条件（ExpressionName2_1_1）が含まれています。

注： 通常、新しいSCVサブセットを記述しなくても、定義済みのチェック（local.scvファイルの

SCVNamesセクションにあります）をそのままテンプレートとして使用できます。変更したチェックは

SCVPolicyセクションに指定できます。

(SetName :SubSetName1 ( :ExpressionName1_1 (5) :ExpressionName1_2 (false) ) :SubSetName2 ( :ExpressionName2_1 (true) :SubSetName2_1 ( :ExpressionName2_1_1 (10) ) ))

312

SCVポリシーの構文

式

式では式の値がチェックされ（SCVチェックに対応）、その値と式に対して定義された値（括弧内の値）が比較されて評価されます。たとえば、SecureClientで提供されるBrowserMonitor SCVチェックでは以下の式を指定できます。

この式は、クライアントにインストールされている Internet Explorerブラウザのバージョンが 5.xかどうかをチェックします。バージョン（主要バージョン）が 5である場合、この式は trueとして評価され、5でなければ falseとして評価されます。式の名前（「browser_major_version」など）はSCVアプリケーションによって異なり、メーカーによって提供されます。

複数の式を順に指定した場合はこれらの論理積が使用されます。すなわち、すべての式がtrueと評価された場合のみ、これらのすべての値を評価して trueとなります。それ以外の場合（式の 1つでも falseの場合）は、全体の値が falseになります。以下に例を示します。

これらの式の論理積が計算されます。Internet Explorerのバージョンが 5、副次バージョンが 0（すなわち、バージョン 5.0）の場合は結果が trueになり、それ以外の場合は falseになります。Internet Exploreのバージョンが 4.0である場合は 初の式が false、次の式は trueとなるので、両方の論理積の結果は falseになります。

式の中には、別の式の評価方法に影響を与えるものがあります。以下に例を示します。

これらの式の論理積が計算されますが、第3の式は第1の式と第2の式の評価方法に影響を与えます。上記の例では、Internet Explorerのバージョンが5.0以上（「>=」）の場合は結果がtrue、それ以外の場合は falseになります。Internet Explorerのバージョンが4.5である場合はfalseになり、バージョンが 5.1以上の場合は trueになります。

論理セクション

前述したとおり、後続の式は自動的に論理積が計算されます。ただし、論理積ではなく、式の論理和を求めることが必要な場合もあります。この場合は以下のラベルを使用します。

:browser_major_version (5)

:browser_major_version (5):browser_minor_version (0)

:browser_major_version (5):browser_minor_version (0):browser_version_operand (">=")

第20章 SCV（Secure Configuration Verification） 313

SCVの設定

begin_or (orX)ラベル - このラベルによって、複数の式を指定したセクションを開始します。このセクションの末尾はend (orX)ラベルによって指定します（Xは個々の論理和セクションを識別する数字で置き換えられます）。このセクション内のすべての式の論理和を評価し、そのセクションの単一の値とします。以下に例を示します。

このセクションは Internet Explorerのバージョンが5と6のどちらかであるかをチェックします。5と 6のどちらかの場合は true、それ以外の場合は falseになります。

begin_and (andX)ラベル - このラベルはbegin_or (orX)ラベルと似ていますが、内部の式が評価されて論理積が計算されます。このセクションの末尾はend (andX)またはend (orX)ラベルによって指定します。前述したとおり、単純な式が後続する場合は自動的に論理積が計算されます。このラベルを使用すると、論理和セクション内に論理積セクションをネストできます。たとえば、古いブラウザは潜在的に安全でないコンポーネントをあまり多く含んでいないので安全であると見なし、一方で新しいブラウザは 新のセキュリティ・パッチをすべて適用してあるから安全であると見なす場合、管理者は以下のSCVルールを定義できます。

上記の例では、 初の論理積セクションは Internet Explorerのバージョンが>= 5.0であるかをチェックし、次の論理積セクションは Internet Explorerのバージョンが<=3.0であるかをチェックし、これらの結果の論理和が計算されます。つまり、Internet Explorerのバージョンが 5.0以上の場合または 3.0以下の場合、この例では総体的に結果が trueと評価されます。

特別な意味を持つ式とラベル

特別な意味を持つ式とラベルが幾つかあります。

■ begin_admin (admin) - このラベルで開始するセクションでは、クライアントがサブセット内にある前の式のSCVチェックで適合しなかった場合（すなわち、サブセット内の前の式が falseの値を返した場合）にのみ実行する複数のアクションを定義します。このセクションの末尾はend (admin)ラベルによって指定します。

:begin_or(or1):browser_major_version (5):browser_major_version (6):end(or1)

:begin_or(or1):begin_and (and1):browser_major_version (5):browser_minor_version (0):browser_version_operand (">="):end (and1):begin_and (and2):browser_major_version (3):browser_minor_version (0):browser_version_operand ("<="):end (and2):end(or1)

314

local.scvセット

■ send_log (type) - この式はbegin_admin (admin) - end (admin)セクションの一部として使用され、クライアントがSCVチェックで適合しなかったことを示すログをSmartCenterサーバ（およびクライアントの診断ツール）へ送信するかどうかを指定します。

type は log/alertなど送信するログのタイプで置き換えられます。alert は SmartCenterサーバにログを送信することを表し、logはリモート・クライアントの診断ツールにログを送信することを表します。

■ mismatchmessage (“Message”) - この式はbegin_admin (admin) - end (admin)セクションの一部として使用され、リモート・ユーザのデスクトップ上に問題を通知するポップアップ・メッセージを表示することを指定します。引用符で囲まれたテキスト

（Message）は、問題の原因と実行すべきアクションをクライアントに指示するテキストに置き換えられます。

以下に例を示します。

この例の場合、ユーザの Internet Explorer のバージョンが 5.0 より前であれば、警告がSmartCenterサーバへ送信され、ポップアップ・メッセージがユーザに表示されて問題があることが通知されます。

local.scvセット

local.scvポリシー・ファイルにはSCVObjectと呼ばれる1つのセットが含まれます。このセットは必ず指定する必要があり、ここにSCVチェックとパラメータの全サブセットを含めます。現在、SCVObjectには以下の 3つのサブセットがあります。

■ SCVNames - このセクションはSCVポリシーの主要定義セクションであり、SCVチェックおよびアクションのすべてを定義します。これはSCVポリシーの定義部分であり、この指定では実際に実行されるSCVチェックは決定されません。このセクションでは、テスト・セットを定義します。管理者は後でユーザのデスクトップ上で実行するセットをこの中から選択します。

:browser_major_version (5):browser_minor_version (0):browser_version_operand (">="):begin_admin (admin):send_log (alert):mismatchmessage ("The version of your Internet Explorer browser is old. For security reasons, users with old browsers are not allowed to access the local area network of the organization. Please upgrade your Internet Explorer to version 5.0 or higher. If you require assistance in upgrading or additional information on the subject, please contact your network administrator”):end (admin)

第20章 SCV（Secure Configuration Verification） 315

SCVの設定

■ SCVPolicy - このセクションでは、SCVNamesで定義されたSCVチェックの中から、クライアント・マシン上で実際に実行するSCVチェックの名前を指定します。

■ SCVGlobalParams - このセクションには幾つかのグローバルなSCVパラメータを指定します。

SCVNames

管理者はこのセクションでSCV 製品の名前とそのチェックを指定します。ここではSCVNamesセクションにあるSCVチェック・サブセットの一般的な定義を示します。

このテスト・セクションは SCV チェックの名前（SCVCheckName1）で始まります。SCVCheckName1はテスト・セットの名前を定義します。この名前はSCVアプリケーションで定義され、SCV メーカーによって提供されます。type (plugin) 式は、テストがSCVDLLプラグインによって実行されるように指定します。parametersサブセットはSCVルールとアクションを定義する場所です。type (plugin) 式とparameters サブセットは、SCVチェックのサブセット（SCVCheckName1など）を定義するときに必ず指定する必要があります。

SCVPolicy

このセクションは実施されるSCVチェックの名前を定義します（この名前はSCVNamesで指定されるSCVチェック名の一部です）。このセクションの一般的な構造を以下に示します。

注： コロン（:）と左括弧の間には、スペースを1つ入力します。

SCVNamesとSCVPolicyの違い

■ SCVNamesセクションにはチェックのさまざまなパラメータを定義します。

■ SCVPolicyセクションには実施するチェックを指定します。

: (SCVCheckName1 :type (plugin) :parameters ( :Expression1 (value) :Expression2 (value) :begin_admin (admin) :send_log (alert) :mismatchmessage ("Failure Message") :end (admin) ) )

:SCVPolicy ( :(SCVCheckName1) :(SCVCheckName2) )

316

完全な local.scvファイルの例

特定のSCVチェックを実施するには、以下の手順に従います。

■ SCVNamesにチェックのパラメータを指定します。

■ SCVPolicyにチェックの名前を指定します。

SCVGlobalParams

このセクションにはSCVのグローバル・パラメータを指定します。

完全な local.scvファイルの例

完全なlocal.scvファイルの例を以下に示します。

これ以降の例では、SCVサブセットの一部の内部構文が前述の構文と異なることに注意してください。 新のバージョンではSCVポリシー構文が改訂されましたが、これらのSCVチェックは古い構文を使用して記述されているからです。たとえば、sc_ver_scvサブセットにはbegin_admin (admin) - end (admin)セクションがありません。さらにこのセクションにあったmismatchmessage式はMismatchMessage（大文字）式で置き換えられました。MismatchMessage の構文と動作はmismatchmessage と似ていますが、MismatchMessage はbegin_admin (admin) - end (admin)セクションには記述しません。

sc_ver_scvサブセットについて前述の構文と異なるもう 1つの点は、EnforceBuild_XX_Operand式とSecureClient_XX_BuildNumber式に関するものです。これらの式はその論理積を計算するのではなく、ユーザが使用するオペレーティング・システムに基づいて自動的に評価されます。たとえば、ユーザがWindows 2000システムを使用している場合はEnforceBuild_2K_Operand式とSecureClient_2K_BuildNumber式だけが評価され、ほかのオペレーティング・システムに関係する式は評価されません。

:SCVGlobalParams (:enable_status_notifications (true):status_notifications_timeout (10):disconnect_when_not_verified (false):block_connections_on_unverified (false):scv_policy_timeout_hours (24):enforce_ip_forwarding (true):not_verified_script ("myscript.bat"):not_verified_script_run_show (true):not_verified_script_run_admin (false):not_verified_script_run_always (false):allow_non_scv_clients (false):block_scv_client_connections (false)

)

第20章 SCV（Secure Configuration Verification） 317

SCVの設定

前述の構文からの変更点としては、このほかにlocal.scvポリシー・ファイルにも小さな変更点があります。デフォルトのlocal.scvポリシー・ファイルを見ると変更点が分かります。通常、新しいSCVサブセットを記述しなくても定義済みのチェック（SCVNamesセクションにある）をそのままテンプレートとして使用できます。変更したチェックはSCVPolicyセクションに指定できます。

例

(SCVObject:SCVNames (: (user_policy_scv:type (plugin):parameters ()

): (BrowserMonitor:type (plugin):parameters (:browser_major_version (5):browser_minor_version (0):browser_version_operand (">="):browser_version_mismatchmassage ("Please upgrade your Internet

browser."):intranet_download_signed_activex (disable):intranet_run_activex (disable):intranet_download_files (disable):intranet_java_permissions (disable):trusted_download_signed_activex (disable):trusted_run_activex (disable):trusted_download_files (disable):trusted_java_permissions (disable):internet_download_signed_activex (disable):internet_run_activex (disable):internet_download_files (disable):internet_java_permissions (disable):restricted_download_signed_activex (disable):restricted_run_activex (disable):restricted_download_files (disable):restricted_java_permissions (disable):send_log (alert):internet_options_mismatch_message ("Your Internet browser settings

do not meet policy requirements¥nPlease check the following settings:¥n1. In your browser, go to Tools -> Internet Options -> Security.¥n2. For each

注： 特定のSCVチェックを実施するには、SCVNamesセクションにチェックのパラメータを設定して

SCVPolicyにチェックの名前を指定します。

318

完全な local.scvファイルの例

Web content zone, select custom level and disable the following items: DownLoad signed ActiveX, Run ActiveX Controls, Download Files and Java Permissions.")

)): (OsMonitor:type (plugin):parameters (:os_version_mismatchmessage ("Please upgrade your operating system."):enforce_screen_saver_minutes_to_activate (3):screen_saver_mismatchmessage ("Your screen saver settings do not

meet policy requirements¥nPlease check the following settings:¥n1. Right click on your desktop and select properties.¥n2. Select the Screen Saver tab.¥n3. Under Wait choose 3 minutes and check the Password Protection box.")

:send_log (log):major_os_version_number_9x (4):minor_os_version_number_9x (10):os_version_operand_9x (">="):service_pack_major_version_number_9x (0):service_pack_minor_version_number_9x (0):service_pack_version_operand_9x (">="):major_os_version_number_nt (4):minor_os_version_number_nt (0):os_version_operand_nt ("=="):service_pack_major_version_number_nt (5):service_pack_minor_version_number_nt (0):service_pack_version_operand_nt (">="):major_os_version_number_2k (5):minor_os_version_number_2k (0):os_version_operand_2k ("=="):service_pack_major_version_number_2k (0):service_pack_minor_version_number_2k (0):service_pack_version_operand_2k (">="):major_os_version_number_xp (5):minor_os_version_number_xp (1):os_version_operand_xp ("=="):service_pack_major_version_number_xp (0):service_pack_minor_version_number_xp (0):service_pack_version_operand_xp (">=")

)): (ProcessMonitor:type (plugin):parameters (:begin_or(or1):AntiVirus1.exe (true):AntiVirus2.exe (true)

:end(or1):IntrusionMonitor.exe (true)

第20章 SCV（Secure Configuration Verification） 319

SCVの設定

:ShareMyFiles.exe (false):begin_admin (admin):send_log (alert):mismatchmessage ("Please check that the following processes are

running:¥n1. AntiVirus1.exe or AntiVirus2.exe¥n2. IntrusionMonitor.exe¥n¥nPlease check that the following process is not running¥n1. ShareMyFiles.exe")

:end (admin))

): (groupmonitor:type (plugin):parameters (:begin_or(or1):begin_and (1):"builtin¥administrator" (false):"BUILTIN¥Users" (true)

:end (1):begin_and (2):"builtin¥administrator" (true):"BUILTIN¥Users" (false)

:end (and2):end(or1)

:begin_admin (admin):send_log (alert):mismatchmessage ("You are using SecureClient with a non-authorized

user.¥nMake sure you are logged on as an authorized user."):securely_configured_no_active_user (false)

:end (admin))

): (HotFixMonitor:type (plugin):parameters (:147222 (true):begin_admin (admin):send_log (alert):mismatchmessage ("Please install security patch Q147222.")

:end (admin))

): (AntiVirusMonitor:type (plugin):parameters (:type ("Norton"):Signature (">=20020819"):begin_admin (admin):send_log (alert):mismatchmessage ("Please update your AntiVirus (use the LiveUpdate

option).")

320

完全な local.scvファイルの例

:end (admin))

): (HWMonitor:type (plugin):parameters (:cputype ("GenuineIntel"):cpumodel ("9"):cpufamily ("6"):begin_admin (admin):send_log (alert):mismatchmessage ("Your machine must have an¥nIntel(R) Centrino(TM)

processor installed."):end (admin)

)): (ScriptRun:type (plugin):parameters (:exe ("VerifyScript.bat"):begin_admin (admin):send_log (alert):mismatchmessage ("Verification script has determined that your

configuration does not meet policy requirements."):end (admin)

)): (RegMonitor:type (plugin):parameters (:value

("Software¥TrendMicro¥PC-cillinNTCorp¥CurrentVersion¥Misc.¥PatternVer>=414")

:begin_admin (admin):send_log (alert):mismatchmessage ("Please update your AntiVirus (use the LiveUpdate

option)."):end (admin)

)): (SCVMonitor:type (plugin):parameters (:scv_version ("54014"):begin_admin (admin):send_log (alert):mismatchmessage ("Please upgrade your Secure Configuration

Verification products package."):end (admin)

)

第20章 SCV（Secure Configuration Verification） 321

SCVの設定

): (sc_ver_scv:type (plugin):parameters (:Default_SecureClientBuildNumber (52032):Default_EnforceBuildOperand ("=="):MismatchMessage ("Please upgrade your SecureClient."):EnforceBuild_9X_Operand (">="):SecureClient_9X_BuildNumber (52030):EnforceBuild_NT_Operand ("=="):SecureClient_NT_BuildNumber (52032):EnforceBuild_2K_Operand (">="):SecureClient_2K_BuildNumber (52032):EnforceBuild_XP_Operand (">="):SecureClient_XP_BuildNumber (52032)

))

):SCVPolicy (: (BrowserMonitor): (HWMonitor): (AntiVirusMonitor)

):SCVGlobalParams (:enable_status_notifications (false):status_notifications_timeout (10):disconnect_when_not_verified (false):block_connections_on_unverified (false):scv_policy_timeout_hours (24):enforce_ip_forwarding (true):not_verified_script (""):not_verified_script_run_show (false):not_verified_script_run_admin (false):not_verified_script_run_always (false):not_verified_script_run_always (false):allow_non_scv_clients (false)

)

このファイルを使用する場合、インデントとネストは同じ形式を維持することが重要です。

322

共通の属性

共通の属性

SCVポリシー・ファイルにある共通のパラメータ（SCVチェック）で、通常、管理者が変更する必要があるのは一部だけです。

SCVチェック

1 AntiVirusMonitor

パラメータ

■ Type (“av_type”)ウイルス対策ソフトウェアの種類。たとえば、「Norton」、「VirusScan」、

「OfficeScan」、または「ZoneLabs」などです。■ Signature(x)

ウイルス定義ファイルの必須の署名。署名の形式はウイルス対策ソフトウェアの種類で異なります。たとえば、Norton Antivirusの場合、署名は

「>=20031020」の形式になります（Norton Antivirusの署名の形式は「yyyymmdd」です）。

TrendMicro Officescanの場合、署名は「<650」になります。

McAfee VirusScanの場合、4.0.4291以降の署名には「>404291」の形式を使用します。

ZoneLabsの場合は「>X.Y.Z」の形式を使用します。Xは.dat署名ファイルの主要バージョン、Yは副次バージョン、Zはビルド番号を表します。

AntiVirusMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式とラベル」を参照してください。

2 BrowserMonitor

パラメータ■ browser_major_version (5)

Internet Explorerのメジャー・バージョン番号。このフィールドがlocal.scvファイルに指定されていない場合またはこの値が 0である場合、BrowserMonitorチェックの一部として Internet Explorerのバージョンはチェックされません。

■ browser_minor_version (0)

Internet Explorerのマイナー・バージョン番号。■ browser_version_operand (“>=”)

Internet Explorerのバージョン番号をチェックする演算子。■ browser_version_mismatchmessage (“Please upgrade your Internet Browser.”)

Internet Explorerのバージョン・チェックで設定が不適合であった場合に表示されるメッセージです。

第20章 SCV（Secure Configuration Verification） 323

SCVの設定

■ intranet_download_signed_activex (enable)

ローカル・イントラネット内から署名されたActiveXコントロールをダウンロードするために Internet Explorerに必要な 大の権限レベル。

■ intranet_run_activex (enable)

ローカル・イントラネット内から署名されたActiveXコントロールを実行するために Internet Explorerに必要な 大の権限レベル。

■ intranet_download_files (enable)

ローカル・イントラネット内からファイルをダウンロードするために Internet Explorerに必要な 大の権限レベル。

■ intranet_java_permissions (low)

ローカル・イントラネット内から javaアプレットを実行するために Internet Explorerに必要な 大のセキュリティ・レベル。

(low)はセキュリティ・レベルが低いことを表します。■ trusted_download_signed_activex (enable)

信頼されたゾーンから署名されたActiveXコントロールをダウンロードするために Internet Explorerに必要な 大の権限レベル。

■ trusted_run_activex (enable)

信頼されたゾーンから署名されたActiveXコントロールを実行するためにInternet Explorerに必要な 大の権限レベル。

■ trusted_download_files (enable)

信頼されたゾーンからファイルをダウンロードするために Internet Explorerに必要な 大の権限レベル。

■ trusted_java_permissions (medium)

信頼されたゾーンから javaアプレットを実行するために Internet Explorerに必要な 大のセキュリティ・レベル。

■ internet_download_signed_activex (disable)

インターネットから署名されたActiveXコントロールをダウンロードするためにInternet Explorerに必要な 大の権限レベル。

■ Internet_run_activex (disable)

インターネットから署名されたActiveXコントロールを実行するために Internet Explorerに必要な 大の権限レベル。

■ internet_download_files (disable)

インターネットからファイルをダウンロードするために Internet Explorerに必要な 大の権限レベル。

■ internet_java_permissions (disable)

インターネットから javaアプレットを実行するために Internet Explorerに必要な大のセキュリティ・レベル。

■ restricted_download_signed_activex (disable)

制限されたゾーンから署名されたActiveXコントロールをダウンロードするために Internet Explorerに必要な 大の権限レベル。

324

共通の属性

■ restricted_run_activex (disable)

制限されたゾーンから署名されたActiveXコントロールを実行するためにInternet Explorerに必要な 大の権限レベル。

■ restricted_download_files (disable)

制限されたゾーンからファイルをダウンロードするために Internet Explorerに必要な 大の権限レベル。

■ restricted_java_permissions (disable)

制限されたゾーンから javaアプレットを実行するために Internet Explorerに必要な 大のセキュリティ・レベル。

■ send_log (type)

クライアントが「SCV」に適合していないことを通知するためにSmartCenterサーバにログを送信するかどうかを決定します。

このSCVチェックでは「begin admin/end admin」パラメータ・セクションはサポートされません。

(type)セクションは(log)または(alert)で置き換える必要があります。■ internet_options_mismach_message (“Your Internet browser settings do not meet policy requirements”)

Internet Explorerの設定に対するMismatchメッセージ。

Internet Explorerのバージョンのみ、または特定のゾーンに対するブラウザの設定のみをチェックするようにBrowserMonitorを設定できます。たとえば、以下のパラメータのいずれも指定されていない場合、

i restricted_download_signed_activex

ii restricted_run_activex

iii restricted_download_files

iv restricted_java_permissions

BrowserMonitorは制限されたゾーンのセキュリティ設定をチェックしません。同様にパラメータ「browser_major_version」が指定されていない場合または値が 0である場合、Internet Explorerのバージョン番号はチェックされません。

BrowserMonitorでは「begin_or」と「begin_and」の構文はサポートされず、adminパラメータもサポートされません。「特別な意味を持つ式とラベル」も参照してください。

Internet Explorerのサービス・パックをチェックするスクリプトについては332 ページの「Internet Explorerのサービス・パック用のスクリプト」を参照してください。

第20章 SCV（Secure Configuration Verification） 325

SCVの設定

3 Groupmonitor

パラメータ■ “builtin¥administrator” (false)

ユーザ・グループの名前。マシン設定を検証で適合させるには、ユーザはこのグループに所属している必要があります。

■ securely_configured_no_active_user (true)

ユーザがログオンしていないときに、マシンの設定が適合であると見なすかどうかを指定します。デフォルト値は falseです。

4 HotFixMonitor

パラメータ■ HotFix_Number (true)

チェックするシステム・ホットフィックスの番号。マシンを検証して適合させるには、ホットフィックスがインストールされている必要があります。たとえば、「823980(true)」はMicrosoftのRPCパッチがオペレーティング・システムにインストールされているかどうかを検証します。

■ HotFix_Name (true)

チェックするシステム・ホットフィックスの完全な名前。マシンを検証して適合させるには、ホットフィックスがインストールされている必要があります。たとえば、「KB823980(true)」はMicrosoftのRPCパッチがオペレーティング・システムにインストールされているかどうかを検証します。

HotFixMonitor関連で説明したフィールドをすべてlocal.scvファイルに指定する必要はありません。まったく指定しないフィールドや複数回指定するフィールドがあっても問題ありません。またこれらのフィールドは論理和や論理積によって評価できます。このようにして、複数のホットフィックスをチェックして結果を論理和または論理積で柔軟に評価できます。

5 HWMonitor

パラメータ■ cputype (“GenuineIntel”)

ベンダー ID文字列で記述されるCPUの種類。この文字列は「GenuineIntel」、「AuthenticAMD」、または「aaa bbb ccc 」のように厳密に 12文字にする必要があります。スペースは 1文字として数えられます。

■ cpufamily(6)

CPUファミリ。■ cpumodel(9)

CPUモデル。

HWMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式とラベル」も参照してください。

326

共通の属性

6 OsMonitor

パラメータ■ enforce_screen_saver_minutes_to_activate (3)

スクリーン・セーバを起動するまでの時間（分）。スクリーン・セーバがこの時間内に起動されない場合、クライアントは検証に適合しません。さらにスクリーン・セーバはパスワードで保護する必要があります。

■ screen_saver_mismatchmessage (“Your screen saver settings do not meet policy requirements”)

スクリーン・セーバ・チェック用のMismatchメッセージ。プロパティ「enforce_screen_saver_minutes_to_activate」を指定していない場合または時間を 0に設定した場合、スクリーン・セーバはチェックされません。

■ send_log (type)

クライアントが「SCV」に適合していないことを通知するためにSmartCenterサーバにログを送信するかどうかを決定します。

このSCVチェックでは「begin admin/end admin」パラメータ・セクションはサポートされません。

(type)セクションは(log)または(alert)で置き換える必要があります。■ major_os_version_number_9x (4)

検証する9xオペレーティング・システムに必要な主要バージョンを指定します。■ minor_os_version_number_9x (10)

検証する9xオペレーティング・システムに必要な副次バージョンを指定します。■ os_version_operand_9x (“>=”)

9xでオペレーティング・システムのバージョンをチェックする演算子。■ service_pack_major_version_number_9x (0)

検証する 9xオペレーティング・システムに必要なサービス・パックの主要バージョンを指定します。

■ service_pack_minor_version_number_9x (0)

検証する 9xオペレーティング・システムに必要なサービス・パックの副次バージョンを指定します。

■ service_pack_version_operand_9x (“>=”)

9xでオペレーティング・システムのサービス・パックをチェックする演算子。■ major_os_version_number_nt (4)

検証するWindows NTオペレーティング・システムに必要な主要バージョンを指定します。

■ minor_os_version_number_nt (10)

検証するWindows NTオペレーティング・システムに必要な副次バージョンを指定します。

■ os_version_operand_nt (“>=”)

Windows NTでオペレーティング・システムのバージョンをチェックする演算子。

第20章 SCV（Secure Configuration Verification） 327

SCVの設定

■ service_pack_major_version_number_nt (0)

検証するWindows NTオペレーティング・システムに必要なサービス・パックの主要バージョン。

■ service_pack_minor_version_number_nt (0)

検証するWindows NTオペレーティング・システムに必要なサービス・パックの副次バージョン。

■ service_pack_version_operand_nt (“>=”)

Windows NTでオペレーティング・システムのサービス・パックをチェックする演算子。

■ major_os_version_number_2k (4)

検証するWindows 2000オペレーティング・システムに必要な主要バージョンを指定します。

■ minor_os_version_number_2k (10)

検証するWindows 2000オペレーティング・システムに必要な副次バージョンを指定します。

■ os_version_operand_2k (“>=”)

Windows 2000でオペレーティング・システムのバージョンをチェックする演算子。

■ service_pack_major_version_number_2k (0)

検証するWindows 2000オペレーティング・システムに必要なサービス・パックの主要バージョンを指定します。

■ service_pack_minor_version_number_2k (0)

検証するWindows 2000オペレーティング・システムに必要なサービス・パックの副次バージョンを指定します。

■ service_pack_version_operand_2k (“>=”)

Windows 2000でオペレーティング・システムのサービス・パックをチェックする演算子。

■ major_os_version_number_xp (4)

検証するWindows XPオペレーティング・システムに必要な主要バージョンを指定します。

■ minor_os_version_number_xp (10)

検証するWindows XPオペレーティング・システムに必要な副次バージョンを指定します。

■ os_version_operand_xp (“>=”)

Windows XPでオペレーティング・システムのサービス・パックをチェックする演算子。

■ service_pack_major_version_number_xp (0)

検証するWindows XPオペレーティング・システムに必要なサービス・パックの主要バージョンを指定します。

328

共通の属性

■ service_pack_minor_version_number_xp (0)

検証するWindows XPオペレーティング・システムに必要なサービス・パックの副次バージョンを指定します。

■ service_pack_version_operand_xp (“>=”)

Windows XPでオペレーティング・システムのサービス・パックをチェックする演算子。

■ os_version_mismatches (“Please upgrade your operating system”)

オペレーティング・システムのバージョン /サービス・パック・チェックで設定が不適合であった場合に表示されるメッセージです。scvファイルにパラメータが指定されていない場合、オペレーティング・システムのバージョンとサービス・パックはチェックされません。

■ :major_os_version_number_2003 (5)検証するWindows 2003オペレーティング・システムに必要な主要バージョンを指定します。

■ :minor_os_version_number_2003 (2)検証するWindows 2003オペレーティング・システムに必要な副次バージョンを指定します。

■ :os_version_operand_2003 ("==")Windows 2003でオペレーティング・システムのサービス・パックをチェックする演算子。

■ :service_pack_major_version_number_2003 (0)

検証するWindows 2003オペレーティング・システムに必要なサービス・パックの主要バージョンを指定します。

■ :service_pack_minor_version_number_2003 (0)

検証するWindows 2003オペレーティング・システムに必要なサービス・パックの副次バージョンを指定します。

■ :service_pack_version_operand_2003 (">=")Windows 2003でオペレーティング・システムのサービス・パックをチェックする演算子。

スクリーン・セーバの設定のみ、またはオペレーティング・システムのバージョンとサービス・パックのみをチェックするようにOsMonitorを設定できます。たとえば、以下のパラメータのいずれも指定されていない場合、

i major_os_version_number_xp

ii minor_os_version_number_xp

iii os_version_operand_xp

iv service_pack_major_version_number_xp

v service_pack_minor_version_number_xp

vi service_pack_version_operand_xp

第20章 SCV（Secure Configuration Verification） 329

SCVの設定

OsMonitorはWindows XPプラットフォームでシステムのバージョンとサービス・パックをチェックしません。

同様に以下のような動作になります。

パラメータ「enforce_screen_saver_minutes_to_activate」が指定されていない場合、スクリーン・セーバの設定はチェックされません。

OSMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式とラベル」も参照してください。

7 ProcessMonitor

パラメータ■ ProcessName.exe (true)

管理者がチェックするプロセス。値が trueである場合、マシンが検証に適合するには、指定したプロセスが実行されている必要があります。値が falseである場合、マシンが検証に適合するには、指定したプロセスが停止している必要があります。

ProcessMonitorを使用すると、複数のプロセスの存在や除外をチェックすることもできます。フィールドは柔軟に論理和や論理積で評価できます。

8 RegMonitor■ PredefinedKeys (HIVE)

以下のいずれかからレジストリ・ハイブを指定します。

■ HKEY_CURRENT_USER■ HKEY_LOCAL_MACHINE■ HKEY_USERS

ハイブが指定されていない場合はHKEY_LOCAL_MACHINEが使用されます。

HKEY_CLASSES_ROOTに対してチェックを設定するには、HKEY_LOCAL_MACHINE¥Software¥ClassesとHKEY_CURRENT_USER¥Software¥Classesを使用します。

■ value (registry_value_path)

定義済みのキーに指定されたハイブで、レジストリDWORDのパスがチェックされます。値は演算子と数値で指定する必要があります。次に例を示します。“Software¥TrendMicro¥PC-cillinNTCorp¥CurrentVersion¥Misc.¥PatternVer>=414”値パラメータの構文は以下のとおりです。:value (“pathOPval”)

以下に例を示します。:value (“Software¥...¥PaternVer>=414”)

330

共通の属性

■ string (registry_string_path)

定義済みのキーに指定されたハイブで、レジストリ文字列のパスがチェックされます。DWORDの比較方法と同じ方法で、文字列の値が特定の値と比較されます。

■ keyexist (registry_key_path)

キーが存在するかどうかをチェックするために、定義済みのキーに指定されたハイブでレジストリ・キーのパスがチェックされます。検証でマシンを適合とするには、キーが存在している必要があります。

■ keynexist (registry_key_path)

定義済みのキーに指定されたハイブで、除外をチェックするレジストリ・キーのパスがチェックされます。検証でマシンを適合とするには、キーが存在していないことが必要です。

■ allow_no_user (default: true)このパラメータが有効なのはユーザがマシンにログオンしているときだけです。

ユーザがログオンしていないときにSCサービスとSCVチェックが実行されるので、チェックによって適合と不適合のどちらになったかを判定する必要があります。

ユーザがマシンにログオンしていないときにHKEY_CURRENT_USERを監視するようにRegMonitorチェックの実行を設定する場合、システムはフラグallow_no_userに応じて動作します。

allow_no_userが trueである場合、チェックに適合します。

allow_no_userが falseである場合、チェックに不適合となります。

デフォルトでは、この属性はlocal.scvファイルに含まれていません。この属性がファイルに指定されていない場合、使用されるデフォルト設定も trueです。

この属性の設定はlocal.scvによって行います。以下に例を示します。

: (RegMonitor :type (plugin) :parameters ( :keyexist ("HKEY_CURRENT_USER¥Software¥CheckPoint") :allow_no_user (true) :begin_admin (admin) :send_log (alert) :mismatchmessage ("mismatch message ") :end (admin) ) )

第20章 SCV（Secure Configuration Verification） 331

SCVの設定

RegMonitor関連で説明したフィールドをすべてlocal.scvファイルに指定する必要はありません。まったく指定しないフィールドや複数回指定するフィールドがあっても問題ありません。またこれらのフィールドは論理和や論理積によって評価できます。このようにして、複数のレジストリ・エントリをチェックして結果を論理和または論理積で柔軟に評価できます。

Internet Explorerのサービス・パック用のスクリプト

Internet Explorerのバージョンとサービス・パックをチェックするようにRegMonitorを設定できます。スクリプトは以下のように記述されます。

: (RegMonitor :type (plugin) :parameters ( :begin_or(or1) :keynexist ("Software¥Microsoft¥Internet Explorer") :string ("Software¥Microsoft¥Internet Explorer¥Version>=6") :begin_and (and1) :string ("Software¥Microsoft¥Internet Explorer¥Version>=5.5"):string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion>=SP2") :string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion<=SP9") :end_and (and1) :begin_and (and2) :string ("Software¥Microsoft¥Internet Explorer¥Version>=5.5") :string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion>=;SP2") :string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion<=;SP9") :end_and (and2):end_or (or1) :begin_admin (admin) :send_log (alert) :mismatchmessage ("Your IE must be at least version 5.5 with SP2.") :end (admin) ))

332

共通の属性

9 SCVMonitor

パラメータ■ scv_version(“>=541000076”)

SCV製品のビルド番号を表します。これはSCVチェックで検証するDLLのバージョンです。この番号はSecureClientのビルド番号とは異なります。SCV製品はアップグレードされる可能性があり、SecureClientの更新なしでアップグレードされる場合もあります。

文字列は、演算子に「vvshhhbbb」形式でDLLのバージョン番号を付加したものです。たとえば、DLLバージョンを 低 54.1.0.220とする場合、構文は scv_version (“>=541000220”)となります。

SCVMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式とラベル」も参照してください。

10 ScriptRun

パラメータ■ exe (“VerifyScript.bat”)

実行ファイルを実行します。実行ファイルの名前とその完全なパスを指定します。

■ run_as_admin (“no”)

検証スクリプトを管理者権限で実行するかどうかを指定します。デフォルトは「no」です。ほかに指定できる値は「yes」だけです。

■ run_timeout (10)

実行ファイルが完了するまで待機する時間（秒）です。実行ファイルが指定した時間内に完了しない場合、プロセスは失敗したと見なされ、このマシンは「不適合」と分類されます。デフォルト値は 0であり、これは「タイムアウトなし」を意味します。

ScriptRunでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式とラベル」も参照してください。

11 sc_ver_scv

パラメータ■ Default_SecureClientBuildNumber (52032)

SecureClientのビルド番号。このビルド番号がチェックされるのは（指定した演算子により）、特定のプラットフォームに対して特定のビルド番号をチェックしないときだけです。

■ Default_EnforceBuildOperand (“==”)

local.scvのビルド番号とクライアントのビルド番号を比較する演算子。■ MismatchMessage (“Please upgrade your SecureClient”)

SecureClientのビルドが local.scvの設定と一致しない場合に表示されるMismatchメッセージ。

第20章 SCV（Secure Configuration Verification） 333

SCVの設定

■ EnforceBuild_9x_Operand (“>=”)

Windows 9xプラットフォームで local.scvのビルド番号とクライアントのビルド番号を比較する演算子。

■ SecureClient_9x_BuildNumber (52030)

Windows 9xプラットフォームのSecureClientビルド番号。■ EnforceBuild_NT_Operand (“==”)

Windows NTプラットフォームで local.scvのビルド番号とクライアントのビルド番号を比較する演算子。

■ SecureClient_NT_BuildNumber (52030)

Windows NTプラットフォームのSecureClientビルド番号。■ EnforceBuild_2K_Operand (“>=”)

Windows 2000プラットフォームで local.scvのビルド番号とクライアントのビルド番号を比較する演算子。

■ SecureClient_2K_BuildNumer (52030)

Windows 2000プラットフォームのSecureClientビルド番号。■ EnforceBuild_XP_Operand (“>=”)

Windows XPプラットフォームで local.scvのビルド番号とクライアントのビルド番号を比較する演算子。

■ SecureClient_XP_Buildnumber (52030)

Windows XPプラットフォームのSecureClientビルド番号。

sc_ver_scvでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式とラベル」も参照してください。

12 user_policy_scv

パラメータ■ logged_on_to_policy_server (true/false)

SCVチェックで適合するにはユーザがポリシー・サーバにログオンする必要があるかどうかを指定します。

■ policy_refresh_rate (“168”)

デスクトップ・ポリシーを有効と見なす時間（単位は時間）。168時間が経過すると、デスクトップ・ポリシーは無効と見なされ、ユーザはSCVチェックで不適合になります。このパラメータが指定されていない場合、ポリシーの更新時期はチェックされません。

■ mismatchmessage (“Place a message here”)

user_policy_scvチェックで不適合であった場合に表示されるメッセージ。■ dont_enforce_while_connecting

このパラメータが指定されている場合、ゲートウェイに接続するときにユーザはSCVチェックで適合したと見なされます。ユーザがSCVチェックで適合したと見なされるのは、接続プロセスの間だけです。

334

共通の属性

13 SCVGlobalParams

パラメータ

すべてのブールリアン・パラメータ（trueまたは false）では、値を引用符で囲まないでください。

■ enable_status_notifications (true/false)

「true」の場合、デスクトップがSCVチェックで適合していないと、SecureClientによってバルーン・ウィンドウが表示されます。Windows 9xとNTではバルーンはサポートされず、ポップアップが表示されます。

■ status_notifications_timeout ()

バルーン・ウィンドウ（前のパラメータを参照）を表示する秒数。■ disconnect_when_not_verified (true/false)

「true」の場合、デスクトップがSCVチェックで適合していないと、SecureClientの接続がサイトから切断されます。

■ block_connections_on_unverified (true/false)

「true」の場合、デスクトップがSCVチェックで適合していないと、確立されているすべての接続がSecureClientによって切断されます。

注： このパラメータが trueの場合、VPNサイトとの送受信の接続だけではなく、マシンに対するすべての

接続が遮断されます。

■ scv_policy_timeout_hours ()

ポリシー・サーバへの前回のログオン以降、SCVポリシーを有効と見なす期間（単位は時間）。このタイムアウトの期限が近づくと、SecureClientは新しいSCVポリシーを取得するためにポリシー・サーバへのログオンを試行します。

有効な値は 1～ 504時間（21日間）です。デフォルト値は 168時間（1週間）です。値を 0に設定すると、SCVポリシーの有効期限は制限されなくなります

（タイムアウトなし）。

■ enforce_ip_forwarding (true/false)

「true」の場合、ユーザがSCVチェックで適合となるには、ユーザ・デスクトップのネットワーク・インタフェース・カード間で IP転送を無効にする必要があります。

■ ip_forwarding_mismatchmessage (“Message string placed here”)

この値は IP転送が有効である場合に表示される文字列です。たとえば、ip_forwarding_mismatchmessage (“Please....etc”)などです。

この文字列が使用されるのは、IP転送がSCVチェックの一部である場合、すなわちこのパラメータがTrueと定義されている場合だけです。

■ not_verified_script (“script_name.bat”)

デスクトップがSCVチェックで適合と見なされない場合に実行する実行ファイルの名前。以下の 3つのパラメータには、実行ファイルの実行に関連するオプションが幾つかあります。

第20章 SCV（Secure Configuration Verification） 335

SCVの設定

■ not_verified_script_run_show (true/false) 「true」の場合、実行ファイルの進行状況が画面上のウィンドウに表示されます。

■ not_verified_script_run_admin (true/false) 「true」の場合、実行ファイルは管理者の権限で実行されます。

■ not_verified_script_run_always (true/false) 「true」の場合、デスクトップがSCVチェックで適合しないたびに実行ファイルが実行されます。「false」の場合、SecureClientセッションごとに1度実行されます。

■ :allow_non_scv_clients (true/false)「true」の場合、OSでSCVがサポートされない場合でも、クライアントは適合という通知を対象のゲートウェイに送信します。

336

第 章21

VPNルーティング・リモート・アクセス

この章の構成

VPNルーティングの必要性

ゲートウェイやリモート・アクセス・クライアントがほかのゲートウェイやクライアントに直接接続できない場合があります。ときには、所定のゲートウェイやクライアントが必要なレベルのセキュリティを提供できないこともあります。たとえば、以下のような場合です。

■ 2台のゲートウェイに、IPアドレスが動的に割り当てられている場合（DAIPゲートウェイ）。各ゲートウェイの背後のホストで通信する必要がありますが、IPアドレスが変化するため、2台のDAIPゲートウェイでVPNトンネルを開けません。トンネルの作成時には、もう一方の正確な IPアドレスは不明です。

■ SecuRemote/SecureClientユーザが、VoIP（Voice-over-IP）ソフトウェアで公開で会話をしたり、Microsoft NetMeetingなどのクライアント間で通信するソフトウェアを使用する場合。リモート・アクセス・クライアント同士では直接接続を開くことはできません。設定されたゲートウェイのみで接続可能です。

いずれの場合も、接続性とセキュリティを拡張する方法が必要です。

VPNルーティングの必要性 337 ページ

接続性とセキュリティを強化するチェック・ポイント・ソリューション

338 ページ

リモート・アクセスVPNでのVPNルーティングの設定 342 ページ

337

接続性とセキュリティを強化するチェック・ポイント・ソリューション

接続性とセキュリティを強化するチェック・ポイント・ソリューション

VPNルーティングは、VPNトラフィックの方向を制御する方法のひとつです。VPNルーティングは、ゲートウェイのモジュールとリモート・アクセス・クライアントで実装できます。VPNルーティングの設定には、SmartDashboard経由で直接行う方法（単純なケース）と、ゲートウェイ上のVPNルーティング設定ファイルを編集する方法（より複雑なシナリオ）があります。

図21-1 単純なVPNルーティング

図 21-1では、ゲートウェイAの背後にあるホスト・マシンのいずれかで、ゲートウェイBの背後にあるホスト・マシンに接続する必要があります。技術的またはポリシー上の理由で、ゲートウェイAはゲートウェイBとのVPNトンネルを開くことができません。しかし、ゲートウェイAもBもゲートウェイCとのVPNトンネルを開くことは可能なため、接続はゲートウェイCを経由してルーティングされます。

接続性とセキュリティの拡張以外に、VPNルーティングではゲートウェイの複雑なネットワークを 1つのハブでまとめられるため、ネットワークの管理を簡素化できます。

ハブ・モード（リモート・クライアントのVPNルーティング）

ハブ・モードでリモート・アクセス・クライアントのVPNルーティングを行うことができます。ハブ・モードでは、すべてのトラフィックが中央のハブを経由して送受信されます。中央のハブは、リモート・クライアントに対する一種のルータとして機能します。リモート・アクセス・クライアントからハブを経由してトラフィックが送信されると、ほかのクライアントとの接続し、その後のトラフィックの内容の検閲することも可能になります。

338

ハブ・モード（リモート・クライアントのVPNルーティング）

ハブ・モードを使用するときは、オフィス・モードを有効にしてください。リモート・クライアントが ISPから供給された IPアドレスを使用している場合、そのアドレスが完全にルーティングできないことがあります。オフィス・モードを使用すると、オフィス・モードでの接続に直接関連するルールを作成できます。

ゲートウェイを経由するすべてのトラフックのSecureClientによるルーティングの許可

図 21-2では、VPN-1 Proモジュールの背後のサーバにリモート・クライアントが接続する必要がある場合を示しています。会社のポリシーとして、このサーバへの接続はすべて、内容を検閲する必要があります。VPN-1 Pro実施モジュールでは、必要な内容の検閲を実行できません。すべてのトラフィックがゲートウェイを経由してルーティングされる場合、リモート・クライアントとサーバの間の接続を検閲できます。

図21-2 リモート・クライアントへのトラフィックの監視

同じリモート・クライアントでインターネット上のHTTPサーバにアクセスする必要があると仮定します。セキュリティに関する会社のポリシーは、同じものが適用されます。

注： オフィス・モードはSecureClientでのみサポートされ、SecuRemoteではサポートされていません。

第21章 VPNルーティング・リモート・アクセス 339

接続性とセキュリティを強化するチェック・ポイント・ソリューション

図21-3 リモート・クライアントからインターネットへのアクセス

リモート・クライアントのトラフィックがVPN-1 Proゲートウェイに転送され、このゲートウェイからUFP（URL Filtering Protocol）にルーティングされて、URLとパケット内容の正当性がチェックされます。これは、ゲートウェイにはURLチェック機能がないためです。その後、パケットはインターネット上のHTTPサーバに転送されます。

VPN-1 Proゲートウェイの背後のリモート・クライアントにNATでアドレスを割り当てると、インターネット上のHTTPサーバがクライアントに直接応答できなくなります。リモート・クライアントのアドレスにNATを適用しない場合、リモート・クライアントはHTTPサーバからの暗号化されていない応答を許可しません。

リモート・クライアント同士の通信

リモート・クライアント同士の接続は、以下の 2つの方法で行います。

■ すべてのトラフィックをゲートウェイ経由でルーティングする方法

■ オフィス・モードのアドレス範囲を、ゲートウェイのVPNドメインに含める方法

340

ハブ・モード（リモート・クライアントのVPNルーティング）

すべてのトラフィックをゲートウェイ経由でルーティングする方法

2人のリモート・ユーザが、VoIPソフトウェアを使用してセキュアな通信を行っているとします。このトラフィックは、図 21-4で示すように、中央のハブを通じて送受信されます。

図21-4 リモート・アクセス・クライアントのハブ・モード

この方法で通信を行うには、以下の条件に従う必要があります。

■ ゲートウェイで［Allow SecureClient to route traffic through this Gateway］が有効になっている。

■ リモート・クライアントのプロファイルが、すべてのトラフィックをゲートウェイ経由でルーティングするように設定されている。

■ リモート・クライアントがコネクト・モードで動作している。

2つのリモート・クライアントが、異なるゲートウェイを使用するハブ・モードに設定されている場合、各リモート・クライアントとその指定されたゲートウェイの間、その後ゲートウェイの間で、ルーティングは 3段階で行われます。

図21-5 異なるハブに接続されたリモート・クライアント

第21章 VPNルーティング・リモート・アクセス 341

リモート・アクセスVPNでのVPNルーティングの設定

図 21-5では、リモート・クライアント 1はゲートウェイAとのハブ・モードで設定され、リモート・クライアント2はゲートウェイBとのハブ・モードで設定されています。接続を正しくルーティングするには、以下の条件に従う必要があります。

■ オフィス・モードが有効になっている必要がある。

■ 両方のゲートウェイ上のVPN設定ファイルに、相手のゲートウェイが使用するオフィス・モードのアドレス範囲が含まれている必要がある。図 21-5では、ゲートウェイAのVPN設定ファイルによって、ゲートウェイBのオフィス・モードの IP宛てのすべてのトラフィックがゲートウェイBに送信されます。リモート・クライアント 1からの接続がゲートウェイAに送信されます。接続はゲートウェイAからゲートウェイBにリダイレクトされます。ゲートウェイBでは、さらにその接続がリモート・クライアント 2へリダイレクトされます。リモート・クライアント 2からの応答は、同じルートを逆に通ります。

■ 両方のゲートウェイで使用するオフィス・モードのアドレスは、重複しないようにする必要があります。

オフィス・モードのアドレス範囲をゲートウェイのVPNドメインに含める方法

クライアント間の通信を行うためのもう 1つの方法は、オフィス・モードでのリモート・クライアントのアドレス範囲を定義して、このアドレス範囲をハブとして動作するゲートウェイのVPNドメインに含めることです。各リモート・クライアントはゲートウェイを経由してリモート・ピアに通信を送信します。リモート・クライアント側からは、ピアはゲートウェイのVPNドメインに属しているように見えます。

リモート・アクセスVPNでのVPNルーティングの設定

一般的なVPNルーティングのシナリオはVPNスター・コミュニティを経由して設定できますが、一部のVPNルーティング設定にはSmartDashboardで処理されないものがあります。ゲートウェイ間（スターまたはメッシュ）のVPNルーティングは、設定ファイル$FWDIR¥conf¥vpn_route.confを編集して設定することもできます。

VPNコミュニティに属していないゲートウェイ間では、VPNルーティングを設定できません。

リモート・アクセス・クライアントのハブ・モードの有効化

1 ［Gateway properties］ウィンドウの［Remote Access］ページにある［Hub Mode configuration］セクションで、［Allow SecureClient to route all traffic through this gateway］を選択します。

2 ［Remote Access］コミュニティの［Properties］ウィンドウにある［Participating Gateways］ページで、「ハブ」として機能するゲートウェイを設定します。

注： ゲートウェイのVPNドメインにオフィス・モードのアドレス範囲を含める方法は、NG with Application Intelligenceでのみ使用可能です。

342

オフィス・モードのアドレス範囲をゲートウェイのVPNドメインに含める、クライアント間ルーティングの設定

3 ［Participant User Groups］ページで、リモート・クライアントを選択します。

4 セキュリティ・ポリシー・ルール・ベースに適切なアクセス制御ルールを作成します。VPNルーティングのトラフィックはセキュリティ・ポリシー・ルール・ベースで単一の接続として処理され、1つのルールにのみ一致します。

5 リモート・クライアントのプロファイルを、指定したゲートウェイを経由してすべての通信をルーティングするように設定します。

オフィス・モードのアドレス範囲をゲートウェイのVPNドメインに含める、クライアント間ルーティングの設定

VPNドメインを経由したリモート・アクセス・クライアントのVPNルーティングを設定するには、以下の手順で、オフィス・モードのアドレス範囲をゲートウェイのVPNドメインに追加します。

1 SmartDashboardで、オフィス・モードのアドレスのアドレス範囲オブジェクトを作成します。

2 VPNドメインとオフィス・モードの範囲を両方含むグループを作成します。

3 ゲートウェイ・オブジェクトの［General properties］ウィンドウで、［Topology］ページの［VPN domain］セクションで［Manually defined］を選択します。

4 ゲートウェイのVPNドメインとオフィス・モードのアドレスを両方含むグループを選択します。

リモート・クライアントがサイトに接続し、サイトの更新を実行しないと、リモート・クライアント同士の通信はできません。

ハブ・モードを使用して複数のハブを経由するクライアント間通信

図 21-6では、ハブ・モードで異なるゲートウェイと動作するようにそれぞれ設定されている 2つのリモート・クライアントを示しています。

図21-6 異なるハブに接続されたリモート・クライアント

第21章 VPNルーティング・リモート・アクセス 343

リモート・アクセスVPNでのVPNルーティングの設定

リモート・クライアント 1はハブ 1とハブ・モードで動作します。リモート・クライアント 2はハブ 2とハブ・モードで動作します。VPNルーティングが正しく実行されるためには、以下の条件に従う必要があります。

■ リモート・クライアントがオフィス・モードで動作している。

■ 各ゲートウェイのオフィス・モードのアドレス範囲が、相手のゲートウェイにインストールされている vpn_route.confファイルに含まれている。

リモート・クライアント 1がリモート・クライアント 2と通信すると、以下のように動作します。

■ トラフィックはまずハブ 1へ送信されます。これは、リモート・クライアント 1がハブ 1とハブ・モードで動作しているためです。

■ ハブ 1で、リモート・クライアント2の IPアドレスがハブ 2のオフィス・モードの範囲に属していることが識別されます。

■ ハブ 1のvpn_route.confファイルで、このトラフィックの次のホップ先がハブ 2であることが識別されます。

■ トラフィックがハブ 2に到達すると、ハブ 2が通信をリモート・クライアント 2にリダイレクトします。

宛先 次のホップのルータ・インタフェース インストール先

Hub1_OfficeMode_range ハブ 1 ハブ2Hub2_OfficeMode_range ハブ 2 ハブ1

344

第 章22

リモート・アクセス・クライアントのリンク選択

この章の構成

概要

リンク選択は、送受信のVPNトラフィック、および 適なパスで使用するインタフェースを決定する際に使用する方法です。リンク選択メカニズムを使用することにより、管理者は各ゲートウェイ上のリモート・アクセス・クライアントから送信されるVPNトラフィックにどの IPアドレスが使用されているか、個別に確認できます。

リンク選択の詳細については、157 ページの「リンク選択」を参照してください。

リモート・ピアによる IP選択

リモート・アクセス・クライアントでローカル・ゲートウェイの IPアドレスを解決する方法を判断するには、幾つかの方法があります。リモート・ピアでは、以下の方法でローカル・ゲートウェイに接続できます。■ 常にこの IPアドレスを使用する場合

■ Main address - VPNトンネルがゲートウェイのメイン IPで作成されます。ゲートウェイのメイン IPは、ゲートウェイの［General Properties］ページの［IP Address］フィールドで指定します。

■ Selected address from topology table - VPNトンネルが、選択した IPアドレスを使用したゲートウェイで作成されます。IPアドレスは、ゲートウェイの［Topology］ページで指定する IPアドレスの一覧が表示されるドロップダウン・メニューから選択します。

概要 345 ページ

リモート・アクセスのシナリオでのリンク選択 347 ページ

リンク選択の設定 349 ページ

345

概要

■ Statically NATed IP - VPNトンネルがNATed IPアドレスを使用して作成されます。このアドレスは、［topology］タブにリストされていなくてもかまいません。

■ Calculate IP based on network topology - ネットワーク・トポロジによって計算される IPアドレス。リモート・アクセス・クライアントは［Calculate IP Based on Network Topology］を使用して、ゲートウェイのネットワーク・オブジェクトで定義されたトポロジ情報を通じてゲートウェイの適切な IPアドレスを検出します。リモート・アクセス・クライアントは毎回別の場所から接続できるため、クライアントが接続するたびに新しく計算が行われます。計算を正しく行うため、ゲートウェイのすべてのインタフェースのトポロジが正しく設定されている必要があります。

■ プローブ方法を使用する場合

• Using ongoing probing - セッションを開始すると、使用可能なすべての送信先IPアドレスが継続してRDPパケットを受信します。VPNトンネルは、 初に応答した IP（またはプライマリ IPが設定されてアクティブになっている場合はプライマリ IP）を使用し、IPが応答を停止するまでその IPを使用し続けます。リモート・アクセス・クライアントが接続して、バックグラウンド・プロセスとして続行されている間は、RDPプロービングがアクティブになります。

• Using one time probing - リモート・アクセス・クライアントを接続すると、すべての送信先 IPアドレスがRDPセッションを受信してルートをテストします。応答した 初の IPが選択され、次にクライアントが再接続するまでこれが使用されます。

プローブしない IPアドレス（内部 IPアドレス）は、プローブ対象の IPリストから削除できます。171 ページの「プロービングによるアドレス解決」を参照してください。

どちらのプロービング・オプション（one-timeと on-going）でも、プライマリ・アドレスを割り当てられます。

プライマリ・アドレス

VPNに使用できる IPアドレスが複数あるゲートウェイにいずれかのプロービング方式を実装する場合、IPアドレスの 1つをプライマリ・アドレスとして設定することができます。これによって、ほかのインタフェースのメトリックが低い場合でも、ピアはプライマリ IPアドレスに高い優先度を割り当てるようになります。

プライマリ・アドレスを有効にしても、発信VPNトラフィック用に選択される IPには影響はありません。リモート・アクセス・クライアントによって、プライマリ・アドレスを定義したピア・ゲートウェイに接続する場合、リモート・アクセス・クライアントは、ネットワーク速度（レイテンシ）またはルートのメトリックに関係なく、プライマリ・アドレス（アクティブな場合）に接続します。

プライマリ・アドレスで障害が発生し、接続がバックアップにフェイルオーバーされた場合、VPNトンネルは、プライマリが復旧するまでバックアップを使用し続けます。

346

1つの外部 IPアドレスがあるゲートウェイ

リモート・アクセスのシナリオでのリンク選択

リンク選択は、さまざまなインフラストラクチャで使用できます。このセクションでは、リンク選択の実装の効果が発揮されるシナリオを説明します。

このセクションの構成

1つの外部 IPアドレスがあるゲートウェイ

これは も単純な事例です。図 22-1では、ローカル・ゲートウェイにはVPN用の外部インタフェースが 1つあります。

図22-1 リモート・アクセス・クライアントに1つの IPがある場合

ここで、以下の視点から、ローカル・ゲートウェイの設定を検討します。

■ リモート・アクセス・クライアントが、VPNトラフィックに使用するローカル・ゲートウェイ上の IPをどのように選択するか

VPNには使用可能なインタフェースは 1つしかないので、以下のようになります。

■ リモート・アクセス・クライアントがVPNのローカル・ゲートウェイの IPを検出する方法を指定するには、［Main address］を選択するか、［Selected address from topology table］ドロップダウン・メニューから IPアドレスを選択します。

■ IPアドレスが静的NATデバイスの背後にある場合は、［Statically NATed IP］を選択します。

1つの外部 IPアドレスがあるゲートウェイ 347 ページ

複数の外部 IPアドレスを持つゲートウェイ 348 ページ

ネットワーク・トポロジに基づく IPの計算 349 ページ

第22章 リモート・アクセス・クライアントのリンク選択 347

リモート・アクセスのシナリオでのリンク選択

複数の外部 IPアドレスを持つゲートウェイ

このシナリオでは、ローカル・ゲートウェイに、リモート・アクセス・クライアントが使用できる外部 IPアドレスが 2つあります。

図22-2 複数のインタフェースを持つゲートウェイへの接続

リモート・アクセス・クライアントでローカル・ゲートウェイの IPアドレスを検出する方法を判定するには、継続プロービングを使用します。プライマリ IPアドレスが設定されていないかぎり、リモート・アクセス・クライアントは 初に応答した IPアドレスを経由して接続し、応答が停止するまでその IPに接続し続けます。

348

ネットワーク・トポロジに基づく IPの計算

ネットワーク・トポロジに基づく IPの計算

リモート・アクセス・クライアントは毎回別の場所から接続できるため、クライアントが接続するたびに新しく計算が行われます。

図22-3 内部ネットワークへのアクセス

図 22-3では、すべてのリモート・ユーザが、使用するインタフェースを現在の場所に基づいて計算し、内部ネットワークにアクセスする様子を示しています。ネットワークの外にいるリモート・ユーザは外部インタフェースを使用し、ネットワークの中にいるリモート・ユーザは内部インタフェースを使用します。

リンク選択の設定

リンク選択は、［Topology］>［Link Selection］ウィンドウで、各ゲートウェイごとに設定します。この設定は、ゲートウェイ間の接続と、リモート・アクセス・クライアントからゲートウェイへの接続の両方に適用されます。

リモート・ユーザに対するリンク選択の設定は、以下の属性を使用してそれぞれ設定できます。

この設定は、［Link Selection］ページの設定よりも優先されます。

第22章 リモート・アクセス・クライアントのリンク選択 349

リンク選択の設定

Dbeditを使用して、以下の手順に従います。

■ ゲートウェイのオブジェクトで、apply_resolving_mechanism_to_SRの値を falseに変更します。

■ ip_resolution_mechanismを使用して、リンク選択の方法を選択します。有効な値は以下のとおりです。■ mainIpVpn■ singleIpVpn■ singleNATIpVPN■ topologyCalc■ oneTimeProb■ ongoingProb

■ single_VPN_IP_RA - ゲートウェイのトポロジの特定のIPアドレスや静的なNAT IPが設定されている場合、IPアドレスはこの属性で設定されます。

■ interface_resolving_ha_primary_if - ワンタイム・プロービングや継続プロービングに、プライマリ IPアドレスが使用されます。

■ use_interface_IP - ワンタイム・プロービングと継続プロービングのみに使用されます。［topology］タブで定義したすべての IPアドレスをプローブする必要がある場合は、この属性を trueに設定します。手動で作成した IPアドレスのリストをプローブする必要がある場合は、falseに設定します。

■ available_VPN_IP_list - ワンタイム・プロービングと継続プロービングのみに使用されます。プローブ対象の IPアドレスのリストです（このリストは、use_interface_IPの値が falseの場合のみ使用されます）。

旧バージョンとの互換性解決メカニズムの設定

SmartDashboardで、以下の手順に従います。

1 ［Policy］>［Global Properties］>［Remote Access］>［Early Versions Compatibility］を選択します。

2 リモート・アクセス・クライアントがNGX以前のゲートウェイからトポロジをダウンロードして、トポロジ計算を使用して IPアドレスを解決する必要がある場合は、

［Static calculation based on network topology］を選択します。

3 ［Dynamic interface resolving mechanism］を選択して、表 22-1で示す方式のいずれかに変換します。

350

旧バージョンとの互換性解決メカニズムの設定

NGX以前のゲートウェイによってリモート・アクセス・クライアントのトポロジにダウンロードされた方式は、以下のように「変換」されます。

表 22-1 下位互換性

ゲートウェイでの方式 NGX以前のゲートウェイからリモート・アクセス・クライアントがトポロジをダウンロードする方式

トポロジ・テーブルから選択されたアドレス 継続プロービング

静的NAT IP 継続プロービング

DNS解決を使用 継続プロービング

ネットワーク・トポロジに基づいて IPを計算 メイン IP

メイン IP メイン IP

継続プロービング 継続プロービング

ワンタイム・プロービング ワンタイム・プロービング

注： プロービングのために手動で IPアドレス・リストを作成した場合、NGX（R60）以前のリモート・

アクセス・クライアントで、IPアドレス・リストに指定されたアドレスだけではなく、すべての IPアド

レスがプローブされます。プライマリ・アドレスが設定されていると、NGX以前（R60）のリモート・

アクセス・クライアントはすべての IPアドレスを同じ優先度で処理し、プライマリ・アドレスは無視し

ます。

第22章 リモート・アクセス・クライアントのリンク選択 351

リンク選択の設定

352

第 章23

リモート・アクセスでのDirectional VPNの使用

リモート・アクセス・コミュニティの強化

リモート・アクセス・コミュニティでは、以下の機能をサポートします。

■ Directional VPN■ ルールの宛先カラムでのユーザ・グループ

RAコミュニティ内のDirectional VPN

リモート・アクセス・コミュニティでDirectional VPNが設定されている場合、特定のネットワーク・オブジェクトとの接続を拒否するオプションがあります。図 23-1のルールについて考えます。

図23-1 リモート・アクセス・コミュニティ内のDirectional VPN

リモート・ユーザと「MyIntranet」VPNコミュニティ内のホストを接続することはできません。その他の接続は、リモート・アクセス・コミュニティ内から発生するものであれば、VPNコミュニティの内外にかかわらず、いずれも可能です。

353

リモート・アクセス・コミュニティでのDirectional VPNの設定

RAコミュニティ内の宛先としてのユーザ・グループ

ユーザ・グループをルールの宛先カラム内に設定することができます。これにより、以下のことが可能となります。

■ クライアント同士の接続をより簡単に設定する

■ リモート・クライアントとゲートウェイ間の逆向きの接続の設定

図 23-2は、「逆向き」の接続を返すことができるリモート・アクセス・コミュニティの方向付けルールを示しています。

図23-2 リモート・アクセス・コミュニティでの方向付けルール

ルールの宛先カラムにユーザ・グループを含めるには、以下の条件を満たしている必要があります。

■ ルールで方向を指定している

■ ［VPN］カラムで、リモート・アクセス・コミュニティがエンドポイント宛先として設定されている

リモート・アクセス・コミュニティでのDirectional VPNの設定

リモート・アクセス・コミュニティでDirectional VPNを設定するには、以下の手順に従います。

1 ［Global Properties］>［VPN］>［Advanced］で、［Enable VPN Directional Match in VPN Column］を選択します。

2 適切なルールの［VPN］カラム内を右クリックし、ポップアップ・メニューから［Edit...］または［Add Direction］を選択します。

［VPN Match Conditions］ウィンドウが表示されます。

3 ［Add...］をクリックします。

［Directional VPN Match Conditions］ウィンドウが表示されます。

4 右にあるドロップダウン・ボックスから、接続の発信元を接続します。

5 左にあるドロップダウン・ボックスから、接続の宛先を接続します。

6 ［OK］をクリックします。

354

第 章24

リモート・アクセスの高度な設定

この章の構成

非プライベート・クライアント IPアドレス

リモート・アクセス接続

SecuRemote/SecureClientユーザがNATデバイスの背後から、別の組織に属する非プライベート IPアドレスを使用して接続すると仮定します。接続している間、ゲートウェイはその非プライベート IPアドレス宛てのすべてのトラフィックを、IPアドレスの実際の所有者宛てのトラフィックであっても、SecuRemote/SecureClientユーザにルーティングします。

非プライベート・クライアント IPアドレス 355 ページ

暗号化ドメイン内のクライアントが暗号化されないようにする方法

356 ページ

認証タイムアウトとパスワードのキャッシュ 358 ページ

SecuRemote/SecureClientとSDL（Secure Domain Logon） 359 ページ

逆向き接続（サーバからクライアント） 363 ページ

トポロジの自動更新（コネクト・モードのみ） 363 ページ

チェック・ポイント以外のファイアウォールの操作方法 364 ページ

旧バージョンのSecuRemote/SecureClient 364 ページ

SecuRemote DNSサーバによる内部名の解決 365 ページ

355

暗号化ドメイン内のクライアントが暗号化されないようにする方法

リモート・アクセスの問題の解決

Objects_5_0.Cファイルのvpn_restrict_client_phase2_idを、以下のように設定します。

暗号化ドメイン内のクライアントが暗号化されないようにする方法

問題

あるゲートウェイのVPNドメイン内にあるSecuRemote/SecureClientが別のゲートウェイのVPNドメイン内のホストへの接続を開くと、接続は 2回暗号化（1回目はSecuRemote/SecureClientで、2回目はゲートウェイで）されますが、復号化はピア・ゲートウェイでの 1回しか行われません。

解決策

この問題を防止するには、同じSmartCenterサーバで管理されるゲートウェイのVPNドメインにSecuRemote/SecureClientとホスト（接続のエンドポイント）の両方が入っている場合は暗号化を行わないように、SecuRemote/SecureClientを設定します。

表 24-1 vpn_restrict_client_phase2_id

値 意味

om_only NATデバイスの背後のSecuRemote/SecureClientは、オフィス・モードのみを使用して接続可能です。

private_and_om SecuRemote/SecureClientは以下のいずれかを使用して接続可能です。■ オフィス・モードを使用する方法■ プライベート IPアドレスを使用する方法（「プライベート」の意

味は、［Global Properties］ウィンドウの［NAT］ページで指定します）

none この設定（デフォルト）では、前述の問題には対処できません。

注： オフィス・モードまたはプライベート IPアドレスを使用するように制限されているユーザが別

の種類の接続を実行しようとすると、接続が切断されてログがSmartView Trackerに送信されます。

356

解決策

この設定を行うには、objects_5_0.C のsend_clear_traffic_between_encryption_domainsプロパティを有効にします。

クライアントにプライベート・アドレスがある場合

send_clear_traffic_between_encryption_domainsプロパティが有効な場合、ゲートウェイのVPNドメインにプライベート・アドレスがあると問題が発生します。「プライベート」の意味は、［Global Properties］ウィンドウの［Non Unique IP Address Ranges］ページで指定します。

VPNドメインの外（ホテルなど）からSecuRemote/SecureClientで接続したときに、ISPやNATデバイスによって割り当てられたプライベート IP アドレスが偶然ゲートウェイのVPNドメイン内にあった場合、VPNドメインに接続してもSecuRemote/SecureClientでは暗号化が行われません。接続が暗号化されないため、接続は切断されます。

このトラフィックを暗号化するようにSecuRemote/SecureClientを設定する方法は、以下のとおりです。

■ プライベート・アドレスからのトラフィックを暗号化するには、objects_5_0.Cのsend_clear_except_for_non_uniqueプロパティを有効にします。

■ 特定の IPアドレスからのトラフィックを暗号化するには、以下の手順に従います。

1 指定するアドレスで構成されるグループを定義します。

2 objects_5_0.Cの send_clear_except_for_specific_addressesプロパティを有効にします。

3 send_clear_except_for_address_groupを、手順 1 で定義したグループの名前に設定します。

接続されていないときのコネクト・モードでの作業

SecuRemote/SecureClient のコネクト・モードで接続している場合は、objects_5_0.Cのallow_clear_traffic_while_disconnectedプロパティを有効にすることによって、認証の頻度を下げることができます。接続していない場合、SecuRemote/SecureClientは、ピア暗号化ドメインへのトラフィックを暗号化しなくなります。これにより、ピア暗号化ドメイン内の暗号化されていないサービスへ接続する際の、不要な認証が防止されます。

注： この機能を有効にするには、ゲートウェイの間でVPNが定義されていることを確認します。

SecuRemote/SecureClientで2つ以上のサイトが定義されている場合、この機能は無効になります。

注： SecuRemote/SecureClientで2つ以上のサイトが定義されている場合、この機能は無効になります。

第24章 リモート・アクセスの高度な設定 357

認証タイムアウトとパスワードのキャッシュ

たとえば、サイトにプライベートと公開のHTTPサーバが両方含まれている場合、公開サイトへのトラフィックを暗号化する必要はありません。あるユーザに対して不要な認証を行わない理由が、そのユーザが内部ユーザであるということのみである場合は、デスクトップ・ポリシーで以下の 2つのルールを設定します。

.

認証タイムアウトとパスワードのキャッシュ

問題

ユーザにとって、1つのセッション中に何度も認証を行うのは面倒なことです。しかし同時に、このような複数の認証は、ユーザがしばらくクライアントのそばを離れている場合などにセッションがハイジャックされないことを保証するための効果的な方法です。問題は、利便性とセキュリティの間の適切なバランスを見つけることです。

解決策

複数の認証は、以下の 2つの方法で減らすことができます。

■ 認証タイムアウトの時間を長くする

■ ユーザのパスワードをキャッシュする

認証タイムアウトの時間

再認証するまでの時間を指定するには、［Policy］>［Global Properties - Remote Access］を選択し、［Authentication Timeout］セクションの［Validation timeout］に値を入力します。または、［Use default value］のチェックをオンにします。

コネクト・モードでは、クライアントが接続した時点から、タイムアウトまでのカウントダウンが開始します。

表 24-2

SOURCE DESTINATION SERVICE ACTION

Encryption Domain Encryption Domain Any Accept

Any Encryption Domain Any Encrypt

注： ■ この機能を有効にするには、ゲートウェイの間でVPNが定義されていることを確認します。

■ この機能は、コネクト・モードのみに適用されます。

■ SecuRemote/SecureClientで2つ以上のサイトが定義されている場合、この機能は無効になります。

358

問題

パスワードのキャッシュ

タイムアウトまでの時間に到達すると、再認証を要求するメッセージが表示されます。パスワードのキャッシュが有効であれば、SecuRemote/SecureClientからキャッシュされたパスワードが自動的に入力されて、ユーザが操作しなくても認証が実行されます。言い換えれば、ユーザは再認証が行われたことに気付きません。

パスワードのキャッシュは、何度も使用するパスワードのみ可能です。ユーザの認証スキームがワンタイム・パスワード（SecurID など）を実装している場合、パスワードのキャッシュは不可能で、認証タイムアウトまでの時間に到達すると、ユーザ側には再認証を要求するメッセージが表示されます。このようなスキームでは、パスワードのキャッシュ機能は実装されません。

パスワードのキャッシュは、SecureClientの［Authentication］ウィンドウで指定します。

SecuRemote/SecureClientとSDL（Secure Domain Logon）

問題

SecuRemote/SecureClientユーザがドメイン・コントローラにログオンするとき、ユーザはまだ自分のSecuRemote/SecureClientのログオン情報を入力していません。したがって、ドメイン・コントローラへの接続は暗号化されません。

解決策

SDL（Secure Domain Logon）機能が有効な場合は、ユーザがOSのユーザ名とパスワードを入力してからドメイン・コントローラへの接続が開始するまでの間に、［SecuRemoteClient User Authentication］ウィンドウが表示されます。ユーザがSecuRemote/SecureClientのログオン情報を入力すると、暗号化トンネルでのドメイン・コントローラへの接続が実行されます。

Secure Domain Logonの有効化と無効化

SDL（Secure Domain Logon）を有効にするには、SecuRemote/SecureClientの［Passwords］メニューから［Enable Secure Domain Logon］を選択します。

以下のことに注意してください。

■ Windows NTとWindows 2000の場合

■ SDLを有効にできるのは管理者のみで、コンピュータがドメインの一部として設定されている場合に限られます。

■ SDLを有効化または無効化した後は、コンピュータを再起動する必要があります。

第24章 リモート・アクセスの高度な設定 359

SecuRemote/SecureClientとSDL（Secure Domain Logon）

■ WINS（360 ページの「WINS（コネクト・モードのみ）」を参照）を使用している場合は、WINSを設定してからSDLを有効にしてください。

■ Secure Domain Logonが有効になっているときに、コンピュータのドメイン設定を変更しないでください。

ドメイン・コントローラ名の解決

SecuRemote/SecureClientがコネクト・モードとオフィス・モードで設定されている場合、SecuRemote/SecureClientではダイナミックWINSを使用して自動的にNTドメイン名を解決します。

それ以外の場合は、LMHOSTSまたはWINSを使用してNTドメイン名を解決します。

LMHOSTS

LMHOSTSの名前解決サービスは、LANでもダイヤルアップ設定でも、以下の方法で使用できます。

VPN-1 Proゲートウェイの$FWDIR/conf/dnsinfo.Cファイルに適切な情報（図 24-1を参照）を入力して、ポリシーをインストールします。

図24-1 構文

SecuRemote/SecureClientでトポロジが更新されると、名前解決データが自動的にSecuRemote/SecureClientのuserc.Cファイルのdnsinfoエントリに転送され、その後LMHOSTSファイルに転送されます。

WINS（コネクト・モードのみ）

WINSの名前解決サービスは、ダイヤルアップ設定でのみ使用できます。Windows 9xプラットフォームではサポートされていません。

( :LMdata( :( :ipaddr (<IP address>) :name (<host name>) :domain (<domain name>) ) :( :ipaddr (<IP address>) :name (<host name>) :domain (<domain name>) ) ))

360

SDLタイムアウトの設定

WINSを使用するには、SecuRemote/SecureClientの仮想アダプタで以下のように操作します。

1 VPN-1 Proで保護されたプライマリWINSサーバ、および必要に応じてセカンダリWINSサーバを指定します。

2 SecuRemote/SecureClientコンピュータを再起動します。

SDLタイムアウトの設定

SDLは同時に行われるプロセスの同期に依存するため、タイムアウトを柔軟に定義することが重要です。

Secure Domain LogonのSDLタイムアウト機能を使用すれば、ユーザが自分のドメイン・コントローラのログオン情報を入力し終わるまでの時間を定義できます。指定した時間が経過して、キャッシュされた情報（使用可能な場合）が使用されていない場合、ログオンは失敗します。

タイムアウトは、Objects_5_0.Cファイルのsdl_netlogon_timeout(<value in seconds>)で管理します。

キャッシュされた情報

SecuRemote/SecureClientコンピュータが正常にドメイン・コントローラへログオンすると、ユーザのプロファイルがキャッシュに保存されます。キャッシュされた情報は、その後のドメイン・コントローラへのログオンが何らかの理由で失敗した場合に使用されます。

クライアントのレジストリでこのオプションを設定するには、以下の手順に従います。

1 HKLM¥Software¥Microsoft¥Windows NT¥Current Version¥Winlogonフォルダを開きます。

2 0～ 50の有効な値の範囲で、新しいキー CachedLogonCount を作成します。キーの値は、サーバにキャッシュされる実行されたログオン試行回数です。

値を0にするとログオンのキャッシュが無効になります。また、値を51以上にしても、50回のログオン試行しかキャッシュされません。

警告： この操作は、SDLを有効にする前に実行する必要があります（359 ページの「Secure Domain Logonの有効化と無効化」を参照）。

注： この機能は、［Auto Local Logon］オプションが有効な場合は使用できません（コネクト・モード

のみ）。

第24章 リモート・アクセスの高度な設定 361

SecuRemote/SecureClientとSDL（Secure Domain Logon）

Secure Domain Logonの設定

1 SecuRemoteクライアントを、LMHOSTS（すべてのプラットフォーム）またはWINS（Windows 9xを除くすべてのプラットフォーム）を使用するように設定します。

2 Windows NTとWindows 2000では、SDLタイムアウトを設定します。

3 ドメイン・コントローラを配置するサイトを定義し、トポロジをダウンロードまたは更新します。

4 クライアントがドメインのメンバでない場合は、コンピュータをドメインのメンバとして設定します。

5 Windows NTとWindows 2000の場合は、以下の操作を行います。

■ Auto Local Logon（オプション）を有効にする

■ Secure Domain Logonを有効にする

6 コンピュータを再起動してログオンします。

Secure Domain Logonの使用

コンピュータを再起動してから、以下の手順に従います。

1 Windows NTの［ログオン］ウィンドウが表示されたら、オペレーティング・システムのクレデンシャルを入力します。

2 ［OK］をクリックします。

SecuRemoteの［Logon］ウィンドウが表示されます。

3 定義された時間内に、SecuRemoteのクレデンシャルを入力します（361 ページの「SDLタイムアウトの設定」を参照）。

ログオンに失敗して、キャッシュされた情報が使用されていない場合は、1分待ってから再度ログオンしてます。

クライアントですでにSDLが設定されている場合は、デフォルトでSDLが有効になっているSecuRemote/SecureClientインストール・パッケージを管理者がカスタマイズできるため、ユーザが手動でSDLを設定する必要はありません。カスタマイズの方法には以下の2通りがあります。

■ SecureClient Packaging Tool（「SecureClientのパッケージング」を参照）を使用して自己解凍型クライアント・パッケージを作成し、［Operating System Logon］ウィンドウで［Enable Secure Domain Logon（SDL）］を選択する

■ EnableSDLの値を1に設定して、SecuRemoteのインストール・パッケージ内のproduct.iniファイルを編集する 詳細については、「Userc.CとProduct.ini設定ファイル」を参照してください。

362

サーバへのキープアライブ・パケットの送信

逆向き接続（サーバからクライアント）

逆向き接続（サーバからクライアントへの接続）は、Xtermなど一部のアプリケーションで必要となります。このような接続は、ルール・ベースで明示的に定義する必要はありません。逆向き接続を行うためにユーザがサイトにログオンすると、ユーザ名と IPアドレスが認証データベースに 15分間（この時間は設定可能です）保存されます。この間は、サーバからクライアントへのすべての逆向き接続が可能です。この時間を経過すると、逆向き接続は暗号化されずに送信されます。

サーバへのキープアライブ・パケットの送信

15分の間隔を有効にするには、クライアントからサーバへキープアライブ転送が送信されるように逆向き接続を設定します。この操作は、特にNATデバイスを使用している場合に必要です。

キープアライブ・パケットを送信することによって、認証データベースに保持されているIPアドレスが常に更新されます。［Global Properties］ウィンドウの［Remote Access］ページで、［Enable back connections (from gateway to client)］のチェックをオンにし、

［Send Keep-Alive packet to the Gateway］の値を指定します。

トポロジの自動更新（コネクト・モードのみ）

SecuRemoteクライアントを設定して、SecuRemoteの起動または IKE鍵交換の直前にサイトのトポロジを自動的に更新できます。［Global Properties］ウィンドウの［Remote Access］ページで設定します。

［Global Properties］ウィンドウで、システム管理者は以下の操作を選択できます。

■ Update topology every ... hours － 後にトポロジが更新されてから定義された期間が経過すると、次の鍵交換が実行される前にサイトのトポロジが更新されます。

［Update topology every ... hours］が有効な場合は、以下の機能が使用できます。

■ Automatic update － この機能を有効にすると、鍵交換が行われてから（［Update topology every ... hours］の値に従って）サイトが更新されます。これにより、ユーザがサイトを更新する必要がなくなります。

■ Upon VPN-1 SecuRemote/SecureClient startup － この機能を有効にすると、SecuRemoteクライアントの起動時に、トポロジの更新を要求するメッセージがユーザに表示されます。SecuRemoteクライアントの起動時にユーザがネットワークに接続していない場合、ユーザはこのメッセージを拒否できます。この場合、トポロジはサイトとの次の鍵交換の後に自動的に更新されます。

第24章 リモート・アクセスの高度な設定 363

チェック・ポイント以外のファイアウォールの操作方法

チェック・ポイント以外のファイアウォールの操作方法

チェック・ポイント以外のファイアウォールの背後にSecuRemote/SecureClientがある場合、ファイアウォールに以下のポートを開いて、SecuRemote/SecureClientのトラフィックが通過できるようにする必要があります。

旧バージョンのSecuRemote/SecureClientチェック・ポイントでは、SmartCenter Server、モジュール、SecuRemote/SecureClientというアップグレード順を推奨しています。したがって、アップグレードされたモジュールに旧バージョンのSecuRemote/SecureClientで接続するという期間が存在します。これらのSecuRemote/SecureClientのいずれかがバージョン 4.1の場合、［Global Properties］ウィンドウの［Early Versions Compatibility］ページ（［Remote Access］の下）で下位互換性が有効になっている必要があります。

［Required policy for all desktops］では、バージョン 4.1のクライアントで実施されるポリシーの種類が定義されます。NG以降では、SecuRemote/SecureClientに適用されるセキュリティ・ポリシーは、自動的にデスクトップ・セキュリティ・ルール・ベースに定義されたポリシーとなります。バージョン 4.1のクライアントでは、ユーザがポリシーを実施するかどうかを決定し、実施する場合は以下の接続を許可するかどうかを決定する必要があります。

■ すべての送信接続およびすべての暗号化接続

■ 送信接続のみ

■ 暗号化接続のみ

［Client is enforcing required policy］を選択すると、クライアントのセキュリティ・ポリシーを検証するSCVチェックが追加で実行されます。

表 24-3 チェック・ポイント以外のファイアウォールで開くポート

ポート 説明

UDPポート500 TCP上で IKEを使用する場合も常に開く

TCPポート 500 TCP上で IKEを使用する場合のみ開く

IPプロトコル50 ESP UDPのカプセル化を常に使用していない場合に開く

UDPポート2746 設定可能。UDPのカプセル化を使用している場合のみ。

UDPポート259 MEP、インタフェース解決またはインタフェースの高可用性を使用する場合のみ開く

364

問題

SecuRemote DNSサーバによる内部名の解決

問題

SecuRemote/SecureClientでは、内部DNSサーバを使用して、固有ではない IPアドレスを持つ内部ホスト（VPN-1 Proゲートウェイの背後にある）の名前を解決する必要があります。

解決策

も簡単な解決策は、コネクト・モードとオフィス・モードを使用することです。それ以外では、SecuRemote DNSサーバを定義して、スプリットDNS機能を使用します。

SecuRemote DNSサーバは内部DNSサーバを示すオブジェクトです。これを使用して、IPアドレス（RFC 1981形式）が登録されていない内部名を解決できます。このような内部名のDNS解決は暗号化することをお勧めします。DNSトラフィックをすべて暗号化する必要はありません。すべてのDNS解決に認証が必要になるためです。

SecuRemote DNSサーバの設定

1 オブジェクト・ツリー（図 24-2）で、新しいSecuRemote DNSサーバを作成します。

図24-2 SecuRemote DNSサーバの作成

2 ［SecuRemote DNS Properties］ウィンドウには、以下のタブがあります。

■ ［General］タブ － SecuRemote DNSサーバの全般的な設定のほか、SecuRemote DNSサーバが存在するホストを設定します。

■ ［Domains］タブ － 新しいドメインを追加したり、既存のドメインの編集や削除を行います。

第24章 リモート・アクセスの高度な設定 365

SecuRemote DNSサーバによる内部名の解決

図24-3［Domain］タブ

3 ［Domain］タブ（図 24-3）で、ドメインのサフィックスと照合ルールを定義します。ルールに対応するドメイン内の名前が、SecuRemote DNSサーバによって解決されます。その他のすべての名前は、SecuRemoteクライアントのデフォルトのDNSサーバによって解決されます。

■ ［Domain Suffix］で、SecuRemote DNSサーバが内部名を解決する対象となるドメイン・サフィックス（checkpoint.comなど）を指定します。

■ ［Match only *.suffix］を選択して、解決されるラベルの 大数が 1となるように指定します。

たとえば、［Domain Suffix］が「checkpoint.com」で、［Match only *.suffix］が選択されている（すなわちプレフィックスの 大ラベル数が事実上 1つである）場合、SecuRemote DNSサーバは「www.checkpoint.com」と「whatever.checkpoint.com」の解決には使用されますが、「www.internal.checkpoint.com」の解決には使用されません。

■ 照合するラベルの数を増やすには、［Match up to...labels preceding the suffix］を選択します。

たとえば、［Domain Suffix］が「checkpoint.com」で、［Match up to...labels preceding the suffix］が選択されて値が 3に設定されている場合、SecuRemote DNSサーバは「www.checkpoint.com」と「www.internal.checkpoint.com」の解決には使用されますが、「www.internal.inside.checkpoint.com」の解決には使用されません。

その他の考慮事項

以下の場合には、スプリットDNSは無効です。

■ コネクト・モードで、通信が切断されている。

この問題を解決するには、SecuRemote/SecureClientのuserc.Cファイルで、disable_split_dns_when_disconnectedをfalseに設定します。

■ コネクト・モードで、オフィス・モードで接続されている。

この問題を解決するには、SecuRemote/SecureClientのuserc.Cファイルで、disable_split_dns_in_omをfalseに設定します。

366

第 章25

リモート・アクセスVPNの複数エントリ・ポイント

この章の構成

複数エントリ・ポイントを持つゲートウェイの必要性

VPN-1 Pro実施モジュールをインストールしたゲートウェイでは、内部ネットワークに対して 1つのエントリ・ポイントが提供されます。このゲートウェイによって、リモート・マシンへの内部ネットワークが「有効」になります。ゲートウェイでエラーが発生すると、内部ネットワークは使用できなくなります。したがって、同じネットワークに複数エント

リ・ポイント（MEP）を設定すると有効です。

複数エントリ・ポイントのためのチェック・ポイント・ソリューション

MEP環境では、複数のVPN-1 Proゲートウェイによって、同じVPNドメインに対する保護とアクセスの両方が与えられます。宛先の IPアドレスに到達するためのゲートウェイをリモート・ユーザが選択する方法は、MEPを持つゲートウェイの設定によって異なります。この設定は、組織の要件によっても異なります。

詳細については、177 ページの「複数エントリ・ポイントVPN」を参照してください。

複数エントリ・ポイントを持つゲートウェイの必要性 367 ページ

複数エントリ・ポイントのためのチェック・ポイント・ソリューション

367 ページ

MEPの設定 371 ページ

367

複数エントリ・ポイントのためのチェック・ポイント・ソリューション

複数エントリ・ポイントに対するチェック・ポイントのソリューションは、ゲートウェイの可用性をテストする独自のプロービング・プロトコル（PP）が基礎になっています。MEPゲートウェイは同じ場所にある必要はなく、地理的に分散していてもかまいません。

SecureClientの接続プロファイルとMEP所定の接続のエントリ・ポイントとして使用されるゲートウェイを選択する方法には、以下の 3つがあります。

■ 初に応答。 初に応答したゲートウェイを選択するMEP環境では、SecureClientはそのプロファイルで設定されたゲートウェイに接続しようとします。設定されたゲートウェイが応答しない場合は、 初に応答したゲートウェイが選択されます。

■ プライマリ /バックアップ。この方法では、SecureClientはまずプライマリ・ゲートウェイに接続しようとします。プライマリ・ゲートウェイが応答しない場合は、バックアップ・ゲートウェイに接続しようとします。バックアップ・ゲートウェイも応答しない場合、その後の接続は行われません。

■ ランダム選択。負荷共有機能を持つMEP環境では、SecureClientはランダムにゲートウェイを選択し、ゲートウェイに優先度を割り当てます。VPNドメイン内のホスト・コンピュータに対するその後のすべての接続について、リモート・ピアは選択されたゲートウェイを継続して使用します。負荷分散は、「接続のエンドポイント」のレベルではなく、「別々のクライアント」のレベルで行われます。また、SecureClientはプロファイル内で「ゲートウェイに接続」するように設定されたゲートウェイをすべて無視します。

注： MEPゲートウェイ環境でサポートされるリモート・クライアントは、チェック・ポイントの

SecuRemote/SecureClientのみです。

368

優先バックアップ・ゲートウェイ

優先バックアップ・ゲートウェイ

優先バックアップ・ゲートウェイでは、MEPの設定に含まれるゲートウェイのうちから、バックアップ・ゲートウェイにするゲートウェイをリモート・ホストで選択できます。プライマリ・ゲートウェイとバックアップ・ゲートウェイが使用不可になった場合、MEPの設定に含まれるほかのすべてのゲートウェイは無視されます。

図25-1 優先バックアップ・ゲートウェイ

このシナリオの場合、以下のように設定されています。

■ VPNドメインが、A、B、およびCというゲートウェイの背後にあります。

■ ゲートウェイAはプライマリ・ゲートウェイです。

■ ゲートウェイAが使用不可の場合、ゲートウェイBがバックアップ・ゲートウェイとなります。

■ ゲートウェイAもBも使用不可の場合、リモート・ホストはゲートウェイCには接続しません。

ビジター・モードとMEPMEP環境で使用されるRDPゲートウェイ検出メカニズムはUDP上で動作します。すべてのトラフィックは通常のTCP接続でトンネルされるため、ビジター・モードでSecureClientを使用する場合には問題が発生します。

MEP環境では、以下のように動作します。

■ RDPプロービング・プロトコルは使用されません。代わりに、特別なビジター・モードのハンドシェイクが採用されます。

■ MEPのフェイルオーバーが発生すると、SecureClientは切断されるため、ユーザは通常の方法でサイトに接続しなおす必要があります。

第25章 リモート・アクセスVPNの複数エントリ・ポイント 369

MEPの無効化

■ プライマリ /バックアップが設定されている場合、プライマリ・ゲートウェイが使用不可になると、接続はバックアップ・ゲートウェイにフェイルオーバーされます。プライマリ・ゲートウェイが復旧しても、接続はプライマリ・ゲートウェイに戻りません。

■ MEP環境のすべてのゲートウェイは、以下の条件に従う必要があります。

1 ビジター・モードをサポートしている。

2 ビジター・モードが有効なプロファイルでユーザが作業している。

返信パケットのルーティング

返信パケットが正しくルーティングするために、MEP設定のゲートウェイでは IPプールNATを利用します。

IPプールNAT

IPプールNATはNATの一種です。IPプールNATにより、リモートVPNドメインのソースIPアドレスが、登録された IPアドレスのプールから取得された IPアドレスにマッピングされます。MEP設定のゲートウェイを使用して対称型のセッションを維持するため、MEP設定のゲートウェイは IPアドレス範囲を使用してNATを実行します。この IPアドレス範囲は、そのゲートウェイ専用の範囲であり、内部ネットワーク内で発信元のゲートウェイにルーティングされます。返信パケットがゲートウェイに到達すると、ゲートウェイは元の送信元 IPアドレスを復元して、発信元にパケットを転送します。

MEPの無効化

MEPが無効になると、MEPのRDPプロービングとフェイルオーバーは実行されません。その結果、リモート・ホストは、MEPの設定を考慮せずに定義したゲートウェイに接続します。

注： オフィス・モードが有効な場合は、オフィス・モードが動的に IPをリモート・ホストに割り当てる

ため、IPプールNATを設定する必要はありません。

370

初に応答

MEPの設定

このセクションの構成

MEPを設定するには、以下の項目を決定します。

1 MEPの選択方式

■ 初に応答

■ プライマリ /バックアップ

■ 負荷分散

初に応答

複数のゲートウェイが同じ（重複する）VPNドメインに接続する場合、リモートVPN-1ProピアはこれらのゲートウェイはMEPであると判断し、プロービング・プロトコルに応答した 初のゲートウェイが選択されます。 初に応答を設定するには、すべてのゲートウェイによって共有されるネットワークの部分を 1つのグループとして定義して、このグループをVPNドメインとして割り当てます。

各ゲートウェイ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。次に、すべてのゲートウェイに対して同じVPNドメインを定義します。

プライマリ -バックアップ

1 ［Global Properties］ウィンドウの［VPN］>［Advanced］ページで、［Enable Backup Gateway］を選択します。

2 ネットワーク・オブジェクト・ツリーの［Groups］セクションで、バックアップ・ゲートウェイとして機能するゲートウェイのグループを作成します。

3 プライマリ・ゲートウェイとして選択するネットワーク・オブジェクトの［VPN］

ページで［Use Backup Gateways］を選択し、ドロップダウン・ボックスからバックアップ・ゲートウェイのグループを選択します。この設定により、このゲートウェイは、特定のVPNドメインのプライマリ・ゲートウェイとして動作します。

初に応答 371 ページ

プライマリ -バックアップ 371 ページ

負荷分散 372 ページ

返信パケットの設定 373 ページ

優先バックアップ・ゲートウェイの設定 374 ページ

MEPの無効化 374 ページ

第25章 リモート・アクセスVPNの複数エントリ・ポイント 371

MEPの設定

4 バックアップ・ゲートウェイに対してVPNを定義します。バックアップ・ゲートウェイには、独自のVPNドメインがない場合もあります。これらは、単純にプライマリのバックアップとして機能します。バックアップ・ゲートウェイに独自のVPNドメインがない場合、VPNドメインにはそのバックアップ・ゲートウェイだけを組み込む必要があります。

A バックアップ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。

B グループまたはバックアップ・ゲートウェイのみを含むネットワークを選択します。

バックアップにVPNドメインが存在する場合、以下の操作を実行します。

A バックアップ・ゲートウェイの IPアドレスがプライマリのVPNドメインに含まれていないことを確認します。

B 各バックアップ・ゲートウェイに対して、ほかのバックアップ・ゲートウェイのVPNドメインと重複しないVPNドメインを定義します。

5 返信パケットを処理するように IPプールNATを設定します。373 ページの「返信パケットの設定」を参照してください。

負荷分散

1 ［Global Properties］ウィンドウで、［Remote Access］>［VPN Basic］ページの［Load distribution］セクションで［Enable load distribution for Multiple Entry Point configurations (Remote Access connections)］を選択します。

2 すべてのゲートウェイに同じVPNドメインを定義します。

このオプションをオンにすることは、負荷分散が動的に行われ、リモート・クライアントがランダムにゲートウェイを選択することも意味します。

注： プライマリ・ゲートウェイのVPNドメインとバックアップ・ゲートウェイのVPNドメインに、

重複があってはいけません。つまり、両方に属する IPアドレスは存在しません。

372

返信パケットの設定

返信パケットの設定

返信パケットは、ゲートウェイに属する IPプールNATアドレスで処理されます。

IPプールNATの設定

［Global Properties］ウィンドウの［NAT］ページで、［Enable IP Pool NAT for SecuRemote/ SecureClient and gateway to gateway connections］を選択します。その後、以下の手順に従います。

1 各ゲートウェイについて、そのゲートウェイの IPプールNATアドレスを示すネットワーク・オブジェクトを作成します。IPプールは、ネットワーク、グループ、またはアドレス範囲で設定できます。たとえば、アドレス範囲の場合は以下のとおりに設定します。

■ ネットワーク・オブジェクト・ツリーで、［Network Objects］ブランチを右クリックし、［New］>［Address Range...］を選択します。［Address Range Properties］ウィンドウが表示されます。

■ ［General］タブで、アドレス範囲の 初の IPと 後の IPを入力します。

■ ［OK］をクリックします。ネットワーク・オブジェクト・ツリーの［Address Ranges］ブランチに、新しいアドレス範囲が表示されます。

2 IPプールNAT変換が実行されるゲートウェイ・オブジェクトで、［Gateway Properties］ウィンドウから［NAT］ページへ進み、［IP Pools (for Gateways)］セクションで以下のいずれか（または両方）を選択します。

■ Use IP Pool NAT for VPN client connections■ Use IP Pool NAT for gateway to gateway connections

■ ［Allocate IP Addresses from］フィールドで、作成したアドレス範囲を選択します。

■ 未使用のアドレスが IPプールに返却されるまでの待機時間を分単位で指定します。

■ ［OK］をクリックします。

3 各内部ルータのルーティング・テーブルを編集して、NATプールから割り当てられたIPアドレスを持つパケットが適切なゲートウェイにルーティングされるようにします。

第25章 リモート・アクセスVPNの複数エントリ・ポイント 373

優先バックアップ・ゲートウェイの設定

優先バックアップ・ゲートウェイの設定

SmartDashboardで、以下の手順に従います。

1 ［Manage］>［Remote Access］>［Connection Profiles］をクリックします。

2 既存のプロファイルを選択し、［Edit］をクリックするか、［New］>［Connection Profile］をクリックします。

［Connection Profile Properties］ウィンドウが表示されます。

図25-2 ［Connection Profile Properties］ページ

3 ［Connect to Gateway］と［Backup Gateway］フィールドで、このプロファイルのプライマリ・ゲートウェイとバックアップ・ゲートウェイとして機能するゲートウェイを、ドロップダウン・メニューから選択します。

4 ［OK］をクリックします。

MEPの無効化

MEPの無効化を設定するには、次のDbeditコマンドを trueに設定します。

■ desktop_disable_mep

374

第 章26

Userc.CとProduct.ini設定ファイル

この章の構成

Userc.CとProduct.iniの概要

VPN管理者はパッケージ・ツールを使用して、カスタマイズしたSecuRemote/SecureClientパッケージを作成してエンドユーザに配布することができます。パッケージ・ツールでは、パッケージに収録されているUserc.CとProduct.iniファイルのプロパティの値を変更することによって、SecuRemote/SecureClientの動作を変更します。

ただし、これらのファイルのプロパティの一部には、パッケージ・ツールを使用しても変更できないものがあります。SecuRemote/SecureClientパッケージをエンド・ユーザに配布する前に、パッケージの Userc.C と Product.ini ファイルを手動で編集すると、SecuRemote/SecureClientの動作を変更できます。

Userc.CとProduct.iniの概要 375 ページ

Userc.Cファイルのパラメータ 377 ページ

Product.iniのパラメータ 389 ページ

375

Userc.CとProduct.iniの概要

Userc.Cファイル

Userc.Cの構造

Userc.C設定テキスト・ファイルには、Global、Managers、およびGatewaysという 3つのセクションがあります。

■ Global－（単一のSmartCenterサーバが管理する）サイトまたはピア・ゲートウェイに限定されないプロパティです。クライアント・マシンでは、このプロパティは変更されません。オブジェクト・データベースの［Global Properties］セクションを変更する際は、userc.CのGlobalセクションを手動で変更しないでください。SmartDashboardの［Global Properties］を編集するか、DBeditコマンド・ラインまたはSmartCenterサーバのグラフィカル・データベース・ツールを使用します。

■ Managers－SmartCenterサーバごとに適用されるプロパティです。エンド・ユーザがサイトの更新を行うたびに更新されます。

■ Gateway－特定のゲートウェイに固有のプロパティです。エンド・ユーザがサイトの更新を行うたびに更新されます。

ファイルの中で各パラメータが存在するセクションは、Userc.Cファイルのパラメータ・テーブル（後述）の、［Location in Userc.C］というカラムに示されています。

Userc.Cの自動更新方法

ゲートウェイにセキュリティ・ポリシーをインストールすると、オブジェクト・データベースもインストールされます。データベースのうち、リモート・クライアントに関連する部分が、ゲートウェイのトポロジ・サーバに送信されます。クライアントがサイトの更新を実行すると、クライアントはトポロジ・サーバから実際にトポロジ情報をダウンロードします。このトポロジ情報によって、クライアント上のuserc.CファイルのManagersおよびGatewayセクションが更新されます。userc.Cファイルは、クライアント・マシンのSecuRemote¥databaseディレクトリに格納されます。パラメータはoptionsセクションに表示されます。

Userc.Cを手動で編集する方法

userc.CのGlobalセクションは、手動で変更しないでください。

userc.CのManagersおよびGatewayセクションを手動で変更するには、以下の手順に従います。

376

Product.iniファイル

1 元のSecuRemote/SecureClientのtgz形式のインストール・パッケージから、userc.Cを抽出します。

2 必要に応じて、userc.Cのパラメータを編集します。

3 tgzファイルを作成しなおします。

Product.iniファイル

Product.ini設定テキスト・ファイルには、パッケージのインストールに関わるプロパティのほとんどが含まれています。プロパティの値は固定されています。Product.iniファイルは、SecuRemote/SecureClientのインストール時にのみ読み取られます。

products.iniを変更するには、パッケージ・ツールを使用するか、必要に応じて以下の手順でファイルを手動で編集します。

1 元のSecuRemote/SecureClientのtgz形式のインストール・パッケージから、products.iniを抽出します。

2 products.iniに必要な編集を手動で実行します。

3 tgzファイルを作成しなおします。この tgzファイルが、エンド・ユーザ用のSecuRemote/SecureClientパッケージです。

Userc.Cファイルのパラメータ

このセクションの構成

警告： SecuRemote/SecureClientでは、userc.Cファイルに対する 低限の構文チェックを行い

ます。編集されたパラメータが誤っていると、ファイルが壊れたり、サイトを再定義しなくてはなら

なくなることがあります。

SecureClient 378 ページ

暗号化 380 ページ

複数エントリ・ポイント 384 ページ

暗号化逆向き接続 384 ページ

トポロジ 384 ページ

NTドメインのサポート 385 ページ

その他 386 ページ

第26章 Userc.CとProduct.ini設定ファイル 377

Userc.Cファイルのパラメータ

SecureClient

■ default_ps (n.n.n.n)－ デフォルトのポリシー・サーバの IPアドレスを指定します。このプロパティが存在すると、SecureClientを起動すると自動的にポリシー・サーバに（IP n.n.n.nで）ログオンするため、ユーザが手動でポリシー・サーバにログオンする必要がなくなります。－Global

■ manual_slan_control（true、false）－ このプロパティを無効にすると、［Policy］メニューから［Disable Policy］メニュー項目が削除されます。－Global

■ allow_clear_in_enc_domain（true、false）－ このプロパティを有効にすると、暗号化のデスクトップ・ルールに従って、SecureClient NGで非暗号化接続が許可されます。また、［Encrypted Only］または［Outgoing and Encrypted］ポリシーが実行されているSecureClient 4.1でも、非暗号化接続が許可されます。ただし、接続元と接続先の IPアドレスの両方が、1つのVPN-1 Proゲートウェイの暗号化ドメイン内にあることが条件です。－Global

■ disable_stateful_dhcp（true、false）－ この属性が falseになっていれば、実施されているデスクトップ・セキュリティ・ポリシーに関わらず、SecureClientでDHCPパケットが許可されます。この属性を trueに設定すると、デスクトップ・セキュリティ・ポリシーが明示的にDHCPを許可している場合のみ、DHCPが許可されます。そのためには、SecureClientバージョン 4.1で［Allow All］のポリシーが実行されていて、SecureClient NGで特定のルールに従ってDHCPが有効になっている必要があります。－Global

■ block_conns_on_erase_passwords（true、false）－ trueに設定すると、SecureClientの［Passwords］メニューの［Erase Password］オプションが［Close VPN］に置き換わり、ツールバーに ボタンが表示されます。［Close VPN］オプションを選択するか、このボタンをクリックすると、暗号化された接続がすべて遮断されます。－Managers

■ enable_automatic_policy_update（true、false）－ ポリシーの自動アップデートを有効にするかどうかを指定します。－Managers

■ silent_policy_update（true、false）－ trueに設定すると、automaic_policy_update_frequencyに指定した時間が経過しても、クライアントの起動時にポリシーの更新を要求するメッセージが表示されなくなります。鍵交換が正常に行われた後にポリシーの更新を要求するメッセージは引き続き表示されます。－Managers

■ PS_HA（true、false）－ ログオン失敗時にバックアップ・ポリシー・サーバを使用します。－ Managers

■ PS_LB（true、false）－ trueに設定すると、すべてのクライアントが同じポリシー・サーバに接続しないよう、ポリシー・サーバがランダムに使用されます。－Managers

■ LB_default_PS（true、false）－ default_ps(x.x.x.x)が設定されている場合、このプロパティを trueに設定すると、トポロジの調査によって検出された同じサイト内のポリシー・サーバがランダムに使用されます。－Managers

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

378

SecureClient

■ no_policy（true、false）－ ポリシー状態が無効であることを示します。－Global■ policy_expire（60）－ ポリシーのタイムアウト時間（分単位）です。このプロパ

ティはSmartDashboardでも管理できます。－Managers■ retry_frequency（30）－ ポリシー・サーバにログインしたが、有効時間の半分が

経過してから再ログオンに失敗した場合、このパラメータによって、ログオンの再試行までの時間が秒単位で指定されます。毎回、すべてのポリシー・サーバに対して試行されます。－Managers

■ automaic_policy_update_frequency（10080）－ SecureClientがポリシー・ファイルを更新する頻度を秒単位で管理します。－Managers

■ suppress_all_balloons（true、false）－ すべてのバルーン・メッセージを管理します。このフラグを trueに設定すると、メッセージ・バルーンが表示されなくなります。falseに設定すると、すべてのバルーンが表示されます。バルーンのメッセージは .tdeファイルには表示され、Status DialogのMessageViewerに記録されます。

■ sdl_browse_cert（true、false）－ falseに設定すると、「認証の変更」での証明書の参照が無効になります。trueに設定すると、SDLモードの参照ダイアログが制限されるため、ファイルの参照は可能ですが、ファイルの作成や変更、アプリケーションの起動はできません。

■ disconnect_when_in_enc_domain（true、false）－ クライアントがサイトに接続したときに、表示されるインタフェースがゲートウェイのVPNドメインのいずれかに存在する IPアドレスを持っていると、クライアントは切断されます。理由はメッセージ・バルーンで説明されます。

■ open_full_diagnostic_tool（true、false）－ falseに設定すると、SecureClientでは診断のログ・ビューのみが開きます。trueに設定すると、すべての診断内容が開きます。いずれの場合も、スタート・メニューから完全な診断ツールを開くことは可能です。

■ tt_failure_show_notification（true、false）－ fail_connect_on_tt_failureが falseに設定されている（ttが失敗しても接続は成功する）場合、このフラグによって、接続の進行の詳細に tt失敗についての通知文字列が表示されます。

■ simplified_client_route_all_traffic（true、false）－ この属性によって、シンプル・クライアントが route-all-trafficを使用して接続するかどうかが指定されます。

■ scv_allow_sr_clients（true、false）－ trueに設定すると、デフォルトでSCV検証されていないSecuRemoteクライアントから、実施中のゲートウェイに検証された状態が送信されます。

■ use_profile_ps_configuration（true、false）－ リモート・ユーザがあるゲートウェイに接続して、別のゲートウェイの背後のポリシー・サーバにログオンできるようにするには、このプロパティを trueに設定します。

■ force_route_all_in_profile（true、false）－ trueに設定すると、ユーザが作成したプロファイルで「route all traffic」オプションが選択され、プロファイル作成や編集のダイアログで淡色表示になります。－ Global

■ enable_mode_switching（true、false）－ trueに設定すると、クライアントで拡張表

示と簡易表示を切り替えることができます。

第26章 Userc.CとProduct.ini設定ファイル 379

Userc.Cファイルのパラメータ

ホット・スポット登録

■ enabled（true、false）－ ユーザがホットスポット登録を実行できるようにするには、trueに設定します。

■ log（true、false）－ 登録中にアクセスした IPアドレスとポートのリストを含むログを送信するには、trueに設定します。

■ connect_timeout（600）－ 登録を完了するまでの 長時間（秒単位）です。

■ max_ip_count（5）－ 登録中に許可される IPアドレスの 大数です。

■ block_hotspot_after_connect（true、false）－ 接続成功時にこのプロパティがtrueに設定されていると、記録されたポートとアドレスが開いたままになりません。

■ max_trials（0）－ この値は、エンド・ユーザに許可されるホットスポット登録の大試行回数を表します。この上限値に達すると、そのユーザは二度と登録の試行

できなくなります。再起動したり、VPN接続に成功すると、カウンタはリセットされます。また、max_trialsの値を変更すると、変更内容は再起動や接続の成功時のみ有効になります。

max_trialsの値を 0に設定すると、試行できる回数は無制限になります。

■ local subnets（true、false）－ ローカル・サブネットへのアクセスのみを制限します。

■ ports（80、443、8080）－ 特定のポートへのアクセスを制限します。

暗号化

■ use_cert（true、false）－［IKE Authentication］ウィンドウの［Use Certificate］のチェックをオンにするかどうかを指定します。－Global

■ use_entelligence（true、false）－ Entrust Entelligenceツールキットがインストールされている場合に、それをSecuRemoteで使用するかどうかを指定します。－Global

■ entrust_inifile－ Entrust証明書を処理しているときにSecuRemote/SecureClientによって使用される、デフォルトでない entrust.iniファイルへの完全なパスです。－Global

■ certfile－ 後に使用した証明書の名前です。－Global■ gettopo_port（264）－ トポロジの更新に使用するポートです。－Global■ pwd_erase_on_time_change（true、false）－ ユーザがシステム・クロックを変更

すると、パスワードの消去が実行されます。－Global■ force_udp_encapsulation（true、false）－ UDPのカプセル化を使用するかどうかを

指定します（コネクト・モードでは透過的でアクティブなプロファイル）。コネクト・モードでデフォルトのプロファイルを作成するときにも使用します。－Global

■ support_tcp_ike（true、false）－ IKE時にTCPを使用するかどうかを指定します（コネクト・モードでは透過的でアクティブなプロファイル）。コネクト・モードでデフォルトのプロファイルを作成するときにも使用します。－Global

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

380

暗号化

■ support_tcp_ike（true/false/use_site_default）－ TCP上で IKEを実行するかどうかを決定します。－Gateway

■ support_ip_assignment（true、false）－ オフィス・モードを使用するかどうかを指定します（コネクト・モードでは透過的でアクティブなプロファイル）。コネクト・モードでデフォルトのプロファイルを作成するときにも使用します。－Global

■ ChangeUDPsport（true、false）－ ChangeUDPsportと force_udp_encapsulation両方のフラグの値が trueの場合、IKEパケットにはランダムのソース・ポートが使用され、別のランダムなソース・ポートがUDPカプセル化パケットに使用されます。－Global

■ uencapport（2746）－ UDPカプセル化の使用時に、UDPカプセル化パケットで使用されるポートを指定します。－Gateway

■ ChangeIKEPort（true、false）－ trueの場合は、ポート 500にバインドしないでください。代わりに、ルータ・ポートとアドレス変換を使用して、ポート 500から接続が発信されているかのように見せることができます。このパラメータでは、ほかのクライアント・アプリケーション（NokiaやMicrosoftなど）に対してポートの使用が許可されます。ポートが使用中の場合は、別のポートが使用されます。－Global

■ send_clear_traffic_between_encryption_domains（true、false）－ このパラメータが trueで、発信元と宛先がそれぞれ異なる暗号化ドメインの背後にある場合、パケットは暗号化されずに送信されます。この機能は、定義されているサイトが1つの場合のみ有効です。－Managers

■ send_clear_except_for_non_unique（true、false）－ このパラメータが trueの場合、NATプライベート・アドレスとして定義された IPアドレスでは、send_clear_traffic_between_encryption_domainsが機能しません。

■ send_clear_except_for_specific_addresses（true、false）－ このパラメータがtrueの場合、send_clear_except_for_address_groupで定義された IPアドレスでは、send_clear_traffic_between_encryption_domainsが機能しません。－Managers

■ send_clear_except_for_address_group－send_clear_except_for_specific_addressesのアドレス・グループを指定します。－Managers

■ dns_encrypt（true、false）－トポロジ内で受信した暗号化属性を、dnsinfoセクションで上書きします。NG FP3以前のバージョンに対応するプロパティです。－Global

■ disable_split_dns_when_in_om（true、false）－ オフィス・モード時にスプリットDNSを無効化します。－Global

■ disable_split_dns_when_disconnected（true、false）－ 切断時にスプリットDNSを無効化します。－Global

■ disconnect_on_IKE_SA_expiry（true、false）－ このプロパティが trueの場合、コネクト・モードで IKEタイムアウトの時間に達すると、パスワードを消去する代わりに接続を切断します。－Global

■ renew_users_ica_cert（true、false）－ ユーザが自分の証明書を（明示的または暗黙的に）更新できるかどうかを指定します。－Managers

■ renew_users_ica_cert_days_before (1-1000) 60－ 期限が切れて暗黙的な更新が行われるまでの日数です。－Managers

第26章 Userc.CとProduct.ini設定ファイル 381

Userc.Cファイルのパラメータ

■ rupgrade_fp1_and_below_users_ica_cert（true、false）－ NG FP2より前に発行された証明書を暗黙的に更新するかどうかを指定します。－Managers

■ ike_negotiation_timeout（36）－ タイムアウトが発生するまでに、IKEエンジンがピアからの応答を待機する 長時間を秒単位で指定します。この時間は連続したパケットの間の 大間隔で、ネゴシエーションの 長持続時間ではありません。－Managers

■ phase2_proposal（large、small）－ クイック・モード（パケット 1）でクライアントによって送信されるプロポーザルのサイズを決定します。このプロパティには、下位互換性があります。phase2_proposal_sizeを使用するのは、NG FP3以上のバージョンです。－Managers

■ phase2_proposal（large、small）－ クイック・モード（パケット 1）でNG FP3以上のクライアントによって送信されるプロポーザルのサイズを決定します。この値が設定されていない場合は、phase2_proposalの値が代わりに使用されます。NG FP3クライアントは、小さいプロポーザルの試行に失敗した後で、大きなプロポーザルを試行します。－Managers

■ vpn_peer_ls（true、false）－ 暗号化ドメイン設定と完全に重複するMEPで、このプロパティが trueの場合は、ゲートウェイはMEPゲートウェイからランダムに選択され、優先度を与えられます。－Managers

■ ike_support_dos_protection（true、false）－ ステートレス防御を使用してメイン・モードを再起動し、クライアントがDoS防御要求に応答しようとしているかどうかを判断します。SmartDashboardの［Global Property］の［Support IKE DoS Protection from unidentified Source］に相当します。－Managers

■ sr_don’t_check_crl（true、false）－ 証明書のCRLをチェックしません。－Managers

■ crl_start_grace（610200）－ SecuRemote/SecureClientで、まだ有効でないCRLを受理できます。－Managers

■ crl_end_grace（1209600）－ SecuRemote/SecureClientで、 近期限切れになったCRLを受理できます。－Managers

■ site_default_tcp_ike（true、false）－ TCP上で IKEを試行するデフォルトのサイトを決定します。各ゲートウェイには、「supports_tcp_ike」（true、falseまたはuse_site_default）というプロパティがあります。値が「use_site_default」に設定されていると、クライアントでは管理プロパティ site_default_tcp_ikeを使用して、TCP上で IKEを試行するかどうかを判断します。－Managers

■ suppress_ike_keepalive（true、false）－ IPsecの keepaliveがオンになっていて、「suppress_ike_keepalive」プロパティが falseの場合、空のUDPパケットがゲートウェイ（宛先のポート 500）に送信されます。UDP keepaliveパケットは、ピアにIKE SAが存在し、UDPカプセル化が選択されている場合のみ送信されます。－Managers

■ default_phase1_dhgrp－ このフィールドでは、クライアントにトポロジができる前の IKEフェーズ Iで使用するDHグループを示します。このフラグが存在しない場合は、グループ 2が使用されます。－Global

382

暗号化

■ to_expire（true、false）－ フェーズ IIの IKE認証にタイムアウトを設定するかどうかを指定します。このプロパティはSmartDashboardでも管理できます。－Managers

■ expire（120）－ IKEフェーズ IIのタイムアウトです。このプロパティはSmartDashboardでも管理できます。－Managers

■ ICA_ip_address－ 内部CAの IPアドレスです。－Global■ allow_capi（true、false）－ 内部CA登録にCAPIを保存できないようにします。

－Global■ allow_p12（true、false）－ 内部CA登録に p12を保存できないようにします。

－Global■ trust_whole_certificate_chain（true、false）－ この属性によって、証明書の階

層がある場合の接続性が向上し、ゲートウェイが信頼するCAが、クライアントが信頼するCAの下位CA（直下でなくてもよい）となります。このフラグがない場合は、ゲートウェイとクライアントの両方が同一のCAを信頼する必要があります。－Global

■ is_subnet_support（true、false）－ このプロパティをオンにすると IPsec SAがサブネットに対して有効となり、オフにすると特定のアドレスに対して有効になります。－Gateway

■ ISAKMP_hybrid_support（true、false）－ このプロパティをオンにすると、認証ポップ・アップが表示されたときに、ユーザが認証モードとして、ハイブリッド・モードと証明書のいずれかを選択できます。オフにすると、証明書とプリシェアード・シークレットのいずれかを選択できます。－Gateway

■ resolve_multiple_interfaces（true、false）－ resolve_interface_ranges（静的インタフェース解決）が無効または失敗したときに、このプロパティがオンになっていると、このゲートウェイのアドレスを指定する際に動的インタフェース解決が実行されます。この場合、ゲートウェイのインタフェースは 1度だけプローブされます。－Gateway

■ interface_resolving_ha（true、false）－ 動的インタフェース解決が使用されたときに（resolve_multiple_interfacesを参照）、このプロパティがオンになっていると、接続を行うたびにゲートウェイのインタフェースがプローブされ、インタフェースが使用可能であることが確認されます。－Gateway

■ isakmp.ipcomp_support（true、false）－ ピア・ゲートウェイが 下位のNGで、クライアントがSecureClientである（かつSecuRemoteでない）場合に、クライアントが「send small proposal」モードで、このプロパティがオンになっていると、IP圧縮が提案されます。クライアントが「send large proposal」モードの場合は、このプロパティの値に関わらず IP圧縮が提案されます。－Gateway

■ supports_tcp_ike（use_site_default）－ TCP上の IKEがクライアントで設定されていて、このプロパティが trueであるか、use_site_defaultとsite_default_tcp_ikeが trueの場合、TCP上では IKEフェーズ Iが実行されます。－Gateway

■ supportSRIkeMM（true、false）－ 認証方法がPKIで、このプロパティが falseの場合、メイン・モードはサポートされません。－Gateway

第26章 Userc.CとProduct.ini設定ファイル 383

Userc.Cファイルのパラメータ

複数エントリ・ポイント

resolver_ttl（10）－ ゲートウェイがダウンしていると判断するまでにSecuRemoteが待機する時間を秒単位で指定します。－Global

active_resolver（true、false）－ SecuRemoteで定期的にゲートウェイの状態を確認するかどうかを指定します。アクティブ・ゲートウェイ解決を行うと、ダイヤルアップ接続が ISPに接続しようとする場合があります。このプロパティをオフにすることで、この動作に関連する問題を防止できます。－Global

resolver_session_interval（60）－ ゲートウェイのステータス（アップまたはダウン）の有効期間を秒単位で指定します。－Global、Managers

暗号化逆向き接続

■ keep_alive（true、false）－ VPN-1 Proの実施モジュールがクライアントに対するセッション鍵の情報を保持するかどうかを指定します。保持することにより、いつでも暗号化逆向き接続が可能になります。このプロパティはSmartDashboardでも管理できます。－Global、Managers

■ keep_alive_interval（20）－ keep_aliveが trueの場合、SecuRemoteでは n秒ごとにVPN-1 Pro実施モジュールに pingを行います。nは、keep_alive_intervalプロパティで指定した数字です。このプロパティはSmartDashboardでも管理できます。－Global

トポロジ

■ topology_over_IKE（true、false）－ SecuRemoteの［New Site］で、ユーザの認証にIKEを使用するかどうかを指定します。このプロパティを trueに設定すると IKEが使用されます。このとき、ハイブリッド認証（ユーザのプロパティの［Authentication］タブで選択した認証方式）を使用する場合と、証明書を使用する場合があります。このプロパティを falseに設定すると、SSLが（バージョン 4.1と同様に）使用されるため、ユーザは IKEのプリシェアード・シークレットか設定済みの証明書を使用して、新しいサイトを定義する必要があります。－Global、Managers

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

384

NTドメインのサポート

■ encrypt_db（true、false）－ userc.Cのトポロジ情報を暗号化形式で保持するかどうかを指定します。－Global

■ silent_topo_update（true、false）－ サイトごとにプロパティを渡さないサーバの操作を行う際の下位互換性に使用します。このプロパティはSmartDashboardでも管理できます。－Global、Managers

■ silent_update_on_connect（true、false）－ 接続する前に、接続しようとしているゲートウェイを更新しようとします（Nokiaクライアントに適用）。－Global

■ update_topo_at_start（true、false）－ タイムアウト時間が経過すると、SecuRemote/SecureClientのGUIアプリケーションの起動時にトポロジを更新します。－Global、Managers

NTドメインのサポート

■ no_clear_tables（true、false）－ このプロパティを trueに設定すると、ログオフやシャットダウンによってSecuRemote/SecureClientが閉じた後で、暗号化ドメインとの暗号化接続を新しく開くことができるようになります。ただし、暗号化鍵が交換されていて、まだ有効である場合に限られます。この機能は、NTドメインでローミング・プロファイルを使用している場合に必要です。SecuRemote/SecureClientがWindowsによって閉じられた後、PCがログオフやシャットダウン中にユーザのプロファイルをドメイン・コントローラに保存しようとするためです。有効な暗号化鍵が常に存在するためには、「keep_alive」（384 ページの「暗号化逆向き接続」を参照）と組み合わせてこの機能を使用する必要があります。－Global

■ connect_domain_logon（true、false）－ Global。この属性をtrueに設定すると、クライアントがコネクト・モードを使用して、SDL経由でドメイン・コントローラにログオンできます。ドメイン・コントローラにログオンするには、ユーザは以下の手順に従う必要があります。

1 ローカルのWindowsコンピュータにログオンします。

2 組織に接続します。

3 ログオフし、暗号化接続を使用して（ログオフしてから 5 分以内に）保護されたドメイン・コントローラへログオンしなおします。

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

注：

1. この設定を有効にすると、ユーザがWindowsからログオフしてから5分間、クライアントが組織に接

続されたままになります。

2. この機能は、コネクト・モードのSDLがNG FP2 HF2でサポートされる前に導入されたものです。

SDLがサポートされているバージョンでは、このプロパティはドメイン・ローミング・プロファイル

のサポートにのみ使用されます。

第26章 Userc.CとProduct.ini設定ファイル 385

Userc.Cファイルのパラメータ

■ sdl_main_timeout（60000）－ コネクト・モードでは、このプロパティによって、ユーザが正常に接続するか、接続ダイアログをキャンセルするまでの待機時間を指定します。－Global

その他

■ enable_kill（true、false）－ ユーザがSecuRemote/SecureClientを停止できるかどうかを指定します。このオプションを falseに設定すると、［File］メニューや、システム・トレイ・アイコンを右クリックしたときの［Stop VPN-1 SecuRemote］または

［Stop VPN-1 SecureClient］が表示されなくなります。－Global■ use_ext_auth_msg（true、false）－ 認証が成功または失敗したときに、

SecuRemote/SecureClientの認証ウィンドウにカスタムのメッセージを表示するかどうかを指定します。メッセージは、SecuRemoteディレクトリ（通常はProgram Files¥CheckPoint）にあるAuthMsg.txtというファイルに書き込まれます。詳細については、SecuRemoteパッケージのAuthMsg.txtファイルを参照してください。－Global

■ use_ext_logo_bitmap（true、false）－ 認証が成功または失敗したときに、SecuRemote/SecureClientの認証ウィンドウにカスタムのビットマップを表示するかどうかを指定します。ビットマップ・ファイルの名前はlogo.bmpで、SecuRemoteディレクトリ（通常はProgram Files¥CheckPoint）にあります。－Global

■ guilibs－ SAA DLLの指定に使用され、このコンテキストで記録されます。－Global

■ pwd_type（now、later）－ 現在または後の認証ダイアログのステータスを示すために内部で使用されます。このプロパティは変更しないでください。－Global

■ connect_mode_erase_pwd_after_update（true、false）－ コネクト・モードでサイトを更新した後に、パスワードを消去します。silent_update_on_connectと共に使用します。－Global

■ disable_mode_transition （true、false）－ ユーザがGUIやコマンド・ラインを使用してモードを切り換えられないようにします。－Global

■ connect_api_support（true、false）－ SecuRemote/SecureClientのモードを示します。接続APIで操作するには、このプロパティを trueに設定します。－Global

■ connect_mode－ SecuRemote/SecureClientのモードを示します。コネクト・モードにするには trueに設定します。－Global

■ allow_clear_traffic_while_disconnected（true、false）－ 切断時にトポロジがロードされないため、LANが接続されてもポップアップが表示されません。－Global

注： 太字はデフォルト値を示します。Global、Managers、またはGatewayは、Userc.Cファイル内

の場所を示します。376 ページの「Userc.Cの構造」を参照してください。Globalプロパティは手動で

編集しないでください。

386

その他

■ stop_connect_when_silent_update_fails（true、false）－ silent_update_on_connectモードで接続しようとして、トポロジの更新に失敗すると、接続が失敗します。－Global

■ go_online_days_before_expiry（0）－ Entrust自動鍵更新（証明書の更新）までの日数です。ゼロは更新しないことを意味します。－Global

■ go_online_always（true、false）－ trueに設定すると、IKEネゴシエーションに成功した後にLDAP（entrust.ini）プロトコルを実行します。－Global

■ implicit_disconnect_threshold（900）－ 物理アダプタの接続が失われると、implicit_disconnect_thresholdで指定した時間（秒単位）だけSecuRemote/SecureClientが接続状態を維持します。この時間が経過するか、別の IPアドレスで接続が再開されると、SecuRemote/SecureClientは切断します。ワイヤレスなど頻繁にネットワークが接続されるネットワーク環境で便利な機能です。－Global

■ active_test－ アクティブなテストの設定です。－Global■ log_all_blocked_connections－ モードを示すために内部で使用され、GUI

チェック・ボックスのステータスを反映しています。このプロパティは変更しないでください。－Global

■ cache_password－ 内部で使用され、［Remember password, as per site settings］というチェック・ボックスのステータスを保存します。このプロパティは変更しないでください。－Global

■ dns_xlate（true、false）－ スプリットDNSの機能をオフにします。NG FP3以前のバージョンで必要です。NG FP3以降のバージョンでは、オフィス・モードではデフォルトでスプリットDNSを使用しません。－Global

■ FTP_NL_enforce（0、1、2）－ FTP検査の厳密度を示します。0はチェックなし、1はデフォルトのチェックで複数の改行文字が使用可能、2は厳密なチェックで複数の改行文字は使用不可です。－Global

■ show_disabled_profiles（true、false）－ このプロパティが trueの場合、コネクト・モードで IKEタイムアウトの時間に達すると、パスワードを消去する代わりに接続を切断します。－Global

■ post_connect_script － 接続が確立された後にSecuRemote/SecureClientが実行するスクリプトの完全なパスを指定します（コネクト・モードのみ）。－Managers

■ post_connect_script_show_window（true、false）－ 接続後のスクリプトを非表示のウィンドウで実行するかどうかを指定します。－Managers

■ list_style－メイン・フレーム・ウィンドウでのサイトのアイコンの表示方法です。－Global

■ mac_xlate（true、false）－「実際の」DNSサーバへのトラフィックと「分割された」DNSサーバへのトラフィックのルーティング方法が異なるスプリットDNSをサポートするには、このプロパティを trueに設定する必要があります。 も一般的なシナリオは、「実際の」DNSサーバがクライアントと同じサブネット上にある場合です。スプリットDNSではパケットの IPを変更しますが、MAC送信先は変更しません。mac_xlateが trueに設定されていると、MAC送信先アドレスはデフォルトのゲートウェイのアドレスに設定されます。－Global

第26章 Userc.CとProduct.ini設定ファイル 387

Userc.Cファイルのパラメータ

■ mac_xlate_interval－ デフォルトのゲートウェイのMACアドレス（mac_xlateを参照）をチェックする頻度です。－Global

■ sda_implicit（true、false）－ SDA（Software Distribution Agent）の作業モードです。trueは暗黙的、falseは明示的です。－Global、Managers

■ sda_imlicit_frequency－ SDA（Software Distribution Agent）がASDサーバに接続して更新をチェックする頻度（分単位）です。－Global、Managers

■ sr_build_number、sr_sw_url_path、sr_sw_url_path_9x、sr_build_number_9x、sr_sw_url_path_nt、sr_build_number_nt、sr_sw_url_path_w2k、sr_build_number_w2k－ SmartCenterサーバのコンピュータでは、これらのプロパティの名前はdesktop_sw_versionやdesktop_build_numberなどになります。これらの属性は、SecureClientのアップグレードをする必要があるかどうかを判断する際に便利です。－Managers

■ install_id_nt,install_id_9x,install_id_w2k － インストール IDです。－Managers

388

その他

Product.iniのパラメータ 表 26-1 Product.iniのパラメータ

パラメータ（太字はデフォルトを示す）

意味

OverwriteConfiguration=0/1 アップグレード中の［Update］または［Overwrite］の選択肢の値を設定します。デフォルト値（0）は、［Update］が選択されていることを示します。

ShowUpdateOverwrite=0/1 インストール中に［Update］または［Overwrite］ウィンドウをユーザ側に表示します。ウィンドウが表示されない場合は、OverwriteConfigurationの値が使用されます。

PathAskUser=0/1 インストール中に［Choose Installation Destination］ウィンドウをユーザ側に表示します。ウィンドウが表示されない場合は、InstallShieldで選択されたデフォルト値が使用されます（通常はC:¥Program Files¥CheckPoint¥SecuRemote）。

DesktopSecurityAskUser=0/1 インストール中に［Desktop Security］ウィンドウをユーザ側に表示します。ウィンドウが表示されない場合は、DesktopSecurityDefaultの値が使用されます。

DesktopSecurityDefault=0/1 インストールされるデスクトップ・セキュリティの値を設定します。値が1の場合はSecureClientがインストールされ、0の場合はSecuRemoteがインストールされることを意味します。

InstallDialupOnly=0/1 すべてのアダプタにバインドするか、ダイヤルアップ・アダプタのみにバインドするかを設定します。値が 0の場合は、インストールがすべてのアダプタにバインドされます。

ShowNetworkBindings=0/1 インストール中に［Adapter Bindings］ウィンドウをユーザ側に表示します。ウィンドウが表示されない場合は、InstallDialupOnlyの値が使用されます。

ShowReadmeFile=0/1 ［Readme］ウィンドウをユーザに表示します。このウィンドウでは、インストールを終了する前に readmeファイルを表示するかどうかをユーザに確認します。値が 0の場合は、ウィンドウは表示されず、インストール中にreadmeファイルを読まないことを意味します。

ShowBackgroundImage=0/1 インストール中にバックグラウンド画像を表示するかどうかを決定します。

ShowSetupInfoDialogs=0/1 InstallShieldの情報ダイアログ（ユーザの操作は必要ない）を表示するかどうかを決定します。

DisableCancelInstall=0/1 インストールのダイアログでのキャンセル操作を無効にするオプションです。

ShowRestart=0/1 再起動ダイアログを表示するかどうかを決定します。

RestartAfterInstall=0/1 0の場合はインストール後の再起動は行われず、1の場合は再起動されます。

第26章 Userc.CとProduct.ini設定ファイル 389

Product.iniのパラメータ

ShowRebootWarning=0/1 「The installation will complete after reboot」というメッセージが表示されないようにします。

IncludeBrandingFiles=0/1 authmsg.txtおよびlogo.bmpファイル（［Authentication］ダイアログのカスタマイズに使用）を、インストール中にコピーするかどうかを決定します。use_ext_auth_msgおよびuse_ext_logo_bitmapの詳細については、userc.Cのオプションのセクションを参照してください。

EnableSDL=0/1 インストール中の［Secure Domain Logon (SDL)］の値を設定します。値が1の場合は、インストール中にSDLが有効になります。

SdlNetlogonTimeout (Seconds/0)

オペレーティング・システムのNet Logonのタイムアウトを設定します。0の場合は、現在の値は変更されません。

Support3rdPartyGina=0/1 SecuRemoteクライアントNGでは、サード・パーティ製のGINA DLLを使用した認証が可能です。このプロパティを選択しない場合、WindowsのGINA DLLがデフォルトで使用されます。サード・パーティ製のGINA DLLを使用している場合にこのプロパティを有効にすると、SDL操作と競合する可能性があります。

EnablePolicyView=0/1 SecureClient Diagnosticsアプリケーションの［Policy］ビューを有効にします。

EnableLogView=0/1 SecureClient Diagnosticsアプリケーションの［Log］ビューを有効にします。

EnableDiagnosticsView=0/1 SecureClient Diagnosticsアプリケーションの［Diagnostics］ビューを有効にします。

ShowKernelInstallation=0/1 ドライバのインストール・ダイアログを表示するかどうかを決定します。

OverwriteEntINI=0/1 既存の entrust.iniファイルを、インストール時のentrust.iniで上書きするかどうかを決定します。値が 1の場合は、既存のentrust.iniファイルを上書きすることを示します。

DefaultPath（完全パス） デフォルトは、C:¥Program Files¥CheckPoint¥SecuRemoteです。

ConnectMode=0/1 デフォルトのクライアント・モードを設定します。0は透過的で、1はコネクト・モードです。

表 26-1 Product.iniのパラメータ

パラメータ（太字はデフォルトを示す）

意味

390

第 章27

SSL Network Extender

この章の構成

SSL Network Extenderの概要

ユーザが遠隔地から組織にアクセスするときはいつでも、通常の安全接続要件だけでなく、リモート・クライアントの特殊な要件にも適合している必要があります。その要件には、以下のようなものがあります。

■ 接続性： リモート・クライアントがNATを実行するデバイスやプロキシ、ファイアウォールの背後にあっても、さまざまな場所から組織にアクセスできる必要があります。使用可能なアプリケーションには、Web アプリケーション、メール、ファイル共有、および企業の必要性に特化したアプリケーションが含まれている必要があります。

■ 安全な接続性： すべての接続に対する認証、機密性およびデータの完全性の組み合わせによって保証されます。

■ 利便性： インストールが簡単である必要があります。ネットワークを変更しても設定は不要でなければなりません。所定のソリューションを、接続するユーザがシームレスに利用できる必要があります。

これらの問題を解決するためには、企業ネットワークへの安全なリモート・アクセスを可能にするための安全な接続フレームワークが必要となります。

SSL Network Extenderの概要 391 ページ

SSL Network Extenderの動作 392 ページ

共通概念 392 ページ

SSL Network Extender特有の考慮点 397 ページ

SSL Network Extenderの設定 399 ページ

ユーザによるSSL Network Extenderの操作 413 ページ

トラブルシューティング 428 ページ

391

SSL Network Extenderの動作

SSL（Secure Socket Layer）Network Extenderは、実装の簡単なリモート・アクセス・ソリューションです。シン・クライアントがユーザのコンピュータにインストールされます（SSLNetwork Extenderクライアントは、他のクライアントよりもはるかに小さいサイズです）。シン・クライアントは、実施モジュールの一部であるSSL対応Webサーバに接続されます。デフォルトでは、SSL 対応Web サーバは無効になっています。SSL 対応Web サーバはSmartDashboardを使用して有効にされ、SSL上での完全に安全な IP接続が可能となります。ほかのリモート・アクセス・クライアントと異なり、SSL Network Extenderではサーバ側の設定のみが必要となります。ユーザがサーバに接続すると、シン・クライアントがActiveX コンポーネントとしてダウンロードおよびインストールされ、それを使用して、SSLプロトコルを使用する企業ネットワークに接続します。

旧来からあるほかのクライアントの新しいバージョンを導入するよりも、SSL NetworkExtender クライアントの新しいバージョンを導入する方がはるかに簡単です。

SSL Network Extenderの動作

SSL Network Extenderソリューションは、ユーザのデスクトップやラップトップにインストールされたシン・クライアントとSSL対応のWebサーバ・コンポーネントで構成されています。これらはVPN-1 Pro実施モジュールに統合されています。

SSL Network Extenderを使用するクライアントの接続性を有効にするには、SSL NetworkExtenderを参照する軽微な設定のほか、VPN-1 ProがSecuRemote/SecureClientをサポートするように設定されている必要があります。

SSL Network Extenderは、R55 HFA10（またはこれ以降）実施モジュールからダウンロードしてユーザのコンピュータにインストールできます。

共通概念

このセクションでは、SSL Network Extenderを操作する際に考慮する共通概念について簡単に説明します。このガイドを読む前に、本書の「リモート・アクセスVPN」のセクションを確認することを強くお勧めします。

このセクションの構成

リモート・アクセスVPN 393 ページ

リモート・アクセス・コミュニティ 393 ページ

オフィス・モード 393 ページ

ビジター・モード 393 ページ

Integrity Clientless Security 393 ページ

Integrity Secure Browser 395 ページ

392

リモート・アクセスVPN

リモート・アクセスVPNSecuRemote/SecureClientやSSLクライアント、サード・パーティ製の IPSecクライアントなどのクライアント・ソフトウェアを使用してネットワークにアクセスするリモート・ユーザのことです。VPN-1ゲートウェイでは、リモート・クライアントにリモート・アク

セス・サービスを提供します。

リモート・アクセス・コミュニティ

リモート・アクセス・コミュニティは、チェック・ポイントVPN-1の概念です。一種のVPNコミュニティで、特に社内LANの外の離れた場所で通常作業をするユーザ向けに作成されたものです。

オフィス・モード

オフィス・モードは、チェック・ポイントのリモート・アクセスVPNソリューションの機能です。これにより、VPN-1 Proゲートウェイでリモート・クライアントに IPアドレスを割り当てることができます。この IPアドレスは、家庭内ネットワークとの安全なカプセル化通信のために内部でのみ使用されるため、公共ネットワークでは見ることができません。ユーザが接続して認証されると、割り当てが実行されます。ユーザが接続している限り、割り当てリースは継続的に更新されます。アドレスは構成ファイルを使用して、一般的な IPアドレス・プール、またはユーザ・グループごとに指定される IPアドレス・プールから選択されます。

ビジター・モード

ビジター・モードは、チェック・ポイントのリモート・アクセスVPNソリューションの機能です。これにより、ポート443での通常のTCP接続を通じた、クライアントとゲートウェイ間のすべての通信のトンネリングが可能になります。ビジター・モードは、IPSec接続を遮断するために設定されたファイアウォールやプロキシ・サーバ用のソリューションとして設計されています。

Integrity Clientless Security

Integrity Clientless Security（ICS）は、害を及ぼすおそれのあるソフトウェアが内部のアプリケーションにアクセスする前に検出できるよう、末端のコンピュータをスキャンするために使用します。エンド・ユーザが初めてSSL Network Extenderにアクセスすると、エンド・ユーザのコンピュータでマルウェアをスキャンするActive Xコンポーネントのダウンロードを要求するメッセージが表示されます。スキャンの結果は、ゲートウェイとエンド・ユーザの両方に表示されます。SSL Network Extenderへのエンド・ユーザのアクセスは、管理者が設定したコンプライアンス・オプションに基づいて許可または拒否されます。

第27章 SSL Network Extender 393

共通概念

遮断されるソフトウェアの種類

ICSでは、以下の表に挙げる種類のマルウェアを遮断できます。

表1 遮断されるソフトウェアの種類

ソフトウェアの種類 説明

ワーム ネットワーク接続を妨害したり、ソフトウェアやデータを破壊する目的で、コンピュータ・ネットワーク上で増殖するプログラム

トロイの木馬型ウイルス 一見無害なアプリケーションのふりをする、悪意のあるプログラム

ハッカー・ツール ハッカーがコンピュータにアクセスしたり、そのコンピュータからデータを抜き出したりするためのツール

キー・ロガー ユーザの入力動作（マウスやキーボード操作）を、ユーザの同意の有無に関わらず記録するプログラム。キー・ロガーの中には、記録された情報をサード・パーティに転送するものがあります。

アドウェア 広告を表示したり、Web利用行動に関する情報を記録して保存したり、ユーザの承認および通知なしにマーケティング業者や広告業者へその情報を転送したりするプログラム

ブラウザ・プラグイン ユーザのブラウザの設定を変更したり、ブラウザに機能を追加したりするプログラム。ブラウザ・プラグインの中には、デフォルトの検索ページを有料検索サイトに変更したり、ユーザのホーム・ページを変更したり、ブラウザの履歴をサード・パーティに転送したりするものがあります。

ダイヤラ ユーザのダイヤルアップ接続設定を変更して、ユーザが近くのインターネット・サービス・プロバイダの代わりに別のネットワークに接続するようにするプログラム。通常は長距離電話番号や国際電話番号に接続されます。

サード・パーティ・クッキー ユーザのインターネット操作に関する情報をマーケティング業者に提供するために使用されるクッキー

その他の有害なソフトウェア ユーザのコンピュータ上で密かに有害なアクションを勝手に実行する不要なソフトウェアで、上記の説明のいずれにも当てはまらないもの

394

Integrity Secure Browser

Integrity Secure Browser

以下のセクションでは、Integrity Secure Browserの概要、Integrity Secure Browserの操作方法、既知の制限事項や問題について説明します。

概要

Integrity Secure Browser（ISB）は、ブラウズ中にクライアント側に蓄積された、セッション固有のすべてのデータを保護します。エンド・ユーザは、ユーザ・セッション中のデータの保護や、セッション終了後のキャッシュの消去などを可能にするチェック・ポイント独自のセキュア・ブラウザを使用できます。

ユーザ・セッション中、ISBでは以下のデータを保護します。

■ パスワード・フィールドとフォーム・フィールド

■ URL履歴

■ キャッシュされたファイル

■ クッキー

■ レジストリのエントリ

■ 近使用したファイル

所定のユーザ・セッションが終了すると、ISBはスパイウェアがデータを表示、使用または追跡できないよう、特定のセッションに関連する前述の情報をすべて消去します。

ISBは、データを独自のプライベート・キャッシュにリダイレクトおよびキャッシュして、ブラウザ固有のデータを保護します。他のブラウザのように、公開されたスペースにデータを保存することはありません。ユーザ・セッションが期限切れになったり終了したりすると、ISBはセッションのキャッシュを消去します。

また ISBでは、ユーザが知らずに実行する安全でない可能性のあるアクションに関する警告を発します。たとえば、ユーザが情報をクリップボードにコピーしようとしたり、一時ファイルを公開のスペースやディスクに保存したりしようとすると、ISBにポップアップ警告が表示されます。

ISBの操作方法

SmartDashboard経由で ICSを使用するように設定すると、ローカルのコンピュータにインストールされている他のブラウザと共に、チェック・ポイントの Integrity Secure Browserも使用可能になります。現在のブラウザからWebにアクセスすると、機密情報への不正アクセスを許可するおそれがあります。ISBではWebへの安全なアクセスが可能であるため、ISBを使用することを強くお勧めします。

ユーザがSSL Network Extenderにアクセスしようとすると、ISBを使用するか、現在のブラウザを引き続き使用するかという選択肢が表示されます。ユーザが ISBを選択すると、ISBを使用して新しい安全なセッションが開きます。ユーザが現在のブラウザを引き続き使用することを選択すると、そのブラウザを使用して新しいセッションが開きます。

第27章 SSL Network Extender 395

共通概念

特定のコンピュータで ISBを使用するには、そのコンピュータに ISBをダウンロードしてインストールする必要があります。ユーザがSSL Network Extender へ 初に接続する際に

Internet Explorerを使用すると、自動的かつ（ユーザに対して）透過的に、ISBのダウンロード、

インストールおよび起動が実行されます。

その後SSL Network Extenderに接続する際、すなわちすでに ISBがインストールされている場合も、ISBと現在のブラウザのいずれかの選択を要求するメッセージが表示されます。

既知の制限事項

既知の制限事項は、以下のとおりです。

1 クライアント側での ISBの使用は、現時点では強制されません。現在、クライアント側での ISBの使用はオプションです。

2 ISBでは、ファイルをサイトにアップロードすることはまだできません。

3 ISB がキャッシュを消去するため、ユーザのブラウザ設定は保存できません。したがって、ユーザはSSL Network Extenderに接続するたびに設定を選択しなおす必要があります。

既知の問題

既知の問題は、以下のとおりです。

1 1つのセッションで 10個を超える ISBウィンドウを開くと、ISBが応答しなくなるおそれがあるため、これはお勧めしません。

2 まれに、コンテンツを大量に含むサイトで ISBが応答しなくなることがあります。

3 一部のスパイウェア対策ソフトウェアと ISB を同時に使用すると、ISB のインストールが失敗するおそれがあります。

注： ユーザが ISB以外のブラウザを使用して接続しようとすると、ISBと現在のブラウザのいずれかの

選択を要求するメッセージが表示されます。

396

必要条件

SSL Network Extender特有の考慮点

このセクションでは、以下のようなSSL Network Extender特有の考慮事項として、必要条件や機能、制限事項について説明します。

このセクションの構成

必要条件

SSL Network Extenderの必要条件は、以下のとおりです。

クライアント側の必要条件

SSL Network Extenderのクライアント側の必要条件は、以下のとおりです。

■ リモート・クライアントでWindows 2000 Pro、またはWindows XP Home EditionまたはProが動作している必要があります。

■ リモート・クライアントが Internet Explorerバージョン 5.0以上（ActiveXが使用可能）を使用している必要があります。

■ 初にクライアントのインストール、アンインストール、およびアップグレードを行うには、クライアント・コンピュータに対する管理者権限が必要となります。

サーバ側の必要条件

SSL Network Extenderのサーバ側の必要条件は、以下のとおりです。

■ SSL Network Extenderはサーバ側のコンポーネントで、SSL Network Extenderが関連付けられている特定の実施モジュールの一部です。SSL Network Extenderがゲートウェイ上で有効になっていて、リモート・アクセスSecureClientゲートウェイとして機能するように設定済みの場合があります。

■ 特定のVPN-1実施モジュールが、VPN-1リモート・アクセス・コミュニティのメンバとして設定され、ビジター・モードで動作するように設定されている必要があります。このことがSecureClientの機能に支障をきたすことはありませんが、SecureClientユーザによるビジター・モードの使用は許可されます。

■ SecureClientユーザとSSL Network Extenderユーザの両方に、同じアクセス・ルールが設定されます。

■ Integrity Clientless Security（ICS）を使用する場合は、ICSサーバをインストールする必要があります。ICSサーバは、http://www.checkpoint.com/products/clientless/index.htmlから、マニュアルと共にダウンロードできます。

必要条件 397 ページ

機能 398 ページ

第27章 SSL Network Extender 397

SSL Network Extender特有の考慮点

機能

SSL Network Extenderの機能は、以下のとおりです。

■ インストールと導入が簡単です。

■ 直感的かつ簡単なインタフェースによる設定および使用が可能です。

■ SSL Network Extenderのメカニズムは、ビジター・モードとオフィス・モードが基礎となっています。

■ 自動プロキシ検出が実装されています。

■ サイズの小さいクライアントです。SSL Network Extenderパッケージのダウンロード・サイズは 300KB未満で、ディスクにインストールされた後のSSL Network Extenderのサイズは約 650KBです。

■ すべてのVPN-1 Pro認証スキームがサポートされています。証明書、チェック・ポイントのパスワード、またはSecurID、LDAP、RADIUSなどの外部ユーザ・データベースを使用した認証が可能です。

■ セッションの終了時に、ユーザやゲートウェイに関する情報がクライアント・コンピュータに残りません。

■ VPN-1 SecuRemote/SecureClientと同一の多彩なログ機能がゲートウェイ上で使用可能です。

■ 高可用性クラスタとフェイルオーバーがサポートされています。

■ SSL Network Extenderのアップグレードがサポートされています。

■ SSL Network Extenderでは、RC4暗号化方式をサポートしています。

■ ユーザは、システム管理者がSmartDashboardなどで定義した、信頼済みのCAが発行した証明書を使用して認証を実行できます。

■ SSL Network Extenderが IPSOでサポートされています。

■ Integrity Clientless Securityによって、ワームやトロイの木馬、ハッカーのツール、キー・ロガー、ブラウザのプラグイン、アドウェア、サード・パーティ・クッキーなどの種類のマルウェアがもたらす脅威が防止されます。

■ SSL Network Extenderは、ハブ・モードで動作するように設定できます。ハブ・モードでリモート・アクセス・クライアントのVPNルーティングを行うことができます。ハブ・モードでは、すべてのトラフィックが中央のハブを経由して送受信されます。

398

サーバの設定

SSL Network Extenderの設定

以下のセクションでは、サーバの設定方法を説明します。負荷共有クラスタのサポート、Web GUIのカスタマイズ、SSL Network Extenderクライアントのアップグレード、および管理者権限がないユーザのインストールについても説明します。

このセクションの構成

サーバの設定

サーバを設定する前に、SSL Network Extenderの有効なライセンスを所有していることを確認します。

SSL Network Extenderの有効なライセンスがあるかどうかを確認するには、cpconfigコマンドを使用します。チェック・ポイントのソフトウェア製品は、ライセンス・キーによるアクティベーション方式を採用しています。ライセンス・キーを入手するには、製品メディア・パックの背面に記載されているCertificate Keyをユーザ・センター（http://www.checkpoint.com/usercenter）に登録する必要があります。

サーバ側の設定

SSL Network Extenderでは、サーバ側の設定のみが必要とされます。

このセクションの構成

サーバの設定 399 ページ

負荷共有クラスタのサポート 407 ページ

SSL Network Extenderポータルのカスタマイズ 408 ページ

SSL Network Extenderクライアントのアップグレード 412 ページ

管理者権限を持たないユーザのインストール 412 ページ

リモート・アクセス・コミュニティのメンバとしてのゲートウェイの設定

400 ページ

SSL Network Extenderをサポートするゲートウェイの設定 402 ページ

SSL Network Extenderの設定 403 ページ

第27章 SSL Network Extender 399

SSL Network Extenderの設定

リモート・アクセス・コミュニティのメンバとしてのゲートウェイの設定

1 SmartDashboardを開き、オブジェクト・ツリーの［Network Object］タブで［Gateway Object］を選択します。［General Properties］ウィンドウが表示されます。

図1 ［General Properties］ウィンドウ

2 ［VPN-1 Pro］が選択されていることを確認し、［OK］をクリックします。

3 左側で［VPN］を選択します。

4 モジュールがリモート・アクセス・コミュニティに参加していることを確認します。参加していない場合は、モジュールをリモート・アクセス・コミュニティに追加します。

5 ［Remote Access］を選択します。

6 ［Gateway Properties］ページの［Topology］タブで、SecureClientで設定したときと同じ方法でSSL Network ExtenderのVPNドメインを設定します。

注： VPNドメインを使用して、SSL Network Extenderがハブ・モードで動作するように設定できます。

設定すると、すべてのトラフィックは中央のハブを通じて送受信されます。また、同じタブの［Set domain for Remote Access Community...］ボタンを使用して、ゲートウェイに接続するリモート・アク

セス・クライアント用に別の暗号化ドメインを作成することもできます（265 ページの「選択的ルー

ティングの設定」を参照）。

400

サーバの設定

7 「接続性の問題の解決」で説明したとおりに、ビジター・モードを設定します。ビジター・モードを設定しても、通常のSecureClientユーザの機能に影響はありません。SecureClientユーザに対してビジター・モードが有効になります（ビジター・モードの詳細については、393 ページの「ビジター・モード」を参照してください）。

8 SecurePlatformで作業している場合は、以下の操作を実行できます。

■ 以下のコマンドを実行して、webuiポートを変更できます。

webui enable <port number>（たとえばwebui enable 444）

■ 以下のコマンドを実行して、webuiポートを完全に無効にできます。webui disable

9 NokiaプラットフォームでVoyagerポートを変更するには、以下のコマンドを実行します。

voyager -e x -S <port number>（xは暗号化レベルを表します）

詳細を表示するには、次のコマンドを実行します。voyager -h

10 ［Remote Access］>［Office Mode］を選択します。

11 「オフィス・モード」で説明したとおりに、オフィス・モードを設定します（オフィス・モードの詳細については、393 ページの「オフィス・モード」を参照してください）。

この章の構成ユーザと認証を設定します。

注： SSL Network ExtenderではVPN SecurePlatformとの安全な接続を確立するためにTCP 443（SSL）を使用し、Nokia プラットフォームではリモート管理のためにTCP 443（SSL）を使用します。SSLNetwork Extenderに別のポートを割り当てることは可能ですが、ほとんどのプロキシでは80と443以外

のポートを許可していないため、これはお勧めしません。その代わりに、SecurePlatformやNokiaプラッ

トフォームのWebユーザ・インタフェースを443以外のポートに割り当てることを強くお勧めします。

注： ゲートウェイ側では、オフィス・モードがサポートされていることが必須です。

注： R55実施モジュールからDallasへアップグレードする際に、SSL Network ExtenderがR55実施

モジュールに設定されていた場合は、slim.confファイルを削除する必要があります。削除しないと、

SmartDashboardのGUI設定よりも slim.confファイルの方が優先されます。

第27章 SSL Network Extender 401

SSL Network Extenderの設定

SSL Network Extenderをサポートするゲートウェイの設定

SSL Network Extenderを設定するには、以下の手順に従います。

1 ［Remote Access］>［SSL Network Extender］を選択します。［SSL Network Extender］ウィンドウが表示されます。

図27-2 SSL Network Extenderウィンドウ

2 ［Support SSL Network Extender］チェック・ボックスをオンにします。

3 ゲートウェイで認証するサーバ側の証明書を、ドロップダウン・リストから選択します。

4 ［OK］をクリックします。

注： SSL Network Extenderを使用するゲートウェイそれぞれについて、この設定を行う必要があり

ます。

402

サーバの設定

SSL Network Extenderの設定

1 ［Policy］>［Global Properties］>［Remote Access］>［SSL Network Extender］を選択します。SSL Network Extenderの［Global Properties］ウィンドウが表示されます。

図27-3 SSL Network Extenderの［Global Properties］ウィンドウ

1 SSL Network Extenderで使用されているユーザ認証方式を、ドロップダウン・リストから選択します。選択肢は以下のとおりです。

■ Certificate： ユーザは証明書経由でのみ認証されます。登録は許可されません。

■ Certificate with enrollment： ユーザは証明書経由でのみ認証されます。登録は許可されます。ユーザが証明書を所有していない場合は、システム管理者からあらかじめ受け取ったレジストレーション・キーを使用して登録できます。

■ Legacy：（デフォルト）システムは、ユーザのユーザ名とパスワードによって認証を行います。

■ Mixed： システムは、証明書を経由してユーザを認証しようとします。ユーザが有効な証明書を所有していない場合は、ユーザのユーザ名とパスワードによって認証します。

第27章 SSL Network Extender 403

SSL Network Extenderの設定

内部CA証明書の管理

管理者がユーザ認証スキームとして［Certificate with Enrollment］を設定している場合、ユーザはシステム管理者から提供されるレジストレーション・キーを使用して、自分が使用する証明書を作成できます。

登録用のユーザ証明書を作成するには、以下の手順に従います。

a『SmartCenter』の「内部認証局（ICA）と ICA管理ツール」で説明されている手順に従います。

b ICA管理ツールのサイトhttps://<mngmt IP>:18265にアクセスして、［Create Certificates］を選択します。

c ユーザの名前を入力して、［Initiate］をクリックしてレジストレーション・キーを受け取り、そのレジストレーション・キーをユーザに送信します。

ユーザが証明書なしでSSL Network Extenderに接続しようとすると、［Enrollment］ウィンドウが表示されます。ユーザがここにシステム管理者から受け取ったレジストレーション・キーを入力すると、自分が使用する証明書を作成できます。

ユーザのログイン操作の詳細については、「クライアントのダウンロードと接続」を参照してください。

2 SSL Network Extenderを自動的にアップグレードするかどうかを決定できます。ドロップダウン・リストからアップグレードのモードを選択します。選択肢は以下のとおりです。

■ Do not upgrade： 旧バージョンのユーザに対してアップグレードを要求しません。

■ Ask user：（デフォルト）ユーザが接続すると、アップグレードするかどうかを尋ねます。

■ Force upgrade： 旧バージョンのユーザであるか新規ユーザであるかに関わらず、すべてのユーザが 新バージョンのSSL Network Extenderをダウンロードおよびインストールします。

注： このバージョンでは、外部CAへの登録はサポートされていません。

注： システム管理者はユーザをURL、http://<IP>/registration.htmlに誘導して、そのときに

ユーザがSSL Network Extenderを使用しようとしていなくても、レジストレーション・キーを受け取っ

て証明書を作成できるようにすることができます。

注： ［Force Upgrade］オプションは、すべてのユーザが管理者権限を持っていることをシステム管理

者が確信している場合のみ使用してください。そうでないと、ユーザによるSSL Network Extenderへの

接続と使用ができなくなります。

404

サーバの設定

ユーザのアップグレード操作の詳細については、「クライアントのダウンロードと接続」を参照してください。

3 SSL Network Extenderクライアントで、RC4暗号化方式と 3DESの両方をサポートするかどうかを指定できます（RC4の方が高速な暗号化方式です）。ドロップダウン・リストから、サポートする暗号化方式を選択します。選択肢は以下のとおりです。

■ 3DES only：（デフォルト）SSL Network Extenderは 3DESのみをサポートします。

■ 3DES or RC4： SSL Network ExtenderクライアントはRC4暗号化方式と 3DESの両方をサポートします。

4 ユーザが接続を切断したときに、SSL Network Extenderを自動的にアンインストールするかどうかを指定できます。ドロップダウン・リストから該当するオプションを選択します。選択肢は以下のとおりです。

■ Keep installed： （デフォルト）アンインストールしません。ユーザがSSL Network Extenderをアンインストールしたい場合は、手動でアンインストールできます。

■ Ask user whether to uninstall： ユーザが接続を切断すると、アンインストールするかどうかを尋ねます。

■ Force uninstall： ユーザが接続を切断すると常に自動的にアンインストールします。

ユーザの切断操作の詳細については、「切断時のアンインストール」を参照してください。

5 Integrity Clientless Security（ICS）をアクティブにするかどうかを指定できます。ICSをアクティブにすると、SSL Network Extenderに接続しようとするユーザは、ICSスキャンを実行しないとSSL Network Extenderにアクセスできなくなります。ドロップダウン・リストから該当するオプションを選択します。選択肢は以下のとおりです。

■ None■ Integrity Clientless Security

xml構成ファイルの取得

ICSサーバをインストールして設定したら、以下の手順を実行して ICSサーバから xml構成ファイルを取得する必要があります。

a 任意のコンピュータでブラウザを開きます。

b http://<サイトの IP>/<サイト名または仮想ディレクトリ>/sre/report.aspにアクセスし、表示されたXMLファイルを、［名前をつけて保存］コマンドを使用してディスクに保存します。

c XMLファイルを、ゲートウェイの $FWDIR/conf/extender/request.xmlにコピーします。

注： ［Uninstall on Disconnect］機能では、アンインストールするかどうかをユーザに尋ねることはあ

りません。したがって、ユーザが接続中に一時停止状態や休止状態になっても、SSL Network Extenderはアンインストールされません。

第27章 SSL Network Extender 405

SSL Network Extenderの設定

ICSのアップグレード

ICSを手動でアップグレードするには、以下の手順に従います。

a $FWDIR/conf/extenderにあるICSScanner.cabファイルを、新しいパッケージで置き換えます。

b $FWDIR/conf/extenderにあるics.htmlファイルを、以下の手順で編集します。

i #Version=を検索し、現在の値を新しいバージョンで置き換えます。

ii 保存します。

6 ［Advanced］をクリックします。SSL Network Extenderの［Advanced Settings］ウィンドウが表示されます。

図27-4 SSL Network Extenderの［Advanced Settings］ウィンドウ

7 セッション・タイムアウトの時間を設定します。認証されると、リモート・ユーザにはSSL Network Extenderのセッションが割り当てられます。このセッションのコンテキストでは、ユーザがログアウトするか、またはタイムアウトによってセッションが終了するまで、その後のすべての要求がSSL Network Extenderで処理されます。

指定したセッション時間（タイムアウト）が経過する 5分前に、認証設定によってはユーザ側にクレデンシャルを要求するメッセージが表示されることがあります。クレデンシャルが承認されると、タイムアウト間隔が初期化されます。タイムアウトが経過するまでにユーザがクレデンシャルを入力しないと、ユーザはサーバから切断され、クライアントに再接続するには手動で接続する必要があります。

注： 現時点では、Dynamic ICS Update 機能はサポートされていません。

注： デフォルト値は8時間です。 小値は10分で、 大値は24時間です。

406

負荷共有クラスタのサポート

8 キープアライブ・パケットの転送頻度を設定します。キープアライブ・パケットは、ユーザが接続しているNATデバイスやHTTPプロキシに、ユーザの接続がまだアクティブであることを通知します。

9 ［OK］をクリックします。SSL Network Extenderの［Global Properties］ウィンドウが表示されます。

10 ［OK］をクリックします。

負荷共有クラスタのサポート

SSL Network Extenderには、負荷共有クラスタをサポートする機能があります。

負荷共有クラスタのサポートを行うには、以下の手順に従います。

1 SmartDashboardを開き、オブジェクト・ツリーの［Network Object］タブで［Gateway Cluster Object］を選択します。［Gateway Cluster Properties］ウィンドウが表示されます。

2 ［Cluster XL］を選択します。［Cluster XL］タブが表示されます。

3 ［Advanced］をクリックします。［Advanced Load Sharing Configuration］ウィンドウが表示されます。

図27-5［Advanced Load Sharing Configuration］ウィンドウ

4 ［Use Sticky Decision Function］を選択します。クライアントがクラスタに接続すると、クラスタのすべてのトラフィックが 1つのゲートウェイを通過します。そのメンバのゲートウェイが故障すると、クライアントは別のクラスタ・メンバへ透過的に再接続し、セッションを再開します。

注： 対称判定機能の使用を設定する前に、負荷共有クラスタを作成する必要があります。

第27章 SSL Network Extender 407

SSL Network Extenderの設定

5 ［Gateway Cluster Object］>［Remote Access］>［Office Mode］を選択します。負荷共有クラスタで使用するためにオフィス・モードを定義するときは、［Manual (using IP pool)］方式のみがサポートされます。

図27-6［Gateway Cluster Properties］ウィンドウの [Office Mode]ページ

SSL Network Extenderポータルのカスタマイズ

SSL Network Extenderポータルのスキンや言語を変更することができます。

スキン・オプションの設定

スキン・オプションを設定するには、以下の手順に従います。

SSL Network Extenderのゲートウェイの$FWDIR/conf/extenderに、skinディレクトリがあります。

このディレクトリには 2つのサブディレクトリがあります。サブディレクトリは以下のとおりです。

■ chkp： チェック・ポイントからデフォルトで提供されるスキンが入っています。アップグレードすると、このサブディレクトリは上書きされます。

■ custom： ユーザが定義したスキンが入っています。customがまだ存在していない場合は、作成します。アップグレードしても、このサブディレクトリは上書きされません。新しいスキンはこのサブディレクトリに追加されます。

408

SSL Network Extenderポータルのカスタマイズ

スキンの無効化

1 customサブディレクトリで、無効化する特定のスキンのサブディレクトリを開き、disableというファイルを作成します。このファイルは空でもかまいません。

2 特定のスキンがcustomサブディレクトリに存在しない場合は、スキンを作成し、その中にdisableというファイルを作成します。

3 ポリシーをインストールします。次にユーザがSSL Network Extenderのポータルに接続すると、このスキンは使用不可になっています。

例

cd $FWDIR/conf/extender/skin/custommkdir skin1touch disable

ポリシーをインストールします。

スキンの作成

1 customサブディレクトリを開きます。

2 適切なスキン名をつけてフォルダを作成します。

各スキン・フォルダには、以下の 5つのスタイル・シートが入っています。

■ help_data.css： メインのOLHページがこのスタイル・シートを使用します。

■ help.css： OLHページの内側のフレームがこのスタイル・シートを使用します。

■ index.css： ISBページと ICSページ、およびメインのSSL Network Extenderポータル・ページがこのスタイル・シートを使用します。

■ style.css： すべてのログイン・ページがこのスタイル・シートを使用します。

■ style_main.css： SSL Network Extenderのメインの［Connection］ページ、［Proxy Authentication］ページおよび［Certificate Registration］ページが、このスタイル・シートを使用します。

3 新しいスキンを作成してから、ポリシーをインストールします。

注： スキン名がchkpですでに使用されていないことを確認します。使用されている場合は、

新しいスキンの定義が既存のスキンの定義よりも優先されます（新しいスキンの定義が存在する場合）。

新しいスキンの定義を削除すると、chkpのスキン定義が再び使用されます。

注： chkpスキンから前述のファイルをコピーし、その後必要に応じて変更することをお勧めします。

第27章 SSL Network Extender 409

SSL Network Extenderの設定

例

メインのSSL Network Extenderのポータル・ページに、会社のロゴを追加します。

cd $FWDIR/conf/extender/skin/custom

mkdir <skin_name>

cd <skin_name>

copy ../../chkp/skin2/* .

このディレクトリにロゴの画像ファイルを配置します。

index.cssを編集します。

.company_logoに移動し、既存のURLの参照を、新しいロゴ画像ファイルへの参照で置き換えます。

保存します。

ポリシーをインストールします。

言語オプションの設定

言語オプションを設定するには、以下の手順に従います。

SSL Network Extenderのゲートウェイの$FWDIR/conf/extenderに、languagesディレクトリがあります。

このディレクトリには 2つのサブディレクトリがあります。サブディレクトリは以下のとおりです。

■ chkp： チェック・ポイントからデフォルトで提供される言語が入っています。アップグレードすると、このサブディレクトリは上書きされます。

■ custom： ユーザが定義した言語が入っています。customがまだ存在していない場合は、作成します。アップグレードしても、このサブディレクトリは上書きされません。新しい言語はこのサブディレクトリに追加されます。

言語の無効化

1 customサブディレクトリで、無効化する特定の言語のサブディレクトリを開き（存在する場合）、disableというファイルを作成します。このファイルは空でもかまいません。

2 特定の言語がcustomサブディレクトリに存在しない場合は、言語を作成し、その中にdisableというファイルを作成します。

注： <skin_name>には、スペースを入れないでください。

410

SSL Network Extenderポータルのカスタマイズ

3 ポリシーをインストールします。次にユーザがSSL Network Extenderのポータルに接続すると、この言語は使用不可になっています。

言語の追加

1 customサブディレクトリを開きます。

2 適切な言語名をつけてフォルダを作成します。

3 既存のchkp言語のmessages.jsファイルを、このフォルダにコピーします。

4 messages.jsファイルを編集して、二重引用符で囲まれたテキストを翻訳します。

5 保存します。

6 新しい言語を追加してから、ポリシーをインストールします。

例

cd $FWDIR/conf/extender/language

mkdir custom

cd custom

mkdir <language_name>

cd <language_name>

copy ../../chkp/english/messages.js

messages.jsファイルを編集して、二重引用符で囲まれたテキストを翻訳します。

保存します。

custom/english/messages.jsに、以下の行を追加します。

<language_name>=”翻訳したlanguage_name”;

ポリシーをインストールします。

言語の変更

1 customサブディレクトリを開きます。

2 変更対象のchkp言語フォルダに一致する言語名を付けたフォルダを作成します。

注： 言語名が、chkpにすでに存在していないことを確認します。存在している場合は、新しい言語の

定義が既存の言語の定義よりも優先されます（新しい言語の定義が存在する場合）。新しい言語の定義を

削除すると、chkpの言語定義が再び使用されます。

注： <language_name>には、スペースを入れないでください。

第27章 SSL Network Extender 411

SSL Network Extenderの設定

3 空のmessages.jsファイルを作成し、変更したいメッセージのみを以下のフォーマットで挿入します。

<variable_name>=”<該当するテキスト>”;

SSL Network Extenderクライアントのアップグレード

SSL Network Extenderをアップグレードするには、以下の3つの操作を行う必要があります。

■ SSL Network Extenderのゲートウェイの$FWDIR/conf/extenderにあるSSL Network Extenderパッケージ（extender.cab）を置換します。

■ $FWDIR/confにあるslim_ver.txtファイルで、SSL Network Extenderのバージョン番号を更新します。

■ SmartDashboardの［Global Properties］で、クライアントのアップグレードのモードを設定します。

■ ポリシーをインストールします。

管理者権限を持たないユーザのインストール

SSL Network Extenderでは通常、ActiveXコンポーネントをインストールするには管理者権限が必要です。管理者権限を持たないユーザがSSL Network Extenderを使用できるようにするには、管理者が企業向けリモート・インストール・ツール（Microsoft SMSなど）を使用し、SSL Network Extenderを設定する際のMSIパッケージとして、SSL Network Extenderのインストールを配布します。

SSL Network ExtenderのMSIパッケージを準備するには、以下の手順に従います。

1 $FWDIR/conf/extenderにあるextender.cabファイルをWindowsコンピュータに移動し、WinZipを使用してファイルを開きます。

2 cpextender.msiを抽出し、それをMSIパッケージとして使用してリモート・インストールを行います。

注： 詳しくは、chkp/<言語名>にあるmessages.js ファイルを参照してください。

注： SSL Network Extenderパッケージを置換する前に、バックアップすることを強くお勧めします。

注： アップグレードは、管理者権限を持つユーザのみが実行できます。

412

Microsoft Internet Explorerの設定

ユーザによるSSL Network Extenderの操作

このセクションの構成

このセクションでは、SSL Network Extenderのダウンロードや接続、クライアント証明書のインポート、切断時のアンインストールなどのユーザの操作について説明します。

Microsoft Internet Explorerの設定

チェック・ポイントのSSL Network Extenderでは、ActiveXコントロールとクッキーを使用して、インターネット経由でアプリケーションに接続します。これらのテクノロジを利用するには、アプリケーションがコンピュータにインストールされて正しく動作していることを確認するための特別なブラウザ設定が必要となります。信頼済みサイトを設定するアプローチでは、SSL Network Extenderのポータルを信頼済みサイトの 1つにします。このアプローチはセキュリティのレベルを下げないため、強くお勧めします。ブラウザを設定するには、以下の手順に従います。

信頼済みサイトの設定

1 Internet Explorerで、［ツール］>［インターネット オプション］>［セキュリティ］を選択します。

2 ［信頼済みサイト］を選択します。

3 ［サイト］をクリックします。

4 SSL Network ExtenderポータルのURLを入力して［追加］をクリックします。

5 ［OK］を 2回クリックします。

ActiveXコントロールについて

ActiveXコントロールは、MicrosoftのComponent Object Model（COM）アーキテクチャを基礎とするソフトウェア・モジュールです。基本的なソフトウェア・パッケージに既製のモジュールをシームレスに組み込むことによって、ソフトウェア・アプリケーションに機能を追加します。

インターネットでは、ActiveXコントロールをWebページにリンクしたり、ActiveX準拠のブラウザでダウンロードしたりすることが可能です。ActiveXコントロールによって、Webページがほかのプログラムと同様の動作をするソフトウェア・ページに変わります。

Microsoft Internet Explorerの設定 413 ページ

ActiveXコントロールについて 413 ページ

クライアントのダウンロードと接続 414 ページ

切断時のアンインストール 426 ページ

インポートした証明書の削除 427 ページ

第27章 SSL Network Extender 413

ユーザによるSSL Network Extenderの操作

SSL Network Extendeではアプリケーション内でActiveXコントロールを使用するため、各アプリケーションに必要な特定のActiveXコンポーネントをダウンロードする必要があります。これらのコンポーネントをロードすると、アップグレードやアップデートが入手可能になるまで、ダウンロードしなおす必要はありません。

クライアントのダウンロードと接続

次のセクションでは、SSL Network Extenderのダウンロードおよび接続方法について説明します。

クライアントをダウンロードするには、以下の手順に従います。

1 Internet Explorerで、ゲートウェイのSSL Network Extenderポータル（https://<ゲートウェイの名前または IP>）にアクセスします。［Security Alert］ウィンドウが表示されます。

図27-7［Security Alert］ウィンドウ

このウィンドウは、信頼されるCAに指定していない認証局からサイトのセキュリティ証明書が発行されていることを示しています。このサーバに接続する前に、サーバの証明書に署名したCAを信頼する必要があります（ユーザがどのCAを信頼してよいかは、システム管理者が定義できます）。証明書を見て、続行するかどうかを決定できます。

注： Windows XP ProfessionalおよびWindows 2000の各オペレーティング・システムでソフトウェアを

インストールまたはアンインストールするには、管理者権限が必要です。

注： 管理者はユーザをhttp://<mngmt IP>:18264のURLに誘導して、このCAの証明書をインス

トールして信頼を確立して今後このメッセージが表示されないようにすることができます。以下の図の

ように［Install this CA Certificate］リンクが表示されます。

414

クライアントのダウンロードと接続

図27-8 Install this CA Certificate

2 ［Yes］をクリックします。Integrity Clientless Securityが有効な場合は、［Browser Selection］ウィンドウが表示されます。

図27-9［Browser Selection］ウィンドウ

3 ISBを使用するか、現在のブラウザを引き続き使用するかという選択肢が表示されます。ISBを選択すると、ISBを使用して新しい安全なセッションが開きます。現在のブラウザを引き続き使用することを選択すると、そのブラウザを使用して新しいセッションが開きます。

ユーザ・セッション中のデータの保護やセッション終了後のキャッシュの消去などを可能にするチェック・ポイント独自のセキュア・ブラウザを使用することを、強くお勧めします。

第27章 SSL Network Extender 415

ユーザによるSSL Network Extenderの操作

4 ［Language］ドロップダウン・リストから別の言語を選択できます。SSL Network Extenderポータルへ接続中に言語を変更すると、処理を続行すると接続が切断されるので再接続が必要になるというメッセージが表示されます。

5 ［Skin］ドロップダウン・リストから別のスキンを選択できます。スキンの変更は、SSL Network Extenderポータルに接続中でも可能です。

6 ［Continue］をクリックします。

7 ユーザが初めてSSL Network Extenderにアクセスしようとすると、以下に示す［Server Confirmation］ウィンドウが表示されます。

図27-10［Server Confirmation］ウィンドウ

表示された ICSサーバが、組織のリモート・アクセス用サイトと同じであることの確認を要求するメッセージが表示されます。

8 ［Yes］をクリックすると、ICSクライアントがソフトウェアのスキャンを続行します。また、［Save this confirmation for future use］チェック・ボックスをオンにすると、次回のログイン時から［Server Confirmation］ウィンドウが表示されなくなります。

9 ［No］をクリックすると、エラー・メッセージが表示されてユーザのアクセスが拒否されます。

ICSサーバが確認されると、クライアントのコンピュータで自動ソフトウェア・スキャンが実行されます。スキャンが完了すると、その結果と、処理を続行する方法が表示されます。

416

クライアントのダウンロードと接続

図27-11スキャン結果

ICSは、有害である可能性のあるソフトウェアを持つユーザがネットワークにアクセスするのを防止し、企業で定められたウイルス対策およびファイアウォールのポリシーにユーザが従うように要求します。ICSスキャンを正しく通過したユーザであると定義されるのは、そのユーザがマルウェア、ウイルス対策プログラム、およびファイアウォールのスキャンを正しく受けている場合のみです。マルウェアはそれぞれリンクとして表示され、選択すると、検出されたマルウェアの詳細を示すデータ・シートへリダイレクトされます。データ・シートには、検出されたマルウェアの名前と簡単な説明、動作、および推奨される排除方法が記されています。

第27章 SSL Network Extender 417

ユーザによるSSL Network Extenderの操作

ユーザが使用できるオプションは、管理者が ICSサーバで設定します。オプションは以下の表のとおりです。

10 ［Continue］をクリックします。設定されている認証スキームが［User Password Only］の場合は、以下の［SSL Network Extender Login］ウィンドウが表示されます。

図27-12［SSL Network Extender Login］ウィンドウ

11 ［User Name］と［Password］フィールドを入力し、［OK］をクリックします。図 27-21が表示されます。

表 27-1 スキャンのオプション

スキャンのオプション 説明

Scan Again ユーザにマルウェアの再スキャンを許可します。このオプションは、望ましくないソフトウェア・アイテムを手動で削除した後にスキャン結果を更新するために使用します。

Cancel ユーザがポータルへのログインを続行できないようにし、現在のブラウザのウィンドウを閉じます。

Continue Connectraクライアントの ICSがスキャン結果を無視してログオン処理を続行するようにします。

注： ユーザ認証が、SecurIDやLDAPなどのサード・パーティの認証メカニズムを経由して実行される

ように設定されている場合は、管理者はユーザにPINまたはパスワードの変更を要求できます。そのよ

うな場合は［Change Credentials］ウィンドウが別に表示され、その後ユーザがSSL Network Extenderにアクセスできるようになります。

418

クライアントのダウンロードと接続

12 設定されている認証スキームが［Certificate without Enrollment］で、ユーザがすでに証明書を所有している場合は、図 27-21が表示されます。ユーザがまだ証明書を所有していない場合、アクセスは拒否されます。

13 設定されている認証スキームが［Certificate with Enrollment］で、ユーザがまだ証明書を所有していない場合は、以下の［Enrollment］ウィンドウが表示されます。

図27-13［Enrollment］ウィンドウ

14 ユーザが自分のレジストレーション・キーを入力し、PKCS#12パスワードを選択して［Enroll］をクリックします。PKCS#12ファイルがダウンロードされます。ファイルを開き、Microsoftの［証明書のインポート］ウィザードを使用します。

Internet Explorerへのクライアント証明書のインポート

Internet Explorerへのクライアント証明書のインポートは、ブロードバンド・アクセス機能を持つ家庭用PCと、ダイヤルアップ接続の企業用ラップトップ・コンピュータのいずれのアクセスでも使用可能です。クライアント証明書は、SSL Network Extenderゲートウェイへ接続するときに、ブラウザが自動的に使用します。

クライアント証明書をインポートするには、以下の手順に従います。

注： Internet Explorerの［インターネット プロパティ］の［詳細設定］タブで、［暗号化されたページを

ディスクに保存しない］をオンに設定することを強くお勧めします。これにより、証明書がディスクに

キャッシュされなくなります。

第27章 SSL Network Extender 419

ユーザによるSSL Network Extenderの操作

1 ダウンロードしたPKCS#12ファイルを開きます。以下の［証明書のインポート ウィザード］

ウィンドウが表示されます。

図27-14［証明書のインポート ウィザード］ウィンドウ

2 ［次へ］をクリックします。以下の［インポートする証明書ファイル］ウィンドウが表示されます。

図27-15［インポートする証明書ファイル］ウィンドウ

P12というファイル名が表示されます。

420

クライアントのダウンロードと接続

3 ［次へ］をクリックします。以下の［パスワード］ウィンドウが表示されます。

図27-16［パスワード］ウィンドウ

［秘密キーの保護を強力にする］をオンにすることを強くお勧めします。これによって、認証が必要になるたびに設定に従って同意とクレデンシャルが要求されます。オンにしないと、ユーザに対して完全に透過的に認証が行われます。

4 パスワードを入力し、［次へ］を 2回クリックします。［秘密キーの保護を強力にする］をオンにすると、以下の［新しい秘密交換キーをインポートします］ウィンドウが表示されます。

図27-17［新しい秘密交換キーをインポートします］ウィンドウ

5 ［OK］をクリックすると、［セキュリティ レベル］にデフォルト値である［中］が割り当てられ、認証にユーザの証明書が必要になるたびにユーザの確認が要求されるようになります。

第27章 SSL Network Extender 421

ユーザによるSSL Network Extenderの操作

6 ［セキュリティ レベルの設定］をクリックすると、以下のセキュリティ レベルの設定ウィンドウが表示されます。

図27-18セキュリティ レベルの設定ウィンドウ

7 ［高］または［中］を選択し、［次へ］をクリックします。

8 ［完了］をクリックします。以下の［正しくインポートされました］ウィンドウが表示されます。

図27-19［正しくインポートされました］ウィンドウ

9 ［OK］をクリックします。

10 ブラウザを閉じて、再度開きます。インポートした証明書を使用してログインできるようになりました。

11 システム管理者がアップグレードのオプションを設定している場合は、以下のアップグレード確認ウィンドウが表示されます。

図27-20アップグレード確認ウィンドウ

422

クライアントのダウンロードと接続

12 ［OK］をクリックすると、再認証が必要となり、再認証すると新しいActiveXがインストールされます。

13 ［キャンセル］をクリックすると、SSL Network Extenderが通常どおりに接続します（アップグレード確認ウィンドウは、1週間は再度表示されません）。［SSL Network

Extender］ウィンドウが表示されます。［Click here to upgrade］リンクがウィンドウに表示されます。ここからでもアップグレードが可能です。リンクをクリックすると、再認証を行ってからアップグレードが続行可能になります。

14 初めてSSLゲートウェイに接続する場合は、VeriSignの証明書メッセージが表示され、ユーザがインストールの続行に同意することが要求されます。

図27-21VeriSignの証明書メッセージ

15 ［Yes］をクリックします。ユーザが初めて接続すると、クライアントが特定のゲートウェイに関連付けられることが通知され、確認を求められます。

第27章 SSL Network Extender 423

ユーザによるSSL Network Extenderの操作

図27-22特定のゲートウェイに関連付けられるクライアント

ゲートウェイのサーバ証明書が認証されます。システム管理者がユーザにフィンガー

プリントを送信している場合は、自分に送信されたフィンガープリントとルートCAのフィンガープリントが同一であることを確認することを、強くお勧めします。

システム管理者はSmartDashboardの［Certificate Authority Properties］ウィンドウから、すべての信頼されるルートCAのフィンガープリントを表示したり送信したりできます。

16 ［Yes］をクリックします。

ActiveXがダウンロードされます。クライアントが接続されます。

17 認証を必要とするプロキシ・サーバをユーザが使用している場合は、［Proxy Authentication］ポップアップが表示されます。ユーザは自分のプロキシのユーザ名とパスワードを入力して、［OK］をクリックします。

424

クライアントのダウンロードと接続

図27-23クライアントが接続された状態

［SSL Network Extender Connection］ウィンドウが以下の図のように表示されているか、開いたままになっているか、または（システム・トレイに） 小化されている状態であれば、いつでもクライアントを操作できます。

図27-24クライアントが接続された状態

初にSSL Network Extenderをインストールすると、Check Point SSL Network Extender という新しいWindowsサービスと、新しい仮想ネットワーク・アダプタが追加されます。新しいネットワーク・アダプタは、コマンド・ラインでipconfig /allと入力すると表示されます。

注： アダプタとサービスの設定は変更できません。IPの割り当てや更新、解放は自動的に行われます。

第27章 SSL Network Extender 425

ユーザによるSSL Network Extenderの操作

仮想ネットワーク・アダプタとCheck Point SSL Network Extenderサービスは両方とも、製品のアンインストール中に削除されます。

製品のインストール、アップグレードまたはアンインストールの後に、クライアント・コンピュータを再起動する必要はありません。

18 操作を完了したら、［Disconnect］をクリックしてセッションを終了します。ウィンドウが 小化されている場合は、アイコンを右クリックして［Disconnect］をクリックします。ウィンドウが閉じます。

切断時のアンインストール

管理者が、アンインストールするかどうかをユーザに確認するように切断時のアンイン

ストールを設定している場合、ユーザは以下の手順で切断時のアンインストールを設定できます。

切断時のアンインストールを設定するには、以下の手順に従います。

1 ［Disconnect］をクリックします。以下の図で示す切断時のアンインストール・ウィンドウが表示されます。

図27-25切断時のアンインストール

2 ［Yes］、［No］または［Cancel］をクリックします。

［Yes］をクリックすると、ユーザのコンピュータからSSL Network Extenderが削除されます。

［No］をクリックすると、ユーザのコンピュータにSSL Network Extenderがそのまま残ります。次にユーザがSSL Network Extenderに接続しても、切断時のアンインストール・ウィンドウは表示されません。

［Cancel］をクリックすると、ユーザのコンピュータにSSL Network Extenderがそのまま残ります。次にユーザがSSL Network Extenderに接続すると、切断時のアンインス

トール・ウィンドウが表示されます。

注： Check Point SSL Network Extenderサービスは、仮想ネットワーク・アダプタとDHCPクライアント・

サービスの両方に依存します。したがって、ユーザのコンピュータでDHCPクライアント・サービスを

無効にすることはできません。

426

インポートした証明書の削除

インポートした証明書の削除

ブラウザに証明書をインポートすると、手動で削除するまで証明書は保存されたままになります。ブラウザが他人のものである場合は、証明書を削除することを強くお勧めします。

インポートした証明書を削除するには、以下の手順に従います。

1 以下の図で示す［インターネット オプション］ウィンドウで、［コンテンツ］タブをクリックします。

図27-26［インターネット オプション］ウィンドウ

2 ［証明書］をクリックします。以下の［証明書］ウィンドウが表示されます。

第27章 SSL Network Extender 427

トラブルシューティング

図27-27［証明書］ウィンドウ

3 削除する証明書を選択して、［削除］をクリックします。

トラブルシューティング

発生する可能性のある問題を解決するためのヒントを、以下の表で説明します。

表 27-2 トラブルシューティングのヒント

問題 解決策

外部のSSL Network Extenderゲートウェイに直接送信したユーザのパケットのうち、SSL Network Extenderで暗号化されないものがある。

SSLトンネルを経由してゲートウェイへ明示的に接続する必要がある場合は、暗号化ドメインの一部である内部インタフェースに接続します。

SSL Network Extenderゲートウェイではユーザが証明書によって自分自身を認証できるため、SSL Network Extenderゲートウェイに接続すると、「The Web site you want to view requests identification. Select the certificate to use when connecting.」というメッセージが表示される。

このメッセージがユーザ側で表示されないようにするには、次の 2とつの解決策があります。1) クライアント・コンピュータで、Internet Explorerを起動します。［ツール］>［イン

ターネット オプション］>［セキュリティ］

タブを選択し、［イントラネット］>［サイト］

を選択します。ここでローカル・イントラネット・ゾーンに、［Client Authentication］ポップアップを表示しないSSL Network Extenderゲートウェイを追加します。［詳細

設定］をクリックし、ゲートウェイの外部 IPまたはDNS名を既存のリストに追加します。

428

インポートした証明書の削除

2) クライアント・コンピュータで、Internet Explorerを起動します。［ツール］>［イン

ターネット オプション］>［セキュリティ］

タブを選択し、［インターネット］>［レベルの

カスタマイズ］を選択します。［その他］セクションで、［既存のクライアント証明書が1つ、

または存在しない場合の証明書の選択］を［有効にする］に設定します。［OK］をクリックします。［警告］ウィンドウで

［はい］をクリックします。［OK］を再度クリックします。注： この方法ではすべてのインターネット・サイトでの Internet Explorerの動作が変更されるので、より高い精度が必要な場合は、1つ目の解決策を参照してください。

クライアント・コンピュータにSecuRemote/SecureClientソフトウェアがインストールされていて「透過モード」で動作するように設定されており、その暗号化ドメインにSSL Network Extenderゲートウェイが含まれているか、SSL Network Extenderの暗号化ドメインと重複している場合、SSL Network Extenderが誤動作する。

この問題を解決するには、SecuRemote/SecureClientでサイトの重複を無効にします。

クライアント・コンピュータにSecuRemote/SecureClientソフトウェアがインストールされていて、「コネクト・モード」で動作するように設定されており、その暗号化ドメインにSSL Network Extenderゲートウェイが含まれているか、SSL Network Extenderの暗号化ドメインと重複している場合、SSL Network Extenderが誤動作する。

この問題を解決するには、「allow_clear_traffic_while_disconnected」のフラグがTrue（デフォルト値）であることを確認します。

表 27-2 トラブルシューティングのヒント

問題 解決策

第27章 SSL Network Extender 429

トラブルシューティング

SSL Network Extender接続ではSCVルールに一致しないため、SecureClient接続でSCVルールに一致させるには、SecureClientユーザとSNXユーザを区別する必要がある。

区別する方法の 1つは、ルールベースのSCV機能を使用することです。トラディショ

ナル・モードで［Apply Rule Only if Desktop Configuration Options are verified］を選択すると、2種類のルールを設定できます。選択した（SCV）ルールではSecureClient接続のみが通過しますが、選択されていないルールでは、SecureClientおよびSSL Network Extender接続が通過されます。

シンプル・モードの使用中に、管理者はSCVチェックから除外するサービスを指定できます。

そのようなサービスにSecureClientクライアントやSSL Network Extenderクライアントがアクセスしようとすると、SCVが検証されなくてもアクセスが許可されます。両方のクライアントで指定したサービスでは、SCVが適用されません。

表 27-2 トラブルシューティングのヒント

問題 解決策

430

第 章28

接続性の問題の解決

この章の構成

接続性を解決する機能の必要性

ゲートウェイ間のVPNに関して接続性の問題がいくつか存在しますが、リモート・アクセス・クライアントには特別な課題があります。リモート・クライアントはもともとモバイル機器です。午前中はパートナー企業のネットワーク内で使用され、夕方はホテルのLANに接続されたり、ある種の実施デバイスやNATデバイスの背後に接続されたりすることがあります。そのような状況では、以下のような接続性の問題がいくつか発生します。

■ 断片化をサポートしないNATデバイスに関する問題

■ 実施デバイスでのサービスやポートのフィルタに関する問題

接続性の問題に対するチェック・ポイント・ソリューション

チェック・ポイントでは、以下のような数々の機能で、NATに関連する接続性の問題を解決します。

■ IKE over TCP■ 小さい IKEフェーズ IIプロポーザル

■ UDPカプセル化

■ IPSecパス 大転送単位（IPSec PMTU）

接続性を解決する機能の必要性 431 ページ

接続性の問題に対するチェック・ポイント・ソリューション 431 ページ

NAT関連の問題の解決 432 ページ

インターネット・アクセスの制限の解決 439 ページ

リモート・アクセスの接続性の設定 443 ページ

431

NAT関連の問題の解決

チェック・ポイントでは、ビジター・モード（以前はTCPトンネリング）でポートのフィルタの問題を解決します。

その他の接続性の問題

リモート・クライアントが内部ネットワーク上の IPと一致する IPアドレスを受信した場合など、その他の接続性の問題が発生する場合があります。このようなルーティングの問題は、オフィス・モードを使用して解決します。詳細については、「オフィス・モード」を参照してください。

その他の、ゲートウェイによって保護された内部ネットワーク上で検出されたDNSサーバに関するドメイン名の解決などの問題は、スプリットDNSで解決します。スプリットDNSの詳細については、「リモート・アクセスの高度な設定」を参照してください。

NAT関連の問題の解決

パケットの断片化をサポートしていないHide NATデバイスでは、NAT関連の問題が発生します。

リモート・アクセス・クライアントがピア・ゲートウェイとVPNトンネルを作成しようとすると、IKEまたは IPSecパケットがMTU（ 大転送単位）の値よりも大きくなることがあります。作成されたパケットがMTUより大きい場合、オペレーティング・システムのTCP/IPスタックのデータ・リンク層でパケットが断片化されます。

このようなパケットの断片化をサポートしていないHide NATデバイスの背後にリモート・アクセス・クライアントがある場合、以下のような問題が発生します。

432

その他の接続性の問題

図28-1 UDPの断片化

Hide NATでは、IPヘッダだけでなく、UDPヘッダに含まれるポート情報も変更します。図 28-1では、UDPパケットが長すぎるためにリモート・クライアントでパケットが断片化されるところを示しています。1つ目の断片は、IPヘッダとUDPヘッダ、およびデータの一部分で構成されます。2つ目の断片は、IPヘッダと 2つ目のデータの断片のみで構成されます。NATデバイスでは、すべての断片が到着するまで待機したり、組み立てなおしてNATを実行したりすることができません。

1つ目の断片を受信すると、NATデバイスは IPヘッダのアドレス情報とUDPヘッダのポート情報を正しく変換し、パケットを転送します。2つ目の断片を受信しても、2つ目のパケットにはUDPヘッダが含まれていないためNATデバイスではポート情報を変換できません。したがってパケットが欠落し、IKEネゴシエーションは失敗します。

第28章 接続性の問題の解決 433

NAT関連の問題の解決

IKEフェーズ Iの実行中

サイズの大きなUDPパケットが発生する原因を理解するには、IKEの 初のフェーズを詳しく調べる必要があります。IKEフェーズ Iの間、リモート・アクセス・クライアントとゲートウェイは互いに相手を認証しようとします。認証方法の 1つとして、証明書の使用があります。証明書または証明書失効リスト（CRL）が長いと、その結果UDPパケットが大きくなり、リモート・クライアントのオペレーティング・システムによって断片化されます。

IKE Over TCP

IKE Over TCPは、IKEフェーズ Iの間に大きなUDPパケットが作成される問題を解決します。IKEネゴシエーションは、TCPパケットを使用して実行されます。TCPパケットは断片化されません。それは、TCPパケットの IPヘッダでDFフラグ（「断片化しない」）がオンになっているためです。フェーズ I中の IKEネゴシエーションのピアの間で、完全なTCPセッションが開きます。

IKEフェーズ IIの実行中

リモート・アクセス・クライアントには、暗号化と完全性チェックの方式に関するポリシーがありません。リモート・アクセス・クライアントでは、一連のプロポーザルによって暗号化と完全性チェックの方式をネゴシエートするため、可能性のあるゲートウェイの組み合わせに対してすべてネゴシエートする必要があります。このため大きなUDPパケットが作成され、このパケットはリモート・クライアントのOSによって再度断片化されてから送信されます。リモート・クライアントの前にあるNATデバイスでは、UDPヘッダ

（ポート情報を含む）のないパケットが欠落します。IKEネゴシエーションは再び失敗します。

フェーズ Iと同様に IKE over TCPを再度使用しない理由

IKE over TCPでは長いパケットの断片化の問題は解決されますが、フェーズ IIでは場合によって、ゲートウェイがリモート・クライアントへの接続を開始する必要があります。フェーズ Iを開始するのはリモート・クライアントのみですが、フェーズ IIで鍵の更新の必要性はいずれの側でも認識できます。ゲートウェイが鍵の更新の必要性を認識すれば、ゲートウェイが接続を開始します。

ゲートウェイが接続を開始すると、ゲートウェイではNATデバイスの IPアドレスを認識しますが、NATデバイスの背後のリモート・クライアントに変換されるポート番号を供給することはできません。前回の接続中に使用したポート番号は一時的なもので、すぐに変更されます。NATデバイスはリモート・クライアントへ正しく接続を転送できないため、ゲートウェイによって開始された接続は失敗します。

注： VPN-1 Proのピアがプリシェアード・シークレットを使用して互いに認証した場合は、大きなUDPパケットは作成されません。ただし、証明書の安全性が高まるので、この方法をお勧めします。

434

IPSecの実行中

IKE over TCPの使用は可能ですが、そのためにはTCP接続が常時開いている必要があります。セッションが開いているとゲートウェイ上のソケットを予約するため、貴重なシステム・リソースが消費されます。より合理的な解決策は、UDPの「キープアライブ」パケットをゲートウェイに送信することによってNATデバイス上のポートを開いたままにしておき、その後通常の方法で IKEフェーズ IIを実行することです。しかし、UDPパケットを短くして断片化を防ぐことは必要となります。

小さい IKEフェーズ IIプロポーザル

ゲートウェイとリモート・ピアはいずれも、少数の暗号化および完全性チェックの方式を提示して IKEネゴシエーションを開始します。より一般的な方式は、小さいプロポーザルに含まれます。

リモート・クライアンとゲートウェイの間でプロポーザルが一致すると、提案された方式が使用されます。一致するプロポーザルが見つからない場合は、大量のプロポーザルが作成されます。通常は小さいプロポーザルで一致するものが見つかるため、断片化は問題になりません。しかし、場合によっては一致するプロポーザルが見つからないために大量のプロポーザルを作成する必要があることがあります。これは、リモート・ゲートウェイがAES-128を使用して暗号化しているが、小さいプロポーザルにAES-128が含まれていない場合などに発生します。

大量のプロポーザルが作成されると、結果的にUDPパケットが大きくなります。このような大きなパケットはクライアント上のTCP/IPスタックのデータ・リンク層で再度断片化され、断片化をサポートしていないHide NATデバイスでは破棄されます。AES-128のケースでは、AES-128を優先的な方式として定義することで、この暗号化方式を小さいプロポーザルに含めることができます。

IPSecの実行中

NATトラバーサル（ファイアウォールとプロキシのUDPカプセル化）

IKEフェーズ Iと IIのネゴシエーションに成功すると、IPSecの段階に移行します。3DESなどで暗号化され、MD5で（完全性のために）ハッシュされたデータのペイロードは、IPSecパケット内に配置されます。しかし、この IPSecパケットにはTCPまたはUDPヘッダは含まれていません。Hide NATデバイスは、ヘッダ内のポート情報を変換する必要があります。TCP/UDPヘッダはデータのペイロードと共に暗号化されているため、NATデバイスで読み取ることはできません。

ポート番号を追加する必要があります。以下の図に示すように、UDPカプセル化は、読み取り可能なポート情報を含む特別なUDPヘッダを IPSecパケットに追加するプロセスです。

第28章 接続性の問題の解決 435

NAT関連の問題の解決

図28-2 UDPカプセル化

新しいポート情報は、元のポート情報とは異なります。ポート番号 2746が発信元ポートと宛先ポートの両方に含まれます。NATデバイスはHide処理に発信元ポートを使用しますが、宛先アドレスとポート番号は変わりません。ピア・ゲートウェイが宛先アドレスの中に 2746というポート番号を検出すると、ゲートウェイはパケットのカプセル化を解除するルーチンを呼び出します。

IPSecパス 大転送単位

IPSecパスMTUは、IPSecパケットの断片化に対処する手段です。データ・リンク層には、物理ネットワーク上で送信可能なパケットのサイズに上限が設けられています。これを、大転送単位またはMTUといいます。パケットを送信する前に、オペレーティング・シス

テムのTCP/IPスタックがローカル・インタフェースに照会してMTUを取得します。TCP/IPスタックの IP層がローカル・インタフェースのMTUとパケットのサイズを比較し、必要に応じてパケットを断片化します。

リモート・クライアントが複数のルータを経由してゲートウェイと通信する場合、すべて

のルータの中で も小さいMTUが重要となります。このMTUをパスMTU（PMTU）といいます。リモート・アクセス・クライアントには、IPSecパケットが大きすぎる場合でもクライアントのOS が IPSec パケットを断片化しないようにするための、特別な IPSecPMTU検出メカニズムが存在します。

しかし、インターネット上のルーティングは動的であるため、リモート・クライアントとゲートウェイの間のPMTUは一定ではありません。ゲートウェイからクライアントへのルートは両方の方向で異なる場合があり、この場合それぞれの方向に独自のPMTUがあります。VPNでは、以下の 2つの方法でこの問題に対応します。

■ アクティブ IPSec PMTU■ パッシブ IPSec PMTU

436

IPSecの実行中

アクティブ IPSec PMTU

IKEフェーズ IIが終了してから IPSecステージが開始するまでの間に、リモート・アクセス・クライアントはさまざまなサイズの特殊な検出用 IPSecパケットをゲートウェイに送信します。パケット上のDF（do not fragment）ビットが設定されます。すべてのルータのMTUよりもパケットが長い場合、ルータでパケットが欠落し、ICMPエラー・メッセージがリモート・クライアントに送信されます。断片化されなかった も長いパケットから、リモート・クライアントは適切なPMTUを解決します。このPMTUは、OSへ直接伝達されません。TCPでの 3方向ハンドシェイク中、SYNおよびSYN-ACKパケット上の 大セグメント・サイズ（MSS）がPMTUを反映して変更されます。オペレーティング・システムではこのことは認識されません。これを、アクティブ IPSec PMTUといいます。

図28-3 IPSec検出パケット

パッシブ IPSec PMTU

パッシブ IPSec PMTU はインターネット上での動的なルーティング問題を解決します。パッシブ IPSec PTMUは、ルーティングのパスが変わったことによる ICMPエラー・メッセージをいずれかの側で受信した場合に発生する処理です。ルートはインターネット上で動的に変化するため、DFビットが設定されているパケットを別のルータで断片化する必要がある場合、ルータはそのパケットを破棄し、「cannot fragment」という ICMPエラー・

第28章 接続性の問題の解決 437

NAT関連の問題の解決

メッセージを生成します。エラー・メッセージは、パケットを送信したVPN-1 Proピアに送信されます。ピアはこのエラー・メッセージを受信すると、PMTUを減少させて再転送します。

NATおよび負荷共有クラスタ

図 28-4では、NATデバイスの背後にあるリモート・クライアントが負荷共有クラスタに接続しているところを示しています。

図28-4 NATおよび負荷共有クラスタ

注： システム管理者の視点からは、PMTUには設定は不要です。アクティブもパッシブも、IPSec PMTU検出メカニズムは自動的に動作します。

438

NATおよび負荷共有クラスタ

クラスタ・メンバの間にフェイルオーバーが発生しても接続を維持するためには、［GlobalProperties］>［Remote Access］>［Enable Back connections from gateway to client］で「キープアライブ」機能を有効にする必要があります。

これは、ゲートウェイのクラスタ側でNATを実行する場合にも当てはまります。

インターネット・アクセスの制限の解決

ユーザがホテルや顧客のオフィスなどの離れた場所から組織に接続した場合、インターネットの接続性が、HTTP に指定された標準のポート（一般的にはHTTP でポート 80、HTTPSでポート 443）を使用したWebブラウジングに限定される場合があります。リモート・クライアントではポート500で IKEネゴシエーションを行ったり IPSecパケット（IPSecは別のプロトコルで、予測されるTCPパケットではない）を送信したりする必要があるため、通常の方法でVPNトンネルを確立できません。この問題は、ビジター・モード（以前はTCPトンネリング）で解決されます。

第28章 接続性の問題の解決 439

インターネット・アクセスの制限の解決

ビジター・モード

ビジター・モードでは、ポート 443での通常のTCP接続を通じて、クライアントとゲートウェイ間のすべての通信のトンネリングを行います。

図28-5 ビジター・モード

クライアントとサーバの間の必要なすべてのVPN接続性（IKE、IPsecなど）が、このTCP接続内でトンネリングされます。これは、ピア・ゲートウェイがポート 443でビジター・モード（TCP）のサーバを実行する必要があることを意味しています。

ユーザの数

ビジター・モードのサーバの 適なパフォーマンスを得るには、以下の処理を行います。

■ パフォーマンスが低下したら、ビジター・モードが許可されたユーザの数を 小限にする

■ OSの該当する値（Linuxシステムのソケット・ディスクリプタなど）を編集して、使用可能なソケットの数を増やす

注： ■ 図28-5でのリモートにあるゲートウェイがチェック・ポイント製品でない（別のベンダー製のゲー

トウェイ）場合でも、ビジター・モードでは引き続きそのゲートウェイを通じて接続がトンネリング

されます。

■ ビジター・モードでは、新しいサイトは定義できません。

■ トポロジの更新が行われるのは、ビジター・モードを有効にしたプロファイルが 後の接続で使用さ

れた場合のみです。

440

ビジター・モード

カスタム・ポートの割り当て

ある組織がビジター・モードのサーバ用に、一般的に割り当てられるポート 443でなくカスタマイズされたポートを使用しようと決定したとします。このシナリオでは、すべての

リモート拠点とホームが相互に同意した別のポートが、ビジター・モード用に使用できます。このソリューションでは、ビジネス・パートナーとの間ではうまく機能します。単にパートナーがビジター・モードの接続用のポートを開くことに同意すればよいのです。選択されたポートが、SmartDashboardで事前に定義されたサービスによって指定されていない場合は、ポートを使用するためにサービスを作成する必要があります。ポートについて相互に同意が成立していて、プロキシが存在する場合は、このポート宛てにトラフィックを送信できるようにプロキシを設定します。

ビジター・モードとプロキシ・サーバ

リモートでプロキシ・サーバを実行する場合でも、ビジター・モードを使用できます。このシナリオでは、リモート・ユーザがビジター・モード接続をプロキシ・サーバを通過させることができます。

図28-6 プロキシ・サーバの導入

注： ピア・ゲートウェイ上のビジター・モードのサーバーでは1つのポートでしか listenを実行しない

ので、すべてのパートナーのゲートウェイが同じ割り当てポートについて同意する必要があります。

第28章 接続性の問題の解決 441

インターネット・アクセスの制限の解決

ポート443がHTTPSサーバに使用されている場合のビジター・モード

組織のゲートウェイにあるサーバによってHTTPS接続用にポートが予約されている場合など、指定されたポートがすでに使用中の場合は、SmartCenter サーバに「Visitor ModeServer failed to bind to xxx.xxx.xxx.xxx:yy (either port was already taken or the IP address doesnot exist)」というログが送信されます。

ピア・ゲートウェイがすでに通常のHTTPサーバを実行していて、標準HTTPSのポート443でも listenする場合は、公開 IPアドレスを持つ外部インタフェースを 2つ（HTTPサーバ用とビジター・モードのサーバ用に 1つずつ）設定する必要があります。後者のルーティング可能なアドレスは、以下の 2つの方法で取得できます。

■ ビジター・モードのサーバに追加のネットワーク・インタフェースをインストールする

■ ポートを遮断している同じネットワーク・インタフェース上で仮想 IPを利用する

ビジター・モードのサーバを実行しているゲートウェイ・オブジェクトで、［GeneralProperties］>［Remote Access page］を選択すると、［Allocated IP address］の設定が表示されます。使用可能なすべての IPアドレスを、ビジター・モードの接続をポート 443で listenするように設定できます。

SecurePlatform/Nokiaでのビジター・モード

LinuxおよびNokiaマシンで動作しているSecurePlatformは、事前に設定されたHTTPSサーバと共にインストールされています。このサーバはゲートウェイ上で動作し、ポート 443で listenします。これらのHTTPSサーバでは自動的にすべての使用可能な IPアドレスをバインドするため、追加のネットワーク・インタフェースをインストールしたり、ビジター・モードのサーバの仮想 IPを利用したりする必要はありお勧めしません。

このような場合は、ビジター・モード用に 443を予約することをお勧めします。ホテルなどから接続するユーザがポート80および443経由でしか接続を許可されないためです。これらの設定済みHTTPSサーバには、ビジター・モードのサーバと競合しないポートを割り当てる必要があります。

MEP環境でのビジター・モード

ビジター・モードは、MEP環境でも機能します。詳細については、369 ページの「ビジター・モードとMEP」を参照してください。

インタフェースの解決

ビジター・モード環境でインタフェースの解決をするためには、静的な IP解決を使用するか、インタフェースを 1つビジター・モード専用にすることをお勧めします。

注： ビジター・モードは、Internet Explorer 4.0以上でのみサポートされています。

442

IKE Over TCPの設定

リモート・アクセスの接続性の設定

このセクションでは、以下の項目について説明します。

IKE Over TCPの設定

1 ゲートウェイで、［Global Properties］>［Remote Access］ページ>［VPN-Basic］サブページ >［IKE over TCP］セクションを開きます。［Gateways support IKE over TCP］を選択します。

2 接続プロファイルで IKE over TCPを有効にします。リモート・ユーザはコネクト・モードで作業して自動的にプロファイルを受信します。設定を行うには、以下の手順に従います。

A ファイル・メニューから、［Manage］>［Remote Access］>［Connection profiles...］を選択すると、［Connection Profiles］ウィンドウが開きます。

［New...］をクリックします。

B［Connection Profile Properties］ウィンドウが開きます。［Advanced］タブで、［Support IKE over TCP］を選択します。

ユーザがコネクト・モードで作業していない場合は、クライアント上で手動で IKE overTCPを有効にする必要があります。

ゲートウェイで IKE over TCPが有効になっている場合、IKE over UDPはゲートウェイで引き続きサポートされます。リモート・クライアントでは、IKE over TCPを有効にするプ

ロファイルでクライアントが動作している場合のみ、IKE over TCPがサポートされます。

小さい IKEフェーズ IIプロポーザルの設定

小さい IKEフェーズ IIプロポーザルには常にAES-256が含まれますが、AES-128は含まれません。小さいプロポーザルにAES-128を含めるには、以下の手順に従います。

1 コマンド・ラインのデータベース編集ツールDBeditを開きます。小さいプロポーザルを使用するかどうかを制御するプロパティは 2つあります。NG with Application Intelligenceより古いバージョン向けのプロパティと、NG with Application Intelligence向けのプロパティです。

IKE Over TCPの設定 443 ページ

小さい IKEフェーズ IIプロポーザルの設定 443 ページ

NATトラバーサル（UDPカプセル化）の設定 444 ページ

ビジター・モードの設定 445 ページ

プロキシ・サーバで作業するリモート・クライアントの設定 446 ページ

第28章 接続性の問題の解決 443

リモート・アクセスの接続性の設定

■ phase2_proposal ― 古いクライアント（NG with Application Intelligenceより古いバージョン）が小さいプロポーザルを試行するかどうかを指定します。デフォルトは

「false」です。

■ phase2_proposal_size ― 新しいクライアント（NG with Application Intelligence）が小さいプロポーザルを試行するかどうかを指定します。デフォルトは「true」です。

2 ［Global Properties］>［Remote Access］ページ >［VPN -Advanced］サブページ >［User Encryption Properties］セクションで、［AES-128］を選択します。ここで、リモート・ユーザが小さいプロポーザルとしてAES-128を提示するように設定します。

NATトラバーサル（UDPカプセル化）の設定

ゲートウェイ・ネットワーク・オブジェクトで、以下の手順でUDPカプセル化を有効にし、UDPカプセル化を処理するポートを決定します。

1 ［General Properties］>［Remote Access］ページ>［NAT Traversal］セクションで、［Support NAT traversal mechanism (UDP encapsulation)］を選択します。

2 ［Allocated port］ドロップダウン・リストからポートを選択します。デフォルトは［VPN1_IPSec_encapsulation］です。

3 リモート・アクセスの処理中は、UDPカプセル化を行う IKEフェーズ IIプロポーザルと行わないプロポーザルの両方が提案されます（ゲートウェイ間ではUDPカプセル化は行われません）。既存の小さい IKEフェーズ IIプロポーザルを縮小しないのであれば、クライアントでUDPを有効にする必要はありません。接続プロファイルでUDPカプセル化を有効にします。リモート・ユーザはコネクト・モードで作業して自動的にプロファイルを受信します。設定を行うには、以下の手順に従います。

A ファイル・メニューから、［Manage］>［Remote Access］>［Connection profiles...］を選択すると、［Connection Profiles］ウィンドウが開きます。

［New...］をクリックします。

B［Connection Profile Properties］ウィンドウが開きます。［Advanced］タブで［Force UDP Encapsulation］を選択します。

ユーザがコネクト・モードで作業していない場合は、クライアント上で手動でUDPカプセル化を有効にする必要があります。クライアントのファイル・メニューで、［Tools］>

［Advanced IKE Settings］を選択し、［Force UDP Encapsulation］を選択します。

ゲートウェイでUDPカプセル化を選択すると、カプセル化されたVPNトラフィックとカプセル化されていないトラフィックの両方がゲートウェイでサポートされます。

注： UDPカプセル化が必要な場合、Microsoft L2TP IPSecクライアントはチェック・ポイントのゲート

ウェイとは機能できません。

444

ビジター・モードの設定

ビジター・モードの設定

ビジター・モードでは、サーバとクライアントの両方を設定する必要があります。369 ページの「ビジター・モードとMEP」も参照してください。

サーバの設定

VPN-1 ProのTCPトンネリング機能を有効にするには、以下の手順に従います。

ビジター・モードのサーバを実行しているゲートウェイ・オブジェクトの［Remote Access］ページ >［Visitor Mode］セクションで、［Support Visitor Mode］を選択します。

■ TCPTサーバにポート 443が割り当てられている場合は、［Allocated Port］セクションのデフォルトである［tcp https］を変更しないでください。

■ カスタム・ポート（デフォルトとは別のポート）について同意されている場合は、ドロップダウン・メニューからそのポートに対応するサービスを選択します。選択したポートが、SmartDashboardで事前に定義されたサービスによって指定されていない場合は、サービスを作成します。

■ ［Allocated IP Address］のデフォルトは［All IPs］です。ポートの競合を避けるためには、ビジター・モードのサーバ用に、ルーティングが可能で有効かつ適切な IPを選択します。サーバで［Dynamic Interface Resolving Configuration...］が有効になっている場合は（［VPN - Advanced］ページ）、ビジター・モードに［All IPs］でない特定のアドレスを割り当てることをお勧めします。

これらの設定では、ゲートウェイ上で動作するビジター・モードのサーバを設定します。

ビジター・モードとゲートウェイ・クラスタ

クラスタのサポートは制限されています。高可用性および負荷共有ソリューションには、「維持性」が必要です。すなわち、ビジター・モードの接続が常に同じクラスタ・メンバを通過する必要があります。

高可用性のシナリオでは、クラスタ・メンバからクラスタ・メンバへのフェイルオーバーはサポートされません。

接続プロファイルを使用したビジター・モードの有効化

ビジター・モードのユーザ用にカスタマイズした接続プロファイルを作成します。このプロファイルによって、クライアント側でビジター・モードの機能が有効になります。プロファイルを作成するには、以下の手順に従います。

注： ゲートウェイでビジター・モードが有効になっていると、RDPインタフェース検出メカニズムが

動作しません。代わりに、ビジター・モードのハンドシェイクが使用されます。

第28章 接続性の問題の解決 445

リモート・アクセスの接続性の設定

1 SmartDashboardで、［Manage］>［Remote Access］>［Connection profiles］を選択すると、［Connection Profiles］ウィンドウが開きます。

2 ［New...］をクリックして新しい接続プロファイルを作成するか、［Edit...］をクリックして既存のプロファイルを変更します。［Connection Profile Properties］ウィンドウが開きます。

3 ［Advanced］タブで、［Visitor Mode］を選択します。

リモート・クライアントで、コネクト・モードで作業するユーザを設定します。

プロキシ・サーバで作業するリモート・クライアントの設定

1 SecureClientで、［Detect Proxy from Internet Explorer Settings］を選択します。

以前のバージョンでは、プロキシは手動で定義する必要がありました。

446

プロキシ・サーバで作業するリモート・クライアントの設定

2 プロキシ認証用のユーザ名とパスワードを入力します。この情報は後に、「connect」コマンドによってプロキシ・サーバに転送されます。

図28-7 Internet Explorerでのプロキシ設定

SecureClientでは図 28-7で示す設定をすべて読み取れるようになりましたが、それは以下の条件を満たしている場合のみです。

■ SecureClientがLANまたはWLAN（ダイヤルアップでない）に接続されている。

■ Secure Domain Logon（SDL）が有効になっていない。

Windowsでのプロキシの置換

SecureClientがLANまたはWLAN上にあり、LAN上でプロキシ・サーバが設定されている場合、SecureClientではプロキシの設定を置換します。これにより、新しい接続はプロキシを経由してVPNドメインに送信されず、LANまたはWLANのゲートウェイへ直接送信されます。この機能は、ビジター・モードであるかどうかに関わらず機能します。SecureClientがWANまたはWLAN上にあり、ダイヤルアップ接続を使用していないことが条件となります。

注： ビジター・モードでは、認証を行わずにプロキシ・サーバに接続しようとします。プロキシによっ

てユーザ名とパスワードが要求される場合は、「proxy requires authentication appears」というエラー・

メッセージが表示されます。

第28章 接続性の問題の解決 447

リモート・アクセスの接続性の設定

SecureClientがプロキシ・ファイルを置換すると、VPNドメインの IPの範囲全体およびDNS名（「DIRECT」として返されます）を含む、プロキシ・ファイルに類似したスクリプトであるPACファイルが生成されます。Windows OSではこの情報をプレーン・テキストのスクリプトのPACファイルとして受信する必要があるため、このファイルはローカルに保存されます。このファイルは、以下のように Internet Explorerで定義した自動設定スクリプトを置換します。

Windowsでのプロキシ置換に特別な考慮事項

サイトの IPアドレスおよびDNS設定に関する機密情報は、SecureClientのuserc.Cファイルに入っています。このため、このファイルは実際の内容を秘密にする（ただし暗号化はしない）アルゴリズムによって解読が困難な形式にされています。プロキシ置換機能を使用すると、同じ情報がプレーン・テキストのPACファイルに書き込まれます。そのため管理者は、Windowsのプロキシ置換機能ではサイトの IPアドレスとDNS設定がすべてのエンド・ユーザが参照できるプレーン・テキストのPACファイルに Java Scriptコードとして書き込まれ、VPNドメインが公開されてしまうということに注意する必要があります。

Windowsでのプロキシ置換の設定

Windowsでのプロキシ置換は、ゲートウェイでもSecureClientクライアントでも設定できます。

448

プロキシ・サーバで作業するリモート・クライアントの設定

ゲートウェイでの設定

1 ［Global Properties］>［SmartDashboard Customization］を選択します。

2 ［Configure］をクリックします。

［Advanced Configuration］ウィンドウが開きます。

3 以下のいずれかを選択します。

■ ie_proxy_replacement。このオプションを選択すると、ビジター・モードが有効でなくても、Windowsでのプロキシ置換が常に実行されます。

■ ie_proxy_replacement_limit_to_tcpt。このオプションを選択すると、ビジター・モードが有効な場合のみプロキシ置換が実行されます。

SecureClientが更新を行うと、Windowsでのプロキシ置換に関するポリシーがダウンロードされて実行されます。

SecureClientでの設定

リモート・クライアントのuserc.cファイルで以下の 2つのプロパティを設定する方法もあります。

:ie_proxy_replacement (true):ie_proxy_replacement_limit_to_tcpt (true)

第28章 接続性の問題の解決 449

リモート・アクセスの接続性の設定

450

第 章29

クライアントレスVPN

この章の構成

クライアントレスVPNの必要性

VPNとSecuRemoteのテクノロジはデータの保護の問題に対する包括的なソリューションですが、場合によって、VPN用に設定されていないクライアント・コンピュータと安全な通信ができるように管理者が設定する必要があります。たとえば、ある従業員が突然インターネット・カフェから会社のメール・サーバにログインする必要が生じたとします。従業員はブラウザにソフトウェアをインストールすることも設定することもできませんが、会社のメール・サーバへの接続は安全に行う必要があるため、何らかの方法で認証を行う必要があります。

あるソフトウェア会社が、Webサーバ経由でバグ追跡ソフトウェアにアクセスするベータ・サイトを提供したいと考えているとします。ベータ・ピアではVPNテクノロジを採用しません。しかし、安全に接続して、ベータ・サイトのユーザが認証する必要があります。

別のシナリオとして、インターネット経由の攻撃に悩んでいる e-コマース企業があるとします。この企業では受信するパケットに有害なコンテンツが含まれていないかどうかを監視する必要がありますが、クライアントとサーバの間を直接通過する標準SSLベースの接続のパケットは暗号化されます。管理者はこの接続を保護すると同時に、パケットを監視できるようにする必要もあります。

クライアントレスVPNの必要性 451 ページ

クライアントレスVPNのためのチェック・ポイント・ソリューション

452 ページ

クライアントレスVPNの特別な考慮事項 454 ページ

クライアントレスVPNの設定 455 ページ

451

クライアントレスVPNのためのチェック・ポイント・ソリューション

これらのシナリオに共通する要素は、クライアント側でVPNテクノロジが使用できない状況で安全な接続を確立する必要があることです。ソリューションに必要な機能は、以下のとおりです。

■ 安全な接続をサポートする

■ クライアント側へのソフトウェアのインストールや設定を含まない

■ ユーザの認証が可能

■ ゲートウェイによるパケットの検査が可能

クライアントレスVPNのためのチェック・ポイント・ソリューション

クライアントがVPNテクノロジを使用できない（また、クライアント側でソフトウェアをインストールも設定もできない）場合の接続の保護は、クライアントレスVPNを使用することによって実現されます。クライアントレスVPNは、HTTPSをサポートするサーバとクライアントの間でのSSLベースの安全な通信を提供します。また、以下のような利点があります。

■ クライアントから提案されたVPNでサポートされる任意の暗号化方式をゲートウェイが受理する

■ 3DESなどの強力な暗号化をゲートウェイが実施できる

■ クライアントレスVPNでユーザの認証をサポートする

機能の仕組み

クライアントレスVPN接続は、以下の 2つの明確なフェーズに分割されます。

■ 安全なチャネルの確立

■ 通信フェーズ

安全なチャネルの確立

安全な接続は、以下の方法で確立されます。

1 クライアントのブラウザがWebサーバにHTTPS要求を送信します。

2 要求がVPN-1 Proゲートウェイに到達します。

3 VPN-1 Proゲートウェイがセキュリティ・ポリシーをチェックして、接続がHTTPSのルールに一致するかどうかを確認します。

4 ルールに一致してゲートウェイでクライアントレスVPNが有効になっていると、ゲートウェイはクライアントレスVPNセキュリティ・サーバへ接続を転送します。

クライアントレスVPNはゲートウェイ上の特別なセキュリティ・サーバを利用します。クライアントレスVPNセキュリティ・サーバは、クライアントレスVPN接続を処理するゲートウェイによって呼び出されるデーモン処理です。呼び出されると、クライアントレスVPNセキュリティ・サーバはバックグラウンド・プロセスとして実行を続けます。

452

機能の仕組み

5 クライアントとVPN-1 Proゲートウェイの間でSSLネゴシエーションが実行され、ゲートウェイがクライアントに対して自身を認証します。このときゲートウェイは、クライアントが信頼する認証局によって署名された証明書を使用します。

6 VPN-1 Proゲートウェイとクライアントの間で、安全なチャネルが確立されます。

通信フェーズ

図 29-1では、VPNセキュリティ・サーバがWebサーバへの接続を開くところを示しています。クライアントはVPN-1 Proゲートウェイ経由でサーバに接続します。その後、クライアントからVPN-1 Proゲートウェイへの接続はすべて暗号化されます。すべてのパケットは暗号化されてゲートウェイへ送信されます。ゲートウェイはパケットを復号化し、そのパケットを「暗号化しない」でWebサーバへ転送します。クライアントからはクライアントとWebサーバが直接通信しているように見えますが、実際のSSLセキュア・チャネルの終点はゲートウェイです。

図29-1 通信フェーズ

クライアントレスVPNでのコンテンツのセキュリティ

VPN-1 Proゲートウェイではパケットがクリア・テキストで読み取れるため、パケットのコンテンツを調査して、コンテンツのセキュリティが必要かどうかを確認できます。

ユーザ認証

ユーザは必要に応じて認証を行うことができます。ここでは、従業員がインターネット・カフェから会社の電子メールを読む必要が生じた例について説明します。一般的には、以下の手順で操作します。

1 ユーザ側にユーザ名とパスワードを要求するポップアップ・ウィンドウが表示されます。

2 ユーザはログイン情報を入力します。

3 ゲートウェイはユーザ名を検証し、パスワードを認証します。

第29章 クライアントレスVPN 453

クライアントレスVPNの特別な考慮事項

別の方法として、証明書を使用して認証することもできます。

ユーザの証明書

クライアントレスVPNでは、証明書を使用したユーザの認証をサポートしています。クライアントの証明書は、SSLフェーズ中に検証されます。また、証明書からクライアントの身元情報詳細が抽出され、ユーザ認証フェーズ中に処理されます。この方法では、ユーザがユーザ名やパスワードを入力したり、接続を行うたびに認証を行う必要はありません。認証は証明書を通じて処理されます。

クライアントレスVPNの特別な考慮事項

クライアントレスVPNについては、以下のような考慮事項があります。

■ ゲートウェイがどの証明書を提示しているか

■ 何台のセキュリティ・サーバを実行する必要があるか

■ どの程度の暗号化レベルが必要か

ゲートウェイによって提示される証明書

この事項は、SSLネゴシエーション中にゲートウェイが認証のためにクライアントに提示する証明書に関連しています。クライアント側での も簡単なオプションは、クライアントがデフォルトで信頼するように設定されているCAが署名した証明書（Verisignから提供された証明書など）をクライアントに提示することです。この場合、クライアント側で必要な設定はありません。しかし会社のポリシーとしてさらに高いレベルのセキュリティが要求される場合は、会社自体が所有するCAから発行された証明書を使用することをお勧めします。

内部CA（信頼されている既知のもの）から発行された証明書の使用を管理者が決定した場合、クライアントおよび証明書を信頼するように設定されたクライアントへ、CAの証明書を提供する必要があります。管理者が外部認証局を使用して処理を行うことを決定した場合は、以下の作業を実行する必要があります。

1 CA証明書を取得します。

2 このCAを信頼するようにSmartCenter Serverを設定します。

3 ゲートウェイの証明書を取得して設定します。

4 CA証明書をクライアントに提供します。

管理者はユーザに、このCAを信頼するようクライアントを設定するように指示する必要があります。

454

実行するセキュリティ・サーバの数

実行するセキュリティ・サーバの数

多数のクライアントレスVPN接続が存在する場合の負荷を分散するため、管理者は実行するセキュリティ・サーバの数を決定する必要があります。同じゲートウェイで実行できるセキュリティ・サーバは10台までです。チェック・ポイントでは、アクティブなユーザ

150人ごとに1台のVPNセキュリティ・サーバを実行することをお勧めします。アクティブ

なユーザと登録されたすべてのユーザを混同しないように注意してください。たとえば、データベースには 700人のクライアントレスVPNユーザが登録されていても、同時にクライアントレスVPN接続を行うユーザの数が平均で 70人しかいない場合は、セキュリティ・サーバを 1台のみ実行します。

暗号化のレベル

ゲートウェイを 3DESなどの強力な暗号化を実施するように設定できますが、3DESを使用するとゲートウェイ・マシンの性能が影響を受ける場合があります。クライアントのブラウザでも 3DESをサポートする必要があります。

クライアントレスVPNの設定

クライアントレスVPNの大部分はゲートウェイ上で設定します。ただし、以下の場合は例外です。

■ ゲートウェイが、クライアントのデフォルトの証明書でない証明書を使用して、クライアントに対してゲートウェイ自身の認証を行う場合

■ ユーザ認証が必要で、証明書を使用して認証が行われる場合

いずれの場合も、適切な証明書をクライアントおよびその証明書を処理するように設定されているクライアントに、ネットワークを使用せずに提供する必要があります。

ゲートウェイの設定

一般的な概要

クライアントレスVPN用にゲートウェイを設定するには、以下の手順に従います。

■ ゲートウェイの証明書を取得します。この証明書は、 初の接続中にゲートウェイがクライアントに対してそのゲートウェイ自身を認証する際に使用する証明書です。

■ ゲートウェイ・オブジェクトの［Clientless VPN］ページで、クライアントレスVPN用のゲートウェイを設定します。

■ ユーザおよびユーザ認証スキームを定義します。

■ セキュリティ・ポリシー・ルール・ベースで適切なルールを作成します。

第29章 クライアントレスVPN 455

クライアントレスVPNの設定

実装方法

ゲートウェイの証明書の取得

内部CAが発行した証明書の代わりに外部の認証局が発行した証明書を使用することにした場合は、以下の手順に従います。

■ このCAを信頼するようにVPN Proを設定する

■ ゲートウェイの証明書を取得して設定する

詳細については、「PKI（Public Key Infrastructure）」 を参照してください。

ゲートウェイ・オブジェクトでのクライアントレスVPNの設定

ゲートウェイ・オブジェクトのプロパティ・ウィンドウの［Clientless VPN］ページで、以下の手順を実行します。

1 ［Support Clientless VPN］を選択します。

2 ［Certificate for gateway authentication］を選択します。

3 ［Client authentication］で、以下のいずれかのオプションを選択します。

■ ユーザの認証が必要で、証明書を使用して認証が行われる場合は、［Require the client to present a certificate］を選択します。

■ ユーザの認証が必要であるが、クライアントレスVPNユーザの一部が証明書を所有せず、別の方法で認証するものがあることがわかっている場合は、［Ask the client to present a certificate］を選択します。

■ 証明書によるユーザ認証が必要でないか、他の方法で認証が実行される場合は、［Do not ask the client to present a certificate］を選択します。

4 ［Number of concurrent servers/processes］に、実行するVPNセキュリティ・サーバの数が示されます。負荷の状況によって、管理者は 2つ以上のセキュリティ・サーバを実行できます。

455 ページの「実行するセキュリティ・サーバの数」のセクションを参照してください。

5 強力な暗号化を実施する必要がある場合は、［Accept 3DES for Clientless VPN connections］を選択します。

ユーザの定義

ユーザの認証が必要な場合は、以下の手順に従います。

1 内部データベースまたは外部LDAPサーバでユーザを定義します。

詳細については、『SmartCenter』を参照してください。

456

ゲートウェイの設定

2 以下の方法で認証方式を有効にします。

■ 必要な認証方式をサポートするようにゲートウェイを設定する

■ ユーザに対する適切な認証方式、たとえばユーザ名とパスワードや、証明書の使用などを設定する 証明書を使用してユーザの認証を行う場合は、適切なCAから証明書を取得し、その証明書をユーザに提供します。証明書が内部CAによって発行されるものである場合、証明書の発行方法については「リモート・アクセス用VPNの考慮事項」を参照してください。

■ 認証サーバを採用する場合は、RADIUSなどの認証サーバを設定します。

『ファイアウォールとSmartDefense』の「認証」を参照してください。

セキュリティ・ポリシー・ルール・ベースでの適切なルールの作成

クライアントレスVPNを実装するには、各接続にセキュリティ・サーバを採用する必要があります。このことは、クライアントレスVPNを許可するルールをセキュリティ・ポリシー・ルール・ベースで作成する方法に影響します。

ユーザ認証を行わない場合

ユーザ認証が不要な場合は、URIリソースを実装するルールを定義する必要があります。以下に例を示します。

このルールは、どのような接続元からWebサーバへHTTPS接続が実行されても、その接続が承認されることを示しています。すべての接続でセキュリティ・サーバの使用を強制するには、「URI Resource」が必要となります。これはクライアントレスVPNでURIリソースを必要とする場合と同様です。

URIリソースの定義の詳細については、『ファイアウォールとSmartDefense』の「コンテンツ・セキュリティ」を参照してください。

ユーザ認証を行う場合

セキュリティ・ポリシー・ルール・ベースで、［Client authentication］と［User authentication］のいずれかに以下のようなルールを定義します。

SOURCE DESTINATION SERVICE ACTION

Any Web_server HTTPS - URI Resource Accept

SOURCE DESTINATION SERVICE ACTION

Any Web_server HTTPS User Auth

第29章 クライアントレスVPN 457

クライアントレスVPNの設定

このルールは、どのような接続元がHTTPSを使用してWebサーバへ接続しようとしても、ユーザ認証が実行されることを示しています。ユーザを認証する必要はあるが、受信パケットでコンテンツのセキュリティを実行する必要がない場合は、アクションとしてユーザ認証を選択します。

または、以下のように定義します。

このルールは、どのような接続元がHTTPSを使用してWebサーバへ接続しようとしても、クライアントの認証が実行されることを示しています。ユーザを認証し、受信パケットのコンテンツを検査する必要がある場合は、アクションとしてクライアント認証を選択します。

クライアントの設定

以下のいずれかの条件に当てはまる場合には、以下のような操作が必要です。

■ セキュリティ・サーバがクライアントのデフォルトの証明書でない証明書を使用して、クライアントに対してセキュリティ・サーバ自身の認証を行う場合

■ ユーザの認証が必要で、証明書を使用して認証が行われる場合

その証明書を、クライアントおよびその証明書を使用するように設定されているクライアントのブラウザに、ネットワークを使用せずに提供する必要があります。これ以外の場合は、クライアント側で必要な設定はありません。

クライアントのブラウザの設定

クライアントのブラウザに証明書をインストールする方法は 2とおりあります。

1 クライアントがフロッピー・ディスクで証明書を受け取る

2 クライアントで証明書を右クリックして［Install Certificate］を選択する

または、以下の手順に従います。

1 クライアントに証明書の入ったフロッピー・ディスクを挿入します。

2 ブラウザを開きます。

3 ［ツール］>［インターネット オプション］>［コンテンツ］タブを選択します。

4 ［証明書］をクリックします。

5 ［インポート］をクリックします。

［証明書のインポート ウィザード］が開きます。

6 フロッピー・ディスクから証明書をインポートします。

SOURCE DESTINATION SERVICE ACTION

Any Web_server HTTPS - URI_resource Client Auth

458

付録

付録 A

VPN コマンドライン・インタフェース

この章の構成

VPN コマンド

以下のコマンドラインはVPNに関連しており、『コマンドライン・インタフェース』でも述べられています。

VPN コマンド 461 ページ

SecureClient のコマンド 463 ページ

デスクトップ・ポリシーのコマンド 464 ページ

表 A-1 VPN コマンドライン・インタフェース

コマンド 説明

VPN このコマンドおよびサブコマンドは、VPN のさまざまな機能を操作するために使用します。コマンドラインで実行されたVPN コマンドは VPN プロセスに関するステータス情報を生成します。またこのコマンドを使用して、特定の VPN サービスを停止および開始することもできます。

vpn accel VPN-1 Pro のアクセラレータ・カード（暗号化のみのカードで、完全な SecureXL カードではない）および VPNx の操作を実行します。VPNx は、複数の CPU を利用して VPN の操作を高速化するソフトウェア・モジュールです。

vpn compreset 圧縮や解凍の統計データをゼロにリセットします。

vpn compstat 圧縮や解凍の統計データを表示します。

vpn crl_zap このコマンドを使用して、すべての証明書失効リスト（CRL）をキャッシュから消去します。

461

vpn crlview 証明書失効リスト（CRL）を配布ポイントから取得し、ユーザに表示します。

vpn debug VPN-1 Pro のログ・ファイルにデバッグ・メッセージを書き込むように VPN デーモンに命令します。ログ・ファイルは$FWDIR/log/vpnd.elg にあります。

vpn drv VPN-1 Pro のカーネル（vpnk）をインストールして VPN-1 Proのカーネル（fwk）に接続し、VPN-1 Pro のドライバを VPN-1 Pro のドライバに添付します。

vpn export_p12 ネットワーク・オブジェクト・データベースに含まれる情報をエクスポートし、p12 の拡張子の付いたファイルに PKCS#12形式で書き込みます。

vpn macutil このコマンドは特にオフィス・モードのリモート・アクセスVPN に関連しており、リモート・ユーザごとに MAC アドレスを生成します。このコマンドは DHCP 経由で IP アドレスを割り当てる場合のみ使用できます。

vpn mep_refresh このコマンドを実行すると、、バックアップの維持性が設定されている場合は、すべての MEP トンネルが使用可能かつ 適なゲートウェイにフェイルバックされます。

vpn nssm_toplogy トポロジ（NSSM 形式）を生成し、Nokia クライアントが使用する Nokia NSSM サーバにアップロードします。

vpn overlap_encdom 重複するすべての VPN ドメインを表示します。一部の IP アドレスが 2 つ以上の VPN ドメインに属している場合があります。このコマンドを実行すると、以下の条件の一方または両方に当てはまる場合に、暗号化ドメインが重複していることを示す警告が表示されます。

• 同じVPNドメインが両方のゲートウェイで定義されている

• ゲートウェイに複数のインタフェースがあり、1つまたは複数のインタフェースに同じ IPアドレスとネットマスクが設定されている

vpn sw_topology SofaWare Gateway のトポロジをダウンロードします。

vpn ver VPN のメジャー・バージョン番号とビルド番号を表示します。

vpn tu VPNトンネルの制御に使用するTunnelUtilツールを起動します。

表 A-1 VPN コマンドライン・インタフェース（続き）

コマンド 説明

462

SecureClient のコマンド

以下のコマンドはSecureClientに関連するものです。

表 A-2 SecureClient コマンドライン・インタフェース

コマンド 説明

SCC SecureClient 上で実行される VPN コマンドを使用して、ステータス情報を生成したり、サービスを停止および開始したり、特定のユーザ・プロファイルを使用して定義されたサイトに接続したりします。

scc connect 指定したプロファイルを使用してサイトに接続し、接続が確立されるまで待機します。言い換えれば、OS はこのコマンドをバックグラウンドで実行せず、キュー内の次のコマンドを実行します。

scc connectnowait 指定したプロファイルを使用してサイトに非同期的に接続します。すなわち、OS はキュー内の次のコマンドへ移動し、このコマンドはバックグラウンドで実行されます。

scc disconnect 指定したプロファイルを使用してサイトから切断します。

scc erasecreds 認証クレデンシャルを消去します。

scc listprofiles すべてのプロファイルの一覧を表示します。

scc numprofiles プロファイルの数を表示します。

scc restartsc SecureClient サービスを再起動します。

scc passcert 証明書を使用して認証を行う際のユーザの認証クレデンシャルを設定します。

scc setmode <mode> SecuRemote/SecureClient モードを切り替えます。

コマンド 説明

scc setpolicy 現在のデフォルトのセキュリティ・ポリシーを有効または無効にします。

scc sp 現在のデフォルトのセキュリティ・ポリシーを表示します。

scc startsc SecureClient サービスを起動します。

scc status 接続のステータスを表示します。

scc stopsc SecureClient サービスを停止します。

scc suppressdialogs ダイアログのポップアップを表示または抑制します。デフォルトでは、suppressdialogs はオフになっています。

scc userpass ユーザの認証クレデンシャル（ユーザ名とパスワード）を設定します。

付録 A 463

デスクトップ・ポリシーのコマンド

以下のコマンドラインは、デスクトップ・ポリシーに関連するものです。

scc ver 現在の SecureClient のバージョンを表示します。

scc icacertenroll 内部 CA によって証明書を登録し、現在は 4 つのパラメータ（サイト、レジストレーション・キー、ファイル名およびパスワード）を受け取ります。現在このコマンドでは p12 ファイルの作成のみがサポートされています。

scc sethotspotreg このコマンドライン・インタフェースでは、ホットスポットやホテルでの登録をサポートするようになりました。

表 A-2 SecureClient コマンドライン・インタフェース（続き）

表 A-3 デスクトップ・ポリシーのコマンドライン・インタフェース

コマンド 説明

dtps ver ポリシー・サーバのバージョンを表示します。

dtps debug [on|off] デバッグの $FWDIR/log/dtps.elgへの出力を開始または停止します。

fwm psload <デスクトップ・ポリシー・ファイルへのパス > <ターゲット >

デスクトップ・ポリシーをモジュールにロードします。ターゲットはデスクトップ・ポリシーがロードされるモジュールの名前であり、SmartDashboard に表示されるとおりに入力する必要があります。このコマンドは、管理機能から実行する必要があります。例： fwm psload $FWDIR/conf/Standard.S Server_1

fwm sdsload <SDS オブジェクト・ファイルへのパス > <ターゲット >

SDS データベースをモジュールにロードします。ターゲットは SDS オブジェクト・ファイルがロードされるモジュールの名前であり、SmartDashboard に表示されるとおりに入力する必要があります。このコマンドは、管理機能から実行する必要があります。例： fwm sdsload $FWDIR/conf/SDS_objects.C Server_1

464

付録 B

旧来のポリシーからコミュニティ・ベースのポリシーへの変換

この章の構成

シンプル VPN モードへの変換の概要 466 ページ

トラディショナル VPN モードとシンプル VPN モードの相違点 466 ページ

トラディショナル・モードでの暗号化ルールの動作 467 ページ

シンプル・モードへの変換の原理 469 ページ

コミュニティ内へのゲートウェイの配置 469 ページ

暗号化ルールの変換 470 ページ

変換されたルール・ベースの制限が強すぎる場合 470 ページ

クライアント暗号化ルールの変換 471 ページ

認証および暗号化ルールの変換 472 ページ

変換ウィザードによる無効なルールの処理 473 ページ

ウィザードの実行後 473 ページ

465

シンプル VPN モードへの変換の概要

シンプル・モードを使用したVPNの構築には、数多くの利点があります。シンプル・モードにより、より単純で、そのためエラーの発生しにくい安全なVPNを作成および維持することが可能です。

シンプル・モードでは、VPNの定義はアクセス制御セキュリティ・ポリシーから切り離されます。これにより、組織のVPNトポロジや、誰と誰が安全に交信できるかが理解しやすくなります。また、VPNルーティングなどのVPN-1 Proの機能は、シンプル・モードのセキュリティ・ポリシーを使用する場合のみサポートされます。

統一された方法で既存のポリシーをすべて管理し、VPN-1 Proの 新機能を利用するためには、トラディショナル・モードのセキュリティ・ポリシーをシンプル・モードに変換することをお勧めします。新しいポリシーについては、シンプル・モードを使用することをお勧めします。シンプル・モードは新バージョンのVPN-1 Proのデフォルト設定です。

トラディショナル・モードで設定されたVPN-1 Proのポリシーは、Security Policy Converterウィザードを使用してシンプルVPNモードに変換できます。

変換ウィザードを使用すると、ルールやグループ・ルールをまとめて移動することによって、多数のVPN-1 Proポリシーを大幅に簡素化できます。

処理は簡単です。ここでは自動と手動の両方の変更について詳しく説明します。その目的は、ユーザが確実にトラディショナル・モードのVPNポリシーをシンプルVPNモードに移行できるようにすることです。

変換ウィザードを開始するには、ポリシーを保存し、SmartDashboardのメイン・メニューから［Policy］>［Convert to］>［Simplified VPN…］を選択します。

トラディショナル VPN モードとシンプル VPN モードの相違点

トラディショナル・モードのセキュリティ・ポリシーは、シンプル・モードのポリシーと以下の点で異なっています。

トラディショナルVPNモードでは、1つのルールが暗号化ルールの動作によって、アクセス制御と暗号化の両方を処理します。VPNプロパティはゲートウェイごとに定義されます。

シンプルVPNモードでは、セキュリティ・ルール・ベースはアクセス制御のみを処理します。言い換えれば、ルール・ベースでは許可される動作のみが決定されます。一方、VPNプロパティはVPNコミュニティごとに処理されます。

VPNコミュニティはゲートウェイのグループです。コミュニティは、VPNの暗号化の方法を定義します。コミュニティ・メンバ間のすべての通信は暗号化され、その他すべての通信は暗号化されません。

シンプルVPNモードとコミュニティについては、第 4章「サイト間VPNの概要」で説明しています。

466

管理者はシンプルVPNポリシーによって、より簡単にVPNを設定できます。しかし、トラディショナル・ポリシーの方がシンプル・ポリシーよりもより詳細にVPNを作成できます。その理由は以下のとおりです。

■ 暗号化するかどうかをルール（宛先、発信元およびサービス）ごとに定義できます。

■ シンプル・ポリシーでは、2つのゲートウェイの間のすべての接続を、コミュニティの定義を使用して同じ方式で暗号化する必要があります。

このため、ウィザードを実行した後で、ルール・ベースを一部手動で 適化する必要があります。

トラディショナル・モードでの暗号化ルールの動作

トラディショナル・ポリシーをシンプル・ポリシーに変換すると、暗号化ルールがコミュニティを使用するルールに変換されます。変換を理解するためには、暗号化ルールの動作を理解することが重要です。

変換および変換処理の制限事項について理解するには、図B-1を参照してください。この図では、ゲートウェイの間のVPNおよび各ゲートウェイの暗号化ドメインを示しています。Net_AとNet_Bはゲートウェイ1の暗号化ドメインで、Net_Dはゲートウェイ2の暗号化ドメインです。

注： 「VPN ドメイン」と「暗号化ドメイン」という用語は同じものを意味しています。通常、「VPNドメイン」はシンプル・ポリシーのコンテキストで、「暗号化ドメイン」はトラディショナル・ポリ

シーのコンテキストで使用されます。

付録 B 467

図 B-1 ゲートウェイの間の VPN および各ゲートウェイの暗号化（VPN）ドメイン

表B-1では、暗号化ルールにVPNが実装されている様子を示しています。

暗号化ルールに一致する接続は、ポリシーを適用するゲートウェイによって、暗号化（または復号化）されて転送されます。ただし、例外が2つあります。

1) 発信元または宛先がVPN-1 Proゲートウェイの内側にあり、ゲートウェイのVPNドメインに含まれていない場合、接続は破棄されます。

図 B-1 と表 B-1 を参照してください。たとえば、送信元 X が Net_C にあり、送信先Y が Net_D にある場合、ゲートウェイ 1 によって接続が破棄されます。これは、アクションが暗号化を要求しても、発信元がゲートウェイ 1 の暗号化ドメインに含まれていないために、接続の暗号化ができないからです。

表 B-1 トラディショナル・ルール・ベースの暗号化ルールのサンプル

SOURCE DESTINATION SERVICE ACTION TRACK INSTALL ON

X Y My_Services Encrypt Log Policy Targets

468

2) 発信元と宛先が同じゲートウェイの暗号化ドメインにある場合、接続は暗号化されず

に確立されます。

図 B-1 と表 B-1 を参照してください。たとえば、送信元 X が Net_A にあり、送信先Y が Net_B にある場合、X から送信された接続要求がゲートウェイに到達し、このゲートウェイによって応答メッセージが Y に転送されます。この場合、接続の復号化を実行できるゲートウェイが Y 側にないため、この接続は暗号化されません。SmartView Tracker ログには、「Both endpoints are in the Encryption Domain」というメッセージが記録されます。

シンプル・モードへの変換の原理

変換ウィザードでは以下の原理によって、接続性とセキュリティの 適なバランスを維持しようとします。

■ トラディショナル・モードで拒否されるすべてのトラフィックを拒否します。これは、トラディショナル・ルール・ベースで許可される一部の接続が破棄されることを意味します。

■ 低でも、トラディショナル・ポリシーで暗号化されるトラフィックをすべて暗号化します。これは、変換されたポリシーによって、元のポリシーよりも多数の接続が暗号化できることを意味します。

このことが意味するのは、トラディショナル・ポリシーのうち、セキュリティ・ルール・ベースで指定したポリシーを完全に保持する方法では変換できないものがあるということです。シンプルVPNで変換されたルールはある一定の環境で、トラディショナルVPNの暗号化ルール（467 ページの「トラディショナル・モードでの暗号化ルールの動作」で説明）と若干異なる動作をします。

変換ウィザードは、2つか 3つの簡単な手順で実行できます。ウィザードを実行した後は、セキュリティ・ルール・ベースを確認して、必要な機能が維持されていることを確認し、必要に応じて機能を 適化する必要があります。

コミュニティ内へのゲートウェイの配置

トラディショナルVPNをシンプルVPNに変換する 初の手順は、組織のトポロジを説明するVPNコミュニティを作成することです。変換ウィザードでは、管理者がゲートウェイをコミュニティに配置する必要があります。ゲートウェイの間でどのコミュニティを定義するかをトラディショナル・ポリシーから導き出すことが非常に困難であるため、ゲートウェイの配置を自動的に行うことはできません。

ウィザードでは、コミュニティを定義したり、コミュニティにゲートウェイをドラッグアンドドロップしたりすることが可能です。図B-1では、管理者はゲートウェイ 1とゲートウェイ 2のオブジェクトを同じサイト間コミュニティのオブジェクトにドラッグして、両方のゲートウェイを同じコミュニティのメンバにする必要があります。

付録 B 469

異なる暗号化プロパティを持つ複数のコミュニティを作成して、トラディショナルVPNポリシーの動作を反映した方がよい場合があります。

以前に 1つもコミュニティが定義されていない場合は、空のコミュニティ・オブジェクトがあらかじめデフォルトで 2つ定義されています。1つはサイト間VPN「イントラネット」コミュニティ（メッシュ・コミュニティ）で、もう 1つはリモート・アクセス・コミュニティです。この 2つのコミュニティしか存在しない場合、すべてのゲートウェイをサイト間のコミュニティに単純に配置するか、すべてのリモート・アクセス・ゲートウェイをリモート・アクセス・コミュニティに配置するかという選択肢がウィザードに表示されます。

暗号化ルールの変換

ゲートウェイがコミュニティに配置された後に、暗号化ルールが変換されます。変換されたルール・ベースでは、シンプルVPNモードの暗号化ルールの動作が可能なかぎり保持されます。

変換ウィザードでは、変換ルールが以下の 2つのルールに変換されます。

1つ目のルールは、任意のサイト間のコミュニティ内で、接続がXで発生して宛先がYである場合に、一致して許可されることを意味します。

2つ目のルールは、接続がXで発生して宛先がYであるが、サイト間のコミュニティでは暗号化（または復号化）されない場合に、接続が破棄されることを意味します。

2つ目のルール（破棄ルール）は、発信元と宛先のいずれかがVPNドメインに存在しない場合に必要となります。トラディショナル・ポリシーでは、暗号化ルールによってこの接続が破棄されます。シンプル・ポリシーに破棄ルールが存在しない場合は、ルール・ベース内のさらに詳細なルールによって接続が一致して許可されます。

変換されたルール・ベースの制限が強すぎる場合

暗号化ルールから 2つのシンプル・モードのルールへの変換の制限は、 低でも元のルールと同じ強さです。しかし、表B-2で示す変換済みのルール・ベースでは、元のルール

（表B-1）に一致して許可された接続の一部が破棄されることがあります。これは、同じゲートウェイの暗号化ドメインに属する 2つのホストの間の接続で発生します。たとえば図B-1では、Net_AのノードからNet_Bのノードへの接続が、変換されたルール・ベースによって破棄されます。これは、コミュニティ・ルールによってVPNドメイン間のトラフィックが定義されるが、そのルールがVPNドメイン内のトラフィックに関連していないことが原因です。

表 B-2 シンプル・ルール・ベース内の変換済みルール

SOURCE DESTINATION VPN SERVICE ACTION TRACK INSTALL ON

X Y All_GW_to_GW My_Services Accept Log Policy Targets

X Y Any My_Services Drop Log Policy Targets

470

変換されたルール・ベースでこれらの接続を可能にするには、ユーザが明示的に許可する必要があります。許可するには、1つ目のルールと 2つ目のルールの間にルールを 1つ追加して、各ポリシー・ターゲットが「INSTALL ON」フィールドに表示されるようにします。たとえば、表B-2の 2つのルールは、表B-3で示す 3つのルールになります。

ほとんどの場合、これらのルールを追加する必要はありません。追加するのは、暗号化ドメイン内の接続が暗号化ルールに一致する場合のみです。このことは、SmartViewTrackerの「Both endpoint are in the Encryption Domain」というログで表示されます。

クライアント暗号化ルールの変換

クライアント暗号化ルールはそれぞれ、クライアント暗号化ルールの動作を保持する単一のルールに変換されます。たとえば、表B-4で示すトラディショナル・モードのルールでは、リモート・アクセス・ユーザによるNet_Dへのアクセスを許可しています。

変換されたルールを表B-5で示します。リモート・アクセス・コミュニティはVPNフィールドに入れられ、ルールの動作は許可となります。

表 B-3 変換済みの暗号化ルール・ベースに手動で追加されたルール

SOURCE DESTINATION VPN SERVICE ACTION TRACK INSTALL ON

X Y All_GW_to_GW My_Services Accept Log Policy Targets

Net_A Net_B Any My_Services Accept Log Gateway 1

X Y Any My_Services Drop Log Policy Targets

表 B-4 トラディショナル・モードでのリモート・アクセス・ルール

SOURCE DESTINATION SERVICE ACTION TRACK

All_Users@alaska Net_D My_Services Client Auth Log

表 B-5 シンプル・モードでの変換済みリモート・アクセス・ルール

SOURCE DESTINATION VPN SERVICE ACTION TRACK

All_Users@alaska Net_D Remote Access Community

My_Services Accept Log

付録 B 471

認証および暗号化ルールの変換

トラディショナル・モードのポリシーでは、認証および暗号化ルールはユーザ、クライアントまたはセッションの認証に関するルールで、ルールのアクションで「AddEncryption」が選択されています。

認証および暗号化ルールについて、表B-6 でクライアント認証の場合を示しています。「SOURCE」では発信元の場所に関する制限および許可されたユーザの両方が指定されます。ルールに一致するすべての接続を認証および暗号化する必要があります。暗号化が不可能な場合、接続は破棄されます。

ユーザの識別は認証ルールでのみ可能で、破棄ルールでは不可能なため、暗号化されなかった接続を破棄するルールを定義することはできません。

コミュニティ内で暗号化すべきでないサービスを、［Excluded Services］リストに追加します。たとえば、トラディショナル・ポリシーで暗黙的なルールを明示的に定義したと仮定します。83 ページの「VPNコミュニティでのファイアウォール制御接続の認証方法」を参照してください。

これにより、変換されたルール・ベースの制限が 低でも元のルールと同じ強さになる方法では、認証および暗号化ルールは自動的に変換できません。代わりに、変換ウィザードが認証および暗号化ルールを単一のルールに変換します。表B-7で示すように、破棄ルールは追加されません。このことはセキュリティ上問題となります。それは、発信元の場所に一致する接続で、ユーザが正しく認証したのに暗号化されなかった場合、後に何らかのルールによって同じ発信元に対して「Accept」を指定すると、この接続が変換済みのルール・ベースで許可される可能性があるためです。

変換中に認証および暗号化ルールが検出されると、そのようなルールは自動的に変換できないことを示すエラーが表示されて管理者に警告されます。このような場合は、セキュリティの侵害を防止するため、変換済みルール・ベースを確認してからインストールすることが重要です。場合によっては、元のルール・ベースによって以前に破棄されたすべてのトラフィックが変換済みルール・ベースでも破棄されるようにルールを追加する必要があります。

表 B-6 トラディショナル・モードでの認証および暗号化ルール

SOURCE DESTINATION SERVICE ACTION TRACK

All_Users@alaska Net_D My_Services Client Auth Log

表 B-7 シンプル・モードでの安全でない変換済みの認証および暗号化ルール

SOURCE DESTINATION VPN SERVICE ACTION TRACK

All_Users@alaska Net_D All_GwToGw My_Services Client Auth Log

472

変換ウィザードによる無効なルールの処理

トラディショナルVPNルール・ベースでルールを無効にすると、シンプル・ルール・ベースで変換されたルールも無効になります。

ウィザードの実行後

ウィザードを実行した後はルール・ベースを調べて、必要な機能が保持されているかどうかを確認し、必要に応じてルール・ベースの 適化や以下のようなその他の変更を行います。これらの問題については前にも説明していますが、便宜上ここでも簡単に説明します。

不要な破棄ルールの除外

場合によっては、暗号化ルールの変換によって生成された 2つ目の破棄ルールがいずれの接続にも一致せず、1つ目のルールで充分であるとき、2つ目の破棄ルールを削除することができます。これは、ルールが以下の条件を満たしている場合に可能です。

■ ルールの「INSTALL ON」カラムに表示されるゲートウェイの暗号化ドメインに、発信元と宛先が入っている。

■ コミュニティが、発信元のアドレスを保護するすべてのゲートウェイと、宛先のアドレスを保護するゲートウェイの両方をリンクしている。

暗号化ルールの変換によって生成された2つ目の破棄ルールを削除できるもう1つのケースは、1つ目のルールに一致しない接続が、その後のルール・ベースに表示されるルールによって破棄される場合です。場合によって、複数の暗号化ルールの変換によって生成された複数の破棄ルールを、単一の破棄ルールにグループ化することが可能です。

VPN ドメイン内の接続を許可するルールの追加

両方のエンドポイントが同じゲートウェイの暗号化ドメイン内に存在する暗号化ルールに一致する接続は、トラディショナル・ルール・ベースが適用されます。VPN-1 Proのシンプル・ルール・ベースで同じ効果を得るには、ゲートウェイの暗号化ドメイン内のトラフィックを許可するルールを手動で追加する必要があります。ほとんどの場合、これらのルールを追加する必要はありません。追加するのは、「Both endpoint are in theEncryption Domain」というSmartView Trackerログが表示された場合です。

認証および暗号化ルール

認証および暗号化ルールは、自動的に変換されません。ルール・ベース内にそのようなルールが表示される場合は、変換済みルール・ベースを確認して、これらのルールのセキュリティが保持されていることを確認します。

付録 B 473

474

付録 C

VPN シェル

VPN シェルを使用した仮想インタフェースの設定

仮想VPNトンネル・インタフェースの作成に使用するVPNシェルは、メニューとコマンドで構成されています。シェルはインタラクティブに使用することも、単一のコマンドラインとして使用することも可能です。ほかの引数なしでコマンド vpn shellを呼び出すと、インタラクティブ・シェルが起動します。vpn shellの後に引数を追加すると、直接コマンドと解釈されて実行されます。

VPN shell ― インタラクティブ・モードを起動します

vpn shellの構文と意味を表C-1に示します。

■ コマンドの基本的なフォーマットは [パス /パス /パス引数 ]です。たとえば、interface/addとすると、ナンバード・インタフェースを追加するメニューへ直接移動します。

■ VPNシェルでは、コマンドラインの補完が有効です。たとえばi/a/nは補完されてinterface/add/numberedとなり、同じ文字で始まるコマンドが 2つ存在していなければそのまま実行されます。

■ VPNシェルを終了して行末を指定するには、Ctrl-Dキーを使用します（VPNシェルのコマンドをスクリプトに含める場合）。

表 C-1 VPN シェルのコマンドと引数

式 意味

? 有効なコマンドを表示する

/ メイン・メニューのトップへ戻る

.. （ドット 2 つ） 1 つ上のメニュー階層へ移動する

/quit VPN シェルを終了する

show/interface/summary すべてのインタフェースまたは特定のインタフェースのサマリを表示する

475

show/interface/detailed すべてのインタフェースまたは特定のインタフェースのサマリをより詳細に表示する

interface/add/numbered ナンバード・インタフェースを追加する（ローカル IP、リモート IP、ピア名およびインタフェース名が必要）

interface/add/unnumbered アンナンバード・インタフェースを追加する（ピア名およびインタフェース名が必要）

interface/modify/peer/mtu インタフェースの MTU をピア名によって変更する

interface/modify/peer/netmask インタフェースのネットマスクをピア名によって変更する

interface/modify/ifname/mtu インタフェースの MTU を所定のインタフェース名によって変更する

interface/modify/ifname/netmask インタフェースのネットマスクを所定のインタフェース名によって変更する

interface/delete/peer インタフェースを所定のピア名によって削除する

interface/delete/ifname インタフェースを所定のインタフェース名によって削除する

interface/show/summary すべてのインタフェースまたは特定のインタフェースのサマリを表示する

interface/show/detailed すべてのインタフェースまたは特定のインタフェースのサマリをより詳細に表示する

tunnels/show/IKE/all すべての有効な SA を表示する

tunnels/show/IKE/peer 特定のピアの有効な SA を表示する（ゲートウェイ IP のアドレスが必要）

tunnels/show/IPSec/all すべての IPSec トンネルを表示する

tunnels/show/IPSec/peer 特定のピアの IPSec トンネルを表示する

tunnels/delete/IKE/peer 特定のピアの有効な SA を削除する（ゲートウェイ IP のアドレスが必要）

tunnels/delete/IKE/user 特定のユーザの有効な SA を削除する（内部IP アドレスとユーザ名が必要）

tunnels/delete/IKE/all すべての有効な SA を削除する

表 C-1 VPN シェルのコマンドと引数（続き）

式 意味

476

tunnels/delete/IPSec/peer 特定のピアの IPSec トンネルを削除する（ゲートウェイ IP のアドレスが必要）

tunnels/delete/IPSec/user 特定のユーザの IPSec トンネルを削除する（内部 IP アドレスとユーザ名が必要）

tunnels/delete/IPSec/all すべての IPSec トンネルを削除する

tunnels/delete/all すべての SA と IPSec トンネルを削除する

表 C-1 VPN シェルのコマンドと引数（続き）

式 意味

付録 C 477

478

索引

Aactive_resolver 384allow_clear_in_enc_domain 378

Bblock_conns_on_erase_

passwords 378

CCAPI 215CRL 45

キャッシュの使用 56事前取得キャッシュの

変更 57猶予期間の設定 57

Ddefault_ps 378DHCP サーバ 234, 237, 238, 241,

244, 250, 251Diffie-Hellman 23, 24, 27, 229disable_stateful_dhcp 378DNS 解決 158DNS サーバ 365

Eenable_automatic_policy_

update 378enable_kill 386encrypt_db 385

IIKE

概要 23Diffie Hellman グループ 27DoS 攻撃に対する防御 32暗号化と完全性チェックの

方式 27設定 37ピアのペアごとの

一意の SA 31フェーズ I 24フェーズ II（クイックモード） 25

モード 28ライフタイムの再ネゴシ

エーション 29IPSec 18, 23, 25, 26, 27, 29, 30,

62, 211, 235, 244, 264, 289, 290, 431, 435, 436, 437, 440

IP 圧縮 30IP プール NAT 190

設定 194

Kkeep_alive 384keep_alive_interval 384

LL2TP 264, 289

設定 296認証方式 293

LMHOSTS 360

Mmacutil 242manual_slan_control 378MSI パッケージング・

ツール 273, 277

NNAT

オフィス・モード 355no_clear_tables 385

Oobjects_5_0.C ファイル 357ODL（オンデマンド・

リンク） 166設定 173

OSCP（Online Certificate Status Protocol） 45

OTP 359

PPerfect Forward Secrecy 29PKCS#12 215Product.ini ファイル 277, 377pwd_erase_on_time_change 380

RRADIUS サーバ 216, 238, 252,

253, 284RDP プロービング 159, 161

479

resolver_session_interval 384resolver_ttl (10) 384RFC 1981 365

Sscc connect 463scc connectnowait 463scc listprofiles 463scc numprofiles 463scc passcert 463scc setmode 463scc sp 463scc startsc 463scc status 463scc stopsc 463scc suppressdialogs 463scc userpass 463scc ver 464SCV（Secure Configuration

Verification） 303local.scv セット 315NG 以前の

クライアント 310SCV チェック 307概要 304設定 310属性 323ポリシーの検証 306ポリシーの

ダウンロード 305SDL 359

設定 362SecureClient

アンインストールの後処理スクリプト 277

インストールの後処理スクリプト 277

SecuRemote DNS サーバ 365SecuRemote/SecureClient

NAT トラバーサル・トンネリング機能 263

VPN コミュニティの SCV詳細度 258

事前にパッケージされたポリシー 262

設定 264選択的ルーティング 259デスクトップ・セキュリ

ティ・ポリシー 262ログの有効化 263

SecurID 359silent_policy_update 378SSL Network Extender

概要 391設定 399特別な考慮事項 397

SSL Network Extender の設定 399

Ttopology_over_IKE 384

Uuse_cert 380use_entelligence 380use_ext_auth_msg 386use_ext_logo_bitmap 386userc.C ファイル

パラメータの説明 377

Vvpn accel 461vpn compreset 461vpn compstat 461vpn crl_zap 461vpn crlview 462vpn debug 462vpn drv 462vpn export_p12 462vpn macutil 242, 462vpn nssm_toplogy 462vpn overlap_encdom 462vpn sw_topology 462vpn tu 462vpn ver 462

VPNコミュニティ 19, 63, 65, 69, 72, 74, 75, 76, 83, 98, 127, 151, 154, 226, 469

SCV 詳細度 258, 265明示的 MEP 192ワイヤ・モード 149, 150

VPN シェル 100, 475VPN トンネル・

インタフェース 96アンナンバード VTI 99クラスタ環境 102ナンバード VTI 98, 100

VPN トンネル共有 127設定 133

WWINS 360

え永続的トンネル 124, 141, 142

MEP 環境 124設定 129停止 133

おオフィス・モード 233, 343, 365

ipassignment.conf ファイル 242, 249

NAT 356サイトごと 254ユーザごとの IP 244

か解決メカニズム 170

設定 174, 350

480

くクライアント証明書

インポート 419クライアントレス VPN 451

暗号化のレベル 455機能の仕組み 452ゲートウェイによって提示

される証明書 454セキュリティ・サーバ 455設定 455チェック・ポイント・

ソリューション 452特別な考慮事項 454ユーザ認証 453

こコネクト・モード 288, 357, 365

トポロジの自動更新 363コマンドライン・

インタフェース（CLI） 461

さサービスの除外 74

し自動登録 44, 50, 51, 53, 54遮断されるソフトウェアの

種類 394証明書取り消し 55証明書の復旧と更新 55

すスター・コミュニティ 19, 64,

66, 76, 78, 80, 81, 82, 87, 89, 90, 92, 141, 182, 184, 188, 192, 342

スプリット DNS 365

せ切断時のアンインストール 426

たタイムアウト

認証 358

ちチェック・ポイント以外の

ファイアウォール 364チェック・ポイント以外の

ファイアウォールの背後のSecuRemote/SecureClient 364

てデジタル証明書 215デスクトップ・セキュリティ・

ポリシー 262, 283, 286

とトポロジの自動更新

プロパティ 363ドメイン・ベース VPN 72, 85

概要 85設定 87特別な考慮事項 87

トラディショナル・モード 197外部管理ゲートウェイ 203設定 200内部管理ゲート

ウェイ 201, 202トンネル・テスト 126トンネルの構築 61

VPN トンネル確立の確認 77

アクセス制御 72

暗号化の問題 67外部管理ゲートウェイ 70完全性 61機能の仕組み 62機密性 61スター 66設定 74特別な考慮事項 74トポロジ 65トポロジの選択 66認証 61メッシュ 65リモート・アクセス・

コミュニティ 64

な内部認証局（ICA） 40, 43, 55,

200, 211, 215, 217, 293, 300

に認証局（CA） 39, 51, 202, 203認証タイムアウト 358

はハイブリッド・モード 28, 215,

216, 225, 383パスワードのキャッシュ 359ハブ・モード 263, 338, 341, 342,

343

ひビジター・モード 211, 213, 214,

369, 370, 432, 439, 440, 441, 442, 445, 447, 449

481

ふ複数エントリ・ポイント（サイト間） 177

RIM 190暗黙的 MEP 187概要 177設定 191選択方式 180特別な考慮事項 191返信パケットの

ルーティング 190明示的 MEP 179

複数エントリ・ポイント（リモート・アクセス） 367

IP プール NAT 370MEP の無効化 370設定 371返信パケットの

ルーティング 370プライマリ・

インタフェース 346

ほポリシー・サーバ 284

む無線ホット・スポット 380

めメッシュ・コミュニティ 19, 65,

66, 75, 76, 80, 82, 90, 142, 154, 470

りリモート・アクセス・

コミュニティ 212リモート・アクセスの接続性の

解決 431IKE Over TCP 434IKE Over TCP の設定 443IPSec パス 大転送単位 436MEP 環境でのビジター・

モード 442NAT 関連の問題 432NAT トラバーサル 435NAT トラバーサル（UDP カ

プセル化）の設定 444SecurePlatform/Nokia 442UDP カプセル化 435アクティブ IPSec PMTU 437カスタム・ポートの

割り当て 441小さい IKE フェーズ II プロ

ポーザル 435小さい IKE フェーズ II プロ

ポーザルの設定 443パッシブ IPSec PMTU 437ビジター・モードの

設定 445プロキシ・サーバ 441プロキシ・サーバで作業す

るリモート・クライアントの設定 446

リンク選択（サイト間）概要 157シナリオ 163設定 170プライマリ・アドレス 160リモート・ピアによる

IP 選択 158リンク選択と ISP の冗長性 167リンク選択（リモート・

アクセス）概要 345シナリオ 347設定 349プライマリ・アドレス 346リモート・ピアによる

IP 選択 345

るルーティング

詳細な設定 89設定 87

ルート・インジェクション・メカニズム（RIM） 135

tnlmon.conf ファイル 140概要 135カスタム・スクリプト 138自動 RIM 136設定 141トラッキング・

オプション 144ルート・ベース VPN 72

Cisco GRE との相互運用 109

VPN トンネル・インタフェース（VTI） 96

アンチスプーフィング 113概要 95ダイナミック・ルーティン

グ・プロトコル 99, 109マルチキャスト・パケット

のルーティング 120

わワイヤ・モード 145

シナリオ 146設定 150特別な考慮事項 150

ワイヤレス・ホットスポット 263, 267, 464

ワン・タイム・パスワード 359

482