バーチャル・プライベート・ネットワーク...目次 7 第11 章リンク選択...

バーチャル・プライベート・ネットワーク

NGX R65 バージョン

703067 2007 年 3 月 18 日

© 2003-2007 Check Point Software Technologies Ltd.

All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配布

されています。本製品または関連ドキュメントのいかなる部分も、チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製

することはできません。本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切責

任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があります。

権利の制限

米国政府による本製品の使用、複写、または開示は、DFARS（連邦国防調達規定）252.227-7013 および FAR（連邦調達規定）52.227-19 の技術データおよびコ

ンピュータ・ソフトウェアに関する権利条項（c）（1）（ii）により制限されます。

商標

2003-2007 Check Point Software Technologies Ltd. All rights reserved.Check Point、AlertAdvisor、Application Intelligence、Check Point Endpoint Security、CheckPoint Express、Check Point Express CI、Check Point のロゴ、ClusterXL、Confidence Indexing、ConnectControl、Connectra、Connectra Accelerator Card、CooperativeEnforcement、Cooperative Security Alliance、CoreXL、CoSa、DefenseNet、Dynamic Shielding Architecture、Eventia、Eventia Analyzer、Eventia Reporter、EventiaSuite、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、Hybrid Detection Engine、IMsecure、INSPECT、INSPECT XL、Integrity、Integrity Clientless Security、Integrity SecureClient、InterSpect、IPS-1、IQ Engine、MailSafe、NG、NGX、Open Security Extension、OPSEC、OSFirewall、Pointsec、Pointsec Mobile、Pointsec PC、Pointsec Protector、Policy Lifecycle Management、Provider-1、PURE Security、puresecurity のロゴ、Safe@Home、Safe@Office、SecureClient、SecureClient Mobile、SecureKnowledge、SecurePlatform、SecurePlatform Pro、SecuRemote、SecureServer、SecureUpdate、SecureXL、SecureXLTurbocard、Security Management Portal、Sentivist, SiteManager-1、SmartCenter、SmartCenter Express、SmartCenter Power、SmartCenter Pro、SmartCenterUTM、SmartConsole、SmartDashboard、SmartDefense、SmartDefense Advisor、Smarter Security、SmartLSM、SmartMap、SmartPortal、SmartUpdate、SmartView、

SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SMP、SMP On-Demand、SofaWare、SSL Network Extender、Stateful Clustering、TrueVector、Turbocard、UAM、UserAuthority、User-to-Address Mapping、UTM-1、UTM-1 Edge、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Express、VPN-1 Express CI、VPN-1 Power、VPN-1 Power VSX、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 UTM、VPN-1 VSX、Web Intelligence、ZoneAlarm、ZoneAlarm Anti-Spyware、ZoneAlarm Antivirus、ZoneAlarm ForceField、ZoneAlarm Internet Security Suite、ZoneAlarm Pro、ZoneAlarmSecure Wireless Router、Zone Labs、および Zone Labs のロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。

ZoneAlarm is a Check Point Software Technologies, Inc. Company. 本書に記載されているその他の製品名は、各所有者の商標または商標登録です。本書に記載さ

れた製品は米国の特許 No. 5,606,668、5,835,726、5,987,611、6,496,935、6,873,988、6,850,943 および 7,165,076 により保護されています。また、その他の米

国における特許やその他の国における特許で保護されているか、出願中の可能性があります。

サード・パーティの商標および著作権については、以下の項を参照してください。サード・パーティの商標および著作権

目次 3

目次

序文本書の対象読者......................................................................................................... 20本書の内容................................................................................................................ 21

セクション 1：VPN 技術の概要.......................................................................... 21セクション 2：サイト間 VPN ............................................................................. 21セクション 3：リモート・アクセス VPN ........................................................... 22付録 ..................................................................................................................... 24

関連ドキュメント ..................................................................................................... 25関連情報 ................................................................................................................... 28ドキュメントに関するご意見 ................................................................................... 29

VPN 技術の概要

第 1 章概要接続性の課題 ............................................................................................................ 34チェック・ポイントの基本的な VPN ソリューション ............................................. 35

VPN とは ............................................................................................................. 35用語について ....................................................................................................... 37サイト間 VPN...................................................................................................... 38VPN コミュニティ............................................................................................... 38リモート・アクセス VPN.................................................................................... 40

第 2 章 IPSec と IKE 概要........................................................................................................................... 42

暗号化と完全性チェックの方式 .......................................................................... 45フェーズ I モード ................................................................................................ 46IKE と IPSec ライフタイムに基づく再ネゴシエーション .................................. 47Perfect Forward Secrecy..................................................................................... 47IP 圧縮 ................................................................................................................. 48サブネットとセキュリティ・アソシエーション................................................. 48

IKE DoS 攻撃に対する防御 ...................................................................................... 51DoS 攻撃について ............................................................................................... 51IKE DoS 攻撃....................................................................................................... 51IKE DoS 攻撃に対する防御 ................................................................................. 52SmartDashboard の IKE DoS 攻撃に対する防御設定 ......................................... 53IKE DoS 攻撃に対する高度な防御設定 ............................................................... 53

4

高度な IKE プロパティの設定................................................................................... 56VPN コミュニティのネットワーク・オブジェクト ............................................ 56ゲートウェイのネットワーク・オブジェクト .................................................... 56

第 3 章 PKI（Public Key Infrastructure）ほかの PKI ソリューションとの統合の必要性 ......................................................... 58さまざまな PKI ソリューションのサポート ............................................................. 59

PKI とリモート・アクセス・ユーザ ................................................................... 59PKI の構成と VPN ............................................................................................... 59外部認証局の信頼................................................................................................ 62管理エンティティの登録 ..................................................................................... 62証明書の検証 ....................................................................................................... 64

PKI の注意事項 ......................................................................................................... 67内部認証局とサード・パーティ認証局の比較 .................................................... 67分散鍵管理（DKM）と保存 ................................................................................ 67

PKI 機能の設定 ......................................................................................................... 69認証局の信頼 ― 手順 .......................................................................................... 69認証局での登録 ................................................................................................... 71証明書の取り消し（全認証局タイプ）................................................................. 75証明書の復旧と更新 ............................................................................................ 75確認処理への一致基準の追加.............................................................................. 76CRL キャッシュの使用........................................................................................ 76CRL 事前取得キャッシュの変更 ......................................................................... 77CRL 猶予期間の設定 ........................................................................................... 77

OSCP の設定 ............................................................................................................ 78

第 4 章リモート・アクセスサイト間 VPN バーチャル・プライベート・ネットワークの必要性 ............................................... 80

機密性.................................................................................................................. 80認証 ..................................................................................................................... 80完全性.................................................................................................................. 80

VPN に対するチェック・ポイント・ソリューション .............................................. 81機能の仕組み ....................................................................................................... 81VPN コミュニティ............................................................................................... 82VPN トポロジ...................................................................................................... 84コミュニティ・メンバ間の認証 .......................................................................... 89DAIP ゲートウェイ.............................................................................................. 90VPN コミュニティ内のトラフィックのルーティング ........................................ 90アクセス制御と VPN コミュニティ .................................................................... 91サービスの除外 ................................................................................................... 93

VPN トポロジ設計に関する特別な考慮事項 ............................................................ 94

目次 5

サイト間 VPN の設定 ............................................................................................... 95トラディショナル・モードからシンプル・モードへの切り替え........................ 95内部管理ゲートウェイ間のメッシュ・コミュニティの設定............................... 96スター VPN コミュニティの設定 ........................................................................ 97VPN トンネル確立の確認.................................................................................... 98

PKI を使用する外部ゲートウェイを持つ VPN の設定 ............................................. 99プリシェアード・シークレットを使用する外部ゲートウェイを

持つ VPN の設定 .................................................................................................. 103VPN コミュニティでのファイアウォール制御接続の認証方法 ............................. 106

ファイアウォールの暗黙ルールを無効にすると制御接続が遮断される理由.... 106VPN 内部でのファイアウォール制御接続の許可.............................................. 107制御接続に使用されるサービスの検出 ............................................................. 107

サイト間 VPN

第 5 章ドメイン・ベース VPN 概要......................................................................................................................... 112VPN ルーティングとアクセス制御......................................................................... 113ドメイン・ベース VPN の設定 ............................................................................... 114

SmartDashboard を使用したゲートウェイ間の VPN ルーティングの設定 ...... 114VPN 設定ファイルの編集による設定................................................................ 116VPN トラフィック許可ルールの設定................................................................ 117複数のハブの設定.............................................................................................. 117ROBO ゲートウェイの設定............................................................................... 120

第 6 章ルート・ベース VPN 概要......................................................................................................................... 122VPN トンネル・インタフェース（VTI）................................................................. 123

ナンバード VTI .................................................................................................. 125アンナンバード VTI........................................................................................... 126

ダイナミック・ルーティング・プロトコルの使用 ................................................ 127ナンバード VTI の設定............................................................................................ 128

ルート・ベース VPN の有効化.......................................................................... 128ナンバード VTI .................................................................................................. 128

クラスタ環境における VTI ..................................................................................... 131クラスタ環境における VTI の設定.......................................................................... 132VTI におけるダイナミック・ルーティング・プロトコルの有効化 ........................ 138VTI におけるアンチスプーフィングの設定 ............................................................ 142ループバック・インタフェースの設定................................................................... 144アンナンバード VTI の設定 .................................................................................... 147VPN トンネル経由のマルチキャスト・パケットのルーティング.......................... 150

6

第 7 章トンネル管理概要......................................................................................................................... 154

永続的トンネル ................................................................................................. 154VPN トンネル共有............................................................................................. 156

トンネル機能の設定 ............................................................................................... 157永続的トンネル ................................................................................................. 159永続的トンネルの高度な設定............................................................................ 162トラッキング・オプション ............................................................................... 163永続的トンネルの停止 ...................................................................................... 163VPN トンネル共有............................................................................................. 163トンネルの監視 ................................................................................................. 164

第 8 章ルート挿入メカニズム概要......................................................................................................................... 166自動 RIM ................................................................................................................. 167カスタム・スクリプト............................................................................................ 169tnlmon.conf ファイル .............................................................................................. 171ピア・ゲートウェイ・インタフェースの挿入........................................................ 172RIM の設定 ............................................................................................................. 174

スター・コミュニティにおける RIM の設定..................................................... 174メッシュ・コミュニティにおける RIM の設定 ................................................. 175RIM_inject_peer_interfaces フラグの有効化..................................................... 176トラッキング・オプション ............................................................................... 176

第 9 章ワイヤ・モードワイヤ・モードの必要性 ........................................................................................ 178チェック・ポイント・ソリューション................................................................... 179ワイヤ・モードのシナリオ..................................................................................... 180

MEP 設定でのワイヤ・モード .......................................................................... 180ルート・ベース VPN でのワイヤ・モード........................................................ 1812 つの VPN コミュニティ間のワイヤ・モード ................................................. 182

ワイヤ・モードの特別な考慮事項.......................................................................... 184ワイヤ・モードの設定............................................................................................ 185

VPN コミュニティでのワイヤ・モードの有効化.............................................. 185特定のゲートウェイでのワイヤ・モードの有効化 ........................................... 185

第 10 章 Directional VPN の適用 Directional VPN の必要性 ....................................................................................... 188チェック・ポイント・ソリューション................................................................... 189

コミュニティ内での方向の適用 ........................................................................ 189コミュニティ間での方向の適用 ........................................................................ 191

Directional VPN の設定........................................................................................... 192コミュニティ内での Directional VPN の設定 .................................................... 192コミュニティ間での Directional VPN の設定 .................................................... 193

目次 7

第 11 章リンク選択概要......................................................................................................................... 196リンク選択の使用 ................................................................................................... 197

リモート・ピアによる IP 選択 .......................................................................... 197発信ルート選択 ................................................................................................. 199ルート・ベース・プロービングの使用 ............................................................. 200応答トラフィック.............................................................................................. 201送信元 IP アドレスの設定 ................................................................................. 202

リンク選択のシナリオ............................................................................................ 2031 つの外部インタフェースがあるゲートウェイ ............................................... 203DAIP（動的 IP アドレス）を使用するゲートウェイ ........................................ 204異なる通信先に使用される複数の IP アドレスがあるゲートウェイ ................ 2041 つの外部インタフェースと静的 NAT デバイスの内側に 1 つの

インタフェースがあるゲートウェイ .............................................................. 205ODL（オンデマンド・リンク）............................................................................... 206リンク選択と ISP の冗長性 .................................................................................... 207旧バージョンとの互換性解決メカニズム ............................................................... 210リンク選択の設定 ................................................................................................... 211

メイン IP と単一 IP によるアドレス解決 .......................................................... 211DNS ルックアップによるアドレス解決 ............................................................ 212プロービングによるアドレス解決 .................................................................... 212発信ルート選択の設定 ...................................................................................... 213応答トラフィックの設定................................................................................... 213送信元 IP アドレスの設定 ................................................................................. 214オンデマンド・リンクの設定............................................................................ 215旧バージョンとの互換性解決メカニズムの設定............................................... 216発信リンクのトラッキング ............................................................................... 216

第 12 章複数エントリ・ポイント VPN 概要......................................................................................................................... 218

MEP またはクラスタリングを使用した VPN の高可用性 ................................ 218機能の仕組み ..................................................................................................... 218

明示的 MEP ............................................................................................................ 220MEP の選択方式................................................................................................ 221

暗黙的 MEP ............................................................................................................ 228返信パケットのルーティング ................................................................................. 232特別な考慮事項....................................................................................................... 233MEP の設定 ............................................................................................................ 234

明示的 MEP の設定 ........................................................................................... 234暗黙的 MEP の設定 ........................................................................................... 235IP プール NAT の設定........................................................................................ 237

8

第 13 章トラディショナル・モード VPN トラディショナル・モード VPN について ............................................................. 240VPN ドメインと暗号化ルール ................................................................................ 241VPN プロパティの定義........................................................................................... 243内部管理および外部管理されるゲートウェイ........................................................ 244VPN 作成の考慮事項 .............................................................................................. 245

認証方式の選択 ................................................................................................. 245認証局の選択 ..................................................................................................... 245

トラディショナル・モード VPN の設定................................................................. 246トラディショナル・モード・ポリシーの編集 .................................................. 246ICA 証明書を使用した内部ゲートウェイ間の VPN 設定 .................................. 247サード・パーティの CA 証明書を使用した内部ゲートウェイ間の VPN .......... 248証明書を使用した外部管理ゲートウェイとの VPN 設定 .................................. 249プリシェアード・シークレットを使用した VPN 設定...................................... 251

リモート・アクセス VPN

第 14 章リモート・アクセス VPN の概要リモート・アクセス VPN の必要性........................................................................ 256リモート・アクセス用のチェック・ポイント・ソリューション ........................... 257

SecureClient の拡張機能による SecuRemote の機能強化................................ 258リモート・ユーザとゲートウェイ間での接続の確立........................................ 259リモート・アクセス・コミュニティ................................................................. 260リモート・クライアントに対するネットワーク要素の識別............................. 260コネクト・モード.............................................................................................. 260ユーザ・プロファイル ...................................................................................... 261リモート・アクセス・コミュニティに対するアクセス制御............................. 261クライアント - ゲートウェイ認証スキーム....................................................... 262高度な機能 ........................................................................................................ 264SecuRemote/SecureClient の代替手段 ............................................................. 264

リモート・アクセス用 VPN の考慮事項................................................................. 265リモート・アクセスのポリシー定義................................................................. 265ICA を使用したユーザ証明書の作成方法 .......................................................... 265内部ユーザ・データベースと外部ユーザ・データベース ................................ 266NT グループ /RADIUS クラス認証機能............................................................. 267

リモート・アクセス用 VPN の設定........................................................................ 268リモート・アクセス VPN の確立 ...................................................................... 269ゲートウェイの作成とゲートウェイ・プロパティの定義 ................................ 271LDAP でのユーザと認証方式の定義 ................................................................. 271内部データベースでのユーザ・プロパティと認証方式の定義 ......................... 271

目次 9

ICA 管理ツールでのユーザ証明書の開始 .......................................................... 271SmartDashboard でのユーザ証明書の生成....................................................... 272SmartDashboard でのユーザ証明書の開始....................................................... 272サード・パーティ PKI を使用した証明書の設定 .............................................. 273ハイブリッド・モードの有効化と認証方式 ...................................................... 274NT グループと RADIUS クラスの認証の設定 ................................................... 274プリシェアード・シークレットの使用 ............................................................. 275LDAP ユーザ・グループの定義 ........................................................................ 275ユーザ・グループの定義................................................................................... 275VPN コミュニティとそのメンバの定義 ............................................................ 275アクセス制御ルールの定義 ............................................................................... 276ポリシーのインストール................................................................................... 277ユーザ証明書の管理 .......................................................................................... 277リモート・アクセス VPN の暗号化プロパティの変更...................................... 278RSA のハード・トークンとソフト・トークンの使用 ...................................... 279

第 15 章オフィス・モードリモート・クライアントを LAN に含める必要性................................................... 284オフィス・モード・ソリューション ...................................................................... 285

オフィス・モードについて ............................................................................... 285オフィス・モードの動作................................................................................... 286IP アドレスの割り当て...................................................................................... 288IP アドレス・リース期間 .................................................................................. 290名前解決の使用 ― WINS と DNS ..................................................................... 290偽装対策 ............................................................................................................ 291複数の外部インタフェースがある環境でのオフィス・モードの使用 .............. 291サイト単位のオフィス・モード ........................................................................ 291

ユーザ単位の IP アドレスの有効化 ........................................................................ 293問題 ................................................................................................................... 293解決策................................................................................................................ 293

オフィス・モードでの考慮事項 ............................................................................. 296IP プールと DHCP............................................................................................. 296ルーティング・テーブルの変更 ........................................................................ 296複数の外部インタフェース機能の使用 ............................................................. 296

オフィス・モードの設定 ........................................................................................ 297オフィス・モード ― IP プールの設定 .............................................................. 297送信元 IP アドレスに基づく IP 割り当ての設定 ............................................... 300ipassignment.conf ファイルによるオフィス・モード ...................................... 301サブネット・マスクとオフィス・モード・アドレス........................................ 301構文のチェック ................................................................................................. 302オフィス・モード ― DHCP の設定 .................................................................. 303オフィス・モード ― RADIUS サーバの使用 .................................................... 304SecureClient でのオフィス・モード設定.......................................................... 306サイトごとのオフィス・モード ........................................................................ 307

10

第 16 章 SecuRemote/SecureClient SecureClient の必要性 ............................................................................................ 310チェック・ポイント・ソリューション................................................................... 311

機能の仕組み ..................................................................................................... 311VPN コミュニティの SCV 詳細度 .......................................................................... 312検証されていない SCV 接続の遮断........................................................................ 313選択的ルーティング ............................................................................................... 314デスクトップ・セキュリティ・ポリシー ............................................................... 317

ポリシーをダウンロードする状況 .................................................................... 317ポリシーの有効期限と更新 ............................................................................... 317事前にパッケージされたポリシー .................................................................... 317ポリシー・サーバの高可用性............................................................................ 318ワイヤレス・ホットスポット / ホテルでの登録................................................ 318

ログの有効化 .......................................................................................................... 319NAT トラバーサル・トンネリング機能.................................................................. 320アイドル状態の検出 ............................................................................................... 321モードの切り替え ................................................................................................... 322HTML ベースのヘルプ ............................................................................................ 323SecureClient の設定 ............................................................................................... 324

VPN コミュニティの SCV 詳細度の設定 .......................................................... 324block_scv_client_connections の設定 ............................................................... 324選択的ルーティングの設定 ............................................................................... 324デスクトップ・セキュリティ・ポリシーの有効期限の設定............................. 326ホットスポット / ホテルでの登録の設定 .......................................................... 326ログの有効化の設定 .......................................................................................... 327NAT トラバーサルの設定 .................................................................................. 328

モード切り替えの有効化 / 無効化........................................................................... 330パッケージへの HTML ヘルプの追加 ..................................................................... 331アイドル状態の検出の設定..................................................................................... 332

idleness_detection プロパティの設定 ............................................................... 332

第 17 章 SecureClient Mobile SecureClient Mobile の概要 .................................................................................... 334接続機能 ................................................................................................................. 335

セッションの継続とタイムアウト .................................................................... 335ダイヤルアップの開始 ...................................................................................... 336常時接続 ............................................................................................................ 336認証スキーム ..................................................................................................... 336代替ゲートウェイのサポート............................................................................ 338ゲートウェイ履歴.............................................................................................. 338ActiveSync 時と切断時に暗号化されていないクリア・トラフィックを許可 ... 338SCV（Secure Configuration Verification）トラバーサル.................................. 339

トポロジと分割トンネリング ................................................................................. 340

目次 11

ハブ・モード（リモート・アクセスの VPN ルーティング）.................................. 341オフィス・モード.............................................................................................. 341ビジター・モード（SSL トンネル）.................................................................. 341

セキュリティ・ポリシーとクライアントによる決定 ............................................. 342IP ファイアウォール・ポリシー............................................................................. 343接続性ポリシー....................................................................................................... 344一般的な「GUI」ポリシー ..................................................................................... 345クライアントの導入、再パッケージング、アップグレード .................................. 346SecureClient Mobile のインストール ..................................................................... 347

ゲートウェイ側での SecureClient Mobile のインストール ............................... 347モジュール・サポート ...................................................................................... 347HFA のダウンロード ......................................................................................... 347SmartCenter サーバ・サポート ........................................................................ 348SCM 管理パッチのダウンロード ...................................................................... 348管理パッチのインストール ............................................................................... 348ゲートウェイ・パッチ ...................................................................................... 349

クライアント側のインストール ............................................................................. 350ハードウェアとソフトウェアの要件................................................................. 350チェック・ポイントの証明書とロックされたデバイス .................................... 350CAB パッケージ ................................................................................................ 351MSI パッケージ ................................................................................................. 352

SecureClient Mobile の設定 .................................................................................... 354SecureClient Mobile をサポートするためのゲートウェイの設定 ..................... 355リモート・アクセス・コミュニティのメンバとしてのゲートウェイの設定.... 356負荷共有クラスタのサポート............................................................................ 358認証スキーム ..................................................................................................... 360認証方式の設定 ................................................................................................. 360ユーザの再認証 ................................................................................................. 360暗号化方式の設定.............................................................................................. 361証明書................................................................................................................ 361証明書のニックネーム ...................................................................................... 361内部 CA 証明書の管理 ....................................................................................... 362証明書のインポート .......................................................................................... 362トポロジの更新 ................................................................................................. 363セキュリティ・ポリシー................................................................................... 363すべてのトラフィックをルーティング（ハブ・モード）.................................. 364

クライアント側の設定............................................................................................ 365サイトへの接続 ................................................................................................. 365表示方法の設定 ................................................................................................. 365ステータス・ページ .......................................................................................... 366

高度な設定.............................................................................................................. 367非集中管理ゲートウェイの設定 ........................................................................ 376SecureClient と SecureClient Mobile が混在する環境での設定........................ 377

12

クライアントの導入の概要..................................................................................... 379パッケージのカスタマイズ ............................................................................... 379CAB パッケージへのファイルの追加................................................................ 380CAB パッケージからのファイルの削除 ............................................................ 381クライアント設定のエクスポート .................................................................... 382クライアントのインストール・バージョンの定義 ........................................... 383CAB パッケージの作成 ..................................................................................... 383MSI パッケージの作成 ...................................................................................... 384SAA プラグインの設定...................................................................................... 384

トラブルシューティング ........................................................................................ 386ログ・ファイルの有効化 ................................................................................... 386ルーティング・テーブル ................................................................................... 386IP 設定 ............................................................................................................... 386エラー・メッセージ .......................................................................................... 386その他の参考資料.............................................................................................. 388

第 18 章 SecureClient のパッケージング概要：リモート・クライアントのインストールを簡単にする必要性................... 390チェック・ポイント・ソリューション - SecureClient パッケージング・ツール .. 391

概要 ................................................................................................................... 391パッケージング・ツールの仕組み .................................................................... 391MSI パッケージング・ソリューション ............................................................. 392

事前設定済みパッケージの作成 ............................................................................. 393新しいパッケージ・プロファイルの作成.......................................................... 393パッケージの生成.............................................................................................. 394パッケージへのスクリプトの追加 .................................................................... 395

MSI パッケージングの設定 .................................................................................... 396パッケージ内のファイルの追加と削除 ............................................................. 397インストールのコマンド・ライン・オプション............................................... 397分割インストール.............................................................................................. 397デバッグ ............................................................................................................ 397Zone Labs Integrity クライアント ..................................................................... 398

第 19 章デスクトップ・セキュリティデスクトップ・セキュリティの必要性................................................................... 400デスクトップ・セキュリティ・ソリューション .................................................... 401

デスクトップ・セキュリティについて ............................................................. 401デスクトップ・セキュリティ・ポリシー.......................................................... 402ポリシー・サーバ.............................................................................................. 404ポリシーのダウンロード ................................................................................... 404ログと警告 ........................................................................................................ 405

目次 13

デスクトップ・セキュリティの考慮事項 ............................................................... 406デスクトップ・セキュリティ・ポリシーの計画............................................... 406ポリシー・サーバの二重認証の防止................................................................. 407

デスクトップ・セキュリティの設定 ...................................................................... 408サーバ側の設定 ................................................................................................. 408クライアント側の設定 ...................................................................................... 409

第 20 章 L2TP（Layer Two Tunneling Protocol）クライアント L2TP クライアントをサポートする必要性............................................................. 412ソリューション - L2TP クライアントの使用 ......................................................... 413

L2TP クライアントについて ............................................................................. 413Microsoft IPSec/L2TP クライアントとチェック・ポイント・

ゲートウェイ間での VPN の確立 ................................................................... 414L2TP 接続の動作 ............................................................................................... 415IPSec/L2TP を使用する場合の VPN-1 Power ゲートウェイの要件 ................. 415ユーザとクライアント・マシンの認証 ............................................................. 416ユーザの証明書の目的 ...................................................................................... 418

Microsoft IPSec/L2TP クライアントを選択するときの考慮事項 ........................... 419Microsoft IPSec/L2TP クライアント用のリモート・アクセスの設定 .................... 420

一般的な設定手順.............................................................................................. 420リモート・アクセス環境の設定 ........................................................................ 421クライアント・マシンと証明書の定義 ............................................................. 421オフィス・モードと L2TP サポートの設定 ...................................................... 421クライアント・マシンの準備............................................................................ 421マシン証明書ストアへのクライアント証明書の保存........................................ 422ユーザ証明書ストアへのユーザ証明書の保存 .................................................. 423Microsoft IPSec/L2TP クライアントの接続プロファイルの設定 ...................... 423ユーザ証明書の目的の設定 ............................................................................... 424L2TP 接続の確立 ............................................................................................... 425詳細情報 ............................................................................................................ 426

第 21 章 SCV（Secure Configuration Verification）リモート・クライアント・セキュリティ・ステータスの検証の必要性 ................ 428SCV（Secure Configuration Verification）ソリューション ................................... 429

SCV（Secure Configuration Verification）について ......................................... 429SCV の機能の仕組み ......................................................................................... 430SCV チェック.................................................................................................... 432

SCV の考慮事項 ..................................................................................................... 434SCV ポリシーの設計 ......................................................................................... 434ユーザ権限 ........................................................................................................ 434NG より前のクライアントでの SCV の使用 ..................................................... 435

SCV の設定............................................................................................................. 436サーバ側の設定 ................................................................................................. 436クライアント側の設定 ...................................................................................... 437

14

SCV ポリシーの構文 ......................................................................................... 437local.scv セット ................................................................................................. 441完全な local.scv ファイルの例 .......................................................................... 443共通の属性 ........................................................................................................ 449

第 22 章 VPN ルーティング - リモート・アクセス VPN ルーティングの必要性 ................................................................................... 466接続性とセキュリティを強化するチェック・ポイント・ソリューション ............ 467

ハブ・モード（リモート・クライアントの VPN ルーティング）..................... 468リモート・アクセス VPN での VPN ルーティングの設定 ..................................... 472

リモート・アクセス・クライアントのハブ・モードの有効化 ......................... 472オフィス・モードのアドレス範囲をゲートウェイの VPN ドメインに含める、

クライアント間ルーティングの設定 .............................................................. 473ハブ・モードを使用して複数のハブを経由するクライアント間通信 .............. 473

第 23 章リモート・アクセス・クライアントのリンク選択概要......................................................................................................................... 476

リモート・ピアによる IP 選択 .......................................................................... 476リモート・アクセスのシナリオでのリンク選択 .................................................... 478

1 つの外部 IP アドレスがあるゲートウェイ ..................................................... 478複数の外部 IP アドレスを持つゲートウェイ .................................................... 479ネットワーク・トポロジに基づく IP の計算 .................................................... 480

リンク選択の設定 ................................................................................................... 481旧バージョンとの互換性解決メカニズムの設定............................................... 482

第 24 章リモート・アクセスでの Directional VPN の使用リモート・アクセス・コミュニティの強化 ...................................................... 483

リモート・アクセス・コミュニティでの Directional VPN の設定 ......................... 485

第 25 章リモート・アクセスの高度な設定非プライベート・クライアント IP アドレス.......................................................... 488

リモート・アクセス接続 ................................................................................... 488リモート・アクセスの問題の解決 .................................................................... 488

暗号化ドメイン内のクライアントが暗号化されないようにする方法.................... 489問題 ................................................................................................................... 489解決策................................................................................................................ 489

認証タイムアウトとパスワードのキャッシュ........................................................ 491問題 ................................................................................................................... 491解決策................................................................................................................ 491

SecuRemote/SecureClient と SDL（Secure Domain Logon）................................ 492問題 ................................................................................................................... 492解決策................................................................................................................ 492SDL タイムアウトの設定 .................................................................................. 494

目次 15

キャッシュされた情報 ...................................................................................... 494Secure Domain Logon の設定 ........................................................................... 494Secure Domain Logon の使用 ........................................................................... 495

逆向き接続（サーバからクライアント）................................................................. 496サーバへのキープアライブ・パケットの送信 .................................................. 496

トポロジの自動更新（コネクト・モードのみ）...................................................... 497チェック・ポイント以外のファイアウォールの操作方法...................................... 498旧バージョンの SecuRemote/SecureClient ........................................................... 499SecuRemote DNS サーバによる内部名の解決 ...................................................... 500

問題 ................................................................................................................... 500解決策................................................................................................................ 500

第 26 章リモート・アクセス VPN の複数エントリ・ポイント複数エントリ・ポイントを持つゲートウェイの必要性 ......................................... 504複数エントリ・ポイントのためのチェック・ポイント・ソリューション ............ 505

SecureClient の接続プロファイルと MEP ........................................................ 505優先バックアップ・ゲートウェイ .................................................................... 506ビジター・モードと MEP ................................................................................. 507返信パケットのルーティング............................................................................ 507

MEP の無効化......................................................................................................... 508MEP の設定 ............................................................................................................ 509

初に応答 ........................................................................................................ 509プライマリ - バックアップ................................................................................ 510負荷分散 ............................................................................................................ 510返信パケットの設定 .......................................................................................... 511

優先バックアップ・ゲートウェイの設定 ............................................................... 512MEP の無効化......................................................................................................... 513

第 27 章 Userc.C と Product.ini 設定ファイル Userc.C と Product.ini の概要................................................................................. 516

Userc.C ファイル .............................................................................................. 516Product.ini ファイル .......................................................................................... 517

Userc.C ファイルのパラメータ .............................................................................. 518SecureClient...................................................................................................... 518暗号化................................................................................................................ 520複数エントリ・ポイント................................................................................... 524暗号化逆向き接続.............................................................................................. 525トポロジ ............................................................................................................ 525NT ドメインのサポート .................................................................................... 526その他................................................................................................................ 527

Product.ini のパラメータ ........................................................................................ 530

16

第 28 章 SSL Network Extender SSL Network Extender の概要................................................................................ 534SSL Network Extender の動作................................................................................ 535共通概念 ................................................................................................................. 536

リモート・アクセス VPN.................................................................................. 536リモート・アクセス・コミュニティ................................................................. 536オフィス・モード.............................................................................................. 536ビジター・モード.............................................................................................. 537Integrity Clientless Security ............................................................................... 537

SSL Network Extender 特有の考慮点 ..................................................................... 539必要条件 ............................................................................................................ 539機能 ................................................................................................................... 540

SSL Network Extender の設定................................................................................ 542サーバの設定 ..................................................................................................... 542ICS ポリシーの設定 .......................................................................................... 549負荷共有クラスタのサポート............................................................................ 551SSL Network Extender ポータルのカスタマイズ.............................................. 552管理者権限を持たないユーザのインストール .................................................. 556

ユーザによる SSL Network Extender の操作 ......................................................... 557Microsoft Internet Explorer の設定..................................................................... 557ActiveX コントロールについて ......................................................................... 558クライアントのダウンロードと接続................................................................. 558切断時のアンインストール ............................................................................... 570Linux / Mac オペレーティング・システムでの SSL Network Extender の使用 ................................................................................................................ 570

インポートした証明書の削除............................................................................ 575トラブルシューティング ........................................................................................ 577

SSL Network Extender の問題 .......................................................................... 577ICS の問題......................................................................................................... 578

第 29 章接続性の問題の解決接続性を解決する機能の必要性 ............................................................................. 582接続性の問題に対するチェック・ポイント・ソリューション .............................. 583

その他の接続性の問題 ...................................................................................... 583NAT 関連の問題の解決 ........................................................................................... 584

IKE フェーズ I の実行中 .................................................................................... 585IKE フェーズ II の実行中 ................................................................................... 585IPSec の実行中.................................................................................................. 587NAT および負荷共有クラスタ........................................................................... 589

インターネット・アクセスの制限の解決 ............................................................... 590ビジター・モード.............................................................................................. 590

目次 17

リモート・アクセスの接続性の設定 ...................................................................... 594IKE Over TCP の設定 ........................................................................................ 594小さい IKE フェーズ II プロポーザルの設定 ..................................................... 595NAT トラバーサル（UDP カプセル化）の設定 ................................................ 595ビジター・モードの設定................................................................................... 596プロキシ・サーバで作業するリモート・クライアントの設定 ......................... 597

第 30 章クライアントレス VPN クライアントレス VPN の必要性 ........................................................................... 602クライアントレス VPN のためのチェック・ポイント・ソリューション .............. 603

機能の仕組み ..................................................................................................... 603クライアントレス VPN の特別な考慮事項 ............................................................. 606

ゲートウェイによって提示される証明書.......................................................... 606実行するセキュリティ・サーバの数................................................................. 606暗号化のレベル ................................................................................................. 607

クライアントレス VPN の設定 ............................................................................... 608ゲートウェイの設定 .......................................................................................... 608クライアントの設定 .......................................................................................... 611

付録

付録 A VPN コマンドライン・インタフェース VPN コマンド ......................................................................................................... 616SecureClient のコマンド ........................................................................................ 618デスクトップ・ポリシーのコマンド ...................................................................... 620

付録 B 旧来のポリシーからコミュニティ・ベースのポリシーへの変換シンプル VPN モードへの変換の概要 .................................................................... 622トラディショナル VPN モードとシンプル VPN モードの相違点 .......................... 623トラディショナル・モードでの暗号化ルールの動作 ............................................. 624シンプル・モードへの変換の原理.......................................................................... 626コミュニティ内へのゲートウェイの配置 ............................................................... 627暗号化ルールの変換 ............................................................................................... 628

変換されたルール・ベースの制限が強すぎる場合 ........................................... 629クライアント暗号化ルールの変換 .................................................................... 630認証および暗号化ルールの変換 ........................................................................ 630変換ウィザードによる無効なルールの処理 ...................................................... 631ウィザードの実行後 .......................................................................................... 631

18

付録 C VPN シェル VPN シェルを使用した仮想インタフェースの設定 ............................................... 634

索引 .............................................................................................................................................................. 643

19

序文序文

この章の構成

本書の対象読者 20 ページ

本書の内容 21 ページ

関連ドキュメント 25 ページ

関連情報 28 ページ

ドキュメントに関するご意見 29 ページ

本書の対象読者

20

本書の対象読者本書は、ポリシー管理やユーザ・サポートなど、企業内でネットワーク・セキュリティの保守を担

当する管理者を対象にしています。

本書では、以下の基本事項を理解していることを前提にしています。

• システム管理

• 基本オペレーティング・システム

• インターネット・プロトコル（IP、TCP、UDPなど）

本書の内容

序文 21

本書の内容本書では、VPN-1 PowerのVPNコンポーネントについて説明します。本書は以下のセクションと

章で構成されています。

セクション 1：VPN 技術の概要

このガイドでは、VPNの基本的なコンポーネントについて説明し、VPNインフラストラクチャを

構成する技術に関する基本情報を提供します。

セクション 2：サイト間 VPNこのセクションでは、ゲートウェイ・モジュール間で安全な通信を実現する方法を説明します。

章説明

第1章「概要」 VPN用のチェック・ポイントのソリューションについて、

概要を示します。

第2章「IPSecと IKE」 VPNトンネルを使用してパケットを安全に伝送するために

使用する暗号化モードについて説明します。

第3章「PKI（Public Key Infrastructure）」

PKI（Public Key Infrastructure）は、情報を交換する双方の

妥当性を検証および認証する認証局のシステムです。

章説明

第4章「リモート・アクセスサイト間VPN」

ゲートウェイ間のVPNとVPNコミュニティの基本について説

明します。

第5章「ドメイン・ベース

VPN」

ドメイン・ベースVPNは、コミュニティ内でゲートウェイ・

モジュールとリモート・アクセス・クライアントの間のVPNトラフィックのルーティングを制御する方法です。

第6章「ルート・ベースVPN」ルート・ベースVPNは、VPNトンネル・インタフェースを使

用して、ゲートウェイ間のVPNトラフィックのルーティング

を制御する方法です。

第7章「トンネル管理」「トンネル管理」では、VPN共有と永続的トンネルのさまざま

な面について説明します。

第8章「ルート挿入

メカニズム」

RIM（Route Injection Mechanism）によって、VPN-1 Powerゲー

トウェイはダイナミック・

ルーティング・プロトコルを使用して、VPN-1 Powerピア・

ゲートウェイの暗号化ドメインを

内部ネットワークに通知でき、逆向きの接続を開始できます。

セクション 3：リモート・アクセス VPN

22

セクション 3：リモート・アクセス VPNこのセクションでは、ゲートウェイ・モジュールとリモート・アクセス・クライアント間で安全な

通信を実現する方法を説明します。

第9章「ワイヤ・モード」ワイヤ・モードでは、ファイアウォールを回避して、既存の接

続によるフェイルオーバーを正常に完了する

ことによって接続性を改善します。ここではその方法について

説明します。

第10章「Directional VPNの

適用」

ゲートウェイ間のVPNトラフィックの方向を制御する方法に

ついて説明します。

第11章「リンク選択」リンク選択機能を使用して、着信 /発信VPNトラフィックに使

用するインタフェースを判断して、ゲートウェイ・モジュール

間の適なパスを決定する方法について説明します。

第12 章「複数エントリ・

ポイントVPN」

MEP（複数エントリ・ポイント）機能が、ピア・ゲートウェイ

間のVPN 接続に対して、いかにして高可用性と負荷共有ソ

リューションを提供するかについて説明します。

第13章「トラディショナル・

モードVPN」

トラディショナル・モードVPNの概要と、その設定方法につ

いて説明します。

章説明

章説明

第14章「リモート・アクセス

VPNの概要」

ゲートウェイとリモート・ユーザ間のVPN接続について、

概要を説明します。

第15章「オフィス・モード」オフィス・モードでは、VPN-1 Powerゲートウェイで IPアド

レスをリモート・クライアントに割り当てることができます。

第16章

「SecuRemote/SecureClient」SecuRemote/SecureClientを使用すると、インターネットから

の攻撃に対してマシンを保護し、安全な方法で組織に接続でき

ます。

第17章「SecureClient Mobile」

SecureClient Mobileはモバイル・デバイス向けのクライアン

トで、VPNとファイアウォールを備えています。 SecureClientMobileのVPNはSSL（HTTPS）トンネリングに基づいており、

チェック・ポイント・ゲートウェイの背後にあるリソースに携

帯機器から安全にアクセスできます。

第18章「SecureClientのパッケージング」

2つあるパッケージング・ツールのいずれかを使用すると、管

理者は事前設定済みのSecureClientとSecuRemoteパッケー

ジを作成できます。そしてユーザは設定の詳細情報を指定しな

くてもこのパッケージをインストールできるため、ユーザが

SecureClientやSecuRemoteソフトウェアの設定を間違える

こともありません。

セクション 3：リモート・アクセス VPN

序文 23

第19章「デスクトップ・

セキュリティ」

SecureClientがリモート・クライアントに対してデスクトッ

プ・セキュリティ・ポリシーを実施することによりリモート・

クライアントを保護する方法を説明します。

第20章「L2TP（Layer Two Tunneling Protocol）クライ

アント」

チェック・ポイントVPN-1 Powerゲートウェイでは、さまざ

まなサード・パーティ製 IPSecクライアントとの間にVPNを

作成できます。ここでは、Microsoft IPSec/L2TPクライアント

を中心に説明します。

第21章「SCV（Secure Configuration Verification）」

SCV（Secure Configuration Verification）を使用すると、管理

者はリモート・コンピュータの設定を監視し、設定が組織のセ

キュリティ・ポリシーに準拠していることを確認し、準拠して

いないマシンとの接続を遮断できます。

第22章「VPNルーティング - リモート・アクセス」

VPNルーティングが、ゲートウェイ・モジュールとリモート・

アクセス・クライアントの間のVPNトラフィックの送信を制

御する方法を説明します。

第23章「リモート・アクセ

ス・クライアントのリンク

選択」

リンク選択機能を使用して、着信 /発信VPNトラフィックに使

用するインタフェースを判断して、ゲートウェイ・モジュール

とリモート・アクセス・クライアントの間の適なパスを決定

する方法について説明します。


でのDirectional VPNの使用」

ゲートウェイとリモート・アクセス・クライアントの間のVPNトラフィックの方向を制御する方法について説明します。


の高度な設定」

複雑なリモート・アクセスの手順について説明します。

第26章「リモート・アク

セスVPNの複数エントリ・

ポイント」

MEP（複数エントリ・ポイント）機能が、ピア・ゲートウェ

イとリモート・アクセス・クライアントの間のVPN接続に対

して、いかにして高可用性と負荷共有ソリューションを提供す

るかについて説明します。

第27章「Userc.Cと

Product.ini設定ファイル」

Userc.cおよびProduct.iniファイルを編集して

SecuRemote/SecureClientをカスタマイズする方法を説明し

ます。

第28章「SSL Network Extender」

SSL Network Extenderの概要と、リモート・アクセス・クラ

イアントにとっての利点について説明します。

第29章「接続性の問題の

解決」

リモート・アクセス・クライアントが接続時に直面する問題

と、チェック・ポイントのさまざまなソリューションに関する

情報を提供します。

第30章「クライアントレス

VPN」

VPN技術を使用できない状況で、クライアントレスVPNがク

ライアント間にSSLベースの安全な通信を提供する方法を説

明します。

章説明

付録

24

付録

本書は以下の各章で構成されています。

付録説明

付録 A「VPNコマンドライン・

インタフェース」

VPNに関連するCLIコマンドラインの一覧です。

付録 B「旧来のポリシーから

コミュニティ・ベースのポリ

シーへの変換」

トラディショナル・モードとシンプル・モードの両方に関

する基本的な情報と、ポリシーの変換方法について説明し

ます。

付録 C「VPNシェル」 VTIを設定するときにVPNシェルで使用する、すべての

コマンドと引数について説明します。

関連ドキュメント

序文 25

関連ドキュメントNGX（R65）リリースには、以下のマニュアルが含まれます。

表 P-1 VPN-1 Power Suite のマニュアル

タイトル説明

Internet Security Product Suite導入の手引き

NGX R65の概要および製品のインストールとアップグレード

の手順について説明しています。また、新機能、ライセンス、

ハードウェアとソフトウェアの小要件などについても説明

しています。

アップグレード・ガイド VPN-1/FireWall-1 NG以降のチェック・ポイント製品で利用で

きるすべてのアップグレード・パスについて説明しています。

このガイドでは特に、NGX R65へのアップグレードに重点を

置いています。

SmartCenter SmartCenter管理ソリューションについて説明しています。こ

のガイドでは、ネットワークの境界、ネットワーク内部、あ

らゆるユーザのエンド・ポイントでのセキュリティ導入の設

定、管理および監視を制御するためのソリューションを紹介

しています。

ファイアウォールとSmartDefense

ネットワーク・アクセスの制御と保護、ネットワーク接続の

確立、SmartDefenseを使用したネットワークおよびアプリ

ケーション・レベルの攻撃に対する防御、Web Intelligenceを

使用したWebサーバとアプリケーションの保護、および統合

Webセキュリティ機能について取り上げます。さらに、ウイ

ルス対策用のCVP（コンテンツ・ベクトリング・プロトコル）

アプリケーション、Webサイトへのアクセスを制限するため

のURL フィルタリング（UFP）アプリケーションの使用方法、

およびVoIPトラフィックを保護する方法について説明してい

ます。

バーチャル・プライベート・

ネットワーク

このガイドでは、VPNの基本的なコンポーネントについて説

明し、VPNインフラストラクチャを構成する技術に関する基

本情報を提供します。


26

Eventia Reporter トラフィックを監視および監査する方法、チェック・ポイン

トVPN-1 Power、SecureClient、およびSmartDefenseによっ

て記録されたすべてのイベントの詳細レポートや要約レポー

トを、選択した形式（リスト、棒グラフ、円グラフなど）を

使用して生成する方法について説明しています。

SecurePlatform™/ SecurePlatform Pro

SecurePlatformのインストールと設定の方法について説明し

ています。また、SecurePlatformコンピュータの管理方法と

ダイナミック・ルーティング（ユニキャストおよびマルチキャ

スト）プロトコルについても説明しています。

Provider-1/SiteManager-1 Provider-1/SiteManager-1 セキュリティ管理ソリューション

について説明しています。このガイドでは、3層のマルチポリ

シー管理アーキテクチャ、およびネットワーク・オペレーティ

ング・センター環境に共通して見られる、時間のかかる繰り

返し作業を自動化するためのネットワーク・オペレーティン

グ・センター指向の機能のホストについて詳しく説明してい

ます。

表 P-2 Integrity サーバのマニュアル

タイトル説明

インストール・ガイド： Integrity Advanced Serverのインストール、設定、

および保守

Integrity Advanced Serverのインストール、設定、および保守の

方法について説明しています。

管理者ガイド： Using Integrity Advanced Server

画面ごとのユーザ・インタフェース要素の説明と関連する章への

相互参照を紹介しています。ヘルプ・システムの使い方も含めた

管理コンソールの操作の概要を説明します。

Integrity Advanced Server Administrator Guide

Integrity Advanced Serverで管理者およびエンドポイントの

セキュリティを管理する方法を説明しています。 Integrity Advanced Server Gateway Integration Guide

VPN（バーチャル・プライベート・ネットワーク）ゲートウェイ・

デバイスを Integrity Advanced Serverと統合する方法について

説明しています。また、統合SecureClient/Integrityクライアント・

パッケージの導入方法についても説明しています。

System Requirements: Integrity Advanced Server

クライアントとサーバの要件について説明します。

表 P-1 VPN-1 Power Suite のマニュアル（続き）

タイトル説明


序文 27

Installation and Administration Guide: Installing and using Integrity Agent for Linux

Integrity Agent for Linuxのインストールと設定の方法について

説明しています。

Integrity XML Policy Reference Guide

IntegrityクライアントのXMLポリシー・ファイルの内容につい

て説明しています。

Integrity Client Management Guide

コマンド・ライン・パラメータを使用して、Integrityクライアン

トのインストーラの動作およびインストール後の動作を制御す

る方法を説明しています。

表 P-2 Integrity サーバのマニュアル（続き）

タイトル説明

関連情報

28

関連情報• チェック・ポイント製品の詳細な技術情報については、弊社のナレッジ・ベース

SecureKnowledge（https://secureknowledge.checkpoint.com/）を参照してください。

• 本書の新版については、ユーザ・センター

http://www.checkpoint.com/support/technical/documentsを参照してください。

https://secureknowledge.checkpoint.com/

http://www.checkpoint.com/support/technical/documents

ドキュメントに関するご意見

序文 29

ドキュメントに関するご意見チェック・ポイントは継続的にドキュメントの改善に努めています。ご意見やご要望がありましたら、

遠慮なく以下の宛先までお送りください。

[email protected]

mailto:[email protected]?subject=Check Point User Guide feedback

ドキュメントに関するご意見

30

VPN 技術の概要

33

第章1概要

この章の構成

接続性の課題 34 ページ

チェック・ポイントの基本的なVPNソリューション 35 ページ

接続性の課題

34

接続性の課題コンピュータ・ネットワークとネットワーク・ユーザの爆発的な成長に伴い、IT管理者は、既存の

ネットワーク、リモート・サイト、およびリモート・ユーザを単一のセキュリティ構造に集約する

という課題に直面しています。

支社は中央組織だけでなく、他の支社との接続性も確保する必要があります。リモート・ユーザは、

変化を続ける今日のネットワーク環境に対応できるだけの優れた接続機能を必要としています。新たなパートナーシップ関係を築けば、新たな外部ネットワークとの企業間接続がうまれます。

通常、統合は、既存のインフラストラクチャを利用して行う必要があります。多くの場合、これは

専用のリース回線ではなく、インターネット経由の接続を利用するということです。リモート・サ

イトとユーザの一体化を行うと同時に、高レベルのセキュリティを維持する必要があります。接続

環境が構築された後は、高レベルのプライバシー、認証、および完全性を提供する安全な接続を維

持する必要があるのと同時に、コストを抑える必要があります。

さらに、内部ネットワークへの進入を許可するトラフィックを正当なものだけに制限する必要があ

ります。有害な可能性のあるトラフィックは、内容を調査する必要があります。内部ネットワーク

では、適切なユーザのみが機密データにアクセスできるように、複数の異なるレベルのアクセス権

を設定する必要があります。

チェック・ポイントの基本的な VPN ソリューション

第 1 章概要 35

チェック・ポイントの基本的な VPNソリューション

このセクションの構成 :

バーチャル・プライベート・ネットワーク（VPN）技術は、既存のインフラストラクチャ（インター

ネット）を利用して、セキュリティの強化された安全な接続環境を構築する技術です。チェック・ポ

イントのVPN実装であるVPN-1 Powerモジュールを使用すると、標準的なインターネット・セキュ

ア・プロトコルに基づいて、特別なタイプのネットワーク・ノード間に安全なリンクを確立するこ

とができます。サイト間VPNは、ゲートウェイ間に安全なリンクを確立します。リモート・アクセ

スVPNは、ゲートウェイとリモート・アクセス・クライアント間に安全なリンクを確立します。

VPN とは

チェック・ポイントのVPN-1 Powerは、さまざまなオープン・プラットフォームおよびセキュリ

ティ・アプライアンスを使用する企業ネットワーク、リモートおよびモバイル・ユーザ、支社、ビ

ジネス・パートナーに、安全な接続環境を提供する統合ソフトウェア・ソリューションです。図 1-1は、ハンドヘルドPDAやワイヤレス・ラップトップから基幹ネットワークやサーバまで、VPN-1Powerに適するさまざまなアプリケーションとアプライアンスを示しています。

VPNとは 35 ページ

用語について 37 ページ

サイト間VPN 38 ページ

VPNコミュニティ 38 ページ

リモート・アクセスVPN 40 ページ


36

図 1-1 VPN-1 Power ソリューション

VPN-1 Powerは、アクセス制限、認証、および暗号化を統合し、公共のインターネット経由のネッ

トワーク接続のセキュリティを保証します。

通常の構成では、（インターネットから）企業ネットワークに接続するVPN-1 Powerゲートウェイ

を1つ配置し、モバイル・ユーザのラップトップではリモート・アクセス・ソフトウェアを使用し

ます。その他のリモート・サイトは、それぞれ別のVPN-1 Powerゲートウェイによって保護され、

すべてのコンポーネント間の通信は、厳格なセキュリティ・ポリシーによって規制されます。

VPN-1 Power のコンポーネント

VPN-1 Powerは以下のコンポーネントで構成されています。

• VPNエンドポイント。ゲートウェイ、ゲートウェイのクラスタ、VPNリンクをネゴシエート

するモバイル・ユーザ用リモート・クライアント・ソフトウェアなどです。

• VPNトラスト・エンティティ。チェック・ポイント内部認証局などです。内部認証局は、

ゲートウェイ、認証管理者、およびサード・パーティ・サーバの間にSIC接続の信頼関係を

確立するためのVPN-1 Powerスイートに含まれています。内部認証局は、VPNリンクをネゴ

シエートする内部ゲートウェイおよびリモート・アクセス・クライアントに証明書を提供し

ます。

• VPN管理ツール。 SmartCenter ServerとSmartDashboardです。 SmartDashboardは、

SmartCenterサーバにアクセスするのに使用するSmartConsoleです。 VPN ManagerはSmartDashboardの一部です。 SmartDashboardを使用すると、イントラネットとリモート・

アクセスVPNの定義と導入が行えます。


第 1 章概要 37

用語について

VPN実装に関してよく使われる用語が多数あります。代表的なものについて説明します。

• VPN。インターネットなどの公共ネットワーク内に設定されたプライベート・ネットワーク。

• VPNトンネル。ゲートウェイ間の専用チャネルまたは暗号化リンク。

• VPNトポロジ。 VPNの基本要素は、リンクまたは暗号化されたトンネルです。リンクはゲー

トウェイ間に作成されます。リンクの集合体がトポロジです。トポロジはVPNのレイアウト

を示します。 VPNで一般的な2つの基本トポロジは、メッシュとスターです。

• VPNゲートウェイ。暗号化接続のエンドポイント。IPSecプロトコル・フレームワークをサ

ポートする任意のピアを割り当てることができます。ゲートウェイは、単一のスタンドアロ

ン・モジュールの場合も、「高可用性」と「負荷共有」を目的としてクラスタ構成にする場合

もあります。

• VPNドメイン。 IPデータグラムの暗号化を実行する対象のホストまたはネットワークを指定

するグループ。VPNゲートウェイは、VPNドメインへの入口となります。

• サイト間VPN。ゲートウェイ間のVPNトンネルを指します。

• リモート・アクセスVPN。 SecuRemote/SecureClientまたはサードパーティ製 IPSecクライ

アントなどのクライアント・ソフトウェアを使用してネットワークにアクセスするリモート・

ユーザを指します。VPN-1 Powerゲートウェイは、リモート・クライアントにリモート・ア

クセス・サービスを提供します。

• 暗号化アルゴリズム。情報を意味の把握できない形式に変換する、数学的に表現された処理の

セット。数学的変換には特別な鍵を使用します。 VPNでは、3DESやAESなどさまざまな暗

号化アルゴリズムを使用して、通信中のピアのみがメッセージを理解できるようにします。

• 完全性。ハッシュ関数を使用した完全性チェックにより、送受信中にメッセージが傍受または

改変されていないことを確認します。

• 信頼関係。ゲートウェイ間の信頼関係の確立には、PKI（Public Key Infrastructure）、証明書、

および認証局が使用されます。PKIが使えない場合は、ゲートウェイはプリシェアード・シー

クレットを使用します。

• IKEと IPSec。暗号化鍵の管理と、暗号化パケットの交換に使用されるセキュアVPNプロトコ

ル。 IPSecは、プライベートまたは公共のネットワークにおいて、データの認証および暗号化

のサービスを提供する複数の規格をサポートする暗号化技術フレームワークです。 IKE（Internet Key Exchange）は、鍵管理プロトコル規格です。 IKEは IPSecの拡張で、機能や柔

軟性が追加され、設定が容易です。


38

サイト間 VPN VPNの中心は、IKE/IPSecプロトコルを使用して作成された暗号化トンネル（またはVPNリンク）

です。VPNを構成する2種類のピアは、VPN-1 Powerゲートウェイかリモート・アクセス・クライ

アントです。まず、リンクをネゴシエートするピアが、ピア間の信頼関係を作成します。この信頼

関係は、認証局、PKIまたはプリシェアード・シークレットを用いて確立されます。方式が交換され、

鍵が作成されます。暗号化されたトンネルが確立され、その後複数の接続に備えて維持されます。

必要に応じて鍵を更新するために鍵素材が交換されます。1台のゲートウェイで、VPNピアとの複数

のトンネルを同時に維持します。各トンネルは暗号化され、VPNピア間で認証が行われます。これに

より完全性とプライバシーが確保されます。データは、これらの仮想物理リンクを経由して一括して

送信されます。

VPN コミュニティ

基本的なコミュニティの種類は、メッシュとスターの2種類があります。トポロジとは、ゲートウェ

イ、そのVPNドメイン、各ゲートウェイの背後にあるホスト、および外側のリモート・クライアン

トから構成されるシステムにおいて、有効なVPNリンクの集合体です。

メッシュ・コミュニティでは、図 1-2のように、各ゲートウェイがその他すべてのゲートウェイと

リンクを確立します。

図 1-2 メッシュ・コミュニティにおける VPN-1 Power ゲートウェイ

スター・コミュニティでは、サテライト（または「スポーク」）として定義されたゲートウェイは

センター・ゲートウェイ（または「ハブ」）とのみ通信することができ、その他のサテライト・ゲート

ウェイ同士が互いに通信することはできません。


第 1 章概要 39

図 1-3 スター・コミュニティにおける VPN-1 Power ゲートウェイ

図 1-3に示すように、センター・ゲートウェイをメッシュ化することにより、接続性を強化するこ

とが可能です。この種のトポロジは、ビジネス・パートナーに属するネットワークが含まれるエク

ストラネットを使用する構成に適しています。


40

リモート・アクセス VPNユーザが遠隔地から組織にアクセスするときはいつでも、通常の安全接続要件だけでなく、リモー

ト・クライアントの特殊な要件にも適合している必要があります。

SecuRemote/SecureClientは、VPNの機能をリモート・ユーザ向けに拡張し、VPNトンネルを経由し

て、ネットワークやサーバとの間で機密情報を安全に送受信できます。ダイヤルアップ（ブロードバ

ンド接続を含む）接続、LAN（およびワイヤレスLAN）接続の両方に対応しています。ユーザは、

VPN-1 Powerゲートウェイの内部データベースまたは外部LDAPサーバのいずれかで管理します。

図 1-4 リモート・クライアントからゲートウェイ背後のホストへの接続

図 1-4では、リモート・ユーザがゲートウェイへの接続を開始しています。認証は IKEネゴシエー

ションの間に行われます。ユーザの存在が確認されると、ゲートウェイは、たとえばユーザの証明

書を検証するなどして、ユーザを認証します。 IKEが成功すると、トンネルが作成され、リモート・

クライアントはホスト1に接続できるようになります。

41

第章2IPSec と IKE

この章の構成

概要 42 ページ

IKE DoS攻撃に対する防御 51 ページ

高度な IKEプロパティの設定 56 ページ

概要

42

概要対称暗号化システムでは、通信者双方が同じ鍵を使用して暗号化と復号化を行います。この鍵を作

成する素材は安全な方法で交換する必要があります。通信者双方の他にその鍵を知る者が誰もいな

い場合のみ、情報を安全に交換できます。

IKE（Internet Key Exchange）の目的は、通信者双方が独立して同じ対称鍵を作成することです。

作成された鍵は、VPN-1 Powerピア間で行われるバルク・データ転送に使用される正規 IPパケッ

トの暗号化と復号化を行います。 IKEは双方を認証し、暗号化方式と完全性に合意すると、VPNト

ンネルを構築します。 IKEネゴシエーションの結果がセキュリティ・アソシエーション（SA）です。

鍵と暗号化方式に対するこの合意もまた、安全に実行される必要があります。このため、IKEは2つのフェーズから構成されています。 1番目のフェーズは2番目のフェーズの基盤となっています。

Diffie-Hellman（DH）アルゴリズムは、IKEプロトコルのこの1番目のフェーズの部分であり、対称

鍵を作成するための素材の交換に使用されます。Diffie-Hellmanアルゴリズムは、自分の秘密鍵と相

手の公開鍵から「共有秘密」という暗号化鍵を作成するアルゴリズムです。 IPSecの対称鍵は、ピア

間で共有されるこのDHキーから作成されるため、対称鍵が実際に交換されることはありません。

IKE フェーズ IIKEフェーズ Iでは、次の処理が行われます。

• 通信ピアは、証明書またはプリシェアード・シークレットによって、認証します。ピアの一方

がリモート・アクセス・クライアントであれば、より多くの認証方式を使用できます。

• Diffie-Hellman鍵が作成されます。 Diffie-Hellmanプロトコルの特性は、双方のみが知りえる共

有秘密をそれぞれが独立して作成できることです。

• 鍵素材（乱数およびその他の数学的データ）と、IKEフェーズ IIの方式に対する合意が、ピア

間で交換されます。

パフォーマンスという点では、Diffie Hellman鍵の生成は時間がかかる重い処理です。このフェー

ズの結果が、IKE SA（IKEフェーズ IIの鍵と方式に対する合意）です。図 2-1は、IKEフェーズ Iで実行されるプロセスを示しています（必ずしも実際のイベント発生順序どおりではありません）。

概要

第 2 章 IPSec と IKE 43

図 2-1 IKE フェーズ I

IKE フェーズ II（クイックモードまたは IPSec フェーズ）

IKEフェーズ IIでは、IKEフェーズ Iで合意された鍵と方式に従って暗号化されます。 IKEフェーズ

IIで交換される鍵素材は、IPSec鍵の作成に使用されます。フェーズ IIの結果は IPSecセキュリティ・

アソシエーション（SA）です。 IPSec SAは IPSecの鍵と方式に対する合意です。これにより、IKEフェーズ IIで合意された鍵と方式に従って、IPSecが作成されます。

概要

44

図 2-2 IKE フェーズ II

IPSec鍵が作成されると、バルク・データ転送が行われます。

概要


暗号化と完全性チェックの方式

ネゴシエーション時に以下の2つのパラメータが決定されます。

• 暗号化アルゴリズム

• ハッシュ・アルゴリズム

表 2-1に、VPN-1 Powerでサポートされている暗号化と完全性チェックの方式を示します。

NULLは完全性チェックのみを実行することを意味します。この場合、パケットは暗号化されません。

Diffie Hellman グループ

Diffie-Hellman鍵計算（指数関数鍵の合意）は、数学的に定義されたDiffie Hellman（DH）グループ

に基づいています。表 2-2は、IKEの2つのフェーズ中にVPN-1 PowerでサポートされているDHグループの一覧です。

ビット数の大きいグループの鍵の方が解読が困難になりますが、計算により多くのCPU負荷を必

要とするためパフォーマンスは低下します。

表 2-1 IKE の暗号化 / 完全性チェックの方式

パラメータ IKE フェーズ I（IKE SA） IKE フェーズ II（IPSec SA）

暗号化 AES - 256（デフォルト）3DESDESCAST

3DEAAES-128（デフォルト）AES - 256DES CASTDES - 40CPCAST - 40NULL

完全性

チェック

MD5 SHA1（デフォルト）

MD5（デフォルト）SHA1

表 2-2 DH グループ

パラメータ IKE フェーズ I（IKE SA） IKE フェーズ II（IPSec SA）

Diffie Hellmanグループ

グループ2（1024ビット）

（デフォルト）





（デフォルト）




概要

46

フェーズ I モード

VPN-1 Powerでは、ゲートウェイ間で IKEを実行するための2つのモードが用意されています。

• メイン・モード

• アグレッシブ・モード

アグレッシブ・モードを選択しない場合、VPN-1 Powerはメイン・モードになり、6つのパケットを

使用して IKEネゴシエーションが実行されます。アグレッシブ・モードでは3つのパケットを使用

して IKEネゴシエーションが実行されます。

以下の理由から、メイン・モードの使用をお勧めします。

• メイン・モードでは、共有DH鍵を双方のピアが持った時点から部分的に暗号化が行われます。

• メイン・モードでは、サービス妨害否（DoS）攻撃に対する耐性が高くなります。メイン・

モードでは、認証の後にDH計算が実行されます。アグレッシブ・モードでは、認証と同時に

DH計算が実行されます。認証が終了していないピアによって、もう一方のピアでプロセッサ

負荷の高いDiffie-Hellman計算が強制されることがあります。

リモート・アクセスの場合、IKEには以下のモードも使用できます。

• ハイブリッド・モード。ゲートウェイが証明書を使用し、クライアントがSecurIDなどの他

の方法を使用して認証することが可能な場合、IKEフェーズ Iの代わりにハイブリッド・モー

ドを使用することができます。ハイブリッド・モードの詳細については、255ページの「リ

モート・アクセスVPNの概要」を参照してください。

• オフィス・モード。オフィス・モードは IKEプロトコルを拡張したものです。オフィス・モー

ドは、リモート・アクセス・クライアントとVPN-1 Powerドメイン間のルーティングの問題

を解決するために使用します。 IKEネゴシエーション時に、フェーズ Iとフェーズ IIの間に

configモードという特別なモードが挿入されます。configモードでは、リモート・アクセス・

クライアントはゲートウェイに IPアドレスを要求します。ゲートウェイから IPアドレスを割

り当てられた後、クライアントはオペレーティング・システムに仮想アダプタを作成します。仮想アダプタは割り当てられた IPアドレスを使用します。詳細については、283ページの

「オフィス・モード」を参照してください。

注：アグレッシブ・モードは、NG 以前のリモート・アクセス・クライアントとの下位互換

性があります。VPN-1 Power ゲートウェイが、メイン・モードに対応していないサード・

パーティ製の VPN ソリューションとネゴシエートする必要がある場合も、アグレッシブ・

モードを使用してください。

概要


IKE と IPSec ライフタイムに基づく再ネゴシエーション

IKEフェーズ IはDiffie-Hellman鍵を作成して毎回ピアを認証する必要があるため、IKEフェーズ IIよりプロセッサ負荷が大きくなります。このため、IKEフェーズ Iはフェーズ IIより実行頻度が低く

なります。 IKE SAの有効期間は限られているため、有効期間を過ぎたら IKE SAの再ネゴシエー

ションが必要になります。IPSec SAは有効期間がさらに短いため、IKEフェーズ IIの実行回数が多

くなります。

各再ネゴシエーション間の期間をライフタイムといいます。一般的に、ライフタイムが短いほど、

IPSecトンネルの安全性が高くなります（ただし IKEネゴシエーションのプロセッサ負荷は高くな

ります）。ライフタイムが長いと、以降のVPN接続がより速やかに設定されます。デフォルトでは、

IKEフェーズ Iは1日に1回実行され、IKEフェーズ IIは1時間ごとに実行されますが、各フェーズ

のタイムアウト値は設定可能です。

DBeditを使用して、objects_5_0.cファイルを編集し、キロバイト単位で IPSecライフタイムを設

定できます。関連するプロパティは、以下のコミュニティ・セットの下にあります。

• ike_p2_use_rekey_kbytes：false（デフォルト）から trueに変更します。

• ike_p2_rekey_kbytes：必要な再実行値（デフォルトは50000）を含むように変更します。

Perfect Forward Secrecyピアによって IKEフェーズ IIで作成され、IPSecで使用される鍵は、ピア間で交換される2進数の

乱数列と、IKEフェーズ Iで計算されたDH鍵に基づいています。

DH鍵は1度だけ計算され、以降は IKEフェーズ IIで何度も使用されます。 IKEフェーズ IIで使用さ

れる鍵は IKEフェーズ Iで計算されたDH鍵に基づいているので、双方の間には数学的な関係が存在

します。このため、使用するDH鍵が1つしかない場合、以降の鍵の力が弱くなることがあります。

1つの鍵が破られた場合、以降の鍵はより簡単に破られる可能性があります。

暗号学では、Perfect Forward Secrecy（PFS）とは、現在のセッション鍵や長期の秘密鍵が侵害さ

れても、それ以前または以降の鍵が破られない状況のことを指します。VPN-1 Powerには、この要

求を満たすためのPFSモードが用意されています。 PFSが有効になっていると、IKEフェーズ IIで新しいDH鍵が生成され、鍵交換ごとに更新されます。

新しいDH鍵は IKEフェーズ Iごとに生成されるため、これらの鍵と以降の IKEネゴシエーションで

作成される鍵との間に依存関係はありません。 PFSは、非常に高い強度のセキュリティが必要な場

合のみ有効にしてください。

PFSモードで使用されるDHグループは、グループ1、2、5、14のいずれかに設定できます。

デフォルトはグループ2（1042ビット）です。

注： PFS モードはゲートウェイ間のみでサポートされ、ゲートウェイとリモート・アクセス・

クライアント間では使用できません。

概要

48

IP 圧縮

IP圧縮は、TCP/IPパケットのデータ部のサイズを小さくする処理です。データ部のサイズを小さく

すると、パフォーマンスが大幅に向上します。IPSecは、Flate/Deflate IP圧縮アルゴリズムをサ

ポートしています。 Deflateは、データの圧縮方法を実際のデータに応じて変更する高度なアルゴリ

ズムです。 IP圧縮を使用するかどうかは IKEフェーズ IIで決定されます。 IP圧縮はデフォルトで無

効になっています。

IP圧縮は、低速のリンクを使用するSecuRemote/SecureClientユーザにとっては重要です。たとえ

ば、ダイヤルアップ・モデムはリンクを高速化する手段として圧縮を行います。VPN-1 Powerの暗

号化によって、TCP/IPパケットは混ざり合い順序が狂います。この種のデータを圧縮することはで

きず、その結果帯域幅が失われます。 IP圧縮を有効にすると、パケットは暗号化の前に圧縮されます。

これにより、失われた帯域幅を補うことができます。

サブネットとセキュリティ・アソシエーション

デフォルトでは、VPNトンネルは通信に関係するホスト・マシンのためだけでなく、ホストが存在

するサブネット全体のために作成されます。

図 2-3 サブネットごとの VPN

図 2-3では、ゲートウェイは2つのサブネット（10.10.10.xと10.10.11.x、どちらもネットマスクは

255.255.255.0）で構成されるネットワークを保護しています。2番目のゲートウェイ（リモート

VPN-1 Powerピア）は、ネットマスク255.255.255.0を持つサブネット10.10.12.xと10.10.13.xを保護しています。

VPNトンネルはデフォルトでサブネット全体に対して作成されるため、ゲートウェイとピア・ゲー

トウェイ間には4つのSAが存在します。ホストAがホストBと通信すると、ホストAのサブネッ

トとホストBのサブネットの間にSAが作成されます。

概要


ピアのペアごとの一意の SA各ゲートウェイで［Support Key exchange for subnets］オプションを無効にすると、ピアのペア

ごとに一意のセキュリティ・アソシエーションを作成することができます。

図 2-4 IP アドレスごとの SA

図 2-4では、ゲートウェイの［Support key exchange for subnets］オプションが有効になって

おり、リモートVPN-1 Powerピアでこのオプションがサポートされていない場合、ホストAがホ

ストCと通信すると、ホストAのサブネットとホストCの IPアドレス間でセキュリティ・アソシ

エーション（SA 1）がネゴシエートされます。 10.10.11.xサブネット上のいずれかのホストとホス

トCが接続する場合も同じSAが使用されます。

ホストAがホストBと通信すると、ホストAのサブネットとホストB間で別のセキュリティ・アソ

シエーション（SA 2）がネゴシエートされます。先ほどと同様、同じSAが10.10.11.xサブネット

上のいずれかのホストとホストB間でも使用されます。

概要

50

図 2-5 ホストごとの SA

つまり、接続するゲートウェイで［Support Key exchange for subnets］オプションが有効になっ

ていない場合、個々の IPアドレス間でセキュリティ・アソシエーションがネゴシエートされ、ホスト

ごとに一意のSAが作成されます。

IKE DoS 攻撃に対する防御



このセクションの構成

DoS 攻撃についてサービス妨害（DoS）攻撃は、パフォーマンスを低下させ、正規ユーザがサービスを利用すること

を妨害したり、サービス自体を無効にしてしまうことを目的とする攻撃です。機密データが漏洩し

たり、ユーザに許可されていないアクセス権を与えたりしないという意味では、直接セキュリティ

の脅威とはなりません。しかし、この攻撃はメモリやCPUといったコンピュータのリソースを消費

します。

DoS攻撃には、次の2種類があります。 1つは、バグを利用してサービスをクラッシュさせる目的

で、不正な形式のごみパケットを送りつけるものです。もう1つのDoS攻撃は、サービスまたはプ

ロトコルの脆弱性を利用する目的で、正しい形式のパケットを送りつけるものです。 IKE DoS攻撃

に対する防御は、この2番目の種類の攻撃に対処するものです。

IKE DoS 攻撃

IKEプロトコルでは、受信ゲートウェイが受信する初の IKEフェーズ I要求パケットにメモリを割

り当てる必要があります。ゲートウェイは応答し、次のパケットを受信し、初のパケットの情報

を使用してそれを処理します。

攻撃者は、それぞれ異なる送信元 IPアドレスを偽造して、IKEの初のパケットを大量に送りつけ

ることができます。受信ゲートウェイはそれぞれに対して応答し、メモリを割り当てなければなり

ません。これには大量のCPUリソースが必要なため、正規ユーザの接続が阻害されます。

IKEパケットを送信する攻撃者は、IKEネゴシエーションの開始を許可されたマシン（VPN-1 Powerゲートウェイなど）になりすますことができます。これを認識している発信元といいます。攻撃者

は、SecuRemote/SecureClientやダイナミック IPアドレスを持つVPN-1 Powerゲートウェイなど、

受信ゲートウェイが知らないIPアドレスを持っているふりをすることもできます。これを認識して

いない発信元といいます。

DoS攻撃について 51 ページ

IKE DoS攻撃 51 ページ

IKE DoS攻撃に対する防御 52 ページ

SmartDashboardの IKE DoS攻撃に対する防御設定 53 ページ

IKE DoS攻撃に対する高度な防御設定 53 ページ


52


同時に処理される IKEネゴシエーションの数が許容数のしきい値を超えた場合、負荷が大きい、あ

るいはサービス妨害攻撃を受けていると判断されます。このような場合、VPN-1 Powerはサービス

妨害攻撃の発信元の可能性のあるピアを除外することができます。防御方法には、以下の2種類が

あります。

IKE DoS 攻撃に対するステートレス防御

VPN-1 Powerは、相手が本当に正規な相手であると証明されるまでゲートウェイのリソース割り当

てを遅らせ、IKE DoS攻撃を防止します。以下のプロセスは、ステートレス防御と呼ばれます。

1. ゲートウェイに大きな負荷がかかっている、またはサービス妨害攻撃であると判断し、IKE要

求を受信した場合、疑わしい発信元にそのゲートウェイのみが生成できる数字を含むパケッ

トを返します。その後、ゲートウェイは IKE要求のことを「忘れます」。ゲートウェイは IKE要求をメモリに格納する必要はありません（このため「ステートレス」と呼ばれます）。

2. パケットを受信したマシンは、この数字を含む IKE要求を送信して IKE要求を再開しなければ

なりません。

3. ゲートウェイがこの数字を含む IKE要求を受信し、数字がそのゲートウェイにしか生成でき

ない数字として認識された場合のみ、負荷があっても、IKEネゴシエーションを続行します。

VPN-1 Powerゲートウェイが複数の IPアドレスから IKE要求を受信した場合、各 IPアドレスに対

して一意の数字を送信します。各アドレスのマシンはその数字を含むパケットを使用して IKEネゴ

シエーションを再開しなければなりません。これらのIPアドレス内にピアが実際には存在しない場

合、この一意の数字はピアに届きません。これにより、複数の偽造 IPアドレスから IKE要求を送信

している攻撃者の裏をかくことができます。

IKE DoS攻撃に対する防御は、サード・パーティ製のゲートウェイには対応していません。過負荷

の場合、サード・パーティ製ゲートウェイおよびクライアント（Microsoft IPSec/L2TPクライアン

トなど）は接続できなくなります。

IKE DoS 攻撃に対するパズル防御

IKEネゴシエーションの開始を許可されたマシン（VPN-1 Powerゲートウェイなど）など、受信

ゲートウェイが認識している発信元になりすまして IKEパケットが送信される場合、ステートレス

防御が適しています。

認識していない発信元とは、SecuRemote/SecureClientやダイナミック IPアドレスを持つVPN-1Powerゲートウェイなど、受信ゲートウェイが知らない IPアドレスのことです。攻撃者は複数の認

識していない IPアドレスを駆使し、これらのすべてのアドレスからのステートレス・パケットにも

応答できる場合があります。したがって、認識していない発信元からの攻撃の場合、別のアプロー

チが必要です。



ゲートウェイは、IKE要求の発信元に計算負荷の高いパズルを解くよう要求できます。ほとんどの

コンピュータでは1秒で解けるパズルの数はわずかなので、攻撃者が1秒で送信できる IKEパケッ

トはかなり少なくなります。これによりDoS攻撃を無力化することができます。

IKE DoS攻撃に対する防御は、サード・パーティ製のゲートウェイには対応していません。過負荷

の場合、接続できなくなります。

SmartDashboard の IKE DoS 攻撃に対する防御設定 IKE DoS攻撃に対する防御を設定するには、［Global Properties］の［VPN］―［Advanced］ペー

ジでSmartDashboardの［IKE Denial of Service Protection］設定を変更します。

• Support IKE DoS protection from identified source －認識している発信元に対するデフォ

ルトの防御設定は［Stateless］です。この設定では、ゲートウェイに負荷がある場合、ピア

は IKE通知に応答するときに、IPアドレスを偽装していないことを証明する特別な方法を使

用する必要があります。ピアがこれを証明できない場合、VPN-1 Powerは IKEネゴシエー

ションを開始しません。

発信元を認識できる場合、設定を［Puzzles］にすると、警戒が強すぎてパフォーマンスが低

下する可能性があります。もう1つのオプション［None］を選択すると、DoSに対する防御は

実行されません。

• Support IKE DoS protection from unidentified source ― 認識していない発信元に対するデ

フォルトの防御設定は［Puzzles］です。この設定では、ゲートウェイに負荷がある場合、ピ

アに数学的なパズルを解くよう要求します。ピアはパズルを解くためにCPUリソースを消費

するため、複数の IKEネゴシエーションを同時に開始するのが難しくなります。

認識していない発信元に対しては、［Stateless］による防御では不十分です。これは、攻撃者が

IKE要求を送信しているように見せかけている IPアドレスをすべて制御することができるから

です。もう1つのオプション［None］を選択すると、DoSに対する防御は実行されません。

IKE DoS 攻撃に対する高度な防御設定 SmartCenterサーバでDbeditコマンドを使用するか、GUIのDatabase Toolを使用して、IKE DoS攻撃に対する高度な防御設定を行うことができます。以下のグローバル・プロパティを使用して、

防御を設定できます。

ike_dos_threshold

有効な値： 0～100。デフォルト値： 70。同時に実行できるネゴシエーションの割合を指定します。

この値を超えるとゲートウェイはDoS防御措置を要求します。しきい値を「0」に設定すると、ゲー

トウェイは常にDoS防御措置を要求します。


54

ike_dos_puzzle_level_identified_initiator

有効な値： 0～32。デフォルト値： 19。既知のピア・ゲートウェイに送信するパズルのレベルを指

定します。この属性は、ゲートウェイが解ける高のパズル・レベルも決定します。

ike_dos_puzzle_level_unidentified_initiator

有効な値： 0～32。デフォルト値： 19。未知のピア（SecuRemote/SecureClient、DAIPゲートウェ

イなど）に送信するパズルのレベルを指定します。この属性は、DAIP ゲートウェイおよび

SecuRemote/SecureClientが解ける高のパズル・レベルも決定します。

ike_dos_max_puzzle_time_gw

有効な値： 0～30000。デフォルト値： 500。ゲートウェイがDoS防御パズルを解くために使用す

る長時間（ミリ秒単位）を指定します。

ike_dos_max_puzzle_time_daip

有効な値： 0～30000。デフォルト値： 500。 DAIPゲートウェイがDoS防御パズルを解くために使

用する長時間（ミリ秒単位）を指定します。

ike_dos_max_puzzle_time_sr

有効な値： 0～30000。デフォルト値： 5000。 SecuRemoteがDoS防御パズルを解くために使用す

る長時間（ミリ秒単位）を指定します。

ike_dos_supported_protection_sr

指定できる値： None、Stateless、Puzzles。デフォルト値： Puzzles。 SecuRemote/SecureClientにダウンロードされた場合、クライアントがサポートする防御レベルを制御します。

ゲートウェイはike_dos_protection_unidentified_initiatorプロパティ（SmartDashboard の

［Global Property］の［Support IKE DoS Protection from unidentified Source］と同等）を使用

して、リモート・クライアントに必要な防御手段を決定しますが、SecuRemote/SecureClientクラ

イアントはike_dos_protectionを使用します。この同じクライアント・プロパティは、ゲートウェ

イ側では、ike_dos_supported_protection_srと呼ばれます。



クライアント・プロパティ

ゲートウェイのプロパティの一部は、SecuRemote/SecureClientにダウンロードされると名前が変

わります。 Userc.Cファイルでの名前は以下のとおりです。

表 2-3 プロパティ名

ゲートウェイでのプロパティ名 SecuRemote/SecureClient でのUserc.C プロパティ名

ike_dos_protection_unidentified_initiator（SmartDashboardの［Global Property］：［SupportIKE DoS Protection from unidentified Source］と同等）

ike_dos_protectionまたはike_support_dos_protection

ike_dos_supported_protection_sr ike_dos_protection

ike_dos_puzzle_level_unidentified_initiator ike_dos_acceptable_puzzle_level

ike_dos_max_puzzle_time_sr ike_dos_max_puzzle_time

高度な IKE プロパティの設定

56

高度な IKE プロパティの設定IKEは2つの場所で設定します。

• VPNコミュニティのネットワーク・オブジェクト（IKEプロパティ用）

• ゲートウェイのネットワーク・オブジェクト（サブネットの鍵交換用）

VPN コミュニティのネットワーク・オブジェクト1. ［VPN Properties］ページで以下を選択します。

• IKEフェーズ Iと IIの暗号化方式

• IKEフェーズ Iと IIの完全性チェック方式

2. ［Advanced Settings］> ［Advanced VPN Properties］ページで以下を選択します。

• 使用するDiffie-Hellmanグループ

• IKEセキュリティ・アソシエーションの再ネゴシエーション時期

• アグレッシブ・モードを使用するかどうか（デフォルトはメイン・モード）

• Perfect Forward Secrecyを使用するかどうか。使用する場合はそのDiffie-Hellmanグループ。

• IPSecセキュリティ・アソシエーションの再ネゴシエーション時期

• IP圧縮のサポートを使用するかどうか

ゲートウェイのネットワーク・オブジェクト SAをホストごとに計算したい場合、［VPN Advanced］ページで、［Support Key exchange forsubnets］の選択を解除します。デフォルトでは、サブネットの鍵交換がサポートされます。

57

第章3PKI（Public Key Infrastructure）

この章の構成 :

ほかのPKIソリューションとの統合の必要性 58 ページ

さまざまなPKIソリューションのサポート 59 ページ

PKIの注意事項 67 ページ

PKI機能の設定 69 ページ

ほかの PKI ソリューションとの統合の必要性

58

ほかの PKI ソリューションとの統合の必要性X.509ベースのPKIソリューションが提供するインフラストラクチャは、エンティティ双方が認証

局（CA）を信頼することによって、相互に信頼関係を確立することを可能にします。信頼できる

認証局はエンティティに証明書を発行します。証明書には、エンティティの公開鍵が含まれます。

認証局を信頼するピア・エンティティは、認証局の署名を検証できるので、証明書内の情報、そし

ても重要なエンティティと公開鍵との関連性を信頼することができます。

IKE標準では、強力な認証が要求されるVPN環境ではPKIの使用を推奨しています。

VPNトンネルの確立に関与するVPN-1 Powerモジュールは、認証局が発行したRSA鍵ペアと信頼

できる証明書を持っている必要があります。証明書には、モジュールの ID、公開鍵、CRL取得のた

めの詳細が含まれ、認証局によって署名されています。

2つのエンティティがVPNトンネルを確立しようとする場合、双方が自分の秘密鍵によって署名さ

れた乱数情報と公開鍵を含む証明書を相手に提示します。証明書によって、ゲートウェイ間に信頼

関係を確立することができます。各ゲートウェイは相手ゲートウェイの公開鍵を使用して署名され

た情報の発行元を確認し、認証局の公開鍵を使用して証明書の信憑性を検証します。つまり、相手

の認証には検証された証明書が使用されるということです。

すべてのチェック・ポイントSmartCenterサーバの構成には、管理対象のVPNモジュールに対して

VPN証明書を発行する内部認証局（ICA）が含まれます。このVPN証明書は、モジュール間のVPNの定義を単純化します。内部認証局の詳細については、『SmartCenter』を参照してください。

状況によっては、ほかのPKIソリューションとの統合が必要な場合があります。例を示します。

• 外部SmartCenterサーバによって管理されるVPN-1 PowerモジュールとVPNを確立する場合。

たとえば、相手ゲートウェイがチェック・ポイント製品を使用する別の組織に属しており、

その証明書が独自のSmartCenterサーバの ICAによって署名されている場合などです。

• チェック・ポイント以外のVPNエンティティとVPNを確立する場合。この場合、相手の証明

書はサード・パーティ認証局によって署名されます。

• 何らかの理由で、組織がVPN-1 Powerモジュールの証明書生成にサード・パーティの認証局

を使用すると決めている場合。

さまざまな PKI ソリューションのサポート

第 3 章 PKI（Public Key Infrastructure） 59

さまざまな PKI ソリューションのサポートVPN-1 PowerはVPN環境でPKIを統合する複数の方法に対応しています。

• 1つのVPNトンネルに対する複数認証局のサポート ― 2つのVPN-1 Powerモジュールが複数

の内部認証局によって署名された証明書を提示します。

• 内部認証局ではない認証局のサポート ― 内部認証局のほかに、VPN-1 Powerは以下の認証局

に対応しています。

• 外部の内部認証局 ― 別のSmartCenterの内部認証局

• ほかのOPSEC認定PKIソリューション

• 認証局の階層 ― 認証局は階層構造になっていることもあり、ルート認証局の下に複数の認証

局があります。下位認証局は、別の認証局によって証明された認証局です。下位認証局は、さら

に下位にあるほかの認証局に証明書を発行できます。これにより、証明書のチェーンまたは

階層を形成します。

PKI とリモート・アクセス・ユーザ

VPN-1 Powerはゲートウェイの証明書だけでなくユーザの証明書にも対応しています。ユーザ証明

書の詳細については、255ページの「リモート・アクセスVPNの概要」を参照してください。

PKI の構成と VPN以下に認証局構成の例を示します。

• 単純な構成 ― 内部認証局

• 外部SmartCenterサーバの認証局

• インターネット経由で提供される認証局サービス

• LAN上の認証局

単純な構成 ― 内部認証局

同じSmartCenterサーバによって管理されるゲートウェイ間にVPNトンネルを確立する場合、各

ゲートウェイはSmartCenterサーバの内部認証局から発行された証明書を持っています。

外部 SmartCenter サーバの認証局

VPN-1 Powerゲートウェイが外部SmartCenterサーバによって管理されている場合（別の組織の

VPN-1 Power モジュールとのVPN トンネルを確立する場合など）、各ピアはそれぞれの

SmartCenterの内部認証局が署名した証明書を持っています。


60

図 3-1 異なる SmartCenter サーバによって管理される 2 つのゲートウェイ

図 3-1では、SmartCenterサーバAがゲートウェイAに証明書を発行し、SmartCenterサーバBは

ゲートウェイBに証明書を発行します。

インターネットを経由する認証局サービス

VPN-1 Powerゲートウェイの証明書がインターネットからアクセス可能なサード・パーティ認証局

によって発行される場合、登録や取り消しなどの認証局の機能は通常HTTP経由で行われます。

CRLはCRLリポジトリとして機能しているHTTPサーバから取得します。図 3-2に、インターネッ

トからアクセス可能な認証局とCRLリポジトリを示します。



図 3-2 インターネットを経由する認証局サービス

図 3-3では、ゲートウェイAとBは証明書をWeb経由でアクセス可能なPKIサービス・プロバイダ

から取得しています。外部認証局によって発行される証明書は、同じSmartCenterサーバによって

管理されているゲートウェイが検証するときにも使用されます。

LAN 上にある認証局

相手VPNゲートウェイの証明書がLAN上のサード・パーティ認証局によって発行される場合、CRLは通常内部LDAPサーバから取得します。図 3-3にその例を示します。

図 3-3 ローカルに配置されたサード・パーティ認証局


62

外部認証局の信頼

VPNトンネルを確立する上で、信頼関係は欠かすことのできない前提条件です。その信頼関係は、

相手の証明書に署名した認証局が信頼できる場合にのみ成立します。認証局を信頼するというこ

とは、認証局自身の証明書を取得して検証することです。認証局の証明書を検証した後で、認証局

の証明書の詳細とその公開鍵を使用して、その認証局が発行したその他の証明書を取得して検証す

ることができます。

内部認証局（ICA）は、SmartCenterが管理するすべてのモジュールで自動的に信頼されます。外部

認証局の場合（別のSmartCenterサーバの ICAも同様）、自動的に信頼されないので、モジュール

はまず外部認証局の証明書を取得してそれを検証する必要があります。外部認証局は、自らの証明

書をSmartCenterサーバにインポートする手段を提供する必要があります。

外部認証局の種類別の証明書の取得手順は以下のとおりです。

• 外部SmartCenterサーバの ICAの場合、『SmartCenter』を参照してください。

• OPSEC認定認証局の場合、［Servers and OSPEC Applications］タブの認証局オプションを

使用して、認証局を定義し、その証明書を取得してください。

下位認証局

下位認証局は、別の認証局によって証明された認証局です。下位認証局は、さらに下位にあるほか

の認証局に証明書を発行できます。これにより、証明書のチェーンまたは階層を形成します。階層

の上位にある認証局は、ルート局またはルート認証局と呼ばれます。ルート認証局の子認証局は、

下位認証局と呼ばれます。

［Servers and OSPEC Applications］タブの認証局オプションを使用して、ある認証局が［Trusted］であるか［Subordinate］であるかを定義できます。下位認証局は、OPSECタイプの認証局で信頼

されていません。

管理エンティティの登録

登録とは、認証局から証明書を取得すること、つまりエンティティの証明書を発行するよう認証局

に要求することです。

登録の初のプロセスは鍵ペアの生成です。次に公開鍵とモジュールの情報に基づいて証明書要求が

作成されます。証明書要求の種類とその後の登録プロセスは、認証局のタイプによって異なります。

内部管理ゲートウェイの場合、内部認証局がSmartCenterサーバ・マシンにあるので、も単純です。

登録プロセスは自動的に完了します。

OPSEC認定認証局から証明書を取得する場合、SmartCenterサーバはモジュールの詳細と公開鍵

を取得してPKCS#10要求を作成します。要求（OPSEC証明書のSubjectAltNameとExtended KeyUsage拡張を含む）は、管理者が手動で認証局に送信します。認証局が証明書を発行したら、管理

者が証明書をSmartCenterサーバにインポートしてプロセスが完了します。



ゲートウェイの証明書は自動登録を使用して取得することもできます。自動登録を使用した場合、

コミュニティ内の任意のゲートウェイに対して、信頼できる認証局から証明書の要求を自動的に発

行できます。自動登録は以下のプロトコルをサポートしています。

• SCEP

• CMPV1

• CMPV2

注： SCEP 登録では、HTTP 要求のサイズが 2 KB 以上になった場合、HTTP プロトコル・

インスペクション・メカニズムによってその HTTP 要求が止められる場合があります

（［Web Intelligence］>［HTTP Protocol Inspection］>［HTTP Format Sizes］が有効の

場合）。このような HTTP 要求を通すには、デフォルト値を変更する必要があります。それで

も登録が失敗する場合は、手動で登録を行ってください。詳細については、『ファイア

ウォールと SmartDefense』を参照してください。


64

証明書の検証

エンティティが別のエンティティから証明書を受信するとき、以下のことを検証する必要があります。

1. 証明書の署名。証明書が信頼できる認証局によって署名されていることを確認します。証明書

が信頼できる認証局の直接署名ではなく、信頼できる認証局の下位にある認証局によって署

名されている場合、認証局の証明書のパスを信頼できる認証局まで遡って確認します。

2. 証明書チェーンの期限が切れていないこと。

3. 証明書チェーンが取り消されていないこと。 CRLを取得し、証明書のシリアル番号が証明書

の取り消しリストにないことを確認します。

さらに、VPNは以下のことを確認して、証明書の使用状況が正しいことを確認します。

• 証明書が必要なアクションの実行を許可されているかどうか。たとえば、データの署名に秘

密鍵が必要な場合（認証用など）、それが許可されているかどうかを調べるため、証明書の

KeyUsage拡張（ある場合）をチェックします。

• 相手がネゴシエーションに正しい証明書を使用したかどうか。外部管理モジュールとのVPNトンネルを構築する場合、管理者は信頼できる認証局の中の特定の認証局によって署名された

証明書のみを許可する場合があります。識別名（DN）などの特定の詳細を持つ証明書のみを

許可することも可能です。

取り消しのチェック

証明書のステータスを判別する便利な方法が2つあります。

1. CRL

2. OSCP（Online Certificate Status Protocol）

CRL

VPNは、HTTPサーバとLDAPサーバのどちらからでもCRLを取得できます。 CRLリポジトリが

HTTPサーバの場合、モジュールは証明書のCRL配布ポイント拡張で公開されたURLを使用し、

CRLリポジトリに対してHTTP接続を確立してCRLを取得します。

CRLリポジトリがLDAPサーバの場合、VPNは定義されたLDAPアカウント・ユニットの1つから

CRLを探そうとします。この場合、LDAPアカウント・ユニットの定義が必要です。 CRL配布ポイ

ント拡張がある場合、CRLのDN（CRLが公開されているディレクトリにあるエントリまたはLDAPURI）を公開します。拡張がない場合、VPNはLDAPサーバの認証局自身のエントリからCRLを探

そうとします。



OCSP

OCSP（Online Certificate Status Protocol）を使用すると、アプリケーションが証明書の状態を識

別できます。 OCSPは、CRLより迅速に取り消し情報を取得したい場合や、詳細なステータス情報

を取得するときに使用します。 OCSPクライアントがOCSPサーバにステータス要求を発行する

と、サーバが応答するまで問題の証明書の許可が保留されます。

OCSPを使用するには、ルート認証局がCRLではなくこの方式を使用するように設定する必要があ

ります。この設定は、下位認証局によって継承されます。

CRL 事前取得キャッシュ

IKEネゴシエーション・プロセス全体と比べて、CRLの取得には時間がかかるため、IKEネゴシエー

ションのたびに繰り返しCRLを取得しなくてもいいように、VPNはCRLをCRLキャッシュに保存

しておきます。

キャッシュは以下のように事前に取得されます。

• 2時間ごと

• ポリシーのインストール時

• キャッシュの期限が切れたとき

事前取得に失敗した場合、前のキャッシュは削除されずに残ります。

管理者はキャッシュ内のCRLの有効期限を短くしたり、キャッシュの使用を取り消すことができ

ます。 CRLキャッシュ機能を取り消した場合、その後の IKEネゴシエーションのたびにCRLを取得

しなければならないので、VPNトンネルの確立が大幅に遅くなります。このようなパフォーマンス

に与える影響を考えると、セキュリティ・レベルを厳格にするために継続的なCRLの取得が必要な

場合以外は、CRLキャッシングを無効にしないことをお勧めします。

CRL の事前取得メカニズムの注意事項

CRLの事前取得メカニズムは、証明書の新の破棄リストを取得しようと大限努力します。しか

し、cpstop、cpstartコマンドが実行された後、キャッシュは更新されなくなります。ゲートウェ

イは、古いCRLが有効である限り、更新されたCRLが認証局に存在したとしても、引き続き古い

CRLを使用します。キャッシュの事前取得メカニズムは、古いCRLの有効期限が切れ、認証局から

新しいCRLが取得された後でのみ通常の機能に戻ります。

注：内部認証局の場合、CRL キャッシュを使用する必要があります。


66

cpstop、cpstartの直後にCRLを更新する必要がある場合は、以下のいずれかを実行します。

• cprestartを実行した後で、crl_zapを実行し、キャッシュを消去します。

• ［Global Properties］>［SmartDashboard Customization］>［Configure］>［Check Point CA properties］を選択し、［flush_crl_cache_file_on_install］を選択します。

新しいポリシーがインストールされると、キャッシュは消去され、必要に応じて新しいCRLが取得

されます。

CRL 猶予期間

CRLリポジトリとの接続が一時的に失われたり、マシン間でシステム時刻がずれている場合など、

有効なCRLが無効と判断され、その結果証明書も無効と判断されることがあります。 VPNはこの問

題を解決するため、CRL猶予期間が用意されています。この期間内は、厳密には有効場間ではなく

ても、CRLは有効であると判断されます。

PKI の注意事項


PKI の注意事項


内部認証局とサード・パーティ認証局の比較

内部認証局を使用すると、サイト間VPNやリモート・アクセスVPNなどのチェック・ポイント・

アプリケーションでPKIを簡単に利用できるようになります。しかし、管理者の判断で、安全な電

子メールやディスクの暗号化などの用途に、組織内ですでに機能している認証局が継続して使用さ

れる場合があります。

分散鍵管理（DKM）と保存

DKM（Distributed Key Management）は、鍵生成フェーズにセキュリティの層を追加します。

SmartCenterサーバが公開鍵と秘密鍵の両方を生成し、ポリシーのインストール時にモジュールに

それらをダウンロードするという通常のプロセスに対し、DKMでは、管理サーバがモジュールに

独自の公開鍵と秘密鍵の生成を指示し、公開鍵のみを管理サーバに送信します。秘密鍵の作成と保

存は、ハードウェア・ストレージ・デバイス内の、またはハードウェア・ストレージをエミュレー

トするソフトウェアを経由して、モジュール上で実行されます。その後SmartCenterサーバは証明

書登録を実行します。ポリシーのインストール時に、証明書がモジュールにダウンロードされます。

秘密鍵がモジュールの外部に送信されることはありません。

すべての認証局タイプで鍵をローカルに保存できます。

内部認証局とサード・パーティ認証局の比較 67 ページ

分散鍵管理（DKM）と保存 67 ページ

PKI の注意事項

68

DKMはすべての登録方式でサポートされています。また、［Global Properties］>［SmartDashboard Customization］>［Configure］>［Certificates and PKI properties］を選

択し、［use_dkm_cert_by_default］チェック・ボックスをオンにすると、デフォルトで使用する

ことができます。

注： Edge デバイスの証明書を生成する場合は DKM を使用できず、

［use_dkm_cert_by_default］チェック・ボックスがオンでもローカルに生成されます。

PKI 機能の設定


PKI 機能の設定


認証局の信頼 ― 手順

このセクションでは、認証局独自の証明書を取得する手順について説明します。これは、認証局に

よって発行された証明書を信頼する前に必要な手順です。

認証局を信頼するためには、認証局サーバ・オブジェクトを定義する必要があります。以下のセク

ションでは、異なる状況で必要なさまざまな設定手順について説明します。

内部認証局の信頼

VPNモジュールは自身を管理するSmartCenterサーバの内部認証局を自動的に信頼します。特別な

設定は必要ありません。

外部管理認証局の信頼

外部管理認証局とは、別のSmartCenterサーバの内部認証局のことです。認証局の証明書があらか

じめ提供され、ディスクに保存されている必要があります。信頼関係を確立するには、以下の手順

に従います。

1. ［Manage］>［Servers and OPSEC Applications］を選択します。

［Servers and OPSEC Application］ウインドウが表示されます。

2. ［New］>［CA］を選択します。

［Trusted...］を選択します。

［Certificate Authority Properties］ウインドウが表示されます。

認証局の信頼 ― 手順 69 ページ

認証局での登録 71 ページ

認証局での登録 71 ページ

証明書の取り消し（全認証局タイプ） 75 ページ

証明書の復旧と更新 75 ページ

確認処理への一致基準の追加 76 ページ

CRLキャッシュの使用 76 ページ

CRL事前取得キャッシュの変更 77 ページ

CRL猶予期間の設定 77 ページ

PKI 機能の設定

70

3. 認証局オブジェクトの名前を［Name］フィールドに入力し、［Certificate Authority Type］ドロップダウン・ボックスから［External Check Point CA］を選択します。

4. ［External Check Point CA］タブに移動し、［Get...］ボタンをクリックします。

5. ピア認証局の証明書を保存したパスを参照し、証明書を選択します。

VPNは証明書を読み込んで詳細を表示します。証明書の詳細を確認します。認証局の証明書の

SHA-1フィンガープリントおよびMD5フィンガープリントを表示して確認します。

6. ［OK］ボタンをクリックします。

OPSEC 認定認証局の信頼

認証局の証明書があらかじめ提供され、ディスクに保存されている必要があります。

認証局の証明書は、［Servers and OSPEC Applications］タブの認証局オプションを使用してダ

ウンロードするか、あらかじめピア管理者から取得しておきます。

以下の手順に従って、認証局オブジェクトを定義します。

1. ［Manage］>［Servers and OPSEC Applications］を選択します。

［Servers and OPSEC Application］ウインドウが表示されます。

2. ［New］>［CA］を選択します。

［Trusted...］または［Subordinate...］を選択します。

［Certificate Authority Properties］ウインドウが表示されます。

3. 認証局オブジェクトの名前を［Name］フィールドに入力し、［Certificate Authority Type］ドロップダウン・ボックスから［OPSEC PKI］を選択します。

4. ［OPSEC PKI］タブで以下の設定を行います。

• 自動登録の場合、［automatically enroll certificate］を選択します。

• 認証局との接続に使用するプロトコルを［Connect to CA with protocol］から選択します。

選択可能なプロトコルはSCEP、CPMV1、CPMV2のいずれかです。

注： SCEP 自動登録の場合はこの手順をスキップできます。認証局の証明書は、SCEP パラ

メータの設定後自動的に取得されます。

注： Entrust 5.0 以降を使用している場合は、CPMV1 を使用します。

PKI 機能の設定


5. ［Properties...］ボタンをクリックします。

• プロトコルにSCEPを選択した場合、［Properties for SCEP protocol］ウインドウで認

証局の識別子（example.comなど）と認証局 /登録局のURLを入力します。

• プロトコルにCPMV1を選択した場合、［Properties for CMP protocol - V1］ウインドウで、

適切な IPアドレスとポート番号を入力します（デフォルトのポートは829）。

• プロトコルにCMPV2を選択した場合、［Properties for CMP protocol -V2］ウインドウで、

トランスポート層にダイレクトTCPとHTTPのどちらを使用するかを指定します。

6. この認証局からCRLを取得する方法を選択します。

認証局がHTTPサーバでCRLを公開している場合、［HTTP Server(s)］を選択します。この場

合、認証局から発行された証明書には、CRL配布ポイント拡張のURLにCRLの場所が含まれ

ている必要があります。

認証局がLDAPサーバでCRLを公開している場合、［LDAP Server(s)］を選択します。この場

合、LDAPアカウント・ユニットも定義する必要があります。LDAPオブジェクトを定義する

方法については、『SmartCenter』を参照してください。

［LDAP Account Unit Properties］ウインドウの［General］タブで［CRL retrieval］チェッ

ク・ボックスがオンになっていることを確認します。

認証局によって発行された証明書には、CRL配布ポイント拡張に、CRLが存在するLDAP DNが含まれている必要があります。

7. ［Get...］ボタンをクリックします。

8. SCEPが選択されている場合、認証局に接続して証明書を取得しようとします。それ以外の場

合、ピア認証局の証明書を保存したパスを参照し、証明書を選択します。

VPNは証明書を読み込んで詳細を表示します。証明書の詳細を確認します。認証局の証明書の

SHA-1フィンガープリントおよびMD5フィンガープリントを表示して確認します。

9. ［OK］をクリックします。

認証局での登録

VPN対応のすべての内部管理エンティティに対して、証明書は内部認証局によって自動的に発行さ

れます。このプロセスは、管理者がネットワーク・オブジェクトの［General Properties］タブの

［Check Point Products］で、［VPN］チェック・ボックスをオンにすると実行されます。

OPSEC PKIと外部チェック・ポイント認証局どちらの場合も証明書の取得プロセスは同じです。

注：自動登録を選択しなかった場合、登録は手動で実行する必要があります。

PKI 機能の設定

72

OPSEC 認定 PKI での手動登録

PKCS#10証明書要求を作成するには、以下の手順に従います。

1. 70ページの「OPSEC認定認証局の信頼」の手順に従って認証局オブジェクトを作成します。

2. 関連するネットワーク・オブジェクトの［VPN］タブを開きます。

3. ［Certificate List］フィールドで、［Add...］ボタンをクリックします。

［Certificate Properties］ウィンドウが表示されます。

4. ［Certificate Nickname］フィールドに証明書のニックネームを入力します。

ニックネームは識別するためのもので、証明書の内容を表すものではありません。

5. ［CA to enroll from］ドロップダウン・ボックスから、証明書を発行するダイレクトOPSEC認証局または外部チェック・ポイント認証局を選択します。

6. 鍵ペアの生成と保存の方法を選択します。詳細については、67ページの「分散鍵管理

（DKM）と保存」を参照してください。

7. ［Generate...］ボタンをクリックします。

［Generate Certificate Properties］ウィンドウが表示されます。

注：リストに表示される認証局は、信頼できる認証局の直下の認証局または信頼できる認証

局自身だけです。証明書を発行する認証局が、信頼できる認証局の直下の認証局ではない場

合、その従属認証局はリストには表示されません。

PKI 機能の設定


8. 適切なDNを入力します。

証明書に終的に表示されるDNは、認証局管理者が決定します。

証明書でSubject Alternate Name拡張が必要な場合、［Define Alternate Name］チェック・

ボックスをオンにします。

デフォルトでオブジェクトの IP が代替名拡張として追加されるようにするには、［GlobalProperties］>［SmartDashboard Customization］>［Configure］>［Certificates and PKIproperties］を選択し、次のオプションを選択します。

add_ip_alt_name_for_opsec_certs

add_ip_alt_name_for_ICA_certs

この手順の設定は、内部認証局でも実行できます。


公開鍵とDNを使用して、DERエンコードされたPKCS#10証明書要求が作成されます。

10. 証明書要求が作成されたら、［View...］ボタンをクリックします。

［Certificate Request View］ウインドウが表示されます。

11. ウインドウ内のすべてのテキストをコピーして、認証局に配布します。

認証局管理者は、証明書の発行を行う必要があります。発行方法は認証局ごとに異なる方法が

提供されます。通常のユーザ用フォームとは別の高度な登録フォームが用意されている場合も

あります。発行された証明書は、電子メールなどさまざまな方法で配布されます。証明書を取

得したら、保存する必要があります。

A. ネットワーク・オブジェクトの［Severs and OPSEC Applications］タブに移動し

て、適切な認証局オブジェクトを選択します。

B. ［OPEC PKI］タブで［Get...］ボタンをクリックし、証明書を保存した場所に移動し

ます。

C. 適切なファイルを選択し、証明書の詳細を確認します。

D. オブジェクトを閉じて保存します。

認証局での自動登録

認証局オブジェクトの［OPSEC PKI］タブで、［Automatically enroll certificate］が選択され、接続

プロトコルにSCEPまたはCMPが選択されていることを確認します。以下の手順に従います。


2. ［Certificate List］セクションで、［Add...］ボタンをクリックします。

［Certificate Properties］ウインドウが表示されます。

3. ［Certificate Nickname］フィールドに識別子として使用する任意の文字列を入力します。

PKI 機能の設定

74

4. ドロップダウン・リストボックスから証明書を発行する認証局を選択します。

5. 鍵ペアの作成と保存の方法を選択します。

6. ［Generate］ボタンをクリックして、［Automatic enrollment］を選択します。

［Generate Keys and Get Automatic Enrollment Certificate］ウインドウが表示されます。

• ［Key Identifier］フィールドに識別子を入力し、［Authorization Code］フィールドに認

証コードを入力します。

• ［OK］をクリックします。

7. ネットワーク・オブジェクトの［VPN］ページの［Certificates List］に証明書が表示されたら、

［View］ボタンをクリックして、［Copy to Clipboard］または［Save to File］を選択し、

［Certificate Request View］ウインドウのテキストをコピーまたは保存します。

8. 要求を認証局管理者に送信します。

提供される手段は認証局ごとに異なります。たとえば、Webサイトに高度な登録フォームが用

意されている場合があります。発行された証明書は、電子メールなどさまざまな方法で配布さ

れます。証明書を受信したらディスクに保存します。

9. ネットワーク・オブジェクトの［VPN］タブで、［Certificates List］から適切な証明書を選

択し、［Complete...］ボタンをクリックします。

注：リストに表示される認証局は、信頼できる認証局の直下の認証局または信頼できる認証

局自身だけです。証明書を発行する認証局が、信頼できる認証局の直下の認証局ではない場

合、その従属認証局はリストには表示されません。

PKI 機能の設定


10. 発行された証明書を保存したフォルダを参照し、証明書を選択して詳細を確認します。

11. ネットワーク・オブジェクトを閉じ、［Save］を使用して保存します。

下位認証局を使用した登録

下位認証局を使用して登録する場合は、以下の点に注意してください。

• 証明書を発行する下位認証局のパスワードを入力します。階層の上位の認証局ではありま

せん。

• 下位認証局は信頼できる認証局の直下にある必要があります。

証明書の取り消し（全認証局タイプ）

内部認証局によって発行された証明書は、証明書オブジェクトを削除すると取り消されます。それ

以外の場合、証明書の取り消しは認証局管理者が認証局オブジェクトの［Advanced］タブのオブ

ジェクトを使用して行います。さらに、証明書をモジュールから削除する必要があります。

証明書を削除するには、以下の手順に従います。


2. ［Certificate List］フィールドで削除する証明書を選択し、［Remove］ボタンをクリックしま

す。

SmartCenterサーバがその他の設定から証明書が使用中であると判断した場合、証明書は削除

できません。たとえば、モジュールが1つ以上のVPNコミュニティに属しており、削除しよう

としている証明書がモジュールの唯一の証明書である場合がこれに該当します。

証明書の復旧と更新

証明書が取り消されたり期限切れになった場合、新しい証明書を作成するか、既存の証明書を更新

する必要があります。

内部認証局による復旧と更新

失効または期限切れとなった証明書を削除すると、管理者の介入なしに、自動的に新しい証明書が

作成されます。証明書を手動で更新するには、ゲートウェイ・オブジェクトの［VPN］ページで

［Renew...］ボタンをクリックします。

注：モジュールは、特定の認証局によって署名された証明書を 1 つだけ持つことができます。したがって、新しい証明書の発行時に、同じ認証局によって署名された既存の証明書がある

場合は、それを置き換えるかどうかを尋ねられます。

PKI 機能の設定

76

確認処理への一致基準の追加

外部管理VPNエンティティの証明書は、ローカルSmartCenterサーバでは処理されません。しか

し、ピアに対してVPNトンネルの確立時に特定の証明書を提示するよう強制することができます。

以下の手順に従います。

1. 外部管理エンティティの［VPN］ページを開きます。

2. ［Matching Criteria...］をクリックします。

3. 次のような、ピアが提示すると予測される証明書の特性を選択します。

• 証明書を発行した認証局

• 証明書の正確なDN

• 証明書のSubject Alternate Name拡張に表示される IPアドレス。この IPアドレスは、

IKEネゴシエーション時にVPNモジュールに表示されるVPNピア自身の IPアドレスと

照合されます。

• 証明書のSubject Alternate Name拡張に表示される電子メール・アドレス

CRL キャッシュの使用

CRLキャッシュの動作を取り消す、または変更するには、以下の手順に従います。

1. 認証局オブジェクトの［Advanced］タブを開きます。

2. CRLキャッシュを有効にするには、［Cache CRL on the module］チェック・ボックスをオン

にします。

内部認証局の場合、キャッシュを無効にしないでください。一般的に、すべての認証局タイプ

でキャッシュを常に有効にしておくことをお勧めします。キャッシュを無効にするのは（内部

認証局を除く）、厳格なセキュリティによって継続的なCRLの取得が必要な場合のみです。

3. CRLキャッシュを有効にした場合、有効期限切れ、もしくは一定期間の経過後（先に期限切

れになっていない場合）にCRLを削除するかどうかを選択します。また、期限が来るよりも

早くCRLが頻繁に発行されるような場合、CRLを頻繁に取得するという選択肢もあります。デフォルトでは、24時間が経過するとCRLがキャッシュから削除されます。

CRLキャッシュの詳細については、65ページの「CRL事前取得キャッシュ」を参照してください。

注：内部認証局には CRL キャッシュが必要です。無効にしないでください。

PKI 機能の設定


CRL 事前取得キャッシュの変更

事前取得キャッシュの動作は、グローバル・プロパティから変更できます。

1. ［Global Properties］>［SmartDashboard Customization］>［Configure...］を選択します。

［Advanced Configuration］ウインドウが表示されます。

2. チェック・ポイント認証局のプロパティを選択します。

CRL 猶予期間の設定

［Advanced］で［Policy］>［Global Properties］>［VPN］>を選択し、猶予期間の値を設定し

ます。猶予期間は、指定したCRL有効期間の前後どちらに設定することもできます。

OSCP の設定

78

OSCP の設定OCSPを使用するには、認証局オブジェクトが、CRLの代わりにOCSPによる取り消しチェックメ

ソッドを使用するように設定する必要があります。

Dbeditを使用して、oscp_validationフィールドを trueに変更します。 trueに設定すると、この認

証局はOCSPを使用して証明書を検証します。この設定はルート認証局で行います。設定は下位認

証局にも継承されます。

信頼されているOCSPサーバを設定するには、Dbeditを使用してobjectc.cを編集します。

1. oscp_serverタイプの新しいサーバ・オブジェクトを作成します。

2. OCSPサーバのURLと証明書を設定します。

3. 認証局オブジェクトで、oscp_serverを設定します。作成したOCSPサーバ・オブジェクトへ

の参照を追加し、ポリシーをインストールします。

79

第章4リモート・アクセスサイト間 VPN


バーチャル・プライベート・ネットワークの必要性 80 ページ

VPNに対するチェック・ポイント・ソリューション 81 ページ

VPNトポロジ設計に関する特別な考慮事項 94 ページ

サイト間VPNの設定 95 ページ

バーチャル・プライベート・ネットワークの必要性

80

バーチャル・プライベート・ネットワークの必要性

通信者が必要とするのは、高速でスケーラブルで回復力があり、さらに以下の要素も併せ持つ接続

性プラットフォームです。

• 機密性

• 完全性

• 認証

機密性

通信で交換される非公開情報は、通信している者以外に見られてはなりません。

認証

通信者は接続先が目的の相手であると確認できなければなりません。

完全性

通信者間で交わされる機密データは変更されてはなりません。これは完全性チェックで確認するこ

とができます。

VPN に対するチェック・ポイント・ソリューション

第 4 章リモート・アクセスサイト間 VPN 81


バーチャル・プライベート・ネットワーク（VPN）はネットワークへの接続機能とその中を通過す

るデータの保護機能の両方を提供する安全な接続性プラットフォームです。たとえば、地理的に離

れたネットワークをインターネット経由で接続している組織では、接続性はあってもプライバシー

保護がないことがあります。VPN-1 Powerは保護する必要のある接続を暗号化することにより、プ

ライバシーを確保します。また、地理的に離れたネットワークをすべて専用線で接続している場合が

あります。このような会社では接続性とプライバシーは確保できますが、莫大な費用がかかります。

VPN-1 Powerは、地理的に離れたネットワークを公共のインターネット経由で接続することにより、

安価な接続性ソリューションを提供します。

バーチャル・プライベート・ネットワークは、暗号化トンネルを使用して、データを保護し安全に

交換するためのネットワークです。VPN-1 Powerは、IKE（Internet Key Exchange）および IPSec（IP Security）プロトコルを使用して暗号化トンネルを作成します。 IKEによってVPNトンネルが

作成され、このトンネルを使用して IPSecでエンコードされたデータが転送されます。

IKEはトンネルを構築するプロセス、IPSecパケットはトンネルを通って暗号化データを運ぶト

ラックと考えられます。

図 4-1 単純化した VPN トンネルの構造

機能の仕組み

図 4-2で、ホスト1とホスト6が通信する必要があります。ホスト1とローカル・ゲートウェイ間

では、接続は暗号化されないまま通過します。ゲートウェイは、パケットの発信元アドレスと宛先

アドレスから、接続の暗号化が必要であると判断します。これが初めての接続である場合、ローカル・

ゲートウェイは、ホスト6の前にあるピア・ゲートウェイとの IKEネゴシエーションを開始します。

このネゴシエーション時に、両ゲートウェイは互いを認証し、暗号化方式と鍵を取り決めます。 IKEネゴシエーションが成功すると、VPNトンネルが構築されます。これ以降、ゲートウェイ間を通過す

るパケットは IPSecプロトコルによって暗号化されます。IKEは信憑性（ゲートウェイが相互に正し

い相手と通信していること）を提供し、IPSecの基盤を構築します。トンネルが構築されると、IPSecが（暗号化による）プライバシーと（1方向ハッシュ関数による）完全性を提供します。


82

図 4-2 IPSec による機密性、完全性、認証

VPNトンネルが確立されると（図 4-2）、パケットは以下のように処理されます。

• パケットが発信元ホストから送信され、ゲートウェイに到達します。

• ゲートウェイがパケットを暗号化します。

• パケットはVPNトンネルを通過し、2番目のゲートウェイに向かいます。実際には、パケット

はインターネットを通過する標準的な IPパケットです。しかし、パケットが暗号化されてい

るため、プライベートな「バーチャル」トンネルを通過していると考えることができます。

• 2番目のゲートウェイがパケットを復号化します。

• パケットは、暗号化されずに宛先ホストに到着します。ホストからは、直接接続しているよう

に見えます。

IKEネゴシエーションの詳細については、「IPSecと IKE」を参照してください。

VPN コミュニティ

ゲートウェイ間のVPNトンネルの構築は、VPNコミュニティを設定すると簡単になります。VPNコミュニティは、VPNトンネル経由での通信が可能なVPN対応ゲートウェイの集合です。

以下の用語は、VPNコミュニティを理解するのに必要な用語です。

• VPNコミュニティ・メンバ。VPNトンネルの一方にあるゲートウェイ。

• VPNドメイン。ゲートウェイの背後にあるホスト。 VPNドメインは、ゲートウェイの背後に

あるネットワーク全体、またはネットワークの一部のこともあります。たとえば、ゲート

ウェイが企業LANおよびDMZを保護している場合、 VPNドメインとして定義されるのは、企業

LANのみです。



• VPNサイト。コミュニティ・メンバとVPNドメイン。典型的なVPNサイトの例として、銀行

の支店が挙げられます。

• VPNコミュニティ。 VPNトンネル /リンクとその属性の集合。

• ドメイン・ベースVPN。コミュニティ内の各ゲートウェイの背後にある暗号化ドメインに基

づいたVPNトラフィックのルーティング。スター・コミュニティでは、これにより、サテラ

イト・ゲートウェイ同士がセンター・ゲートウェイ経由で互いに通信できるようになります。

• ルート・ベースVPN。VPNコミュニティ内のトラフィックのルートは、ゲートウェイのオペ

レーティング・システムで設定されるルーティング情報（静的 /動的）に基づいて決定されます。

図 4-3 VPN 用語

暗号化とデータの完全性の確認に使用される方式により、ゲートウェイ間に構築されるトンネルの

タイプが決まり、そのVPNコミュニティの特性と考えられます。

SmartCenterサーバは複数のVPNコミュニティを管理できます。つまり、特定の必要性に応じてコ

ミュニティを作成し編成することが可能です。

リモート・アクセス・コミュニティ

リモート・アクセス・コミュニティは、通常企業LANの外側の遠隔地で作業を行うユーザのために

構築されるVPNコミュニティです。このタイプのコミュニティにより、ユーザと企業LANの間で

安全な通信ができるようになります。詳細については、255ページの「リモート・アクセスVPNの

概要」を参照してください。

注：内部管理されているメンバのいずれかが NG FP3 以前のバージョンの場合、コミュニティ

内のサービスを自由に定義することはできません（ゲートウェイ間コミュニティでは可能）。


84

VPN トポロジ

も基本的なトポロジは、2つのゲートウェイで構成され、それらの間にVPNトンネルを構築でき

るトポロジです。SmartCenterサーバはさらに複雑なトポロジをサポートしているので、組織の特

定の必要性に応じたVPNコミュニティの作成が可能です。 SmartCenterは以下の2つのVPNトポロ

ジをサポートしています。

• メッシュ

• スター

メッシュ VPN コミュニティ

メッシュは、1つのVPNサイトがほかのどのVPNサイトとでもVPNトンネルを構築できるVPNコ

ミュニティです。

図 4-4 基本メッシュ・コミュニティ

スター VPN コミュニティ

スターは、センター・ゲートウェイ（ハブ）とサテライト・ゲートウェイ（スポーク）で構成され

るVPNコミュニティです。このタイプのコミュニティでは、サテライトはセンター・ゲートウェイ

として定義されているゲートウェイに対してのみVPNトンネルを構築できます。



図 4-5 スター VPN コミュニティ

サテライト・ゲートウェイは、同様にサテライト・ゲートウェイとして定義されているほかのゲー

トウェイに対してはVPNトンネルを構築できません。

センター・ゲートウェイは、［Star Community Properties］ウインドウの［Central Gateways］ページで［Mesh center gateways］オプションを選択している場合のみ、ほかのセンター・ゲー

トウェイに対してVPNトンネルを構築できます。

トポロジの選択

VPNコミュニティにどのトポロジを選択するかは、組織の全体的なポリシーによって異なります。

たとえば、メッシュ・コミュニティは、内部管理されたネットワークの一部であるゲートウェイの

みメンバになることができ、企業パートナーに属するゲートウェイはメンバになれないイントラ

ネットに適しています。

スター VPNコミュニティは、外部パートナーに属するネットワークとの情報交換が必要な組織に

適しています。パートナーは組織と通信する必要がありますが、パートナー間の通信は必要ありま

せん。組織のゲートウェイはセンター・ゲートウェイとして定義し、パートナーはサテライトとし

て定義します。

もっと複雑なシナリオとして、2つの国、LondonとNew Yorkに本社を持つ会社を考えてみます。

各本社には複数の支社があります。各支社は国内の本社と通信することのみが必要で、ほかの支社

と通信する必要はありません。そして、New York本社とLondon本社のみが直接通信する必要があ

ります。このような条件を満たすには、LondonとNew Yorkの2つのスター・コミュニティを定義し

ます。LondonとNew Yorkのゲートウェイをセンター・ゲートウェイに設定し、それぞれの支社を

サテライト・ゲートウェイに設定します。これで、それぞれの国の各支社が国内の本社と通信できる

ようになります。次に3番目のVPNコミュニティとして、LondonとNew Yorkのゲートウェイから

構成されるVPNメッシュを作成します。


86

図 4-6 2 つのスターとメッシュ

トポロジと暗号化の問題

組織のセキュリティに関するポリシーにより、トポロジと暗号化の問題が発生する場合があります。

たとえば、組織の支社が存在する国に、暗号化強度に関する規制がある場合があります。たとえば、

Washingtonゲートウェイが暗号化に3DESを使用するよう設定したポリシーがあるとします。また、

そのポリシーでは、Londonゲートウェイは暗号化アルゴリズムとしてDESを使用して通信するよう

規定しています。

さらに、WashingtonとLondonゲートウェイ（図 4-7）は、ゲートウェイ相互間の通信には強度の

低いDESを使用することになっています。図 4-7での解決方法を考えてみましょう。



図 4-7 2 つのメッシュ・コミュニティで異なる暗号化方式を使用する場合

このソリューションでは、WashingtonメッシュのゲートウェイはLondonスターのサテライトとし

ても定義されています。Londonスターのセンター・ゲートウェイはメッシュとして定義されてい

ます。Washingtonのゲートウェイは、DESを使用してLondonゲートウェイとVPNトンネルを構

築します。内部的には、Washingtonゲートウェイは3DESを使用してVPNトンネルを構築します。

VPN ゲートウェイの特殊条件

個々のゲートウェイは複数のVPNコミュニティに属することができますが、1つのVPNコミュニ

ティ内で相互にVPNリンクを構築可能な2つのゲートウェイは、別のVPNコミュニティの中で重

複してVPNリンクを構築することはできません。例を示します。


88

図 4-8 特殊条件

LondonとNew Yorkゲートウェイは、London-NYメッシュ・コミュニティに属しています。このとき、さらにLondon、New York、Parisを含むVPNコミュニティを作成することはできません。つまり、LondonとNew Yorkゲートウェイの組み合わせを複数のVPNコミュニティに作成することはできません。

1つのコミュニティ内で相互にVPNリンクを構築できる2つのゲートウェイは、2番目のコミュニティではリンクを構築できないという条件でのみ、別のVPNコミュニティに属することができます。例を示します。

図 4-9 3 つの VPN コミュニティ



図 4-9で、LondonゲートウェイとNew Yorkゲートウェイは、London-NYメッシュに属しています。この2つのゲートウェイはParisスター VPNコミュニティ内のサテライト・ゲートウェイとしても定義されています。Parisスターでは、サテライト・ゲートウェイ（LondonとNY）はセンター・ゲートウェイであるParisゲートウェイとのみ通信できます。LondonとNew Yorkのサテライト・ゲートウェイが相互にVPNリンクを構築できないので、この構成は有効です。

コミュニティ・メンバ間の認証

ゲートウェイ間での暗号化鍵の交換とVPNトンネルの構築を行う前に、まず互いに認証する必要が

あります。ゲートウェイ間で互いに認証するには、以下の「認証情報」のいずれかを提示します。

• 証明書。各ゲートウェイは、ゲートウェイ自身の身元情報を含む証明書とゲートウェイの公

開鍵（どちらも信頼できる認証局が署名したもの）を提示します。VPN-1 Powerには、ユー

ザ設定を必要としない、すべての内部管理ゲートウェイの証明書を自動的に発行する独自の

内部認証局があります。また、VPN-1 PowerはほかのPKIソリューションをサポートしてい

ます。詳細については、57ページの「PKI（Public Key Infrastructure）」を参照してください。

• プリシェアード・シークレット。ゲートウェイのペアごとにプリシェアード・シークレット

が定義されています。各ゲートウェイは事前に決められたプリシェアード・シークレットを

知っていることを証明します。プリシェアード・シークレットは、英数字の組み合わせから構

成される、一種のパスワードです。

高い安全性を考慮するなら、証明書を使用することをお勧めします。また、SmartCenterサーバの

内部認証局は、管理対象の各VPN-1 Powerゲートウェイに自動的に証明書を発行するので、この

タイプの証明を使用する方が便利です。

ただし、外部管理ゲートウェイ（別のSmartCenterサーバによって管理されるゲートウェイ）との

間にVPNトンネルを構築する必要がある場合、以下の点に注意する必要があります。

• 外部管理ゲートウェイが証明書をサポートしていて、その証明書が外部認証局によって発行さ

れる場合、両方のゲートウェイは双方の認証局を信頼する必要があります（詳細については、

99ページの「PKIを使用する外部ゲートウェイを持つVPNの設定」を参照してください）。

• 外部管理ゲートウェイが証明書をサポートしていない場合、VPNはプリシェアード・シーク

レットの使用をサポートします。詳細については、103ページの「プリシェアード・シーク

レットを使用する外部ゲートウェイを持つVPNの設定」を参照してください。

「秘密情報」は外部ゲートウェイごとに定義されます。5つの内部管理ゲートウェイと2つ

の外部管理ゲートウェイがある場合、プリシェアード・シークレットは2つになります。

5つの内部管理ゲートウェイで2つのプリシェアード・シークレットが使用されます。つ

まり、特定の外部管理ゲートウェイとの通信に、すべての内部管理ゲートウェイが同じプ

リシェアード・シークレットを使用することになります。


90

DAIP ゲートウェイ

DAIP（Dynamically Assigned IP）ゲートウェイは、外部インターフェイスの IPアドレスが ISPに

よって動的に割り当てられるゲートウェイです。DAIPゲートウェイとの間にVPNゲートウェイを

構築する場合、認証に使用できるのは証明書のみです。ピア・ゲートウェイは、証明書のDNを使

用して内部管理DAIPゲートウェイを識別します。ピア・ゲートウェイは、一致基準設定を使用し

て、外部管理DAIPゲートウェイとサード・パーティ DAIPゲートウェイを識別します。

DAIPゲートウェイは非DAIPゲートウェイとの間にVPNトンネルを開始できます。しかし、DAIPゲートウェイの外部 IPアドレスは常に変化するため、ピア・ゲートウェイはDAIPゲートウェイの

接続に使用する IPアドレスを事前に知ることができません。その結果、DAIPゲートウェイにDNS解決が設定されていない限り、ピア・ゲートウェイ側からDAIPゲートウェイとの間にVPNトンネ

ルを構築することはできません。詳細については、195ページの「リンク選択」を参照してください。

DAIPゲートウェイの IPがセッション中に変化した場合、新しく割り当てられた IPアドレスを使用

して、IKEの再ネゴシエーションが実行されます。

VPNルーティングが設定されたスター・コミュニティの場合、DAIPゲートウェイは外部 IPからセ

ンター・ゲートウェイを経由して、ほかのDAIPゲートウェイまたはインターネットに接続を開始す

ることはできません。この構成では、DAIPの暗号化ドメインからの接続がサポートされています。

VPN コミュニティ内のトラフィックのルーティング

VPNルーティングは、VPNトラフィックの転送を制御するための方法です。 VPNルーティングに

は以下の2種類があります。

• ドメイン・ベースVPN

• ルート・ベースVPN

ドメイン・ベース VPNこの方法では、コミュニティ内の各ゲートウェイの背後にある暗号化ドメインに基づいてVPNトラ

フィックのルートが決定されます。スター・コミュニティでは、これにより、サテライト・ゲート

ウェイ同士がセンター・ゲートウェイ経由で互いに通信できるようになります。ドメイン・ベース

VPNの設定は、SmartDashboardを使用して直接実行します。詳細については、111ページの「ド

メイン・ベースVPN」を参照してください。



ルート・ベース VPNVPNコミュニティ内のトラフィックのルートは、ゲートウェイのオペレーティング・システムで設

定されるルーティング情報（静的 /動的）に基づいて決定されます。詳細については、121ページ

の「ルート・ベースVPN」を参照してください。

アクセス制御と VPN コミュニティ

ゲートウェイをVPNコミュニティ内に設定しても、ゲートウェイ間に自動的にアクセス制御ポリ

シーが作成されるわけではありません。2つのゲートウェイが同じVPNコミュニティに所属してい

るだけで、ゲートウェイが相互にアクセスできるわけではありません。

ゲートウェイをVPNコミュニティ内に設定するということは、これらのゲートウェイがアクセス制

御ポリシーによって通信を許可された場合に通信が暗号化されるということを意味します。アクセ

ス制御は、セキュリティ・ポリシー・ルール・ベースで設定します。

セキュリティ・ポリシー・ルール・ベースの［VPN］カラムを使用して、VPNコミュニティのメン

バにのみ適用されるアクセス制御ルールを作成できます。例を示します。

ルールのすべての条件が満たされている場合のみ、つまりVPNコミュニティ A内の発信元および

送信先 IPアドレス間のHTTP接続の場合のみ、接続がルールと一致します。条件の1つでも満たさ

れなければ、ルールは一致しません。ルールのすべての条件が満たされた場合、ルールと一致する

ので接続が許可されます。

セキュリティ・ポリシー・ルール・ベースのルールが、VPNコミュニティとコミュニティの外側の

ホスト・マシンの両方に有効な場合もあります。例を示します。

注：ドメイン・ベース VPN とルート・ベース VPN の両方を設定した場合、ドメイン・ベース

VPN が優先的に使用されます。

表 4-1

SOURCE DESTINATION VPN SERVICE ACTION

Any Any Community_A HTTP Accept


92

図 4-10 VPN コミュニティ内のアクセス制御

セキュリティ・ポリシー・ルール・ベース内のルールで、以下のように任意の内部 IPと任意の IPの間のHTTP接続を許可しています。

図 4-10で、ホスト1とゲートウェイ2の背後にある内部Webサーバとの間のHTTP接続は、この

ルールと一致します。ホスト1とインターネット上のWebサーバとの間の接続もこのルールと一致

しますが、ホスト1と内部Webサーバ間の接続はVPNコミュニティ・メンバ間の接続なので暗号

化され、ホスト1とインターネットWebサーバ間は暗号化されずに通過します。

どちらの場合も、接続は単純にセキュリティ・ポリシー・ルールと照合されます。接続を暗号化す

るかどうかは、VPNレベルで処理されます。 VPNは、アクセス制御とは別のレベルのセキュリティ

です。

すべての暗号化トラフィックの許可

VPN コミュニティの［Properties］ウインドウの［General］ページで［Accept all encryptedtraffic］を選択した場合、セキュリティ・ポリシー・ルール・ベースに新しいルールが追加されます。

このルールは通常のルールや暗黙のルールではなく、自動コミュニティ・ルールです。ベージュ色の

背景色で区別できます。

表 4-2

Source Destination VPN SERVICE ACTION

Any_internal_machine Any Any HTTP Accept



サービスの除外

VPNの［Communities Properties］ウインドウの［Excluded Services］ページでは、ファイア

ウォール制御の接続など、暗号化しないサービスを選択できます。暗号化されないサービスとは、

この接続に対してVPNトンネルを構築しないことを意味します。制御接続の詳細については、106ページの「VPNコミュニティでのファイアウォール制御接続の認証方法」を参照してください。

サービスの除外は、ルート・ベースVPNを使用している場合はサポートされない点に注意してくだ

さい。

VPN トポロジ設計に関する特別な考慮事項

94

VPN トポロジ設計に関する特別な考慮事項VPNトポロジを設計する上で、以下の幾つかの重要な判定項目があります。

1. 安全な /プライベート・アクセスを必要とするユーザ

2. VPNから見た組織の構造

3. 内部管理ゲートウェイは証明書を使用して互いに認証するが、外部管理ゲートウェイの認証

方法はどうするか

• これらの外部管理ゲートウェイはPKIをサポートしているか

• 信頼できる認証局

サイト間 VPN の設定


サイト間 VPN の設定VPNコミュニティは、トラディショナル・モードとシンプル・モードのいずれかで設計できます。

トラディショナル・モードでは、セキュリティ・ポリシー・ルール・ベースで使用できるアクショ

ンの1つに［Encrypt］があります。［Encrypt］を選択すると、ゲートウェイ間のトラフィックは

すべて暗号化されます。VPNコミュニティを使用して、シンプル・モードで作業すると、より簡単

にVPN-1 Powerを設定できます。トラディショナル・モードの詳細については、239ページの「ト

ラディショナル・モードVPN」を参照してください。

トラディショナル・モードからシンプル・モードへの切り替え

トラディショナル・モードからシンプル・モードに切り替えるには、以下の手順に従います（詳細

については、621ページの「旧来のポリシーからコミュニティ・ベースのポリシーへの変換」を参

照してください）。

1. ［Global Properties］>［VPN］ページで、［Simplified mode to all new Security Policies］または［Traditional or Simplified per new Security Policy］を選択します。［File］>［Save］を選択して保存します。保存していない場合は保存するよう要求されます。

2. ［File］>［New...］を選択します。［New Policy Package］ウインドウが表示されます。

3. 新しいセキュリティ・ポリシー・パッケージの名前を作成し、［Security and Address Translation］を選択します。

4. ［VPN configuration method］で、［Simplified mode］を選択します（［Global Properties］ウインドウで［Traditional or Simplified per new Security policy］を選択した場合）。［OK］ボタンをクリックします。

セキュリティ・ポリシー・ルール・ベースに、新しく［VPN］カラムが表示され、［Action］カラム

の［Encrypt］オプションは使用できなくなります。これでシンプル・モードが設定されました。


96

内部管理ゲートウェイ間のメッシュ・コミュニティの設定

内部管理VPNコミュニティは、メッシュまたはスターのいずれかのトポロジになります。内部管理

メッシュ・コミュニティを設定するには、まずネットワーク・オブジェクト（ゲートウェイ）を作

成し、それをコミュニティに追加します。

1. ［Network Objects］ツリーで［Network Objects］>［New］>［Check Point］>［Gateway...］を右クリックし、［Simple mode（wizard）］または［Classic mode］を選択

します。［Check Point Gateway properties］ウインドウが表示されます。

a. ［General Properties］ページで、オブジェクトの名前を付けて IP アドレスを設定した後、［VPN］を選択し、SIC 通信を確立します。

b. ［Topology］ページで［Add］ボタンをクリックしてインタフェースを追加します。ツー

ルボックス内にインタフェースが表示されたら、［Edit...］ボタンをクリックして、

［Interface Properties］ウインドウを開きます。

c. ［Interface Properties］ウインドウで、インタフェースの全般的なプロパティと背後に

あるネットワークのトポロジを定義します。

d. ［Topology］ページの［VPN Domain］セクションで、VPNドメインをトポロジ情報に

従ってゲートウェイの背後にあるすべてのマシンとして設定するか、または手動で以下

の項目として定義します。

i. アドレス範囲

ii. ネットワーク

iii. グループ（アドレス範囲、ネットワーク、およびほかのグループの組み合わせで指

定可能）

（VPNドメインは、MEP環境でゲートウェイがプライマリ・ゲートウェイのバック

アップとして動作している場合など、ゲートウェイ自身のみを含むグループであるこ

とがあります）

ネットワークのゲートウェイ・オブジェクトが設定できました。これをVPNコミュニティに追加す

る必要があります。

注：［VPN］ページでは証明書に関する設定はしません。内部管理ゲートウェイは内部認証局

から自動的に証明書を受け取ります。



2. ［Network objects］ツリーで、［VPN Communities］タブを選択します。

a. ［Site to Site］を右クリックします。

b. ショートカット・メニューから［New Site To Site...］>［Meshed］を選択します。［Meshed Communities Properties］ウインドウが表示されます。

c. ゲートウェイ間のすべてのトラフィックを暗号化する場合、［General］ページで

［Accept all encrypted traffic］を選択します。そうでない場合、コミュニティ・メンバ

間の暗号化トラフィックを許可する適切なルールをセキュリティ・ポリシー・ルール・

ベースに作成します。

d. ［Participating Gateways］ページで、手順1で作成したゲートウェイを追加します。

これでVPNトンネルが設定されました。［VPN Properties］、［Advanced Properties］、［SharedSecret］などのほかのオプションの詳細については、41ページの「IPSecと IKE」を参照してくだ

さい。

3. コミュニティで［Accept all encrypted traffic］を選択しなかった場合、アクセス制御ポリ

シーを作成します。例を示します。

「メッシュ・コミュニティ」は、手順2で定義したVPNコミュニティです。

スター VPN コミュニティの設定

スター VPNコミュニティは、メッシュ・コミュニティとほとんど同じ手順で設定できます。［StarCommunity Properties］ウインドウに表示されるオプションが異なります。

• ［General］ページの［Enable VPN routing for satellites］セクションで、［To center only］を選択します。

• ［Central Gateways］ページで、［Add...］ボタンをクリックして、センター・ゲートウェイ

を追加します。

• センター・ゲートウェイ間で通信を行うようにする場合、［Central Gateways］ページで、

［Mesh central gateways］を選択します。

• ［Satellite Gateways］ページで、［Add...］ボタンをクリックして、サテライト・ゲートウェイ

を追加します。

表 4-3

SOURCE DESTINATION VPN SERVICE ACTION

Any Any Meshed community Any Accept


98

VPN トンネル確立の確認

VPNトンネルが確立したことを確認するには、以下の手順に従います。

1. セキュリティ・ポリシー・ルール・ベース内の、VPNコミュニティのメンバ・ゲートウェイ

間の特定のサービス（FTPなど）を暗号化するルールを編集します。

2. トラッキング・オプションとして［log］を選択します。

3. 適切な接続（この例では、1番目のゲートウェイの背後にあるホストから、2番目のゲート

ウェイの背後にあるFTPサーバへのFTPセッション）を確立します。

4. SmartView Trackerを開いてログを調べます。図 4-11のように接続が暗号化されていることを

確認できます。

図 4-11 ログの例

PKI を使用する外部ゲートウェイを持つ VPN の設定



外部ゲートウェイ（別のSmartCenterサーバによって管理されるゲートウェイ）を持つVPNを設定

するのは、内部ゲートウェイ（同じSmartCenterサーバによって管理されるゲートウェイ）を持つ

VPNを設定するより複雑になります。これは以下のような理由によります。

• 2つのシステムで設定を別々に行う必要があります。

• 双方の管理者の間ですべての詳細事項について合意し調整する必要があります。IPアドレス

やVPNドメイン・トポロジなどの詳細は自動検出できないので、相手のVPNゲートウェイの

管理者から手動で取得する必要があります。

• 双方のゲートウェイで異なる認証局を使用している場合があります。相手のVPNゲートウェイ

が内部認証局（ICA）を使用している場合でも、それは異なる認証局です。

外部管理ゲートウェイに関するさまざまなシナリオが考えられます。以下の説明では、標準的な

ケースについて述べており、相手が証明書を使用していると仮定しています。それ以外のケースに

ついては、103ページの「プリシェアード・シークレットを使用する外部ゲートウェイを持つVPNの設定」を参照してください。

管理者は使用するコミュニティ・タイプを選択できますが、外部管理ゲートウェイを持つVPNでは

スター・コミュニティを使う方が自然です。内部ゲートウェイはセンター・ゲートウェイとして定

義し、外部ゲートウェイはサテライト・ゲートウェイとして定義します。中央の内部ゲートウェイを

メッシュ構成にするかどうかは、組織の要件によって決定します。以下の図に標準的なトポロジを

示します。

これはゲートウェイA1とA2の管理者の視点から見たトポロジです。ゲートウェイB1とB2の管理

者が、B1とB2をセンター・ゲートウェイとし、A1とA2をサテライトとして、スター・トポロジを

定義することもできます。

注： PKI および証明書を使用する VPN の方が、プリシェアード・シークレットを使用する

VPN より安全であると考えられます。


100

図 4-12 スター VPN コミュニティのサテライトとして定義された外部ゲートウェイ

設定に関する説明は、VPNの構築方法を理解していることを前提としています。詳細については、

79ページの「リモート・アクセスサイト間VPN」を参照してください。

また、PKIの設定方法も理解している必要があります。57ページの「PKI（Public Key Infrastructure）」を参照してください。

スター VPNコミュニティのサテライトとして定義された外部ゲートウェイを持ち、証明書を使用

するVPN-1 Powerを設定するには、以下の手順に従います。

1. 相手側VPNゲートウェイの証明書を発行した認証局の証明書を相手側の管理者から取得します。

相手側ゲートウェイが内部認証局を使用している場合、Webブラウザを使用して以下のURLから認証局の証明書を取得できます。

http://<ピア・ゲートウェイまたは管理サーバの IPアドレス>:18264

2. SmartDashboardで、相手側の証明書を発行した認証局を認証局オブジェクトとして定義します。

71ページの「認証局での登録」を参照してください。

3. 内部認証局によって発行された証明書が目的のVPNトンネルに対して適切でない場合、自分

の側に対して証明書を発行する認証局を定義します。

場合によっては、認証局の証明書をエクスポートして相手側管理者に提供する必要があります。



4. 内部管理されているゲートウェイのネットワーク・オブジェクトを定義します。特に以下の作

業は必須です。

• ゲートウェイ・オブジェクトの［General Properties］ページで［VPN］を選択します。

• ［Topology］ページで、［Topology］と［VPN Domain］を定義します。 VPNドメインに

ゲートウェイの背後にある IPアドレスがすべて含まれていない場合、マシンのグループ

またはネットワークを定義してそれをVPNドメインに設定して、VPNドメインを手動で

定義します。

5. 内部認証局がこのVPNトンネルに適切でない場合、［VPN］ページで関連する認証局からの

証明書を生成します（71ページの「認証局での登録」を参照してください）。

6. 外部管理されているゲートウェイのネットワーク・オブジェクトを定義します。

• チェック・ポイント・ゲートウェイでない場合、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択し、相互運用デバイス・オブジェクトを定

義します。

• チェック・ポイント・ゲートウェイの場合、［Network Objects］ツリーで右クリックし、

［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

7. ピア・ゲートウェイのさまざまな属性を設定します。特に以下の作業は必須です。

• ゲートウェイ・オブジェクトの［General Properties］ページで、［VPN］を選択します

（外部管理のチェック・ポイント・ゲートウェイ・オブジェクトの場合のみ）。

• ［Topology］ページで、相手側管理者から得たVPNドメイン情報を使用して

［Topology］と［VPN Domain］を定義します。VPNドメインにゲートウェイの背後に

ある IPアドレスがすべて含まれていない場合、マシンのグループまたはネットワークを

定義してそれをVPNドメインに設定して、VPNドメインを手動で定義します。

• ［VPN］ページで、［Matching Criteria］に、相手側が自分の認証局によって署名された

証明書を提示しなければならないということを指定します。可能であれば、証明書に指定

されている詳細も同じように指定します。

8. コミュニティを定義します。以下の詳細は、スター・コミュニティを選択したことを前提と

していますが、メッシュ・コミュニティも選択肢となります。メッシュ・コミュニティの作

業を行う場合、センター・ゲートウェイとサテライト・ゲートウェイの差異に関する説明を

無視してください。

• IKEプロパティを相手側管理者と取り決め、それをコミュニティ・オブジェクトの［VPN Properties］ページと［Advanced Properties］ページに設定します。

• センター・ゲートウェイを定義します。通常は内部管理ゲートウェイです。ほかにコミュ

ニティが定義されていない場合、センター・ゲートウェイをメッシュ構成にするかどう

かを決定します。コミュニティ内にすでにセンター・ゲートウェイが存在する場合、

センター・ゲートウェイをメッシュ構成にしないでください。

• サテライト・ゲートウェイを定義します。通常は外部管理ゲートウェイです。


102

9. セキュリティ・ポリシーで関連アクセス・ルールを定義します。［VPN］カラムにコミュニ

ティを追加し、［Service］カラムにサービスを追加し、適切な［Action］オプションと

［Track］オプションを指定します。

10. セキュリティ・ポリシーをインストールします。

プリシェアード・シークレットを使用する外部ゲートウェイを持つ VPN の設定



外部ゲートウェイ（別のSmartCenter サーバによって管理されるゲートウェイ）を持つVPN-1Powerを設定するのは、内部ゲートウェイ（同じSmartCenterサーバによって管理されるゲート

ウェイ）を持つVPN-1 Powerを設定するより複雑になります。これは以下のような理由によります。

• 2つのシステムで設定を別々に行う必要があります。

• 双方の管理者の間ですべての詳細事項について合意し調整する必要があります。IPアドレス

やVPNドメイン・トポロジなどの詳細は自動検出できないので、相手のVPNゲートウェイの

管理者から手動で取得する必要があります。

外部管理ゲートウェイに関するさまざまなシナリオが考えられます。以下の説明では、標準的な

ケースについて述べていますが、相手がプリシェアード・シークレットを使用していると仮定して

います。それ以外のケースについては、99ページの「PKIを使用する外部ゲートウェイを持つVPNの設定」を参照してください。

管理者は使用するコミュニティ・タイプを選択できますが、外部管理ゲートウェイを持つVPNでは

スター・コミュニティを使う方が自然です。内部ゲートウェイはセンター・ゲートウェイとして定

義し、外部ゲートウェイはサテライト・ゲートウェイとして定義します。中央の内部ゲートウェイを

メッシュ構成にするかどうかは、組織の要件によって決定します。以下の図に標準的なトポロジを

示します。

これはゲートウェイA1とA2の管理者の視点から見たトポロジです。ゲートウェイB1とB2の管理

者が、B1とB2をセンター・ゲートウェイとし、A1とA2をサテライトとして、スター・トポロジ

を定義することもできます。

注： PKI および証明書を使用する VPN の方が、プリシェアード・シークレットを使用する

VPN より安全であると考えられます。


104

図 4-13 スター VPN コミュニティのサテライトとして定義された外部ゲートウェイ

設定に関する説明は、VPNの構築方法を理解していることを前提としています。詳細については、

79ページの「リモート・アクセスサイト間VPN」を参照してください。

スター VPNコミュニティのサテライトとして定義された外部ゲートウェイを持ち、プリシェアー

ド・シークレットを使用するVPN-1 Powerを設定するには、以下の手順に従います。

1. 内部管理されているゲートウェイのネットワーク・オブジェクトを定義します。特に以下の

作業は必須です。

• ゲートウェイ・オブジェクトの［General Properties］ページで［VPN］を選択します。

• ［Topology］ページで、［Topology］と［VPN Domain］を定義します。VPNドメイン

にゲートウェイの背後にある IPアドレスがすべて含まれていない場合、マシンのグルー

プまたはネットワークを定義してそれをVPNドメインに設定して、VPNドメインを手動

で定義します。

2. 外部管理されているゲートウェイのネットワーク・オブジェクトを定義します。

• チェック・ポイント・ゲートウェイでない場合、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択し、相互運用デバイス・オブジェクトを定

義します。

• チェック・ポイント・ゲートウェイの場合、［Network Objects］ツリーで右クリックし、

［New］>［Check Point］>［Externally Managed Gateway...］を選択します。



3. ピア・ゲートウェイのさまざまな属性を設定します。特に以下の作業は必須です。

• ゲートウェイ・オブジェクトの［General Properties］ページで、［VPN］を選択します

（外部管理のチェック・ポイント・ゲートウェイ・オブジェクトの場合のみ）。

• ［Topology］ページで、相手側管理者から得たVPNドメイン情報を使用して

［Topology］と［VPN Domain］を定義します。VPNドメインにゲートウェイの背後に

ある IPアドレスがすべて含まれていない場合、マシンのグループまたはネットワークを

定義してそれをVPNドメインに設定して、VPNドメインを手動で定義します。

4. コミュニティを定義します。以下の詳細は、スター・コミュニティを選択したことを前提と

していますが、メッシュ・コミュニティも選択肢となります。メッシュ・コミュニティの作

業を行う場合、センター・ゲートウェイとサテライト・ゲートウェイの差異に関する説明を

無視してください。

• IKEプロパティを相手側管理者と取り決め、それをコミュニティ・オブジェクトの［VPN Properties］ページと［Advanced Properties］ページに設定します。

• センター・ゲートウェイを定義します。通常は内部管理ゲートウェイです。ほかにコ

ミュニティが定義されていない場合、センター・ゲートウェイをメッシュ構成にするか

どうかを決定します。コミュニティ内にすでにセンター・ゲートウェイが存在する場合、

センター・ゲートウェイをメッシュ構成にしないでください。

• サテライト・ゲートウェイを定義します。通常は外部管理ゲートウェイです。

5. 外部コミュニティ・メンバの管理者とプリシェアード・シークレットを取り決めます。次に、

コミュニティの［Shared Secret］ページで、［Use Only Shared Secret for all External Members］を選択します。各外部ピアにプリシェアード・シークレットを入力します。

6. セキュリティ・ポリシーで関連アクセス・ルールを定義します。［VPN］カラムにコミュニ

ティを追加し、［Service］カラムにサービスを追加し、適切な［Action］オプションと

［Track］オプションを指定します。


VPN コミュニティでのファイアウォール制御接続の認証方法

106


チェック・ポイント・ノードは、制御接続を使用してほかのチェック・ポイント・ノードと通信を

行います。制御接続は、SmartCenterサーバからVPN-1 Powerゲートウェイにセキュリティ・ポリ

シーをインストールする場合などに使用します。また、VPN-1 PowerゲートウェイからSmartCenterサーバへのログの送信は制御接続によって行われます。制御接続には、SIC（Secure InternalCommunication）が使用されます。

制御接続は、セキュリティ・ルール・ベースの暗黙のルールによって許可されています。暗黙ルー

ルは、SmartDashboardの［Global Properties］の［FireWall Implied Rules］ページのオプションを

オンまたはオフにすることで、セキュリティ・ルール・ベースに追加または削除できます。

管理者によっては暗黙ルールに頼らず、セキュリティ・ルール・ベースに明示的なルールを定義す

る場合があります。

ファイアウォールの暗黙ルールを無効にすると制御接続が遮断される理由

暗黙ルールを無効にすると、リモートVPN-1 Powerゲートウェイにポリシーをインストールでき

ない場合があります。暗黙ルールの代わりに明示的なルールを定義しても、ポリシーをインストール

できないこともあります。この問題について、図 4-14と以下で説明します。

図 4-14 制御接続を無効にすることで、ポリシーのインストールができない場合



管理者がSmartDashboardを設定してゲートウェイAとBの間にVPNを設定しようとしています。

このためには、管理者はSmartCenterサーバからゲートウェイにポリシーをインストールする必要

があります。

1. SmartCenterサーバはゲートウェイAへのポリシーのインストールに成功しました。ゲート

ウェイAについては、ゲートウェイAとBはすでに同じVPNコミュニティに属しています。しかし、ゲートウェイBにはまだこのポリシーがありません。

2. SmartCenterサーバはポリシーをインストールするため、ゲートウェイBへの接続を確立しよ

うとします。

3. 制御接続を許可する明示的なルールがあるので、ゲートウェイAは接続を許可し、ゲート

ウェイBとの IKEネゴシエーションを開始して制御接続のためのVPNトンネルを構築します。

4. ゲートウェイBにはまだポリシーがないので、ゲートウェイAとのネゴシエート方法がわか

りません。したがって、ゲートウェイBへのポリシーのインストールは失敗します。

この問題は、制御接続がVPNトンネルの中を通らないようにすることで解決できます。

VPN 内部でのファイアウォール制御接続の許可

暗黙ルールを無効にした場合、制御接続がVPN-1 Powerゲートウェイによって変更されないよう

にする必要があります。このためには、コミュニティ・オブジェクトの［Excluded Services］ペー

ジで、制御接続に使用するサービスを追加します。

制御接続に使用されるサービスの検出1. メイン・メニューで［View］>［Implied Rules］を選択します。

2. ［Global Properties］の［FireWall］ページで、［Accept VPN-1 Power control connections］を

選択します。

3. セキュリティ・ルール・ベースを確認し、どの暗黙ルールが表示されているか調べます。暗黙

ルールで使用されるサービスに注目してください。

注： SmartCenter サーバとゲートウェイ間の制御接続は、コミュニティによる暗号化は行われ

ませんが、SIC（Secure Internal Communication）によって暗号化され認証されます。


108

サイト間 VPN

111

第章5ドメイン・ベース VPN

この章の構成

概要 112 ページ

VPNルーティングとアクセス制御 113 ページ

ドメイン・ベースVPNの設定 114 ページ

概要

112

概要ドメイン・ベースVPNは、ゲートウェイ・モジュールとリモート・アクセス・クライアントの間の

VPNトラフィックのルーティングを制御する方法の1つです。

ゲートウェイの背後にあるホストにトラフィックを送信するには、そのゲートウェイに対して暗号

化ドメインが設定されている必要があります。

VPNルーティングの設定は、SmartDashboardを使用して直接行うか、ゲートウェイのVPNルー

ティング設定ファイルを編集して行います。

図 5-1で、ゲートウェイAの背後にあるホスト・マシンの1つが、ゲートウェイBの背後にあるホ

スト・マシンとの接続を開始します。技術的またはポリシー上の理由により、ゲートウェイAはゲー

トウェイBとVPNトンネルを確立することができません。 VPNルーティングを使用すると、ゲート

ウェイAとBはゲートウェイCとのVPNトンネルを確立し、接続はゲートウェイCを経由してルー

ティングされます。

図 5-1 単純な VPN ルーティング

VPN ルーティングとアクセス制御

第 5 章ドメイン・ベース VPN 113

VPN ルーティングとアクセス制御VPNルーティング接続は、ほかのすべての接続と同様、同じアクセス制御ルールの対象になります。

VPNルーティングが正しく設定されていても、接続を許可しないセキュリティ・ポリシー・ルールが

あれば、接続は切断されます。たとえば、内部ネットワークの内側から外部の任意のホストへのFTPトラフィックをすべて禁止するルールがゲートウェイに設定されているとします。ピア・ゲート

ウェイがこのゲートウェイに対してFTP接続を確立すると、接続は切断されます。

VPNルーティングを成功させるには、センター・ゲートウェイにおいて、セキュリティ・ポリシー・

ルール・ベースの1つのルールで、着信と発信の両方向のトラフィックをカバーする必要があります。

このルールの設定については、117ページの「VPNトラフィック許可ルールの設定」を参照してく

ださい。

ドメイン・ベース VPN の設定

114

ドメイン・ベース VPN の設定このセクションの構成

一般的なVPNルーティングのパターンは、VPNスター・コミュニティを使用して設定できますが、

すべてのVPNルーティング設定でSmartDashboardが使えるわけではありません。ゲートウェイ間

（スターまたはメッシュ）のVPNルーティングは、設定ファイル$FWDIR¥conf¥vpn_route.confを編

集して設定することもできます。

同じVPNコミュニティに属していないゲートウェイ間のVPNルーティングを設定することはでき

ません。

SmartDashboard を使用したゲートウェイ間の VPNルーティングの設定

単純なハブ・アンド・スポーク構成（またはハブが1つだけの場合）の場合、も簡単な設定方法

は、SmartDashboardでVPNスター・コミュニティを設定する方法です。

1. ［Star Community properties］ウインドウの［Central Gateways］ページで、「ハブ」とし

て機能するゲートウェイを選択します。

2. ［Satellite Gateways］ページで、「スポーク」として機能するゲートウェイを選択します。

3. ［VPN Routing］ページの［Enable VPN routing for satellites］セクションで、以下のいず

れかのオプションを選択します。

• To center and to other Satellites through center。このオプションでは、ゲートウェイ

間の接続性が確保されます。たとえば、スポーク・ゲートウェイがDAIPゲートウェイ

で、ハブ・ゲートウェイに静的 IPアドレスが割り当てられている場合などに使用します。

• To center, or through the center to other satellites, to internet and other VPN targets。このオプションでは、ゲートウェイ間の接続性を確保できるだけでなく、ハブ

を経由してインターネットに送られるすべての通信の検査が可能になります。

SmartDashboardを使用したゲートウェイ間のVPNルーティングの設定 114 ページ

VPN設定ファイルの編集による設定 116 ページ

複数のハブの設定 117 ページ

ROBOゲートウェイの設定 120 ページ



図 5-2 センター・ゲートウェイ経由のサテライト間通信

4. セキュリティ・ポリシー・ルール・ベースで適切なアクセス制御ルールを作成します。 1つの

ルールで両方向のトラフィックをカバーする必要がある点に注意してください。

5. サテライトからインターネットへの接続のルーティングにハブを使用する場合は、サテライ

ト・ゲートウェイのNATを有効にします。

2つのDAIPゲートウェイは、静的 IPアドレスを持つゲートウェイを経由することで、安全にルー

ティングできます。

ROBO（Remote Office Branch Office）ゲートウェイに対して、VPNルーティング・オプション

［To center and to other satellites through center］を設定するには、以下の手順に従います。

1. SmartLSMによって管理されるすべてのVPN-1 ROBOゲートウェイのVPNドメインを含む

ネットワーク・オブジェクトを作成します。

2. vpn_route.confファイルを編集し、このネットワーク・オブジェクトを「router」カラムに指

定します（スター・コミュニティのセンター・ゲートウェイ）。

注：内部管理されているメンバのいずれかが NG FP3 以前の VPN の場合は、コミュニティ

内で NAT を無効にすることはできません（スター / メッシュどちらの場合も［Advanced VPN Properties］タブで設定できます）。


116

3. このvpn_route.confファイルをVPNコミュニティに参加するすべてのLSMプロファイルに

インストールします。

VPN 設定ファイルの編集による設定

VPNルーティングをより詳細に設定したい場合は、SmartCenterサーバのconfディレクトリにある

vpn_route.confファイルを編集します。

設定ファイルvpn_route.confは、ネットワーク・オブジェクトの名前を含むテキスト・ファイル

です。宛先、次のホップ、インストール先ゲートウェイの形式です（各要素はタブで区切られてい

ます）。

ハブと2つのスポークで構成される単純なVPNルーティングの場合を考えてみます（図 5-3）。すべてのマシンは、同一のSmartCenterサーバによって管理され、すべてのVPN-1 Power実施モ

ジュールは、同一のVPNコミュニティのメンバです。 TelnetおよびFTPサービスのみスポーク間で

暗号化し、ハブ経由で転送されます。

図 5-3 Telnet と FTP のフィルタリング

これはVPNスター・コミュニティを設定することで簡単に行えますが、vpn_route.confファイル

を編集しても同じことができます。

この例では、Spoke_B_VPN_DomはスポークBのVPNドメインが置かれているネットワーク・オ

ブジェクト・グループの名前です。Hub_Cは、VPNルーティングのために使用するVPN-1 Powerゲートウェイの名前です。Spoke_A_VPN_Domは、スポークAの暗号化ドメインを表すネットワー

ク・オブジェクトの名前です。ファイルの表示例については、図 5-4を参照してください。

図 5-4 vpn_route.conf

表 5-1

宛先次のホップのルータ・インタフェースインストール先

Spoke_B_VPN_Dom Hub_C Spoke_A

Spoke_A_VPN_Dom Hub_C Spoke_B



VPN トラフィック許可ルールの設定

SmartDashboardで、以下の手順に従います。

1. スターまたはメッシュ・コミュニティをダブルクリックします。

2. ［General Properties］ページで、［Accept all encrypted traffic］チェック・ボックスをオン

にします。

3. スター・コミュニティで、［Advanced］をクリックして、［Both center and satellite Gateways］または［Satellite Gateways only］を選択し、暗号化トラフィックを中央および

サテライト・ゲートウェイの両方に許可するか、サテライト・ゲートウェイのみに許可する

かを指定します。


選択したゲートウェイ間のVPNトラフィックを許可するルールがルール・ベースに表示されます。

複数のハブの設定

図 5-5では、2つのハブAとBを示し、ハブAには2つのスポークspoke_A1とspoke_A2がありま

す。ハブBには1つのスポーク spoke_Bがあります。また、ハブAはSmartCenterサーバAによっ

て、ハブBはSmartCenterサーバBによって管理されます。

図 5-5 複数の vpn_route.conf ファイルの設定


118

ハブAとハブBをベースにした2つのVPNスター・コミュニティの場合、以下の条件を満たす必要

があります。

• スポークA1とスポークA2は、VPN-1 Proコミュニティの外に出ていくすべてのトラフィッ

クをハブA経由にする必要があります。

• また、スポークA1とスポークA2は、すべてのトラフィックをスター・コミュニティの中心

となるハブAを経由させる必要があります。

• スポークBは、スター・コミュニティの外へ出ていくすべてのトラフィックをハブB経由に

する必要があります。

A_communiyはAとAに属するスポークで構成されたVPNコミュニティです。 B_communityはVPNコミュニティです。 Hubs_communityはHub_AとHub_Bで構成されたVPNコミュニティです。

SmartCenter サーバ A での VPN ルーティングとアクセス制御の設定

SmartCenterサーバA上のvpn_route.confファイルは以下のようになります。

スポークA1とA2は結合されてネットワーク・グループ・オブジェクト「A_spokes」となります。

セキュリティ・ポリシー・ルール・ベース内の適切なルールは以下のようになります。

表 5-2


Spoke_B_VPN_Dom Hub_A A_Spokes

Spoke_A1_VPN_Dom Hub_A Spoke_A2

Spoke_A2_VPN_Dom Hub_A Spoke _A1

Spoke_B_VPN_Dom Hub_B Hub_A

表 5-3

SOURCE DESTINATION VPN SERVICE ACTIOIN

Any Any A_CommunityB_CommunityHubs_Community

Any Accept



SmartCenter サーバ B での VPN ルーティングとアクセス制御の設定

SmartCenterサーバB上のvpn_route.confファイルは以下のようになります。

セキュリティ・ポリシー・ルール・ベース内の適切なルールは以下のようになります。

両方のvpn_route.confファイルについて、以下の点に注意してください。

• 「A_Community」は、Hub_A、Spoke_A1、およびSpoke_A2から構成されるスター VPNコ

ミュニティです。

• 「B_Community」は、Hub_BとSpoke_Bから構成されるスター VPNコミュニティです。

• 「Hubs-Community」は、Hub_AとHub_Bから構成されるメッシュ VPNコミュニティです

（それはまたメッシュ型のセンター・ゲートウェイを持つスター・コミュニティとなる場合も

あります）。

表 5-4


Spoke_A1_VPN_Dom Hub_B Spoke_B

Spoke_A2_VPN_Dom Hub_B Spoke_B

Spoke_A1_VPN_Dom Hub_A Hub_B

Spoke_A2_VPN_Dom Hub_A Hub_B

表 5-5

SOURCE DESTINATION VPN SERVICE ACTIOIN

Any Any B_CommunityA_CommunityHubs_Community

Any Accept


120

ROBO ゲートウェイの設定

支社のゲートウェイがSmartLSM によってROBO ゲートウェイとして管理されている場合、

SmartCenter管理サーバのvpn_route.confファイルを編集して、ハブ・アンド・スポーク設定の

VPNルーティングを有効にします。


1. すべてのサテライトROBOゲートウェイからなる暗号化ドメインを含むグループを作成し、

Robo_domainという名前を付けます。

2. すべてのセンター・ゲートウェイを含むグループを作成し、Center_gwsという名前を付けます。

3. vpn_route.confファイルに以下のルールを追加します。

VPNトンネル経由でROBOゲートウェイにアクセスする必要がある場合は、ROBOゲートウェイ

の外部 IPアドレスをROBO_domainに含める必要があります。

今後は、以下のいずれかの条件で、複数のルータ・ゲートウェイを使用できます。

• ゲートウェイがvpn_route.confの「INSTALL ON」カラムに記述されていること。

• サテライト・ゲートウェイがSmartDashboardで選択されていること。

121

第章6ルート・ベース VPN

この章の構成


VPNトンネル・インタフェース（VTI） 123 ページ

ダイナミック・ルーティング・プロトコルの使用 127 ページ

ナンバードVTIの設定 128 ページ

クラスタ環境におけるVTI 131 ページ

クラスタ環境におけるVTIの設定 132 ページ

VTIにおけるダイナミック・ルーティング・プロトコルの有効化 138 ページ

VTIにおけるアンチスプーフィングの設定 142 ページ

ループバック・インタフェースの設定 144 ページ

アンナンバードVTIの設定 147 ページ

VPNトンネル経由のマルチキャスト・パケットのルーティング 150 ページ

概要

122

概要VPNトンネル・インタフェース（VTI）を使用すると、ルート・ベースVPNという新しい方法で

VPNを設定できます。この方法は、ピア・ゲートウェイ間にVTIを作成することは、ゲートウェイ

同士を直接接続することに類似しているという概念に基づいています。

VTIは、オペレーティング・システム・レベルの仮想インタフェースです。ピア・ゲートウェイの

暗号化ドメインに対して通常のゲートウェイのように使用することができます。各VTIには、VPN-1Powerピア・ゲートウェイへの単一のトンネルが関連付けられています。このトンネル自体とその

すべてのプロパティは、以前と同様、2つのゲートウェイをリンクするVPNコミュニティによって

定義されています。ピア・ゲートウェイも同様に対応するVTIで設定する必要があります。各ゲー

トウェイのネイティブ IPルーティング・メカニズムは、ほかの通常のインタフェースと同様、トラ

フィックをトンネルに転送することができます。

ピア・ゲートウェイの暗号化ドメイン宛てのすべてのトラフィックは、関連付けられたVTIを経由

することになります。この構造により、ダイナミック・ルーティング・プロトコルでVTIを使用す

ることができます。VPN-1 Powerゲートウェイ上で実行されているダイナミック・ルーティング・

プロトコル・デーモンは、IPSecトンネルの反対側で実行されている隣接するルーティング・デー

モン（次のホップ先のように認識される）とルーティング情報を交換できます。

ルート・ベースVPNは、SecurePlatformおよびNokia IPSO 3.9プラットフォームを使用している

場合のみサポートされています。また、同一のコミュニティに属する2つのゲートウェイ間にのみ

実装可能です。

VPN トンネル・インタフェース（VTI）

第 6 章ルート・ベース VPN 123

VPN トンネル・インタフェース（VTI）VPNトンネル・インタフェースは、VPN-1モジュール上の仮想インタフェースです。既存のVPNに関連付けた上で、VPNピア・ゲートウェイに直接接続するためのP2Pインタフェースとして、IPルーティングによって使用されます。

発信パケットのVPNルーティング・プロセスは以下のとおりです。

• 宛先アドレスXを含む IPパケットが、ルーティング・テーブルに対して照合されます。

• ルーティング・テーブルでは、IPアドレスXがP2Pリンクを経由するように指定します。この

P2Pリンクは、相手側ゲートウェイYに関連付けられたVPNトンネル・インタフェースです。

• VPN-1カーネルは、パケットが仮想トンネル・インタフェースに入ると同時にそれを捕捉し

ます。

• パケットは、VPNコミュニティに定義されたピア・ゲートウェイYとの適切な IPSecセキュ

リティ・アソシエーション・パラメータを使用して暗号化され、新しいパケットの送信先 IPは、ピア・ゲートウェイYの IPアドレスになります。

• 新しい送信先 IPに基づいて、Yのアドレスの適切なルーティング・テーブル・エントリに従

い、パケットはVPN-1によって物理インタフェースに再転送されます。

着信パケットの場合は逆になります。

• マシンがゲートウェイYからの IPSecパケットを受信します。

• VPN-1は物理インタフェースでパケットを捕捉します。

• VPN-1は発信元のVPNピア・ゲートウェイを特定します。

• VPN-1は、カプセル化されたパケットから元の IPパケットを抽出します。

• VPN-1は、ピアVPNゲートウェイのVPNトンネル・インタフェースが存在することを検出

し、物理インタフェースから関連付けられたVPNトンネル・インタフェースにパケットが再

転送されます。

• パケットはVPNトンネル・インタフェースを経由して IPスタックに入ります。


124

図 6-1 仮想インタフェースへのルーティング

ルート・ベースVPNでは、複数のVTIがローカル・ゲートウェイ上に作成されます。各VTIはリ

モートVPN-1 Powerピアの対応するVTIに関連付けられます。ローカル・ゲートウェイからVTIを経由してルーティングされるトラフィックは、暗号化され、関連付けられたVPN-1 Powerピア・

ゲートウェイに転送されます。

図 6-2 ルート・ベース VPN

このシナリオの場合、以下のように設定されています。

• クラスタGWAとGWbを接続するVTIが1つあります。

• クラスタGWAとGWcを接続するVTIが1つあります。

• クラスタGWbとGWcを接続するVTIが1つあります。



仮想インタフェースは、リモートVPN-1 Powerピアに直接接続されたP2Pインタフェースのよう

に動作します。ネットワーク・ホスト間のトラフィックは、オペレーティング・システムの IPルー

ティング・メカニズムを使用して、VPNトンネルに送られます。使用可能なトンネルを定義するた

め、ゲートウェイ・オブジェクトやVPNコミュニティ（およびアクセス制御ポリシー）は依然とし

て必要です。しかし、各ピアのVPN暗号化ドメインは必要なくなります。暗号化するかどうかの判

断は、トラフィックが仮想インタフェースを経由するかどうかによって決まります。ネットワーク

でダイナミック・ルーティング・プロトコル（OSPF/BGP）が使用できる場合、ルーティングは動

的に変化します。

発信元がGWbの接続は、VTIを経由してGWc（またはGWcの背後にあるサーバ）に向かうルート

になり、暗黙ルールによって許可されて、VTIのローカル IPアドレスを送信元 IPアドレスとして暗

号化されずにGWbから送信されます。この IPアドレスのルーティングができない場合、返信パケッ

トは失われます。

この問題を解決するには、以下の設定が必要です。

• GWbに、VTI経由でルーティングされたパケットをGWcにリダイレクトする静的ルートを設

定します。

• このルートを公開されたルートに一切含めないようにします。

• GWcの IPアドレスを除外するルート・マップを追加します。

これらの IPアドレスをルート・ベースVPNから除外しても、ドメイン・ベースVPN定義を使用す

ることで、これらのアドレスへのその他の接続を暗号化することは可能です（暗黙ルールで送信し

ない場合）。

VTIの設定方法には以下の2種類があります。

• 番号付けする方法（ナンバード）

• 番号付けしない方法（アンナンバード）

ナンバード VTIVPNトンネル・インタフェースに番号付けすると、インタフェースにローカル IPアドレスとリモー

ト IPアドレスが割り当てられます。ローカル IPアドレスは、そのゲートウェイを発信元として、

VTIを経由する接続の発信元 IPになります。複数のVTIで1つの IPアドレスを共有することはでき

ますが、すでに使用されている既存の物理インタフェースの IPアドレスを使用することはできませ

ん。ナンバード・インタフェースは、SecurePlatformオペレーティング・システムを使用する場合

のみサポートされています。

注： NGX（R60）以上では、SecurePlatform Pro にダイナミック・ルーティング・スイートが

含まれています。管理者はゲートウェイでデーモンを実行することで、変更されたルートを

ネットワークに公開できます。


126

アンナンバード VTIVTIがアンナンバードの場合、ローカルおよびリモート IPアドレスは設定されません。アンナン

バードVTIは、特定のプロキシ・インタフェースに割り当てる必要があります。プロキシ・インタ

フェースは、発信トラフィックの送信元 IPとして使用されます。アンナンバード・インタフェース

を使用すると、インタフェースごとに IPアドレスを割り当てて管理する必要がなくなります。アン

ナンバード・インタフェースは、Nokia IPSO 3.9プラットフォームでのみサポートされています。

Nokia IPSOインタフェースは、物理インタフェースの場合も、ループバック・インタフェースの

場合もあります。

ダイナミック・ルーティング・プロトコルの使用


ダイナミック・ルーティング・プロトコルの使用VTIでは、ゲートウェイ間のルーティング情報の交換にダイナミック・ルーティング・プロトコルを

使用できます。サポートされているダイナミック・ルーティング・プロトコルは以下のとおりです。

1. BGP4

2. OSPF

3. RIPv1（SecurePlatform Proのみ）

4. RIPv2（SecurePlatform Proのみ）

ナンバード VTI の設定

128

ナンバード VTI の設定ルート・ベースVPNは、SecurePlatformおよびNokia IPSO 3.9プラットフォームを使用している

場合のみサポートされています。また、同一のコミュニティに属する2つのゲートウェイ間にのみ

実装可能です。

ルート・ベース VPN の有効化

ドメイン・ベースVPNとルート・ベースVPNの両方を設定した場合、ドメイン・ベースVPNが優

先的に使用されます。ルート・ベースVPNを優先的に使用するには、空のグループを作成し、VPNドメインとして割り当てる必要があります。


1. ［Manage］>［Network Objects］を選択します。

2. チェック・ポイント・ゲートウェイを選択し、［Edit］を右クリックします。

3. プロパティ・リストで［Topology］をクリックします。

4. ［VPN Domain］セクションで［Manually define］を選択します。

5. ［New］>［Group］>［Simple Group］を選択します。

6. ［Name］フィールドに名前を入力し、［OK］をクリックします。

ナンバード VTI新しいVPNコマンド・ライン・インタフェース（VPNシェル）を使用して、各VPN-1 Powerピア・

ゲートウェイのVPN-1 Power実施モジュールにVPNトンネル・インタフェースを作成し、インタ

フェースをピア・ゲートウェイに関連付けます。 VPNトンネル・インタフェースは、番号を付ける

ことも付けないこともできます。VPN Shellの詳細については、633ページの「VPNシェル」を参照

してください。

すべてのナンバードVTIには、ローカル IPアドレスとリモート IPアドレスが割り当てられます。設定

前に、VTIに割り当てる IPアドレス範囲を設定する必要があります。



図 6-3

図 6-3では、以下のような設定になっています。

• クラスタGWAとGWbを接続するVTIが1つあります。

• クラスタGWAとGWcを接続するVTIが1つあります。

• クラスタGWbとGWcを接続するVTIが1つあります。

このシナリオのデバイスは以下のとおりです。

ClusterXL

• クラスタGWA

• member_GWA1

• member_GWA2

VPN-1モジュール

• GWb

• GWc

IP設定

• クラスタGWA

• member_GWA1

• 外部ユニーク IP eth0： 170.170.1.1/24

• 外部VIP eth0： 170.170.1.10/24

• 同期インタフェースeth1： 5.5.5.1/24

• VTI vt-GWbの IP：ローカル： 10.0.1.11、リモート： 10.0.0.2


130

• VTI vt-GWbのVIP： 10.0.1.10

• VTI vt-GWcの IP：ローカル： 10.0.1.21、リモート： 10.0.0.3

• VTI vt-GWcのVIP： 10.0.1.20

• member_GWA2

• 外部ユニーク IP eth0： 170.170.1.2/24

• 外部VIP eth0： 170.170.1.10/24

• 同期インタフェースeth1： 5.5.5.1/24


• VTI vt-GWbのVIP： 10.0.1.10


• VTI vt-GWcのVIP： 10.0.1.20

• GWb

• 外部ユニーク IP eth0： 180.180.1.1/24

• VTI vt-ClusterGWaの IP：ローカル： 10.0.0.2、リモート： 10.0.1.10


• GWc

• 外部ユニーク IP eth0： 190.190.1.1/24

• VTI vt-ClusterGWaの IP：ローカル： 10.0.0.3、リモート： 10.0.1.20


クラスタ環境における VTI


クラスタ環境における VTIクラスタ環境でナンバードVTIを設定する際は、幾つかの点に注意する必要があります。

• 各メンバが一意の送信元 IPアドレスを持っていること

• 各メンバのすべてのインタフェースが一意の IPアドレスを持っていること

• 同じリモート・ピアに向かうすべてのVTIが同じ名前を持っていること

• クラスタ IPアドレスがあること

クラスタ環境における VTI の設定

132

クラスタ環境における VTI の設定以下の設定例では、129 ページの図 6-3と同じゲートウェイ名と IPアドレスを使用しています。

表 6-1 member_GWA1 の設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[member_GWa1]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWbを追加VPN shell:[/] > /interface/add/numbered 10.0.1.11 10.0.0.2 GWbInterface 'vt-GWb' was added successfully to the system---------vt-GWcを追加VPN shell:[/] > /interface/add/numbered 10.0.1.21 10.0.0.3 GWc Interface 'vt-GWc' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWb Type:numbered MTU:1500 inet addr:10.0.1.11 P-t-P:10.0.0.2 Mask:255.255.255.255 Peer:GWb Peer ID:180.180.1.1 Status:attached

vt-GWc Type:numbered MTU:1500 inet addr:10.0.1.21 P-t-P:10.0.0.3 Mask:255.255.255.255 Peer:GWc Peer ID:190.190.1.1 Status:attached

VPN shell:[/] > /quit [member_GWa1]# ifconfig vt-GWbvt-GWb Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.11 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[member_GWa1]# ifconfig vt-GWcvt-GWc Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.21 P-t-P:10.0.0.3 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)



表 6-2 member_GWA2 の設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[member_GWa2]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWbを追加 VPN shell:[/] > /interface/add/numbered 10.0.1.12 10.0.0.2 GWb Interface 'vt-GWb' was added successfully to the system---------vt-GWcを追加VPN shell:[/] > /interface/add/numbered 10.0.1.22 10.0.0.3 GWc Interface 'vt-GWc' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWb Type:numbered MTU:1500 inet addr:10.0.1.12 P-t-P:10.0.0.2 Mask:255.255.255.255 Peer:GWb Peer ID:180.180.1.1 Status:attached


VPN shell:[/] > /quit[member_GWa2]# ifconfig vt-GWbvt-GWb Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.12 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[member_GWa2]# ifconfig vt-GWcvt-GWc Link encap:IPIP Tunnel HWaddr inet addr:10.0.1.22 P-t-P:10.0.0.3 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)


134

クラスタ環境でVTIを設定する際に、インタフェース名を指定しなかった場合、自動的に名前が割

り当てられます。 VTIのデフォルト名は「vt-[ピア・ゲートウェイ名 ]」です。たとえば、ピア・ゲー

トウェイの名前がServer_2の場合、VTIのデフォルト名は「vt-Server_2」になります。ピア・ゲー

トウェイの名前が13文字以上の場合、デフォルト・インタフェース名は、後の5文字+7バイト

のハッシュになります。このハッシュはピア名から計算され、インタフェースの名前が一意である

ことが保証されます。

クラスタ・メンバのVTIを設定した後、SmartConsoleを使用して、各VTIのVIPを設定する必要が

あります。



2. チェック・ポイント・クラスタを選択し、［Edit］を右クリックします。

3. ［Topology］ウインドウで、［Edit Topology］をクリックします。

4. ［Get all members' topology］をクリックします。

VTIがトポロジに表示されます。

図 6-4 ［Edit Topology］ウィンドウ



［Edit Topology］ウインドウ（図 6-4）では、以下の条件に一致するVTIのメンバが同じ行に表

示されます。

1. リモート・ピア名

2. リモート IPアドレス

3. インタフェース名

5. ［Topology］タブでVTIのVIPを設定します。

6. ［OK］ボタンをクリックしてポリシーをインストールします。

表 6-3と表 6-4の設定例では、129 ページの図 6-3と同じゲートウェイ名と IPアドレスを使用して

います。


136

表 6-3 GWb の設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[GWb]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWaを追加VPN shell:[/] > /interface/add/numbered 10.0.0.2 10.0.1.10 GWa Interface 'vt-GWa' was added successfully to the system---------vt-GWcを追加VPN shell:[/] > /interface/add/numbered 10.0.0.2 10.0.0.3 GWc Interface 'vt-GWc' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWa Type:numbered MTU:1500 inet addr:10.0.0.2 P-t-P:10.0.1.10 Mask:255.255.255.255 Peer:GWa Peer ID:170.170.1.10 Status:attached


VPN shell:[/] > /quit[GWb]# ifconfig vt-GWavt-GWa Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.2 P-t-P:10.0.1.10 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[GWb]# ifconfig vt-GWcvt-GWc Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.2 P-t-P:10.0.0.3 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)



表 6-4 GWc の設定

---------VPNシェル・コマンド・ライン・インタフェースにアクセス[GWc]# vpn shell ? - This help .. - Go up one level quit - Quit [interface ] - Manipulate tunnel interfaces [show ] - Show internal data [tunnels ] - Manipulate tunnel data ---------vt-GWaを追加VPN shell:[/] > /interface/add/numbered 10.0.0.3 10.0.1.20 GWaInterface 'vt-GWa' was added successfully to the system---------vt-GWbを追加VPN shell:[/] > /interface/add/numbered 10.0.0.3 10.0.0.2 GWb Interface 'vt-GWb' was added successfully to the system----------設定の確認VPN shell:[/] > /show/interface/detailed allvt-GWa Type:numbered MTU:1500 inet addr:10.0.0.3 P-t-P:10.0.1.20 Mask:255.255.255.255 Peer:GWa Peer ID:170.170.1.10 Status:attached

vt-GWb Type:numbered MTU:1500 inet addr:10.0.0.3 P-t-P:10.0.0.2 Mask:255.255.255.255 Peer:GWb Peer ID:180.180.1.1 Status:attached

VPN shell:[/] > /quit [GWc]# ifconfig vt-GWavt-GWa Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.3 P-t-P:10.0.1.20 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

[GWc]# ifconfig vt-GWbvt-GWb Link encap:IPIP Tunnel HWaddr inet addr:10.0.0.3 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:36 (36.0 b)

VTI におけるダイナミック・ルーティング・プロトコルの有効化

138


表 6-5から表 6-8までの各コマンド・ライン画面は、124 ページの図 6-2の例を使用して、VTIでOSPFダイナミック・ルーティング・プロトコルを有効にする方法を示しています。メンバが1つの

場合とSecurePlatformを使用したクラスタ・メンバの場合の両方の例を示します。メンバが1つの

場合とクラスタ・メンバの場合では、ネットワーク・コマンドが異なる点に注意してください。

高度なルーティング・コマンドと構文については、『SecurePlatform Pro & Advanced RoutingCommand Line Interface』を参照してください。

Cisco GRE対応デバイスと通信する場合は、point to point GREトンネルが必要です。トンネル・イン

タフェース定義を設定するには、以下のコマンドを使用します。

ip ospf network point-to-point

表 6-5 member_GWA1 でのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[member_GWa1]# expertEnter expert password:

You are in expert mode now.

[Expert@member_GWa1]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータ IDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 170.170.1.10---------OSPFを実行するインタフェース /IP（トポロジで定義したクラスタ IPを使用）およびインタフェース /IPのエリア IDを定義localhost(config-router-ospf)#network 10.0.1.10 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.1.20 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit --------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit



表 6-6 member_GWA2 でのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[member_GWa2]# expertEnter expert password:


[Expert@member_GWa2]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータ IDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 170.170.1.10---------OSPFを実行するインタフェース /IP（トポロジで定義したクラスタ IPを使用）およびインタフェース /IPのエリア IDを定義localhost(config-router-ospf)#network 10.0.1.10 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.1.20 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit --------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit


140

表 6-7 GWb でのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[GWb]# expertEnter expert password:


[Expert@GWb]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータ IDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 180.180.1.1---------OSPFを実行するインタフェース /IP（トポロジで定義したクラスタ IPを使用）およびインタフェース /IPのエリア IDを定義localhost(config-router-ospf)#network 10.0.1.10 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.0.3 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit--------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit



表 6-8 GWc でのダイナミック・ルーティング

---------ダイナミック・ルーティング・モジュールを起動[GWc]# expertEnter expert password:


[Expert@GWc]# cligated localhost>enable localhost#configure terminal ---------OSPFを有効化し、OSPFルータ IDを指定localhost(config)#router ospf 1localhost(config-router-ospf)#router-id 190.190.1.1---------OSPFを実行するインタフェース /IP（トポロジで定義したクラスタ IPを使用）およびインタフェース /IPのエリア IDを定義localhost(config-router-ospf)#network 10.0.1.20 0.0.0.0 area 0.0.0.0localhost(config-router-ospf)#network 10.0.0.2 0.0.0.0 area 0.0.0.0---------カーネル・ルートを再配布。ここに示すのは例なので、ルートの再配布コマンドの詳細については、ダイナミック・ルーティングのマニュアルを参照してください。localhost(config-router-ospf)#redistribute kernellocalhost(config-router-ospf)#exit localhost(config)#exit--------設定をディスクに書き込みlocalhost#write memoryIU0 999 Configuration written to '/etc/gated.ami'localhost#quit

VTI におけるアンチスプーフィングの設定

142

VTI におけるアンチスプーフィングの設定SmartDashboardで、以下の手順に従います。


2. チェック・ポイント・ゲートウェイを選択し、［Edit］を右クリックします。

3. プロパティ・リストで［Topology］をクリックします。

4. ［Get］>［Interfaces］をクリックしてゲートウェイ・コンピュータのインタフェース情報を

読みます。

5. インタフェースを選択して、［Edit］をクリックします。

6. ［VPN Tunnel Interface Properties］ウインドウで［Topology］タブをクリックします。

7. ［IP Addresses behind peer gateway that are within reach of this interface］セクションで

以下のいずれかのオプションを選択します。

• Not Defined。すべてのトラフィックを許可します。

• Specific。特定のネットワークを選択します。選択したネットワークの IPアドレスのみ

が、このインタフェースで許可されます。

VTI におけるアンチスプーフィングの設定


8. 特定の内部ネットワークから外部インタフェースに着信するアドレスについてアンチスプー

フィング・チェックが実行されないようにするには、［Perform Anti-Spoofing based on interface topology］セクションで、［Don't check packets from:］をオンにします。有効な

アドレスを含み、これらの内部ネットワークを表すネットワーク・オブジェクトを定義し、

ドロップダウン・リストからそのネットワーク・オブジェクトを選択します。

［Don't check packets from:］ドロップダウン・メニューから選択したオブジェクトは、アン

チスプーフィング実施メカニズムから無視されます。

9. ［Spoof Tracking］セクションの［Log］チェック・ボックスをオンにして、［OK］ボタンを

クリックします。

ループバック・インタフェースの設定

144

ループバック・インタフェースの設定VTIがNokiaマシンおよびSecurePlatformと接続する場合、ゲートウェイの［Topology］タブでルー

プバック・インタフェースを設定して定義する必要があります。

Nokia Network Voyagerの場合

1. ログインすると以下の画面が表示されます。

2. ［Interface Configuration］をクリックします。



3. ［Configuration］ページで、［Interfaces］をクリックします。

4. ［Interface Configuration］ページで、［loop0］をクリックします。


146

5. ［Physical Interface loop0］ページで、［Create a new loopback interface with IP address］フィールドに IPアドレスを入力し、［Reference mask length］フィールドに

「30」と入力します。

6. ［Apply］ボタンをクリックします。

［Physical Interface loop0］ページが更新され、新しく設定されたループバック・インタフェー

スが表示されます。

7. ［Save］ボタンをクリックします。

アンナンバード VTI の設定


アンナンバード VTI の設定Nokia IPSOプラットフォームでは、アクティブ・パッシブ・モード限定で、VRRP HA構成のアン

ナンバードVTIがサポートされています。

VPNトンネル・インタフェースがアンナンバードの場合、ローカルおよびリモート IPアドレスは

設定されません。このインタフェースはプロキシ・インタフェースに関連付けられ、仮想インタ

フェースはプロキシ・インタフェースから IPアドレスを継承します。ゲートウェイによって開始さ

れたトラフィックは、仮想インタフェースを経由します。このトラフィックの送信元 IPは物理イン

タフェースの IPになります。

アンナンバード・インタフェースを使用すると、インタフェースごとに2つの IPアドレス（ローカ

ル IPとリモート IPアドレス）を割り当てたり、この情報をVPN-1 Powerピア間で同期させる必要

がなくなります。

アンナンバード・インタフェースは、Nokia IPSO 3.9プラットフォームでのみサポートされています。

Nokia Network Voyagerの場合

1. ログインすると以下の画面が表示されます。

2. ［Config］ボタンをクリックします。


148

3. ［Configuration］ページで、［Check Point Firewall-1］をクリックします。

4. 次のページで［FWVPN Configuration］をクリックします。

5. ［FWVPN Tunnel Configuration］ページで、［Peer GW Object Name］フィールドに接続先

のゲートウェイの名前を入力します。



［Proxy］ドロップダウン・メニューからプロキシ・インタフェースを選択します。

6. ［Apply］ボタンをクリックします。

7. ［FWVPN Tunnel Configuration］ページに新しいインタフェースが表示されます。

Nokia IPSOプラットフォームでNokia Network Voyagerを使用してダイナミック・ルーティング・プロトコルを有効にする方法については、『Nokia Network Voyager Reference Guide』を参照してください。

VPN トンネル経由のマルチキャスト・パケットのルーティング

150


マルチキャストは、単一のメッセージを選択した複数の受信先からなるグループに送信する機能で

す。 IPマルチキャスト・アプリケーションは、各データグラム（IPパケット）をコンピュータのグ

ループに向けて送信します。この技術は、データグラムを単一の受信者（ユニキャスト・アドレス）

ではなく、受信者のグループ（マルチキャスト・アドレス）に送信することを目的としています。

ネットワークは、受信する必要のあるネットワークにのみデータグラムを転送します。マルチキャ

ストの詳細については、『ファイアウォールとSmartDefense』の「マルチキャスト・アクセス制御」

を参照してください。

マルチキャスト・トラフィックは暗号化した上で、VPNトンネル・インタフェース（同一の物理イ

ンタフェースに関連付けられた仮想インタフェース）を使用して設定されたVPNトンネル経由で転

送できます。通信に関わるすべてのゲートウェイは、発信元、宛先ともに各VPNトンネルごとに1つずつ仮想インタフェースが必要です。また、マルチキャスト・ルーティング・プロトコルを有効に

しておく必要があります。

仮想インタフェースの詳細については、634ページの「VPNシェルを使用した仮想インタフェース

の設定」を参照してください。

図 6-5では、以下のような設定になっています。

• ゲートウェイ1には、ゲートウェイ2にリンクされたVPNトンネル用の仮想インタフェース

と、ゲートウェイ3にリンクされたVPNトンネル用のもう1つの仮想インタフェースがあり

ます。

• ゲートウェイ1の背後にあるホスト1は、マルチキャスト・グループ・アドレスに向けてマル

チキャスト・セッションを開始します。このグループは、ゲートウェイ2の背後にあるホスト

2と、ゲートウェイ3の背後にあるホスト3から構成されています。



図 6-5 マルチキャスト

VPN-1 Powerゲートウェイでマルチキャスト・サービスを有効にして、ランデブー・ポイントとし

て機能するようにするには、そのゲートウェイのセキュリティ・ポリシーに、特定のマルチキャス

ト・サービスのみを暗号化せずに許可し、その他すべてのサービスはコミュニティ経由でのみ許可

するルールを追加します。これに対応して、関連するすべてのゲートウェイで、マルチキャスト・

プロトコルとサービスを有効にするアクセス・ルールを作成する必要があります。例を示します。

図 6-6 サンプル・ルール


152

153

第章7トンネル管理

この章の構成


永続的トンネル 154 ページ

VPNトンネル共有 156 ページ

トンネル機能の設定 157 ページ

概要

154

概要バーチャル・プライベート・ネットワーク（VPN）は、安全な接続（通常はインターネット経由）を

提供します。暗号化トンネルを作成することで、プライベート・ネットワーク内と同レベルのセキュ

リティを提供します。これにより、インターネット経由で外出先や自宅から作業するユーザが遠隔

地の企業サーバに安全に接続したり、会社から支社やほかの会社に安全に接続することができます。

VPNトンネルは以下のセキュリティを保証します。

• 標準的な認証方式による認証

• データの暗号化によるプライバシー保護

• 標準的な保証方式による完全性

トンネルのタイプと数は、以下の機能を使用することで管理できます。

• 永続的トンネル。この機能は、VPNトンネルのアクティブ状態を維持し、リアルタイムで監

視できるようにします。

• VPNトンネル共有。この機能は、ゲートウェイ間の相互運用性とスケーラビリティを拡張し

ます。また、ピア・ゲートウェイ間に作成されるVPNトンネルの数も制御します。

すべてのVPNトンネルのステータスは、SmartView Monitorで表示できます。監視の詳細について

は、『SmartView Monitor』の「トンネルの監視」を参照してください。

永続的トンネル

企業がほかのサイトとの通信にVPNを使用する頻度が高くなるにつれ、接続性を中断されずに維持

することが今までになく重要になっています。したがって、VPNトンネルがいつでも使用可能な状

態であると確認することが重要になります。永続的トンネルはVPNトンネルの状態を常にアク

ティブに維持します。その結果、動作不良や接続性問題の発見も容易になります。管理者はVPNト

ンネルの両側を監視して、発生と同時に問題を認識できます。

コミュニティ内のVPNトンネルは個別に永続的トンネルに設定できます。永続的トンネルは常に

監視されているため、VPNトンネルがダウンしたときに、ログ、警告、ユーザ定義のアクションな

どを発行できます。VPNトンネルは、「トンネル・テスト」パケットを定期的に送信することで監

視されます。パケットの応答を受信できる限り、VPNトンネルは「アップ」状態でいると考えられ

ます。一定の時間内に応答を受信できない場合、VPNトンネルは「ダウン」状態であると考えら

れます。永続的トンネルは、チェック・ポイント・ゲートウェイ間のみに確立できます。永続的ト

ンネルの設定は、コミュニティ・レベルで行います。また、以下の設定オプションがあります。

• コミュニティ全体に対して永続的トンネルを指定できます。このオプションは、コミュニティ

内のすべてのトンネルを永続的トンネルに設定します。

• 特定のゲートウェイに対して永続的トンネルを指定できます。このオプションを使用すると、

特定のゲートウェイで永続的トンネルを使用できます。

• 単一のVPNトンネルに対して永続的トンネルを指定できます。この機能を使用すると、特定

のゲートウェイ間の特定のゲートウェイを永続的トンネルに設定できます。

概要

第 7 章トンネル管理 155

MEP 環境における永続的トンネル

MEP（Multiple Entry Point）環境では、アクティブなVPNトンネルは、事前に定義されたプライマ

リ・ゲートウェイが使用できなくなった場合、プライマリ・ゲートウェイからバックアップ・ゲー

トウェイにルートが切り替えられます。 MEP環境では、永続的トンネルはゲートウェイ間に設定し

ます。またRIMを有効にすると、サテライト・ゲートウェイからは、センター・ゲートウェイが1つに統合されているように見えます。その結果、接続は失敗せずに、新しく作成された永続的トン

ネル上の別のセンター・ゲートウェイにフェイルオーバーします。MEPの詳細については、217ページの「複数エントリ・ポイントVPN」を参照してください。

図 7-1 MEP 環境における永続的トンネル


• ゲートウェイS1の背後にあるホスト1は、永続的トンネルを通じて、ゲートウェイM1の背後

にあるホスト2と通信します。

• M1とM2はMEP環境にあります。

• M1とM2は、ルート・インジェクション・メカニズム（RIM）が有効のMEP環境にあります。

• M1はプライマリ・ゲートウェイ、M2はバックアップ・ゲートウェイです。

この場合、M1が使用できない状態になると、S1とM2間に新しく作成された永続的トンネルを経

由して接続が続行されます。

概要

156

永続的トンネルのトンネル・テスト

トンネル・テストはチェック・ポイント独自のプロトコルで、VPNトンネルがアクティブであるかどうかをテストするのに使用されます。パケットの長さは決まっていません。初の1バイトのみ意味のあるデータが含まれています。これが「タイプ」フィールドです。

「タイプ」フィールドは以下のいずれかの値を取ります。

1 - テスト

2 - 応答

3 - 接続

4 - 接続済み

トンネル・テストには2つのゲートウェイが必要です。一方がpingを実行し、もう一方がそれに応答するように設定します。信号発信ゲートウェイはVPNデーモンを使用して、暗号化された「トンネル・テスト」パケットを応答ゲートウェイに向けて送信します。応答ゲートウェイは、ポート18234で特別なトンネル・テスト・パケットをListenするよう設定されます。

信号発信側はタイプ1または3を送信します。応答側は長さが同じでタイプがそれぞれ2または4のパケットを送信します。接続フェーズでは、トンネル・テストは2つの方法で使用されます。

1. 「接続」メッセージがゲートウェイに送信されます。「接続済み」メッセージを受信すると、接続が成功したと見なされます。応答を受信できない場合、IKEネゴシエーション完了の10秒後まで「接続」メッセージが再送信されます。

2. 接続のPMTU（Path Maximum Transmission Unit）を検出できるよう、さまざまな長さの一連のテスト・メッセージが送信されます。これも大10秒間行われます。このテストは長すぎるTCPパケットが送信されないようにするために実行されます。長すぎるTCPパケットは断片化され、パフォーマンスが低下します。

バージョンR54以降のゲートウェイは、信号発信側と応答側のどちらにもなれます。MEP環境では、センター・ゲートウェイは応答ゲートウェイにしかなれません。

Embedded NG 5.0以降のゲートウェイは、信号発信側と応答側のどちらにもなれます。このソフトウェアの古いバージョンは応答側にしかなれません。

サード・パーティ製ゲートウェイは、信号発信側と応答側のどちらにもなれません。

VPN トンネル共有

さまざまなベンダーが IPSecトンネルを多数のそれぞれ異なる方法で実装しているため、管理者はIPSecフレームワーク実装の複数の手法に対処する必要があります。

VPNトンネル共有は、ピア・ゲートウェイ間に作成されたVPNトンネルの数を制御することで、相互運用性とスケーラビリティを提供します。使用可能な設定は以下の3種類あります。

• ホストのペアごとに1つのVPNトンネル

• サブネット・ペアごとに1つのVPNトンネル

• ゲートウェイ・ペアごとに1つのVPNトンネル

トンネル機能の設定




トンネル管理オプションを設定するには、以下の手順に従います。

1. SmartDashboardで［Manage］>［VPN Communities］を選択します。［VPN Communities］ウインドウが表示されます。

2. 設定するコミュニティ（スターまたはメッシュ）を選択し、［Edit...］をクリックします。

3. ［Tunnel Management］をクリックします。

［Tunnel Management］ウィンドウが表示されます。

永続的トンネル 159 ページ

トラッキング・オプション 163 ページ

永続的トンネルの停止 163 ページ

VPNトンネル共有 163 ページ

トンネルの監視 164 ページ


158

図 7-2 ［Meshed Communities Properties］ウインドウの［Tunnel Management］ページ

• 永続的トンネルについては159ページの「永続的トンネル」を参照してください。

• トラッキングについては、163ページの「トラッキング・オプション」を参照してください。

• VPNトンネル共有については、163ページの「VPNトンネル共有」を参照してください。



永続的トンネル

［Community Properties］ウインドウの［Tunnel Management］ページで、［Set PermanentTunnels］チェック・ボックスをオンにすると、以下の永続的トンネル・モードを使用できるよう

になります。

• On all tunnels in the community

• On all tunnels of specific gateways

• On specific tunnels in the community

すべてのトンネルを永続的トンネルに設定するには、［On all tunnels in the community］を選択

します。このオプションの選択を解除すると、コミュニティ内のすべての永続的トンネルが停止し

ます。

［On all tunnels of specific gateways］を設定するには、以下の手順に従います。

1. ［On all tunnels of specific gateways］を選択し、［Select Gateways...］ボタンをクリック

します。

［Select Gateways］ウィンドウが表示されます。

図 7-3の例は、［Remote -1- gw］と［Remote -2- gw］の2つのゲートウェイのみが選択され

ています。その結果、［Remote -1- gw］または［Remote -2- gw］と接続するすべてのVPNトンネルは永続的トンネルになります。

特定のゲートウェイに接続された永続的トンネルを停止するには、ゲートウェイをハイライト

して［Remove］ボタンをクリックします。


160

図 7-3 ［Selected Gateways］ウインドウ

2. 特定のゲートウェイのトラッキング・オプションを設定するには、ゲートウェイをハイライト

して［Gateway Tunnels Properties］ボタンをクリックします。

［On specific tunnels in the community］を設定するには、以下の手順に従います。

1. ［On specific tunnels in the community］を選択し、［Select Permanent Tunnels...］ボタ

ンをクリックします。

［Select Permanent Tunnels...］ウィンドウが表示されます。



図 7-4の例では、［Remote -1- gw］と［Remote -3- gw］の間に永続的トンネルが設定され、

さらに［Remote -2- gw］と［Remote -5- gw］の間に別の永続的トンネルが設定されています。

図 7-4 ［Select Permanent Tunnels］ウインドウ

2. 永続的トンネルに設定する2つのゲートウェイが交差するセルをクリックします。

3. ［Selected Tunnel Properties］ボタンをクリックすると、［Tunnel Properties］ウインドウ

が表示されます。

図 7-5 ［Tunnel Properties］ウインドウ


162

4. ［Set these tunnels to be permanent tunnels］チェック・ボックスをオンにします。

2つのゲートウェイ間の永続的トンネルを停止するには、［Set these tunnels to be permanent tunnels］チェック・ボックスをオフにします。


永続的トンネルの高度な設定


1. ［Policy］>［Global Properties］を選択します。

［Global Properties］ウィンドウが表示されます。

2. プロパティ・リストから［SmartDashboard Customization］を選択します。

3. ［Advanced Configuration］セクションで［Configure］をクリックします。

［Advanced configuration］ウィンドウが表示されます。

4. ［VPN Advanced Properties］>［Tunnel Management］を選択して、トンネル・テストの

送信数と送信間隔を調整するための5つの属性を表示します。

• life_sign_timeout。応答がないときにトンネル・テストの実行を続ける時間を指定します。

指定した時間が経過すると相手ホストは「ダウン」状態であると判定されます。

• life_sign_transmitter_interval。トンネル・テストの実行間隔を設定します。

• life_sign_retransmissions_count。トンネル・テストの応答を受信できない場合、相手

が「ダウン」状態であることを確認するため別のテストを再送信します。この属性には、

応答を受信できないときにトンネル・テストを再送信する回数を設定します。

• life_sign_retransmissions_interval。相手から応答を受信できなかったときに、トンネ

ル・テストを再送信する間隔を設定します。

• cluster_status_polling_interval。プライマリ・ゲートウェイとバックアップ・ゲート

ウェイ間のトンネル・テストの間隔を設定します。この属性はHAクラスタ以外には関係

ありません。トンネル・テストはバックアップ・ゲートウェイによって送信されます。

応答がない場合、バックアップ・ゲートウェイがアクティブになります。



トラッキング・オプション

管理者がVPNトンネルの新のステータスを把握できるように、幾つかのタイプの警告が用意され

ています。トラッキング設定は、すべてのVPN トンネルに設定する場合は、［CommunityProperties］ウインドウの［Tunnel Management］ページで設定できます。または、永続的トン

ネル自体を設定するときに個別に設定することも可能です。オプションは、［Log］、［Popup Alert］、［Mail Alert］、［SNMP Trap Alert］、［User Defined Alert］の5つです。警告タイプのいずれか1つ

を選択すると、問題を発生と同時に特定し、問題に対してより効率的に対処できます。

永続的トンネルの停止

永続的トンネルが必要なくなった場合は、トンネルを停止できます。永続的トンネルを停止するに

は、永続的トンネルをアクティブにする設定オプションの選択を解除して、ポリシーを再インス

トールします。

VPN トンネル共有

VPNコミュニティ単位で設定する場合、［Community Properties］ウインドウの［Tunnel Management］ページで設定します。

ゲートウェイ単位で設定する場合、ゲートウェイのプロパティ・ウインドウの［VPN Advanced］ページで設定します。

VPNトンネル共有は、ピア・ゲートウェイ間に作成されたVPNトンネルの数を制御することで、相

互運用性とスケーラビリティを提供します。 VPNトンネル共有の設定は、VPNコミュニティ単位で

設定することも、ゲートウェイ・オブジェクト単位で設定することもできます。

• One VPN Tunnel per each pair of hosts。ホストのペア間でセッションが開始されるたびに

VPNトンネルが作成されます。

• One VPN Tunnel per subnet pair。2つのサブネット間でVPNトンネルが確立されると、同

じサブネット間で実行される以降のセッションは同じVPNトンネルを共有します。これはデ

フォルト設定であり、IPSec業界規格に準拠しています。

• One VPN Tunnel per Gateway pair。ピア・ゲートウェイ間に1つのVPNトンネルを作成し、

各ピア・ゲートウェイの背後にあるすべてのホストでそのVPNトンネルを共有します。

VPNコミュニティとそのコミュニティに属するゲートウェイ・オブジェクトの間でトンネル・プロ

パティに競合が発生した場合、より限定的な設定が優先されます。たとえば、あるゲートウェイが

［One VPN Tunnel per each pair of hosts］に設定されていて、コミュニティが［One VPN Tunnelper subnet pair］に設定されている場合、［One VPN Tunnel per each pair of hosts］が優先さ

れます。


164

トンネルの監視

すべてのVPNトンネルのステータスは、SmartView Monitorで表示できます。監視の詳細については、

『SmartView Monitor』の「トンネルの監視」を参照してください。

165

第章8ルート挿入メカニズム

この章の構成


自動RIM 167 ページ

カスタム・スクリプト 169 ページ

tnlmon.confファイル 171 ページ

ピア・ゲートウェイ・インタフェースの挿入 172 ページ

RIMの設定 174 ページ

概要

166

概要RIM（ルート・インジェクション・メカニズム）によって、VPN-1 Powerゲートウェイはダイナ

ミック・ルーティング・プロトコルを使用して、VPN-1 Powerピア・ゲートウェイの暗号化ドメイ

ンを内部ネットワークに通知でき、逆向きの接続を開始できます。VPNトンネルが作成されると、

RIMはVPN-1 Powerゲートウェイのローカル・ルーティング・テーブルを更新して、VPN-1 Powerピアの暗号化ドメインを追加します。

RIMはコミュニティに対して永続的トンネルが有効化されている場合のみ使用できます。永続的ト

ンネルは、トンネル・テスト・パケットによって常にアクティブな状態に維持されています。ゲー

トウェイが応答に失敗すると、トンネルは「ダウン」していると判断されます。その結果、RIMは

失敗したリンクへのルートをローカル・ルーティング・テーブルから削除します。これにより、隣

接するダイナミック・ルーティング対応のデバイスが次々にルーティング情報を更新していきま

す。これにより、VPNトンネルを通過するよう指定されたすべてのトラフィックは、事前に定義さ

れた代替パスにリダイレクトされます。

RIMの設定方法は2種類あります。

• 自動RIM - RIMはピア・ゲートウェイの暗号化ドメインにルートを自動的に挿入します。

• カスタム・スクリプト - 特定の要件に応じて、RIMが実行すべきタスクを指定します。

ルート挿入は、MEP機能と統合できます（返信パケットは同じMEPゲートウェイを経由するよう

指定されます）。MEPの詳細については、217ページの「複数エントリ・ポイントVPN」を参照し

てください。

自動 RIM

第 8 章ルート挿入メカニズム 167

自動 RIM自動RIMは、ゲートウェイのオペレーティング・システムがSecurePlatform、IPSO、またはLinuxの場合は、GUIで設定できます。これらのシステムでもカスタム・スクリプトを使用できますが、

専用のスクリプトを記述する必要はありません。

図 8-1 自動 RIM


• ゲートウェイ1と2は、RIMとダイナミック・ルーティング・プロトコルの両方が有効になっ

ています。

• R1とR4は有効なルータです。

• VPNトンネルが作成されると、RIMはゲートウェイ1とゲートウェイ2のローカル・ルー

ティング・テーブルを更新し、その他のゲートウェイの暗号化ドメインを追加します。

• VPNトンネルが使用できなくなった場合、トラフィックは専用回線にリダイレクトされます。

ゲートウェイおよびルータのルーティング・テーブルは以下のとおりです。太字のエントリは、RIMによってゲートウェイのローカル・ルーティング・テーブルに挿入されたルートを表します。

ゲートウェイ1

ネットワークの宛先ネットマスクゲートウェイメトリック

0.0.0.0 0.0.0.0 172.16.10.2 1192.168.21.0 255.255.255.0 172.16.10.2 1192.168.11.0 255.255.255.0 192.168.10.1 1

自動 RIM

168

ゲートウェイ2

R1（ゲートウェイ1の背後）

R4（ゲートウェイ2の背後）


0.0.0.0 0.0.0.0 172.16.20.2 1192.168.11.0 255.255.255.0 172.16.20.2 1192.168.21.0 255.255.255.0 192.168.20.1 1


0.0.0.0 0.0.0.0 192.168.10.2 1192.168.21.0 255.255.255.0 192.168.10.2 1192.168.21.0 255.255.255.0 10.10.10.2 2


0.0.0.0 0.0.0.0 192.168.20.2 1192.168.11.0 255.255.255.0 192.168.20.2 1192.168.11.0 255.255.255.0 10.10.10.1 2

カスタム・スクリプト


カスタム・スクリプトカスタム・スクリプトは、コミュニティ内の任意のゲートウェイで実行できます。これらのスクリ

プトは、トンネルのステータスが「アップ」または「ダウン」に変更されるたびに実行されます。

このようなイベントが発生したときに、たとえば、ダイヤルアップ接続を開始することができます。

スクリプト・テンプレートcustom_rim（オペレーティング・システムによって拡張子.shまたは

.batが付きます）は、$FWDIR/Scriptsディレクトリにあります。図 8-2 に基本的なスクリプト

（SecurePlatform、IPSO、Solaris、またはLinuxでのみ使用可能）を示します。

図 8-2 SecurePlatform、IPSO、Solaris、または Linux 用のサンプル・カスタム・スクリプト

Windowsプラットフォームの場合、スクリプトはバッチ・ファイル形式になります。

#!/bin/sh

# This script is invoked each time a tunnel is configured with the RIM option# and the tunnel changed state.## You may add your custom commands to be invoked here.

# Parameters read from command line.RIM_PEER_GATEWAY=$1RIM_NEW_STATE=$2RIM_HA_STATE=$3RIM_FIRST_TIME=$4RIM_PEER_ENC_NET=$5

case "${RIM_NEW_STATE}" inup)# Place your action for tunnels that came up;;

down)# Place your action for tunnel that went down;;

esac

カスタム・スクリプト

170

図 8-3 Windows 用サンプル・カスタム・スクリプト

各変数の意味は以下のとおりです。

• RIM_PEER_GATEWAY：ピア・ゲートウェイ

• ゲートウェイのステータス：（「アップ」または「ダウン」）の変更

• RIM_HA_STATE：クラスタ内の単一のゲートウェイのステータス（「スタンバイ」または

「アクティブ」）

• RIM_FIRST_TIME：スクリプトはピアの暗号化ドメイン内の各ネットワークに対して個別に

実行されます。 1つのピアでスクリプトが何回も実行されることがありますが、このパラメー

タは、ピアでスクリプトが初に実行されるときのみ、値「1」がスクリプトに渡されます。値「1」は、これがこのスクリプトの初の実行であることを意味します。スクリプトが次に

実行されるときは、値「0」が渡され、このパラメータは無視されます。たとえば、トンネル

がダウンしたときにシステム管理者に電子メール警告を送信する場合などに使用できます。

• RIM_PEER_ENC_NET： VPNピアのVPNドメイン

@echo off

rem . This script is invoked each time a tunnel is configured with the RIM optionrem . and the tunnel changed state.rem .rem . You may add your custom commands to be invoked here.

rem . Parameters read from command line.set RIM_PEER_GATEWAY=%1set RIM_NEW_STATE=%2set RIM_HA_STATE=%3set RIM_FIRST_TIME=%4set RIM_PEER_ENC_NET=%5

goto RIM_%RIM_NEW_STATE%

:RIM_uprem . Place your action for tunnels that came upgoto end

:RIM_downrem . Place your action for tunnel that went downgoto end

:end

tnlmon.conf ファイル


tnlmon.conf ファイルR54とR55では、RIMの設定にtnlmon.confファイルを使用していました。 tnlmon.confファイル

を使用したRIM設定がすでにある場合は、SmartDashboardを使用してRIMを再設定する必要はあ

りません。RIMは、GUIを使用して設定したゲートウェイとtnlmon.confファイルを使用して設定

したゲートウェイが混在するコミュニティでも使用できます。サード・パーティ製ゲートウェイと

の通信にRIMを使用することはできません。tnlmon.confファイルでRIMを設定した場合、GUIを使用したすべてのRIM設定より優先されます。

tnlmon.confファイルを使用したRIMの設定方法については、R54およびR55のユーザ・ガイドを

参照してください。

ピア・ゲートウェイ・インタフェースの挿入

172

ピア・ゲートウェイ・インタフェースの挿入RIM_inject_peer_interfacesフラグは、ゲートウェイの背後のネットワークだけでなく、ピア・

ゲートウェイの IPアドレスをルーティング・テーブルに挿入するのに使用します。

たとえば、VPNトンネルの構築後、RIMは両方のゲートウェイのローカル・ルーティング・テーブ

ルに相手側ゲートウェイの暗号化ドメインを挿入します。しかし、RIMを有効にしたゲートウェイ

がHide NATを有効にしたゲートウェイと通信する場合、ピアのインタフェースも挿入する必要が

あります。

図 8-4 Hide NAT を使用するゲートウェイ


• ゲートウェイAとBはともにRIMが有効なゲートウェイ、ゲートウェイCは外部インタ

フェースでHide NATを有効にしたゲートウェイです（背後のすべての IPアドレスを隠蔽し

ます）。

• ゲートウェイCの背後にあるホスト1は、ゲートウェイAを経由してホスト2とVPNトンネ

ル接続を開始します。

図 8-4では、ゲートウェイCの背後にあるすべてのホストのルートはルータ3に含まれています。

しかし、ルータ3にはゲートウェイCのHide NAT IPアドレスが含まれていないため、ホスト1に

正しくパケットを送ることができません。

ピア・ゲートウェイ・インタフェースの挿入


パケットを正しく送り返す方法には2段階あります。

1. ［Global Properties］ページで、RIM_inject_peer_interfacesフラグを選択します。このフ

ラグは、Hide NATアドレスを含むゲートウェイCのすべての IPアドレスをルータ3に挿入し

ます。

2. 挿入された情報がほかのゲートウェイに伝達されないようにルータを設定します。ルータが

正しく設定されていないと、図 8-4の例では、ゲートウェイBがトラフィックをゲートウェイA経由でゲートウェイCに送信するような事態が発生します。

RIM の設定

174

RIM の設定


スター・コミュニティにおける RIM の設定1. ［Star Community Properties］>［Tunnel Management］ページを開きます。

［Permanent Tunnels］セクションで、［Set Permanent Tunnels］チェック・ボックスをオンに

します。以下の永続的トンネル・モードが使用できるようになります。




これらのオプションの詳細については、159ページの「永続的トンネル」を参照してください。

トンネルを選択する際は、RIMを有効化できるのは永続的トンネルに設定されたトンネルのみであ

る点に注意してください。コミュニティでMEPが有効になっている場合は、［On all tunnels in thecommunity］を選択する必要があります。

永続的トンネルの設定の詳細については、157ページの「トンネル機能の設定」を参照してください。

2. ［Enable Route Injection Mechanism (RIM)］を選択します。

3. ［Settings...］ボタンをクリックします。

［Route Injection Mechanism Settings］ウインドウが表示されます。

スター・コミュニティにおけるRIMの設定 174 ページ

メッシュ・コミュニティにおけるRIMの設定 175 ページ

RIM_inject_peer_interfacesフラグの有効化 176 ページ

トラッキング・オプション 176 ページ

RIM の設定


以下の事項について決定します。

• RIMをセンター・ゲートウェイまたはサテライト・ゲートウェイで自動的に実行するか

どうか（SecurePlatform、IPSO、Linuxのみ）

• トンネルのステータスが変化したときに（アップまたはダウン）センター・ゲートウェイ

またはサテライト・ゲートウェイでカスタム・スクリプトを実行するかどうか

トラッキング・オプションについては、176ページの「トラッキング・オプション」を参照してく

ださい。

4. カスタム・スクリプトを実行する場合は、各ゲートウェイの$FWDIR/Scriptsディレクトリに

あるcustom_rim（拡張子は.shまたは.bat）を編集します。

メッシュ・コミュニティにおける RIM の設定1. ［Meshed Community Properties］>［Tunnel Management］ページを開きます。

［Permanent Tunnels］セクションで、［Set Permanent Tunnels］チェック・ボックスをオンに

します。以下の永続的トンネル・モードが使用できるようになります。




これらのオプションの詳細については、159ページの「永続的トンネル」を参照してください。

トンネルを選択する際は、RIMを有効化できるのは永続的トンネルに設定されたトンネルのみであ

る点に注意してください。永続的トンネルの設定の詳細については、157ページの「トンネル機能

の設定」を参照してください。

2. ［Enable Route Injection Mechanism (RIM)］を選択します。

3. ［Settings...］ボタンをクリックします。

［Route Injection Mechanism Settings］ウインドウが表示されます。

RIM の設定

176

以下の事項について決定します。

• ゲートウェイでRIMを自動的に実行するかどうか（SecurePlatform、IPSO、Linuxのみ）

• トンネルのステータスが変化したときに（アップまたはダウン）ゲートウェイでカスタ

ム・スクリプトを実行するかどうか

トラッキング・オプションについては、176ページの「トラッキング・オプション」を参照してく

ださい。

4. カスタム・スクリプトを実行する場合は、各ゲートウェイの$FWDIR/Scriptsディレクトリに

あるcustom_rim（拡張子は.shまたは.bat）を編集します。

RIM_inject_peer_interfaces フラグの有効化

RIM_inject_peer_interfacesフラグを有効にするには、以下の手順に従います。

1. SmartDashboardで、［Policy］>［Global Properties］を選択します。

2. ［SmartDashboard Customization］>［Configure］>［VPN Advanced Properties］>［Tunnel Management］ページに移動します。

3. RIM_inject_peer_interfacesを選択します。


トラッキング・オプション

管理者がゲートウェイの新のステータスを把握できるように、幾つかのタイプの警告が用意され

ています。トラッキング設定は、［Route Injection Mechanism Settings］ページで設定できます。

オプションは、［Log］、［Popup Alert］、［Mail Alert］、［SNMP Trap Alert］、［User Defined Alert］の5つです。

177

第章9ワイヤ・モード

この章の構成

ワイヤ・モードの必要性 178 ページ

チェック・ポイント・ソリューション 179 ページ

ワイヤ・モードのシナリオ 180 ページ

ワイヤ・モードの設定 185 ページ

ワイヤ・モードの必要性

178

ワイヤ・モードの必要性全体的にVPNの使用量が多くなると、これまで以上に信頼性と継続性の高い接続が必要になります。

接続に失敗すると、重要な情報を失う可能性もあります。情報を再送信するには、新しい接続を直ち

に確立する必要があります。ワイヤ・モードでは、ステートフル・インスペクションを回避するこ

とで、VPN接続を正常にフェイルオーバーして、パフォーマンスの改善とダウンタイムの削減を実

現できます。

チェック・ポイント・ソリューション

第 9 章ワイヤ・モード 179

チェック・ポイント・ソリューションワイヤ・モードは、ファイアウォールを回避して、既存の接続によるフェイルオーバーを正常に完

了することで、接続性を改善するように設計されています。 VPNコミュニティ内のトラフィック

は、定義によって非公開になっており、セキュリティが確保されています。多くの場合、ファイア

ウォールと、VPN接続に関するファイアウォールのルールは必要ありません。ワイヤ・モードを使

用する場合、内部インタフェースとコミュニティを「信頼済み」と定義することで、VPN接続の

ファイアウォールを回避できます。

パケットがゲートウェイに到達すると、ゲートウェイはパケットについて以下の2つの事項を検証

します。

1. この情報は、「信頼済み」の発信元から送信されているか。

2. この情報は、「信頼済み」の宛先へ送信されるのか。

2つの質問の答えが「はい」であり、両方のゲートウェイが属すVPNコミュニティで「ワイヤ・

モードは有効」と設定されている場合、ステートフル・インスペクションは実行されず、信頼済み

インタフェースのトラフィックは、ファイアウォールを回避して送受信されます。ステートフル・

インスペクションは実行されないので、パケットが破棄される可能性はありません。 VPN接続は、

専用回線を使用したほかの接続と違いはありません。このような機能が「ワイヤ・モード」です。

ステートフル・インスペクションが実行されないので、ダイナミック・ルーティング・プロトコル

を導入できます（状態の検証があるため、このプロトコルはワイヤ・モード以外の設定では使用で

きません）。したがって、ワイヤ・モードは、ルート・ベースVPNに役立ちます。ルート・ベース

VPNについては、121ページの「ルート・ベースVPN」を参照してください。

ワイヤ・モードは、NGX（R60）ゲートウェイ以上でサポートされます。

ワイヤ・モードのシナリオ

180



ワイヤ・モードは、異なるインフラストラクチャでも、接続性とパフォーマンスを改善するために

利用できます。このセクションでは、ワイヤ・モードの実装の効果が発揮されるシナリオを説明し

ます。

MEP 設定でのワイヤ・モード

図 9-1 MEP シナリオでのワイヤ・モード

MEP設定でのワイヤ・モード 180 ページ

ルート・ベースVPNでのワイヤ・モード 181 ページ

2つのVPNコミュニティ間のワイヤ・モード 182 ページ




• ゲートウェイM1とゲートウェイM2では、両方ともワイヤ・モードを有効にしており、信頼

済みの内部インタフェースがあります。

• ゲートウェイM1とゲートウェイM2があるコミュニティでは、ワイヤ・モードを有効にして

います。

• ゲートウェイS1の内側にあるホスト1は、VPNトンネルを通じて、ゲートウェイM1の内側

にあるホスト2と通信します。

• MEPは、ゲートウェイM1をプライマリ・ゲートウェイとし、ゲートウェイM2をバックアッ

プ・ゲートウェイとして、ゲートウェイM1とゲートウェイM2に対して設定します。MEPの

詳細については、217ページの「複数エントリ・ポイントVPN」を参照してください。

この場合、ゲートウェイM1がダウンすると、接続はゲートウェイM2にフェイルオーバーします。

ゲートウェイM2がバックアップ・ゲートウェイとして設定されているので、ホスト2から送信さ

れたパケットは、ゲートウェイM1の内側にあるルータによって、ゲートウェイM2にリダイレク

トされます。ワイヤ・モードが有効ではない場合は、ステートフル・インスペクションがゲート

ウェイM2で実行されます。この場合、ゲートウェイに到達したパケットは別のゲートウェイから

送信されたパケットであり、このパケットが「out-of-state」パケットであるとみなされるので、こ

の接続は確立されないことになります。一方、ゲートウェイM2の内部インタフェースが「信頼済

み」であり、コミュニティでワイヤ・モードが有効になっているので、ステートフル・インスペク

ションが実行されず、ゲートウェイM2は情報を失うことなく正常に接続を続行できることになり

ます。

ルート・ベース VPN でのワイヤ・モード

図 9-2 サテライト・コミュニティでのワイヤ・モード


182

図 9-2に示したシナリオでは、以下のように設定されています。

• ワイヤ・モードは、センター・ゲートウェイCで有効になっています（内部の信頼済みイン

タフェースは指定されていません）。

• コミュニティでは、ワイヤ・モードを有効にしています。

• サテライト・ゲートウェイAの内側にあるホスト1は、サテライト・ゲートウェイBの内側に

あるホスト2に対して、VPNトンネルを通じて接続を確立しようとします。

サテライト・コミュニティでは、センター・ゲートウェイを使用することで、コミュニティにある

複数のサテライト・ゲートウェイの間で、トラフィックをルーティングします。

この場合、サテライト・ゲートウェイから送信されるトラフィックは、ゲートウェイCによって

ルーティングされているだけであり、ゲートウェイCのファイアウォールは通過できません。した

がって、ゲートウェイCでステートフル・インスペクションを実行する必要はありません。コミュ

ニティとゲートウェイCでワイヤ・モードを有効にしているため、これらは信頼済みであり、ス

テートフル・インスペクションが回避されます。ただし、ゲートウェイAとBでは、ステートフル・

インスペクションが実行されます。

2 つの VPN コミュニティ間のワイヤ・モード

図 9-3 2 つの VPN コミュニティ間のワイヤ・モード

図 9-3に示したシナリオでは、以下のように設定されています。



• ゲートウェイAはコミュニティ 1に属します。

• ゲートウェイBはコミュニティ 2に属します。

• ゲートウェイCはコミュニティ 1と2に属します。

• ワイヤ・モードは、センター・ゲートウェイCで有効になっています（内部の信頼済みイン

タフェースは指定されていません）。

• ワイヤ・モードは、両方のコミュニティで有効になっています。

• サテライト・ゲートウェイAの内側にあるホスト1は、サテライト・ゲートウェイBの内側に

あるホスト2に対して、VPNトンネルを通じて接続を確立しようとします。

また同じコミュニティのメンバではない2つのゲートウェイの間で、VPNトラフィックをルーティ

ングするために、ワイヤ・モードを有効にすることもできます。ゲートウェイCは、両方のコミュ

ニティのメンバであるため、両方のコミュニティを信頼済みとして認識します。ゲートウェイAの

後方にあるホスト1がゲートウェイBの後方にあるホスト2に接続しようとすると、2つのコミュ

ニティ間でトラフィックをルーティングするためにゲートウェイCが使用されます。実際には、トラ

フィックがゲートウェイCを通過することはないので、このゲートウェイでステートフル・インスペ

クションを実行する必要はありません。ただし、ゲートウェイAとBでは、ステートフル・インスペ

クションが実行されます。

ワイヤ・モードの特別な考慮事項

184

ワイヤ・モードの特別な考慮事項現在、ワイヤ・モードは、SecurePlatformとNokia IPSOプラットフォームのみでサポートされて

います。

ワイヤ・モードの設定


ワイヤ・モードの設定ワイヤ・モードは、以下の2つの場所で設定します。

1. コミュニティのプロパティ（メッシュまたはスター）

2. ゲートウェイのプロパティ

VPN コミュニティでのワイヤ・モードの有効化1. SmartDashboardで［Manage］>［VPN Communities］を選択します。［VPN

Communities］ウィンドウが表示されます。

2. 設定するコミュニティを選択して、［Edit...］をクリックします。

3. さまざまなオプションを表示するには、［Advanced Settings］をダブルクリックします。

4. ［Wire Mode］をクリックします。

［Wire Mode］ウィンドウが表示されます。

5. コミュニティでワイヤ・モードを有効にするには、［Allow uninspected encrypted traffic between Wire mode interfaces of the Community's members］を選択します。

6. ワイヤ・モードのルーティングを有効にするには、［Wire Mode Routing - Allow members to route uninspected encrypted traffic in VPN routing configurations］を選択します。

特定のゲートウェイでのワイヤ・モードの有効化1. SmartDashboardで、［Manage］>［Network Objects］を選択します。［Network Objects］

ウィンドウが表示されます。

2. 設定するゲートウェイを選択して、［Edit...］をクリックします。

3. ［VPN］をダブルクリックして、［VPN］ツリーを展開します。［VPN Advanced］を選択し

て、［VPN Advanced］ウィンドウを表示すします。

4. ゲートウェイでワイヤ・モードを有効にするには、［Support Wire Mode］を選択します。

5. ［Add］ボタンをクリックして、選択したゲートウェイが信頼するインタフェースを追加します。

6. ［Log Wire mode traffic］をクリックして、ワイヤ・モード・アクティビティのログを記録し

ます。

ワイヤ・モードの設定

186

187

第章10Directional VPN の適用

この章の構成

Directional VPNの必要性 188 ページ

チェック・ポイント・ソリューション 189 ページ

Directional VPNの設定 192 ページ

Directional VPN の必要性

188

Directional VPN の必要性VPNコミュニティがセキュリティ・ポリシー・ルール・ベースの［VPN］カラムで選択されている場

合は、発信元と宛先の IPアドレスは、コミュニティ内の任意のゲートウェイに属すことができます。

言い換えると、トラフィックは双方向であり、どのゲートウェイも接続の発信元にすることができ、

どのゲートウェイも宛先のエンドポイントにできます。ただし、管理者が一方通行のトラフィックを

適用したい場合（社内セキュリティ・ポリシーと整合させるため）があります。また、VPNコミュニ

ティに含まれていないゲートウェイを対象として、暗号化したトラフィックの送受信を実行したいこ

ともあります。 VPNコミュニティ内でこれらの通信を適用するには、VPNでDirectional VPNを実装

します。


第 10 章 Directional VPN の適用 189



Directional VPNでは、発信元アドレスのあるべき場所と宛先アドレスのあるべき場所を指定します。

この指定によって、以下の場所で通信が実施されます。

• 1つのVPNコミュニティ内

• VPNコミュニティ間

コミュニティ内での方向の適用

図 10-1では、MyIntranetという名前の簡単なメッシュ VPNコミュニティを示します。MyIntranetメッシュ内のVPNトラフィックは双方向です。つまり、どちらのゲートウェイ（またはVPNドメ

イン内でゲートウェイの後方にあるホスト）でも、接続の発信元アドレスまたは宛先アドレスにす

ることができます。

図 10-1 コミュニティ内での方向の適用

コミュニティ内での方向の適用 189 ページ

コミュニティ間での方向の適用 191 ページ


190

一致条件は、一連の複合オブジェクトで表します。一致条件によって、トラフィックに以下の方向が

適用されます。

• VPNルーティングによるVPNコミュニティへの送受信（MyIntranet => MyIntranet）

• コミュニティからローカルVPNドメインへ（MyIntranet =>internal_clear）

• ローカルVPNドメインからVPNコミュニティへ（internal_clear => MyIntranet）

方向に指定できるオブジェクト

以下の図 10-2では、方向に指定できるオブジェクトをすべて説明します。 Directional VPNに対し

て作成された、3つの新しいオブジェクトが含まれています。

図 10-2 オブジェクトの一覧

1つのルールに設定できるVPN方向の数に制限はありません。一般的に、多くの方向を指定する場

合は、標準的な双方向条件による置換を検討してください。

注：以下のオブジェクトから開始されたクリア・テキスト接続は適用の対象になりません。

• Any Traffic

• External_clear

• Internal_clear



コミュニティ間での方向の適用

VPNコミュニティの間でも、VPNの方向を適用できます。図 10-3では、WashingtonとLondonと

いう2つのVPNコミュニティを示します。

図 10-3 メッシュ・コミュニティとスター・コミュニティ間の Directional VPN

Washingtonはメッシュ・コミュニティであり、Londonはスター・コミュニティです。セキュリ

ティ・ポリシー・ルール・ベースの［VPN］カラムでは、Directional VPNルールが実装されてい

ます。つまり、VPN接続がこのルールに一致するには、接続の発信元がWashingtonメッシュに存

在し、宛先のホストがLondonスターに存在している必要があります。

ただし、LondonからWashingtonに対して、「応答」または「返信」の接続を確立することは可能

です（TCP接続の開始時の3方向ハンドシェイクでは、応答接続が必要）。唯一の必須条件は、

初のパケットが、Washingtonメッシュから送信される必要があるということです。 Londonスター

内のホストが、Washingtonメッシュ内のホストに対して接続を開こうとした場合、この接続は確

立されません。

この方向適用によって、WashingtonまたはLondonのトポロジが影響を受けることはありません。

2つのコミュニティ間のどこかで適用されていると考えられます。

Directional VPN の設定

192



コミュニティ内での Directional VPN の設定

コミュニティ内でDirectional VPNを設定するには、以下の手順に従います。

1. ［Global Properties］>［VPN］>［Advanced］で、［Enable VPN Directional Match in VPN Column］を選択します。

2. 該当するルールの［VPN］カラムで、VPNコミュニティを右クリックします。ポップアップ・

メニューから、［Edit Cell...］を選択します。

［VPN Match Conditions］ウィンドウが開きます。

3. ［Match traffic in this direction only］を選択して、［Add...］をクリックします。

［Directional VPN Match Condition］ウィンドウが開きます。

4. ［Match on traffic reaching the Gateway from:］ドロップダウン・ボックスから、

［internal_clear］のオブジェクト（発信元）を選択します。

5. ［Match on traffic leaving the Gateway to:］ドロップダウン・ボックスから、関連する

コミュニティ・オブジェクト（宛先）を選択します。

6. 関連するコミュニティ・オブジェクトが発信元と宛先の両方になる、もう 1 つの方向一致を

追加します。

この指定によって、ローカル・ドメインからコミュニティへのトラフィック、および

コミュニティ内でのトラフィックが可能になります。


コミュニティ内でのDirectional VPNの設定 192 ページ

コミュニティ間でのDirectional VPNの設定 193 ページ



コミュニティ間での Directional VPN の設定

コミュニティ間でDirectional VPNを設定するには、以下の手順に従います。


2. 該当するルールの［VPN］カラム内で、右クリックします。ポップアップ・メニューから、

［Edit Cell...］または［Add Direction...］を選択します。

［VPN Match Conditions］ウィンドウが開きます。

3. ［Add...］をクリックします。


194

［Directional VPN Match Conditions］ウィンドウが開きます。

4. 左にあるドロップダウン・ボックスから、接続の発信元を選択します。

5. 右にあるドロップダウン・ボックスから、接続の宛先を選択します。


195

第章11リンク選択

この章の構成


リンク選択の使用 197 ページ

リンク選択のシナリオ 203 ページ

ODL（オンデマンド・リンク） 206 ページ

リンク選択と ISPの冗長性 207 ページ

旧バージョンとの互換性解決メカニズム 210 ページ

リンク選択の設定 211 ページ

概要

196

概要リンク選択とは、着信 /発信VPNトラフィックに使用するインタフェースを判断して、適なパスを

決定する選択方式です。リンク選択メカニズムを使用すると、管理者は、各ゲートウェイのVPNト

ラフィックにどの IPアドレスを使用するかを個別に制御できます。

リモート・アクセス・クライアント設定は、サイト間設定と共に設定することも、別に設定すること

もできます。詳細については475ページの「リモート・アクセス・クライアントのリンク選択」を


リンク選択の使用

第 11 章リンク選択 197



リンク選択には、以下の2つのメカニズムがあります。

• 着信トラフィックの場合のリモート・ピアによる IP選択

• 発信トラフィックの場合の発信ルートの選択

リモート・ピアによる IP 選択

リモート・ピアによってローカル・ゲートウェイの IPアドレスを解決する場合、幾つかの方式でア

ドレスを解決できます。リモート・ピアは、以下の情報を使用してローカル・ゲートウェイに接続

できます。

• Always use this IP address:

• Main address - VPNトンネルは、ゲートウェイの［General Properties］ページにある

［IP Address］フィールドに指定されたゲートウェイのメイン IPで作成されます。

• Selected address from topology table - ゲートウェイとのVPNトンネルは、ドロップダ

ウン・メニューから選択した IPアドレスで作成されます。このドロップダウン・メニュー

には、ゲートウェイの［Topology］ページで設定した IPアドレスが表示されます。

• Statically NATed IP - VPNトンネルは、NATで割り当てられた IPアドレスを使用して作

成されます。このアドレスは、［topology］タブに表示される必要はありません。

• Calculate IP based on network topology - この方式では、リモート・ピアの場所に基づく

ネットワーク・トポロジによってVPNトンネルに使用される IPアドレスが計算されます。詳

細については478ページの「リモート・アクセスのシナリオでのリンク選択」を参照してく

ださい。

• DNS Resolving - DAIP（Dynamically Assigned IP）ゲートウェイではこの方式が必要です。

DAIPゲートウェイの IPアドレスは事前には確認できないので、DAIPゲートウェイへのVPNトンネルを確立できるのは、DNS解決機能を使用している場合だけです。DAIP以外のゲート

ウェイにこの方式を使用する場合、IPアドレスを［Topology］タブで定義する必要があり

ます。DNS解決機能を使用しない場合、DAIPゲートウェイでは、2つのピア間の初の接続

のみ実行できます。2番目の接続は、DAIPゲートウェイの IPアドレスが変更されるまでは、

ピア・ゲートウェイによって接続を確立できます。

リモート・ピアによる IP選択 197 ページ

発信ルート選択 199 ページ


198

• Full hostname - FQDN（完全修飾ドメイン名）を指定します。使用するDNSホスト名を、

「gateway_name.domain_name」の形式で指定します。たとえば、オブジェクト名が

「john」で、ドメイン名が「smith.com」である場合、FQDNは「john.smith.com」になり

ます。

• Gateways name and domain name（Specified in global properties） - ゲートウェイ名

はゲートウェイの［General Properties］ページから取得され、ドメイン名は［Global Properties］ページから取得されます。

• Use a probing method:

• Using ongoing probing - セッションを開始すると、すべての送信先 IPアドレスは、

継続的にRDPパケットを受信します。 VPNトンネルは、初に応答した IP（または

プライマリ IPが設定されてアクティブな場合は、プライマリ IP）を使用して、この

IPが応答しなくなるまで、この IPを継続して使用します。接続が開かれて、バック

グラウンド・プロセスとして続行されている間は、RDPプロービングがアクティブ

になります。

• Using one time probing - セッションを開始すると、すべての送信先 IPアドレスは、

ルートをテストするためにRDPセッションを受信します。応答した初の IPが選択

され、次にポリシーがインストールされるまでこれが使用されます。

RDP プロービング VPNのゲートウェイで複数の IPアドレスを使用できる場合、リンク選択ではプロービング手法に

よって使用するリンクを決定できます。

プロービングによって送信先 IPを選択する方式は、UDPポート259を使用する独自のプロトコル

によって実装されます。このプロトコルには、以下の特徴があります。

• チェック・ポイントの独自技術

• RFC 908/1151に規定されたRDPに非準拠

• チェック・ポイント製品間でのみ機能

プローブしない IPアドレス（内部 IPアドレス）は、プローブ対象の IPリストから削除できます。

212ページの「プロービングによるアドレス解決」を参照してください。

どちらのプロービング・オプション（one-timeとon-going）でも、プライマリ・アドレスを割り当

てられます。

注： UDP RDP パケットは暗号化されません。 RDP メカニズムは、接続性のテストのみ実行

します。



プライマリ・アドレス

VPNに使用できる IPアドレスが複数あるゲートウェイにいずれかのプロービング方式を実装する

場合、IPアドレスの1つをプライマリ・アドレスとして設定することができます。これによって、

ほかのインタフェースのメトリックが低い場合でも、ピアはプライマリ IPアドレスに高い優先度を

割り当てるようになります。

プライマリ・アドレスを有効にしても、発信VPNトラフィック用に選択される IPには影響はあり

ません。リモート・ゲートウェイによって、プライマリ・アドレスを定義したピア・ゲートウェイ

に接続する場合、リモート・ゲートウェイは、ネットワーク速度（レイテンシ）またはルートのメ

トリックに関係なく、プライマリ・アドレス（アクティブな場合）に接続します。

プライマリ・アドレスで障害が発生し、接続がバックアップにフェイルオーバーされた場合、VPNトンネルは、プライマリが復旧するまでバックアップを使用し続けます。

使用可能と確認された新のピア

ゲートウェイがピア・ゲートウェイとの正常な IKEネゴシエーションに使用した IPアドレスが、ピ

ア・ゲートウェイが次の IPSecトラフィックや次の IKEネゴシエーションを開始するときの送信先

IPアドレスとして使用されます。これは、リンク選択の設定を静的（プロービングなし）に設定し

た場合のみ該当します。

発信ルート選択

発信トラフィックの場合、リモート・ピアとの接続に使用するルートは、以下の2つの方式のいず

れかで決定できます。

• Operating system routing table（デフォルト） - この方式では、ルーティング・テーブルを

調べて、メトリックがも低く、VPNトンネルのネゴシエーションに適なルートが判定さ

れます。

• Route based probing - この方式も、ルーティング・テーブルを調べて、メトリックがも

低い適なルートを判定します。ただし、ルートを選択する前に、RDPプロービングによっ

てルートが使用可能かどうかが確認されます。この後、ゲートウェイによって、使用可能な

ルートの中でメトリックがも低く、適な（プレフィックスがも長い）ルートが選択さ

れます。複数の外部インタフェースがある場合に、この方式をお勧めします。

ルート・ベース・プロービングでは、すべてのプライマリ・リンクで障害が発生した場合に起

動されるODL（オンデマンド・リンク）を使用できます。優先度の高いリンクがすべて使用不

可能になると、オンデマンド・リンクをアクティブにするスクリプトが実行されます。ODLの

本来の機能を考えると、ODLのメトリックは、設定された小値よりも大きく設定する必要が

あります。詳細については206ページの「ODL（オンデマンド・リンク）」を参照してください。


200

IKEとRDPセッションの場合、ルート・ベース・プロービングでは、応答トラフィックに同じ

IPアドレスとインタフェースが使用されます。

ルート・ベース・プロービングがサポートされるのは、SecurePlatform、Linux、Nokia IPSOプラットフォームに限られます。

ルート・ベース・プロービングの使用ローカル・ゲートウェイでRDPプロービングを使用する場合、そのゲートウェイ自体とリモート・

ピア・ゲートウェイを結ぶあらゆるルートが調べられ、これらが使用可能であるかどうかが確認さ

れます。次に、図 11-1に示すように、2つのゲートウェイ間でも効果的なルートが決定されます。

図 11-1 ルート・ベース・プロービング

このシナリオの場合、ゲートウェイAには、192.168.10.10と192.168.20.10の2つの外部インタ

フェースがあります。ピア・ゲートウェイBにも、192.168.30.10と192.168.40.10の2つの外部イ

ンタフェースがあります。



ゲートウェイAのルーティング・テーブルは以下のとおりです。

ゲートウェイBのルーティング・テーブルは以下のとおりです。

ゲートウェイAからの発信トラフィックに両方のルートを使用できる場合、192.168.10.10 から

192.168.40.10へのルートのメトリックがも低くなり（優先度がも高い）、このルートが適で

あると判断されます。

応答トラフィック

リモートで開始されたトンネルに応答するため、インタフェースと次のホップが選択されますが、

これらの選択方法には以下の2つがあります（これらの設定は IKEとRDPセッションにのみ関連し

ます）。

• Use outgoing traffic configuration - ［Outgoing Route Selection］セクションで選択した

同じ選択方式でインタフェースを選択するには、このオプションを選択します。

• Reply from the same interface - このオプションでは、受信時と同じインタフェースと次の

ホップを使用して、返信トラフィックが送信されます。

表 11-1

宛先ネットマスク次のホップメトリック

192.168.40.10 255.255.255.0 192.168.10.20 1

192.168.40.10 255.255.255.0 192.168.20.20 2

表 11-2

宛先ネットマスク次のホップメトリック

192.168.20.10 255.255.255.0 192.168.40.20 1

192.168.20.10 255.255.255.0 192.168.30.20 2

注：ルート・ベース・プロービングを有効にしている場合は、［Reply from the same interface］が選択されています。


202

送信元 IP アドレスの設定

発信パケットに使用する送信元 IPアドレスを、ゲートウェイによって開始されるセッションに設定

できます。

VPNトンネルを開始するとき、以下のいずれかの方法によって、送信元 IPアドレスを設定します。

• Automatic（derived from the method of IP selection by remote peer） - 発信トラフィック

の送信元 IPアドレスは、［IP Selection by Remote Peer］セクションで選択した方式によっ

て取得されます。

［IP Selection by Remote Peer］セクションで［Main address or Selected address fromtopology table］を選択した場合、この方式に指定した IPが、VPNトンネルの開始時に設定さ

れる送信元 IPになります。

［IP Selection by Remote Peer］セクションで、［Calculate IP based on network topology］、［Statically NATed IP, Use DNS resolving］、または［Use a probing method］を選択してい

る場合は、選択された発信インタフェースの IPアドレスが、VPNトンネルの開始時に設定さ

れる送信元 IPになります。

• Manual

• Main IP address - 送信元 IPは、ゲートウェイの［General Properties］ページから取得

されます。

• Selected address from topology table - ドロップダウン・メニューから選択した IPが

送信元 IPになります。

• IP address of chosen interface - 送信元 IPは、トラフィックがルーティングされている

インタフェースの同じ IPです。

これらの設定は、RDP と IKE セッションに適用されます。 IKE セッションに応答する場合は、

reply_from_same_IP（デフォルト： true）属性を使用して、［Source IP address settings］ウィ

ンドウの設定に従うか、同じ IPから応答します。詳細については214ページの「送信元 IPアドレ

スの設定」を参照してください。

注：ルート・ベース・プロービングを有効にすると、reply_from_same_IPが true であると

みなされます。

リンク選択のシナリオ


リンク選択のシナリオリンク選択は、さまざまなインフラストラクチャで使用できます。このセクションでは、リンク選択の実装の効果が発揮されるシナリオを説明します。


1 つの外部インタフェースがあるゲートウェイ

これはも単純な事例です。図 11-2では、ローカル・ゲートウェイにはVPN用の外部インタフェースが1つあります。

図 11-2 VPN 用の 1 つの IP がある場合

ここで、以下の視点から、ローカル・ゲートウェイの設定を検討します。

• ピア・ゲートウェイが、VPNトラフィックに使用するローカル・ゲートウェイ上の IPをどのように選択するか

1つの外部インタフェースがあるゲートウェイ 203ページ

異なる通信先に使用される複数の IPアドレスがあるゲートウェイ 204ページ

1つの外部インタフェースと静的NATデバイスの内側に1つの

インタフェースがあるゲートウェイ

205ページ


204

VPNには使用可能なインタフェースは1つしかないので、以下のようになります。

• リモート・ピアがVPNのローカル・ゲートウェイの IPを検出する方法を指定するには、［Main address］を選択するか、［Selected address from topology table］ドロップダウン・メニューから IPアドレスを選択します。

• IPアドレスが静的NATデバイスの内側にある場合は、［Statically NATed IP］を選択します。

設定については、211ページの「メイン IPと単一 IPによるアドレス解決」を参照してください。

DAIP（動的 IP アドレス）を使用するゲートウェイ

DAIPゲートウェイの IPアドレスは事前に確認できないので、DAIPゲートウェイとのVPNトンネ

ルのネゴシエーションは、DNS解決機能を使用している場合にのみ開始できます。ピア・ゲート

ウェイは、ホスト名を使用してDAIPゲートウェイの IPアドレスを解決できます。ホスト名は、［LinkSelection］ページに入力できます。また、［global properties］ページから取得できます。DNS解決

を使用しない場合、DAIPゲートウェイでは接続の開始のみ実行できます。2番目の接続は、DAIPゲートウェイの IPアドレスが変更されるまでは、ピア・ゲートウェイによって接続を確立できます。

設定については、212ページの「DNSルックアップによるアドレス解決」を参照してください。

異なる通信先に使用される複数の IP アドレスがあるゲートウェイ

このシナリオでは、ローカル・ゲートウェイに2つの異なるインタフェースからのポイント・ツー・

ポイント接続があります。各インタフェースは、異なるリモートの通信先によって使用されます。

図 11-3 異なる通信先が使用する複数の IP アドレスがある場合



図 11-3では、ローカル・ゲートウェイには、VPNに使用する IPアドレスが2つあります。1つのイ

ンタフェースはピア・ゲートウェイAとのVPNに使用され、もう1つのインタフェースはピア・

ゲートウェイBとのVPNに使用されます。

ピア・ゲートウェイがローカル・ゲートウェイの IPを検出する方法を判定するには、ワンタイム・

プロービングを有効にします。それぞれのピア・ゲートウェイに使用できる IPが1つしかないため、

プロービングを1度実行するだけで済みます。


1 つの外部インタフェースと静的 NAT デバイスの内側に1 つのインタフェースがあるゲートウェイ

このシナリオでは、ローカル・ゲートウェイにはVPNに使用できる外部インタフェースが2つあり

ます。インタフェースAのアドレスは、NATデバイスを使用して変換されます。

図 11-4 ローカル・ゲートウェイが NAT デバイスの後方にある場合

ピア・ゲートウェイがローカル・ゲートウェイの IPを検出する方法を判定するには、継続プロービ

ングを有効にします。静的NAT IPアドレスをプローブするには、［Probing Settings］ウィンドウ

の［Probe the following addresses］リストに、そのアドレスを追加する必要があります（212ページの「プロービングによるアドレス解決」を参照）。

ODL（オンデマンド・リンク）

206

ODL（オンデマンド・リンク）ルート・ベース・プロービングでは、すべてのプライマリ・リンクで障害が発生した場合に起動さ

れるODLを使用できます。障害が検出されると、ODLを起動して該当するルーティング情報を変

更するカスタム・スクリプトが実行されます。ODLの本来の機能を考えると、ODLのメトリック

は、設定された小値よりも大きく設定する必要があります。

図 11-5 ODL（オンデマンド・リンク）

図 11-5では、ゲートウェイには2つの外部リンクがあります。1つは ISP用で、もう1つは ISDNダ

イヤルアップ用です。どちらもインターネットに接続できます。

図 11-5に示したゲートウェイの場合、ルート・ベース・プロービング・メカニズムによって、オン

デマンド以外のすべてのリンクにプロービングが実施され、メトリックが小のアクティブなリン

クが選択されます。優先度の高いリンクがすべて使用不可能になると、オンデマンド・リンクをア

クティブにするスクリプトが実行されます。リンクが復旧すると、シャットダウン・スクリプトが

実行され、ISPのリンクを使用して接続が続行されます。

215ページの「オンデマンド・リンクの設定」を参照してください。

注：オンデマンド・リンクは、1 つの RDP セッションを使用して、1 度だけプローブされ

ます。したがって、オンデマンド・リンク間のフェイルオーバーはサポートされません。

リンク選択と ISP の冗長性


リンク選択と ISP の冗長性ISPの冗長性によって、冗長な ISP接続を使用して、1つまたはクラスタリングした複数のVPN-1Powerゲートウェイでインターネットへ接続できるので、インターネット接続の信頼性を高めるこ

とができます。標準的なVPNの機能として、以下の2つの操作モードがあります。

• 負荷共有モードでは、両方の ISPに接続して、発信接続の負荷を ISP間で共有します。新しい

接続は、ランダムにリンクに割り当てられます。一方のリンクに障害が発生した場合は、新し

いすべての発信接続はアクティブなリンクに転送されます。この設定では、接続の可用性を維

持すると同時に、WANの帯域幅を効果的に増やすことができます。この効果は、ファイア

ウォール・トラフィックに限られます。 VPNトラフィックの場合は、この方式によって冗長

性が得られます。

• プライマリ /バックアップ・モードでは、プライマリ・リンクを通じて ISPに接続し、プライ

マリ ISPリンクに障害が発生した時点でバックアップ ISPに切り替えます。プライマリ・リン

クが復旧すると、新しい発信接続はプライマリに割り当てられ、既存の接続はそれが完了す

るまでバックアップ・リンク側で続行されます。

［ISP Redundancy］ウィンドウで設定した値はデフォルトで［Link Selection］ページに適用され、

既存の設定は上書きされます。［Primary/Backup］を設定した場合、この設定は［Link Selection］設定に反映されます。 ISPの冗長性については、『ファイアウォールとSmartDefense』の「ISPの

冗長性」を参照してください。

図 11-6 複数の ISP にリンクするローカル・ゲートウェイ

図 11-6の場合、ローカル・ゲートウェイには ISP AとBへのリンクがあり、両方の ISPがインター

ネット接続を提供しています。


208

［VPN］>［Topology］>［ISP Redundancy］ウィンドウで、適切な設定を行います。［ISPRedundancy］を設定した場合、［Link Selection］ページのデフォルトは、［Use ongoing probing］になります。ただし、［Link Selection］でプローブされるのは、［ISP Redundancy］ウィンドウに

指定した ISPだけです。これにより、いずれかのゲートウェイ・インタフェースへの接続性が失わ

れた場合に、VPNトンネルの接続フェイルオーバーが発生します。

リンク選択に対して異なる設定が必要となる場合もあります。

図 11-7 2 つの ISP に接続された 2 つのゲートウェイ


• ゲートウェイA、B、およびCが2つの ISPに接続しています。

• ISPの冗長性は、ゲートウェイAで設定されています。

• ゲートウェイAは、ゲートウェイBに接続するために ISP 1を使用し、ゲートウェイCに接続

するために ISP 2を使用する必要があります。どちらかの ISPが使用不能になった場合は、も

う一方の ISPを使用します。

図 11-7では、ゲートウェイAの管理者は以下の3つの操作を行う必要があります。

• ［ISP Redundancy］ウィンドウの［Apply settings to VPN traffic］ボックスをオフにします。

• ［Link Selection］ウィンドウで、［Outgoing Route Selection］を［Route Based Probing］に

変更します。

• ピア・ゲートウェイBに対して ISP 1の優先度が高になり、ピア・ゲートウェイCに対して

ISP 2の優先度が高になるように、ルーティング・テーブルを設定します。



このシナリオの場合、リモート・ピア・ゲートウェイによって異なる ISPが使用されるため、負荷

分散が実現します。リモート・ピア・ゲートウェイが多数ある場合、ピア・ゲートウェイのグルー

プごとに、優先的に使用する ISPを個別に設定できます。

旧バージョンとの互換性解決メカニズム

210

旧バージョンとの互換性解決メカニズムNGX以前のゲートウェイと接続する場合、［Early Versions Compatibility］解決メカニズムによっ

て、リンク選択方式が調整されます。

以前のバージョンでは使用できないリンク選択方式でNGXゲートウェイを設定した場合、NGX以

前のゲートウェイは、接続に使用する IPアドレスを解決できません。［Early Versions Compatibility］解決メカニズムを設定すると、NGXゲートウェイの IPアドレスを解決できるように、NGX以前の

ゲートウェイで使用できる解決方式が割り当てられます。216ページの「旧バージョンとの互換性

解決メカニズムの設定」を参照してください。

リンク選択の設定




リンク選択は、［VPN］>［Link Selection］ウィンドウで、ゲートウェイごとに設定します。

メイン IP と単一 IP によるアドレス解決

リモートVPNピアが、ゲートウェイのメイン IPアドレス、またはVPNトラフィック用に予約され

た単一 IPアドレスに接続する必要がある場合、ゲートウェイ・オブジェクトの［VPN］>［LinkSelection］ページで、以下のいずれかを選択します。

• Main address（ゲートウェイ）

• Selected address from topology table（ドロップダウン・メニューから IPアドレスを選択

します）

• Statically NATed IP（必要な IPアドレスを入力します）

メイン IPと単一 IPによるアドレス解決 211 ページ

DNSルックアップによるアドレス解決 212 ページ

プロービングによるアドレス解決 212 ページ

発信ルート選択の設定 213 ページ

応答トラフィックの設定 213 ページ

送信元 IPアドレスの設定 214 ページ

オンデマンド・リンクの設定 215 ページ

旧バージョンとの互換性解決メカニズムの設定 216 ページ

発信リンクのトラッキング 216 ページ


212

DNS ルックアップによるアドレス解決

リモートVPNピアで、DNSルックアップによってローカル・ゲートウェイの IPアドレスを解決す

る必要がある場合、以下のようにします。

1. ゲートウェイ・オブジェクトの［VPN］>［Link Selection］ページで、［Use DNS resolving:］を選択します。

検索されるFQDN（完全修飾ドメイン名）は、このページで設定するか、［Global Properties］から取得できます。

• Full hostname - ゲートウェイのFQDN、たとえばwww.checkpoint.comを入力します

（検索されるDNSサーバではありません）。WWWはホスト、checkpointは第2レベルの

ドメイン、.comはトップレベルのドメインです。

• Derived from global properties - この方式を選択した場合、ホスト名はゲートウェイの

［General Properties］ページから取得され、ドメイン名は［Global Properties］>［VPN］ページから取得されます。

プロービングによるアドレス解決

リモート・ピアで、RDPプロービングによってローカル・ゲートウェイの IPアドレスを解決する

必要がある場合、以下のようにします。

1. ゲートウェイ・オブジェクトの［VPN］>［Link Selection］ページで、［Use a probing method］を選択します。

2. ［Using ongoing probing］または［Using one time probing］を選択します。［Configure...］をクリックします。

［Probing Settings］ウィンドウが開きます。



以下のいずれかを選択します。

• Probe all addresses defined in the topology tab

• Probe the following addresses

リモート・ピアは、使用可能なすべてのインタフェースをプローブしたり、リストに手動で定義さ

れた IPアドレスだけをプローブしたりできます。静的にNATで割り当てた IPアドレス（［topology］タブで設定したインタフェースには割り当てられていない）は、手動で定義される IPリストに追加

できます。

ほかのインタフェースに対する優先度をインタフェースに設定するのは、ワンタイム・プロービン

グまたは継続プロービングによって IP を解決するゲートウェイの場合だけです。［PrimaryAddress］を選択して、ドロップダウン・ボックスからインタフェースを選択します。

発信ルート選択の設定

発信ルート選択は、［VPN］>［Link Selection］ウィンドウで、ゲートウェイごとに設定します。

発信トラフィックのインタフェースを選択する方式を選択するには、以下のいずれかを選択します。

• Operating system routing table。優先度が高のリンクを使用します。

• Route based probing。すべてのリンクをプローブして、優先度が高のアクティブなリン

クでトラフィックを送信します。

応答トラフィックの設定

［Link Selection］ページで、以下の手順に従います。

1. ［Setup］をクリックします。

2. 以下のいずれかを選択します。

• Use outgoing traffic configuration（デフォルト）。［Outgoing Route Selection］セク

ションでの設定を使用します。

• Reply from the same interface。発振元のインタフェースと次のホップにトラフィックを

返信します。


214

送信元 IP アドレスの設定

［Link Selection］ページで、以下の手順に従います。

1. ［Source IP address settings...］をクリックします。


• Automatic (derived from the method of IP selection by remote peer)（デフォルト） - 発信トラフィックの送信元 IPアドレスは、［IP Selection by Remote Peer］セクション

で選択した方式によって取得されます。

• Manual

• Main IP address - 送信元 IPは、ゲートウェイの［General Properties］ページから

取得されます。

• Selected address from topology table - ドロップダウン・メニューから選択した IPが送信元 IPになります。

• IP address of chosen interface - 送信元 IPは、トラフィックがルーティングされて

いるインタフェースの同じ IPです。

IKEセッションに応答する場合は、Dbeditを使用してreply_from_same_IP（デフォルト： true）属性

を設定し、［Source IP address settings］ウィンドウの設定に従うか、同じ IPから応答します。

trueに設定すると、同じ IPアドレスが使用されます。 falseに設定すると、IPアドレスが［SourceIP address settings］ウィンドウから取得されます。



オンデマンド・リンクの設定

オンデマンド・リンクを有効にできるのは、［Route Based Probing］を設定した場合だけです。

編集するプロパティは以下のとおりです。

オンデマンド・リンク・コマンドは、データベース・ツールDBeditを使用して、プロパティを変

更することで設定します。

また、コマンドuse_on_demand_linksとon_demand_metric_minを以下のように設定できます。

1. SmartDashboardで、［Policy］>［Global Properties］>［SmartDashboard Customization］>［Configure］をクリックします。

2. ［VPN Advanced Properties］ツリーを展開して、［Link Selection］ページをクリックします。

3. ［use_on_demand_links］チェック・ボックスをオンにして、オンデマンド・リンクを有効

にします。

4. on_demand_metric_minコマンドの横にあるオンデマンド・リンクに対して小のメトリッ

ク・レベルを設定します。

表 11-3 ODL の設定

プロパティ説明

use_on_demand_links オンデマンド・リンクを有効にします

（デフォルト： FALSE）。on_demand_metric_min オンデマンド・リンクに対して、小のメトリッ

ク・レベルを定義します。リンクがオンデマンド

とみなされるのは、メトリックが設定した小

メトリック以上の場合だけです。

on_demand_initial_script このプロパティには、オンデマンド・スクリプ

トの名前を指定します。このスクリプトは、オン

デマンド以外のすべてのルートが応答しなく

なったときに実行されます。このスクリプトは

$FWDIR/confディレクトリに配置します。 on_demand_shutdown_script このスクリプトは、障害が発生したリンクが使

用可能になると実行されます。このスクリプト

は$FWDIR/confディレクトリに配置します。


216

旧バージョンとの互換性解決メカニズムの設定


1. ［Policy］>［Global Properties］>［VPN］>［Early Versions Compatibility］をクリック

します。

2. NGX以前のゲートウェイで IPアドレスを解決するためにトポロジ計算を使用する必要がある

場合、［Static calculation based on network topology］を選択します。

3. ［Dynamic interface resolving mechanism］を選択して、表 11-4に示す方式のいずれかに

変換します。

NGXゲートウェイでは、NGX以前のゲートウェイで使用されていた方式が、以下のように「変換」

されます。

発信リンクのトラッキング

リンク・トラッキングをローカル・ゲートウェイでアクティブにした場合、このゲートウェイは、

リモートVPNピア（VPNトンネル）に対して実行した新しい解決結果のログを送信します。動的

な継続的解決をリモート・ピアで設定した場合、またはルート・ベース・プロービングをローカ

ル・ゲートウェイでアクティブにした場合、すべての解決の変化に対してログ・エントリが発行さ

れます。

表 11-4 下位互換性

NGX ゲートウェイの方式 NGX 以前のゲートウェイで使用される方式

Selected address from topology table Ongoing Probing

Statically NATed IP Ongoing Probing

Use DNS resolving Ongoing Probing

Calculate IP based on network topology Main IP

Main IP Main IP

Ongoing Probing Ongoing Probing

One Time Probing One Time Probing

注：プロービングのために手動で IP アドレス・リストを作成した場合、NGX（R60）以前

のゲートウェイでは、IP アドレス・リストに指定されたアドレスだけではなく、すべての

IP アドレスがプローブされます。

217

第章12複数エントリ・ポイントVPN

この章の構成


明示的MEP 220 ページ

暗黙的MEP 228 ページ

返信パケットのルーティング 232 ページ

MEPの設定 234 ページ

概要

218

概要MEP（複数エントリ・ポイント）は、VPN接続に対して高可用性と負荷共有ソリューションを提

供する機能です。VPN-1 Power実施モジュールをインストールしたゲートウェイでは、内部ネット

ワークに対して1つのエントリ・ポイントが提供されます。このゲートウェイによって、リモート・

マシンへの内部ネットワークが「有効」になります。したがって、ゲートウェイが使用不能になる

と、内部ネットワークも使用できなくなります。MEP環境では2つ以上のVPN-1 Powerゲートウェ

イが設定され、同じVPNドメインへのアクセスを有効にして保護します。このため、ピア・ゲート

ウェイには常にアクセスが保証されます。

MEP またはクラスタリングを使用した VPN の高可用性

MEPとクラスタリングは両方とも高可用性と負荷共有を実現する方法です。ただし、以下のような

違いがあります。

• ClusterXL Gateway Clusterのメンバとは異なり、MEPゲートウェイの場所には物理的な制約

がありません。MEPゲートウェイは、地理的に離れているマシンでもかまいません。VPN-1 Powerクラスタの場合、クラスタに組み込むゲートウェイは同じ場所に設置して、syncイン

タフェースで直接的に接続する必要があります。

• MEPゲートウェイは異なるSmartCenterサーバで管理できますが、クラスタ・メンバは同じ

SmartCenterサーバで管理する必要があります。

• MEP設定の場合、MEPゲートウェイ間では「状態の同期」が実行されません。VPN-1 Powerクラスタの場合は、すべてのゲートウェイで、内部ネットワークの全接続の「状態」が確認

されています。ゲートウェイの1つに障害が発生すると、接続はシームレスに別のゲートウェ

イに移行され（フェイルオーバーの実行）、接続は続行されます。MEP設定の場合、ゲート

ウェイに障害が発生すると、その時点の接続が失われて、バックアップ・ゲートウェイの1つ

によって次の接続が確立されます。

• MEP環境では、どのゲートウェイを使用するかという判断は、リモートサイトの側で行われ

ます。一方、クラスタの環境では、この判断はゲートウェイ側で行われます。

機能の仕組み

MEPは、独自のプロービング・プロトコル（PP）によって実装されます。このプロトコルは、特

別なUDP RDPパケットをポート259に送信して、IP通信が可能かどうかを確認します。このプロ

トコルはチェック・ポイントの独自技術であり、RFC 908/1151に規定されたRDPには準拠してい

ません。

注：これらの UDP RDP パケットは暗号化されず、ピアの可用性のテストのみを実行しま

す。

概要

第 12 章複数エントリ・ポイント VPN 219

リモートVPN-1 Powerのピアは、すべてのMEPゲートウェイに対して継続的にプロービングや

ポーリングを行い、稼動しているゲートウェイを検出して設定された選択メカニズムに従ってゲー

トウェイを選択します。RDPパケットは常に送信されているので、全ゲートウェイのステータスが

常に確認されており、変化が生じたときにはステータス情報がすぐに更新されます。こうして、「稼

動中」のすべてのゲートウェイの情報を把握できます。

MEPを実装するには、以下の2つの方法があります。

• 明示的MEP - 複数のセンター・ゲートウェイを持つスター・コミュニティのみが明示的MEPを

使用でき、ゲートウェイの内側にあるネットワークに複数のエントリ・ポイントを提供します。可能な場合は、明示的MEPをお勧めします。

• 暗黙的MEP - 全体的または部分的に重複する暗号化ドメインが存在する環境、またはプライ

マリ -バックアップ・ゲートウェイを設定した環境では、すべてのシナリオで暗黙的MEPが

サポートされます。 NGX（R60）以前のバージョンですでに暗黙的MEPを設定していた場合、

アップグレードしても以前の設定がそのまま維持されます。

明示的 MEP

220

明示的 MEPサイト間のスター VPNコミュニティの場合、明示的MEPはコミュニティ・オブジェクトを通じて

設定します。MEPを有効にすると、サテライトは、すべてのゲートウェイの「統一された」VPNドメインを各ゲートウェイのVPNドメインであるとみなします。この統一されたVPNドメインは、

図 12-1に図示するように、各ゲートウェイのVPNドメインと考えられます。

図 12-1 統一された暗号化ドメイン

図 12-1のスター VPNコミュニティには、2つのセンター・ゲートウェイM1、M2と（MEPは有効

化）、3つのサテライト・ゲートウェイS1、S2、S3があります。 S2がホスト1（M1とM2の内側に

ある）との接続を確立する場合、セッションはM1またはM2のいずれかを通じて開始されます。

MEPゲートウェイ内での優先度は、MEPのエントリ・ポイント選択メカニズムによって決定され

ます。

選択されたエントリ・ポイントがM2であり、これが使用できなくなった場合、ホスト1への接続

はM1へフェイルオーバーされます。返信パケットは、RIMまたは IPプールNATによってルーティ

ングされます。返信パケットの詳細については、232ページの「返信パケットのルーティング」を


明示的 MEP


接続のエントリ・ポイントとして使用するゲートウェイを選択するには、以下の4つの方法があり

ます。

• Select the closest gateway to source (First to respond)

• Select the closest gateway to destination (By VPN domain)

• Random Selection (for Load distribution)

• Manually set priority list (MEP rules)

［By VPN domain］または［Manually set priority list］を選択する場合は、［Advanced］オプションで

詳細を設定します。

MEP の選択方式 • First to Respond。この方式では、ピア・ゲートウェイに初に応答したゲートウェイが選

択されます。たとえば、MEP設定としてLondonとNew Yorkに1つずつゲートウェイがある

場合、このオプションを選択します。EnglandにあるVPN-1 PowerピアがLondonのゲート

ウェイに初に接続を試行し、次にNew Yorkのゲートウェイに接続を試行することは合理的

です。Londonのゲートウェイは、EnglandのVPN-1 Powerピアに対して地理的に近いので、

Londonのゲートウェイが初に応答し、これが内部ネットワークのエントリ・ポイントにな

ります。222ページの「First to Respond」を参照してください。

• By VPN domain。この方式では、送信先 IPが特定のVPNドメインに属している場合に、そ

のドメインのゲートウェイがエントリ・ポイントとして選択されます。このゲートウェイは

プライマリ・ゲートウェイとなり、MEP設定のほかのゲートウェイはバックアップ・ゲート

ウェイになります。223ページの「By VPN Domain」を参照してください。

• Random Selection。この方式では、VPN接続を確立するために、リモートVPN-1 Powerピアによってゲートウェイがランダムに選択されます。一組の発信元 /宛先 IPアドレスごとに、

新しいゲートウェイがランダムに選択されます。組織内に同じ性能を持つマシンが複数ある場

合があります。このような場合、負荷分散を有効にすると合理的です。マシンは、ランダムに

等しく使用されます。224ページの「Random Selection」を参照してください。

• Manually set priority list。この方式では、コミュニティ全体または個々のサテライト・ゲー

トウェイに対して、ゲートウェイの優先度を手動で設定できます。225ページの「Manually Set Priority List」を参照してください。

明示的 MEP

222

First to Respondプライマリ・ゲートウェイがない場合、すべてのゲートウェイは「同じ優先度」になります。図 12-2のようにすべてのゲートウェイが「同じ優先度」になる場合、以下の処理が実行されます。

• リモートVPN-1 Powerピアが、MEP設定に含まれるすべてのゲートウェイにRDPパケットを

送信します。

• プローブするRDPパケットに応答した初のゲートウェイが、ネットワークへのエントリ・

ポイントとして選択されます。First to Respond（初の応答）の基本概念は、「近さ」です。

リモートVPN-1 Powerピアに「も近い」ゲートウェイが初に応答します。

• VPNトンネルは、初に応答したゲートウェイとの間で確立されます。それ以降のすべての

接続には、選択されたゲートウェイが使用されます。

• ゲートウェイが応答しなくなった場合は、新しいゲートウェイが選択されます。

図 12-2 プライマリがなく、優先度が等しい場合

明示的 MEP


By VPN DomainMEPを有効にする前、各 IPアドレスは特定のVPNドメインに属しています。［By VPN Domain］を使用すると、そのドメインのゲートウェイがエントリ・ポイントとして選択されます。図 12-3の

場合、スター VPNコミュニティは、2つのMEPセンター・ゲートウェイ（M1とM2。両方とも独

自のVPNドメインがある）と、1つのリモート・サテライトS1で構成されています。

図 12-3 By VPN domain

ホスト2（サテライトS1のVPNドメインにあります）は、ホスト1との接続を開始します。接続は、

M1でもM2でも確立できます。ただし、ホスト1はM2の元のVPNドメインに含まれています。この

ため、M2は送信先 IPアドレスに「も近い」ゲートウェイであるとみなされます。したがって、

ホスト1に対して、M2はプライマリ・ゲートウェイであると判断され、M1はバックアップゲート

ウェイであると判断されます。中央に追加のゲートウェイがある場合は、これらのゲートウェイも

M2のバックアップ・ゲートウェイとみなされます。

VPNドメインが全体的または部分的に暗号化ドメインと重複している場合、ネットワークに対して

「も近い」エントリ・ポイントとして、複数のゲートウェイが選択されます。この結果として、複

数のゲートウェイが「プライマリ」であるとみなされます。使用可能なプライマリ・ゲートウェイ

またはバックアップ・ゲートウェイが複数ある場合、ゲートウェイは追加的な選択メカニズムによっ

て選択されます。この詳細な選択メカニズムは、以下のいずれかです（227ページの「詳細設定」を

参照）。

• First to Respond

• Random Selection (for load distribution)

明示的 MEP

224

返信パケットには、センター・ゲートウェイでRIMを使用できます。 RIMも有効な場合は、専用回

線に対して、VPNトンネルよりも低い優先度でメトリックを設定します。サテライトS1は、MEPゲートウェイとの間で、同時に複数のVPNトンネルを確立できます。たとえば、ホスト1のエント

リ・ポイントとしてM2を選択し、ホスト3のエントリ・ポイントとしてM1を選択することができ

ます。M1とM2の両方でホスト1とホスト3への接続を確立しますが、低い優先度でメトリックを

設定しているため、専用回線が使用されるのは、ゲートウェイの1つがダウンした場合に限られます。

Random Selectionこの方式では、着信トラフィックのエントリ・ポイントとして、異なるゲートウェイがランダムに

選択されます。使用可能なすべてのゲートウェイに着信トラフィックを等しく分散するため、1つ

のゲートウェイに大量の着信トラフィックが集中することを防止できます。

ほかのすべてのMEP設定と同様に、ゲートウェイはRDPパケットによってプローブされ、応答す

るゲートウェイのリストが作成されます。ゲートウェイは、応答するゲートウェイのリストからラ

ンダムに選択されます。ゲートウェイが応答しなくなると、別のゲートウェイが選択されます（ラ

ンダムに）。

一組の発信元 /宛先 IPごとに、新しいゲートウェイがランダムに選択されます。発信元 /宛先 IPが

変わらない場合、接続は選択されたゲートウェイで継続されます。

この設定では、RIMはサポートされません。IPプールNATを有効にして、返信パケットが選択され

たゲートウェイで適切にルーティングされるようにする必要があります。

明示的 MEP


Manually Set Priority List中核的なネットワークへのエントリ・ポイントとして選択されるゲートウェイ（スター・コミュニ

ティのセンター・ゲートウェイから）は、発信元ゲートウェイごとに優先度を手動で設定して制御

できます。図 12-4に示すように、それぞれの優先度によってMEPルールが設定されます。

図 12-4 MEP ルール

図 12-4の場合、3つのMEPメンバ（M1、M2、M3）が、3つのサテライト・ゲートウェイ（S1、S2、S3）に対して、ネットワークのエントリ・ポイントとなっています。サテライトS1を、M1、M2、M3の順でゲートウェイを選択するように設定できます。この場合、M1にも高い優先度が

与えられ、M3にも低い優先度が与えられます。サテライトS2を、M2、M3（M1は選択しませ

ん）の順にゲートウェイを選択するように設定できます。

図 12-5に示すように、［MEP manual priority list］ウィンドウでは、これらの各優先度によって、

MEPルールを構成します。

明示的 MEP

226

図 12-5 MEP ルール

［MEP manual priority list］ウィンドウは、デフォルト・ルールと、デフォルト・ルールへの例外

となるルールに分割されています。デフォルトMEPルールが適用されるのは、以下の場合です。

• MEPルールが定義されていない場合

• ［Exception priority rules］セクションに接続の発信元が見つからない場合

The ［Exception priority rules］セクションには、第1、第2、第3の3つの優先度レベルがあり

ます。優先度レベルはこの3つしかありませんが、以下のように設定できます。

• 同じ優先度を複数のセンター・ゲートウェイに割り当てることができます。

• 同じルールを複数のサテライト・ゲートウェイに割り当てることができます。

• 優先度レベルを空白にできます。

図 12-6に示した第2のMEPルールの場合、センター・ゲートウェイM3とM1は、同じ優先度を

持っています。同じルールがサテライトS2とS3に適用されます。

図 12-6 MEP ルールの例

複数のゲートウェイに同じ優先度を割り当てている場合、［Advanced］設定に従ってゲートウェイ

が選択されます。227ページの「詳細設定」を参照してください。

明示的 MEP


詳細設定

中央で複数のゲートウェイが使用可能になっており、これらの間の優先度が明確ではない場合があ

ります。たとえば、図 12-6の場合は、複数のゲートウェイに「第2」の優先度が割り当てられてい

ます。このシナリオでは、［Advanced］オプションから［First to Respond］または［RandomSelection」を選択して、ゲートウェイの選択方法を決定します（［Random Selection］では、ゲー

トウェイ間で負荷分散を実行できます）。

「manually set priority list」がMEPの選択メカニズムである場合、RIMがサポートされます。RIMは、「manually set priority list」で設定できます。［Advanced］ボタンで使用できるランダム選択メ

カニズムは、MEPに使用されるランダム選択メカニズムとは異なるからです。

MEPに使用される「random selection」メカニズムでは、発信元 /宛先 IPの各組に対して、異なる

ゲートウェイが選択されます。［Advanced］ボタンで使用できるRandom Selectionメカニズムで

は、1つのMEPエントリ・ポイントがランダムに選択され、すべての接続にこれが使用されます。

発信元 /宛先 IPの各組でゲートウェイが変わることはありません。各サテライト・ゲートウェイに

エントリ・ポイントとしてゲートウェイがランダムに割り当てられるので、負荷分散の機能が実現

されます。これによって、同時にRIMも有効にできます。

トラッキング

MEPに対してトラッキング・オプションを有効にすると、各サテライト・ゲートウェイで以下の情

報がログに記録されます。

• 選択されたピア・ゲートウェイ（MEP内のゲートウェイ）

• 選択されたゲートウェイの優先度（第1、第2、第3）

• 選択されたゲートウェイが応答しているかどうか

たとえば、図 12-4に示すシナリオでは、サテライトS1が、ゲートウェイM1、M2、M3があるVPNドメインへの接続を開きます。 M1は選択されたピアです。トラッキングを有効にしている場合、ロ

グは以下のようになります。

Resolved peer for tunnel from S1 to the MEP that contains M1, M2, and M3, is: M1 (Primary gateway, responding).

暗黙的 MEP

228

暗黙的 MEP暗黙的MEPを実装する場合、以下の3つの実装方式があります。

• First to Respond。この方式では、ピア・ゲートウェイに初に応答したゲートウェイが選択

されます。たとえば、MEP設定としてLondonとNew Yorkに1つずつゲートウェイがある場合、

このオプションを選択します。EnglandにあるVPN-1 PowerピアがLondonのゲートウェイに

初に接続を試行し、次にNew Yorkのゲートウェイに接続を試行することは合理的です。

Londonのゲートウェイは、EnglandのVPN-1 Powerピアに対して地理的に近いので、

Londonのゲートウェイが初に応答し、これが内部ネットワークのエントリ・ポイントにな

ります。222ページの「First to Respond」を参照してください。

• プライマリ -バックアップ。この方式では、1つ以上のバックアップ・ゲートウェイによって、

プライマリ・ゲートウェイに「高可用性」を実現します。リモートVPN-1 Powerピアは、プ

ライマリ・ゲートウェイを使用するように設定されますが、プライマリがダウンした場合に

バックアップ・ゲートウェイに切り替えられます。 MEP環境に2台のマシンがあり、一方が

高性能である場合に、この設定を使用できます。高性能のマシンをプライマリと設定すると合

理的です。また、両方のマシンは性能面で同等で、一方に低コストまたは高速のインターネッ

ト接続がある場合も有効です。この場合、インターネット接続が優れているマシンをプライマ

リとして設定します。230ページの「プライマリ -バックアップ・ゲートウェイ」を参照して

ください。

• 負荷分散。この方式では、接続を確立するために、リモートVPN-1 Powerピアによってゲー

トウェイがランダムに選択されます。一組の発信元 /宛先 IPアドレスごとに、新しいゲート

ウェイがランダムに選択されます。組織内に同じ性能を持つマシンが複数ある場合がありま

す。このような場合、負荷分散を有効にすると合理的です。マシンは、ランダムに等しく使

用されます。224ページの「Random Selection」を参照してください。

暗黙的MEPがサポートされるのは、暗号化ドメインが重複している複数のゲートウェイが同じコ

ミュニティにある場合です。ゲートウェイが異なるコミュニティにある場合は、暗号化ドメインに

は1つのゲートウェイしか使用されません。

注： NGX（R60）以前のバージョンですでに暗黙的 MEP を設定していた場合、アップグ

レードしても以前の設定がそのまま維持されます。

暗黙的 MEP


初に応答

プライマリ・ゲートウェイがない場合、すべてのゲートウェイは「同じ優先度」になります。すべ

てのゲートウェイが「同じ優先度」になる場合、以下の処理が実行されます。

• リモートVPN-1 Powerピアが、MEP設定に含まれるすべてのゲートウェイにRDPパケット

を送信します。

• プローブするRDPパケットに応答した初のゲートウェイが、ネットワークへのエントリ・

ポイントとして選択されます。First to Respond（初の応答）の基本概念は、「近さ」です。

リモートVPN-1 Powerピアに「も近い」ゲートウェイが初に応答します。

• VPNトンネルは、初に応答したゲートウェイとの間で確立されます。それ以降のすべての

接続には、選択されたゲートウェイが使用されます。

• ゲートウェイが応答しなくなった場合は、新しいゲートウェイが選択されます。

スター・コミュニティでは、以下の条件が両方とも満たされた場合に限り、RDPパケットがゲート

ウェイに送信されて、初に応答したゲートウェイがルーティングに使用されます。

1. 複数のセンター・ゲートウェイがある。

2. 以下のVPNルーティング・オプションのいずれかが選択されている。

• To center and to other satellites through center

• To center, or through the center to other satellites, to internet and other VPN targets

この設定は、［Community Properties］>［VPN Advanced］>［VPN Routing］ページ

で確認できます。

図 12-7 暗黙的 MEP

暗黙的 MEP

230


• MEPはコミュニティで有効になっていません。

• First to Respond方式が使用されています。

• ゲートウェイXはゲートウェイAを通じてVPNドメインAにアクセスします。

• ゲートウェイXはゲートウェイBを通じてVPNドメインBにアクセスします。

• ゲートウェイXはゲートウェイAまたはBを通じてVPNドメインCにアクセスします。

スター・コミュニティでは、以下の条件が両方とも満たされた場合、RDPパケットがゲートウェイ

に送信されて、初に応答したゲートウェイがルーティングに使用されます。

1. 複数のセンター・ゲートウェイがある。

2. 以下のVPNルーティング・オプションのいずれかが選択されている。

• To center and to other satellites through center

• To center, or through the center to other satellites, to internet and other VPN targets

この設定は、［Community Properties］>［VPN Advanced］>［VPN Routing］ページ

で確認できます。

プライマリ - バックアップ・ゲートウェイ

バックアップ・ゲートウェイによって、プライマリ・ゲートウェイの冗長性が可能になります。プ

ライマリ・ゲートウェイに障害が発生した場合、接続はバックアップに経由されます。

図 12-8では、初のゲートウェイを「プライマリ」として設定し、第2のゲートウェイを「バック

アップ」として設定しています。何らかの理由によってプライマリ・ゲートウェイが使用できなく

なると、リモートVPN-1 Powerピアはリンクがダウンしたことを検出して、バックアップ・ゲー

トウェイへ通信を移行します。バックアップ・ゲートウェイは、プライマリのVPNドメイン全体を

継承します。既存の接続内でのフェイルオーバーはサポートされません。その時点の接続は失われ

ます。

プライマリ・ゲートウェイが復旧した場合、通信中の接続はそのままバックアップ・ゲートウェイを

通じて継続され、新しい接続からプライマリ・ゲートウェイが使用されます。

注：プライマリ - バックアップ・ゲートウェイの選択方式を使用する場合、暗号化ドメイン

を重複させることはできません。

暗黙的 MEP


図 12-8 プライマリ・ゲートウェイを定義した MEP 設定

負荷分散

1つのゲートウェイに接続の過剰な負担がかかることを防止するため、接続をすべてのゲートウェ

イで均等に共有して、負荷を分散することができます。すべてのゲートウェイに同じ優先度（プラ

イマリなし）を設定し、同じVPNドメインに対してMEPを設定した場合、ゲートウェイ間で負荷

を分散できます。ほかのすべてのMEP設定と同様に、ゲートウェイはRDPパケットによってプ

ローブされ、応答するゲートウェイのリストが作成されます。ゲートウェイは、応答するゲート

ウェイのリストからランダムに選択されます。ゲートウェイが応答しなくなると、新しいゲート

ウェイが選択されます（ランダムに）。

一組の発信元 /宛先 IPごとに、新しいゲートウェイがランダムに選択されます。発信元 /宛先 IPが

変わらない場合、接続は選択されたゲートウェイで継続されます。

返信パケットのルーティング

232

返信パケットのルーティング返信パケットを正しくルーティングするために、MEP設定のゲートウェイは、以下のいずれかを使

用できます。

• IPプールNAT（静的NAT）

• RIM（Route Injection Mechanism）

IP プール NAT（Network Address Translation）IPプールNATはNATの一種ですが、リモートVPNドメインから取得した送信元 IPアドレスが、登

録された IPアドレス・プールから取得した IPアドレスにマッピングされます。MEP設定のゲート

ウェイを使用して対称型のセッションを維持するため、MEP設定のゲートウェイは IPアドレス範

囲を使用してNATを実行します。この IPアドレス範囲は、そのゲートウェイ専用の範囲であり、内

部ネットワーク内で発信元のゲートウェイにルーティングされます。返信パケットがゲートウェイ

に到達すると、ゲートウェイは元の送信元 IPアドレスを復元して、発信元にパケットを転送します。

RIMRIM（Route Injection Mechanism）によって、VPN-1 Powerゲートウェイはダイナミック・ルー

ティング・プロトコルを使用して、VPN-1 Powerピア・ゲートウェイの暗号化ドメインを内部ネッ

トワークに通知できます。VPNトンネルが作成されると、RIMはVPN-1 Powerゲートウェイのロー

カル・ルーティング・テーブルを更新して、VPN-1 Powerピアの暗号化ドメインを追加します。

MEP設定のゲートウェイへのトンネルがダウンした場合、ゲートウェイは、自身のローカル・ルー

ティング・テーブルからその「返信ルート」を削除します。この変更はゲートウェイの後方にある

ルータに配布されます。

RIMは、ローカル・ルーティング・テーブルの更新にはゲートウェイの機能を使用し、ゲートウェ

イの後方にあるネットワークへの変更の配布にはダイナミック・ルーティング・プロトコルを使用

しています。変更の配布にダイナミック・ルーティング・プロトコルを使用できない場合、ゲート

ウェイでRIMを有効にしても意味がありません。

MEPを有効にした場合、コミュニティ全体に対して永続的なトンネルが有効になっている場合にの

み、RIM を有効にできます。 MEP 設定では、First to Respond、Manual set priority list、By VPNdomainメカニズムを使用している場合に、RIMを使用できます。初の2つの選択方法の場合、サ

テライト・ゲートウェイ側からは、1つのトンネルでこれらに接続しているように、センター・ゲー

トウェイが統一された環境に「見えます」。したがって、選択されたMEPゲートウェイだけがルー

トを追加できます。 By VPN domainのMEPでは、すべてのMEPゲートウェイがルートを追加でき

ます。この環境では、MEPゲートウェイの後方にあるルータを正しいゲートウェイにパケットを返

信するように設定する必要があります。

エントリ・ポイントの選択メカニズムがRandom Selectionである場合、RIMは使用できません。

RIMの詳細については、165ページの「ルート挿入メカニズム」を参照してください。

特別な考慮事項


特別な考慮事項 1. センター・ゲートウェイの1つが外部で管理されるゲートウェイである場合、以下のようにな

ります。

• センター・ゲートウェイのVPNドメインは、外部管理ゲートウェイに自動的に継承され

ません。

• RIM設定は、自動的にダウンロードされません。

2. VPN-1 UTM Edgeゲートウェイは、MEPゲートウェイとして設定できませんが、MEP設定の

ゲートウェイには接続できます。

3. DAIPゲートウェイをMEPゲートウェイとして設定するには、DNS解決が必要です。

MEP の設定

234

MEP の設定MEPを設定するには、以下の項目を決定してください。

1. MEPの方式

• 明示的MEP - 220ページの「明示的MEP」を参照してください。

• 暗黙的MEP - 228ページの「暗黙的MEP」を参照してください。

2. 応答パケットを返信する方式（必要に応じて）

• IPプールNAT

• RIM - RIMを設定するには、174ページの「RIMの設定」を参照してください。

明示的 MEP の設定

明示的MEPは、複数のセンター・ゲートウェイが定義されたサイト間スター VPNコミュニティで

のみ使用できます。 MEPを設定するには、以下の手順に従います。

1. ［Star Community properties］>［Advanced Settings］>［MEP（Multiple Entry Point）］を

選択します。［Enable center gateways as MEP］を選択します。

MEP の設定


2. エントリ・ポイント・メカニズムを以下から選択します。

• 初に応答

• VPNドメイン別

• ランダム選択

• 手動による優先度リスト

「VPNドメイン別」または「手動設定の優先度リスト」を選択する場合、［Advanced］をクリック

して、同じ優先度を持つ複数のゲートウェイから1つのゲートウェイを選択する方法を指定する必

要があります。

「手動設定の優先度リスト」を選択する場合、［Set］をクリックして一連のMEPルールを

設定します。

3. 必要に応じて、トラッキング・オプションを選択します。

暗黙的 MEP の設定

重複する暗号化ドメインで初に応答したゲートウェイ

複数のゲートウェイが同じ（重複する）VPNドメインに接続する場合、リモートVPNピアはこれ

らのゲートウェイはMEPであると判断し、プロービング・プロトコルに応答した初のゲートウェ

イが選択されます。初に応答を設定するには、すべてのゲートウェイによって共有されるネット

ワークの部分を1つのグループとして定義して、このグループをVPNドメインとして割り当てます。

重複するすべての暗号化ドメインを表示するには、vpn overlap_encdomコマンドを使用します。詳

細については615ページの「VPNコマンドライン・インタフェース」を参照してください。

各ゲートウェイ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。次に、すべてのゲー

トウェイに対して、VPNドメインを定義します（これらの一部は重複します）。

MEP の設定

236

プライマリ - バックアップ

1. ［Global Properties］ウィンドウを開き、［VPN］>［Advanced］ページで、［Enable Backup Gateway］を選択します。

2. ネットワーク・オブジェクト・ツリーの［Groups］セクションで、バックアップ・ゲート

ウェイとして機能するゲートウェイのグループを作成します。

3. プライマリ・ゲートウェイとして選択するネットワーク・オブジェクトの［Properties］ウィンドウを開き、［VPN］ページで［Use Backup Gateways］を選択します。そして、ド

ロップダウン・ボックスからバックアップ・ゲートウェイのグループを選択します。この設

定により、このゲートウェイは、特定のVPNドメインのプライマリ・ゲートウェイとして動

作します。

4. バックアップ・ゲートウェイに対してVPNを定義します。バックアップ・ゲートウェイには、

独自のVPNドメインがない場合もあります。これらは、単純にプライマリのバックアップと

して機能します。バックアップ・ゲートウェイに独自のVPNドメインがない場合、VPNドメ

インにはそのバックアップ・ゲートウェイだけを組み込む必要があります。

a. バックアップ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。

b. グループまたはバックアップ・ゲートウェイのみを含むネットワークを選択します。

バックアップにVPNドメインが存在する場合、以下の操作を実行します。

a. バックアップ・ゲートウェイの IP アドレスがプライマリの VPN ドメインに含まれていないことを確認します。

b. 各バックアップ・ゲートウェイに対して、ほかのバックアップ・ゲートウェイのVPNド

メインと重複しないVPNドメインを定義します。

5. 必要に応じて、返信パケットを処理する IPプールNATまたはRIMを設定します。IPプール

NATを設定するには、237ページの「IPプールNATの設定」を参照してください。RIMを設

定するには、174ページの「RIMの設定」を参照してください。

負荷分散

1. ［Global Properties］ウィンドウを開き、［VPN］>［Advanced］ページで、［Enable load distribution for Multiple Entry Point configurations (Site to Site connections)］を選択し

ます。このオプションをオンにすると、MEP設定の環境で、MEP設定のゲートウェイがリ

モートVPN-1 Powerピアによってランダムに選択されます。

2. すべてのゲートウェイに対して、同じVPNドメインを定義します。

注：プライマリ・ゲートウェイの VPN ドメインとバックアップ・ゲートウェイの VPN ドメ

インに、重複がないようにしてください。つまり、両方に属する IP アドレスは存在できま

せん。

MEP の設定


IP プール NAT の設定

IPプールNATを設定するには、以下の手順に従います。

1. ［Global Properties］>［NAT］ページで、［Enable IP Pool NAT］を選択します。

2. アドレスの使用状況、アドレスの割り当て /解放についてのトラッキング・オプションを設定

します。

3. 各ゲートウェイについて、そのゲートウェイの IPプールNATアドレスを示すネットワーク・

オブジェクトを作成します。 IPプールとして、ネットワーク、グループ、またはアドレス範

囲を指定できます。以下に例を示します。

• ネットワーク・オブジェクト・ツリーで［Network Objects］ブランチを右クリックし、

［New］>［Address Range...］を選択します。［Address Range Properties］ウィンドウ

が開きます。

• ［General］タブで、アドレス範囲の初の IPと後の IPを入力します。

• ［OK］をクリックします。ネットワーク・オブジェクト・ツリーの［Address Ranges］ブランチに、新しいアドレス範囲が表示されます。

4. IPプールNAT変換を実行するゲートウェイ・オブジェクトで、［Gateway Properties］ウィ

ンドウを開き、［NAT］>［IP Pool NAT］ページで、以下のいずれかを選択します。

• ［Allocate IP Addresses］。作成したアドレス範囲を選択します。

• ［Define IP Pool addresses on gateway interfaces］。このオプションを選択する場合、

［Interface Properties］ウィンドウの［IP Pool NAT］タブで、必要なインタフェースご

とに IPプールを定義する必要があります。

5. ［IP Pool NAT］ページで、以下のいずれか（またはすべて）を選択します。

• Use IP Pool NAT for VPN clients connections

• Use IP Pool NAT for gateway to gateway connections

• Prefer IP Pool NAT over Hide NAT

6. ［Advanced...］をクリックします。

• 未使用のアドレスが IPプールに返却されるまでの待機時間を分単位で指定します。

• ［OK］を2回クリックします。

7. 各内部ルータのルーティング・テーブルを編集して、NATプールから割り当てられた IPアド

レスを持つパケットが適切なゲートウェイにルーティングされるようにします。

MEP の設定

238

239

第章13トラディショナル・モードVPN

この章の構成

トラディショナル・モードVPNについて 240ページ

VPNドメインと暗号化ルール 241ページ

VPNプロパティの定義 243ページ

内部管理および外部管理されるゲートウェイ 244ページ

VPN作成の考慮事項 245ページ

トラディショナル・モードVPNの設定 246ページ

トラディショナル・モード VPN について

240

トラディショナル・モード VPN についてシンプル・モードでは、単純でエラーが少なく、より安全性の高いVPNを作成して維持することが

できます。また、組織のVPNトポロジや、誰と誰が通信できるのかを簡単に理解できます。さらに

VPNルーティングなどの新しいVPN機能は、シンプル・モードのセキュリティ・ポリシーのみで

サポートされます。

ただし、大規模なVPN導入環境で複雑なネットワークを使用している組織の場合は、ポリシーをシ

ンプル・モードに移行できるまで、既存のVPN定義を維持してトラディショナル・モードを継続し

て使用することを選択できます。

トラディショナル・モードVPNをシンプル・モードに変換する方法については、621ページの「旧

来のポリシーからコミュニティ・ベースのポリシーへの変換」を参照してください。

VPN ドメインと暗号化ルール

第 13 章トラディショナル・モード VPN 241

VPN ドメインと暗号化ルール図 13-1では、ゲートウェイ間のVPNと、各ゲートウェイのVPNドメインを示しています。Net_AとNet_Bは、ゲートウェイ1のVPNドメイン、Net_Dはゲートウェイ2のVPNドメイン、Net_Eは

ゲートウェイ3のVPNドメインです。

図 13-1 ゲートウェイ間の VPN と各ゲートウェイの暗号化（VPN）ドメイン

表 13-1に、VPNをルール内で実装する方法を示します。 VPNトラディショナル・モードでは、暗号

化ルール・アクションが定義された1つのルールで、アクセス制御と暗号化の両方に対応します。

暗号化ルールに一致する接続は、ポリシーを適用するゲートウェイによって、暗号化（または復号

化）されて転送されます。

表 13-1 トラディショナル・ルール・ベースでの暗号化ルールの例

SOURCE DESTINATION SERVICE ACTIOIN TRACK INSTALL ON

Net_ANet_E

Net_ANet_E

My_Services Encrypt Log Gateway 1Gateway 3

VPN ドメインと暗号化ルール

242

接続が暗号化ルールに一致しても、暗号化されない場合もあります。以下のルールを考えてみます。

1. 発信元または宛先がVPN-1 Powerゲートウェイの内側にあり、ゲートウェイのVPNドメイン

に含まれていない場合、接続は破棄されます。

図 13-1と表 13-2を参照してください。たとえば、送信元XがNet_Cにあり、送信先YがNet_Dにある場合、ゲートウェイ1によって接続が破棄されます。これは、アクションが暗号化を要

求しても、発信元がゲートウェイ1のVPNドメインに含まれていないために、接続の暗号化が

できないからです。

2. 発信元と宛先が同じゲートウェイのVPNドメインにある場合、接続は暗号化されずに確立さ

れます。

図 13-1と表 13-2を参照してください。たとえば、送信元XがNet_Aにあり、送信先YがNet_Bにある場合、Xから送信された接続要求がゲートウェイに到達し、このゲートウェイによって

応答メッセージがYに転送されます。この場合、接続の復号化を実行できるゲートウェイがY側にないため、この接続は暗号化されません。SmartView Trackerログには、「Both endpointsare in the Encryption Domain」というメッセージが記録されます。

表 13-2 暗号化が実行されない暗号化ルール

SOURCE DESTINATION SERVICE ACTIOIN TRACK INSTALL ON

X Y My_Services Encrypt Log Policy Targets

VPN プロパティの定義


VPN プロパティの定義同じゲートウェイの間で、さまざまな暗号化方式を使用できます。 2つのゲートウェイの間で、異

なる方式を使用して、接続ごとに暗号化を実行できます。これは、暗号化ルールごとに異なる IKEフェーズ IIプロパティを定義できるからです。

IKEフェーズ Iプロパティは、ゲートウェイごとに定義します。

内部管理および外部管理されるゲートウェイ

244

内部管理および外部管理されるゲートウェイVPNトンネルの両端にあるゲートウェイは、同じSmartCenterサーバで管理することも、異なる

SmartCenter サーバで管理することもできます。同じSmartCenter サーバによって管理される

VPN-1 Powerゲートウェイは、内部ゲートウェイと呼ばれます。異なるSmartCenterサーバによっ

て管理される場合は、外部ゲートウェイと呼ばれます。

通信相手のVPN-1 Powerゲートウェイが外部である場合、相手側の管理者からゲートウェイの詳

細情報を取得して、SmartDashboardでこれらを設定する必要があります。

VPN 作成の考慮事項


VPN 作成の考慮事項さまざまな方法でVPNを設定できます。設定を始める前に、以下のような幾つかの問題を考慮する

必要があります。

認証方式の選択

VPN-1 PowerゲートウェイによってVPNトンネルを作成する場合は、相互の認証を行う必要があ

ります。この認証は、証明書またはプリシェアード・シークレットによって実行されます。証明書

の方が強力な認証方式と考えられています。

認証局の選択

ゲートウェイで証明書を使用する場合、SmartCenterサーバの ICA（内部認証局）またはサード・

パーティのOPSEC認定の認証局から証明書が発行されます。

内部認証局を使用すると、サイト間VPNやリモート・アクセスVPNなどのチェック・ポイント・

アプリケーションでも、非常に簡単にPKIを利用できるようになります。ただし、管理者は、セキュ

リティで保護された電子メールやディスクの暗号化など、一般的な用途のために組織内ですでに使

用されているCAを引き続き使用したいことがあります。

ゲートウェイを内部で管理して認証のために証明書を使用する場合、内部CAによって署名された

証明書を両方のゲートウェイで使用することがも簡単な方法です。

トラディショナル・モード VPN の設定

246



トラディショナル・モード・ポリシーの編集

既存のトラディショナル・モード・ポリシーは、トラディショナル・モードで開きます。新しいト

ラディショナル・モード・ポリシーを開始するには、以下の手順に従います。

1. ［Global Properties］ウィンドウの［VPN］ページで、［Traditional mode to all new Security Policies］または［Traditional or Simplified per new Security Policy］を選択し

て、ポリシーを保存します。

［Traditional or Simplified per new Security Policy］を選択した場合、以下の手順に従います。

2. ［File］メニューから［New］を選択します。［New Policy Package］ウィンドウが開きます。

3. 新規のポリシー・パッケージに名前を付けます。

4. ［Security and Address Translation］を選択します。

5. VPN設定方式領域で、［Traditional mode］を選択して［OK］ボタンをクリックします。

セキュリティ・ポリシー・ルール・ベースで、使用可能なアクションの1つが［Encrypt］である

ことに注意してください。

トラディショナル・モード・ポリシーの編集 246ページ

ICA証明書を使用した内部ゲートウェイ間のVPN設定 247ページ

サード・パーティのCA証明書を使用した内部ゲートウェイ間のVPN 248ページ

証明書を使用した外部管理ゲートウェイとのVPN設定 249ページ

プリシェアード・シークレットを使用したVPN設定 251ページ



ICA 証明書を使用した内部ゲートウェイ間の VPN 設定

ゲートウェイの定義

1. VPNの構成要素となるゲートウェイごとに、チェック・ポイント・ゲートウェイ・オブジェ

クトを定義します。ネットワーク・オブジェクト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

2. チェック・ポイント・ゲートウェイ・オブジェクトの［General Properties］ページで、

［VPN］カラムを選択します。

3. ［Communication］ウィンドウで、SIC（Secure Internal Communication）を確立します。

4. ［Topology］ページで、各ゲートウェイ・インタフェースに対して、IPアドレス、ネット

ワーク・マスク、偽装対策を定義します。

5. さらに［Topology］ページで、［VPN Domain］を定義します。この場合、以下のいずれか

を選択します。

• All IP Addresses behind gateway based on Topology information

• Manually defined。ドロップダウン・リストから既存のネットワークやグループを選択す

るか、［New...］をクリックしてマシンまたはネットワークの新規グループを作成します。

6. ［VPN］ページの［Certificate List］領域にある［Add］をクリックし、ICAによって発行さ

れた証明書を追加します。

7. ［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

• ［Support authentication methods］領域で、［Public Key Signatures］を選択します。 ICAによって発行された証明書だけをゲートウェイで使用するには、［Specify］をクリッ

クして ICAを選択します。

• IKEフェーズ I暗号化方式とデータの完全性チェック方式を選択するか、オンになってい

るデフォルト設定を受け入れます。

暗号化ルールの定義

8. セキュリティ・ルール・ベースで、暗号化ルールを定義します。

9. このルールの IKEフェーズ IIプロパティを変更する場合は、［Encrypt］アクションをダブル

クリックし、必要に応じて値を変更します。


248

サード・パーティの CA 証明書を使用した内部ゲートウェイ間の VPN

1. CA証明書を取得し、認証局（CA）オブジェクトを定義します。詳細については、71ページ

の「認証局での登録」を参照してください。


2. チェック・ポイント・ゲートウェイ・オブジェクトを定義します。ネットワーク・オブジェ

クト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

3. ［General Properties］ページで、任意の［VPN］カラムを選択します。







• またはManually defined。ドロップダウン・リストから既存のネットワークやグループを

選択するか、［New...］をクリックして新規のネットワークまたはグループを作成します。

7. ［VPN］ページの［Certificate List］領域にある［Add］ボタンをクリックし、手順 1で定義

した認証局によって発行された証明書を追加します。詳細については、71ページの「認証局

での登録」を参照してください。


• ［Support authentication methods］領域で、［Public Key Signatures］を選択します。

手順 1で指定したCAによって発行された証明書だけをゲートウェイで使用するには、

［Specify］をクリックしてCAを選択します。



9. VPNの構成要素となるゲートウェイごとに、手順 2から手順 8までを繰り返します。







証明書を使用した外部管理ゲートウェイとの VPN 設定

相手側の管理者からの情報取得

通信先の管理者から、外部管理ゲートウェイのゲートウェイ・トポロジとVPNドメイン情報を取得

します。

また、相手側の管理者と、VPNの認証、暗号化、データ完全性チェック方式について合意する必要

があります。

相手側の管理者、または相手側のCAから直接的に、相手側のCA証明書を取得する必要もあります。

CA の定義 1. CA証明書を取得して、内部管理ゲートウェイに対して、CA（認証局）オブジェクトを作成

します。詳細については、71ページの「認証局での登録」を参照してください。

2. 外部管理ゲートウェイに対してCAオブジェクトを定義し、相手側のCA証明書を使用してこ

れを設定します。

内部管理ゲートウェイの定義

3. チェック・ポイント・ゲートウェイ・オブジェクトを作成します。ネットワーク・オブジェ

クト・ツリーで右クリックして、［New］>［Check Point］>［Gateway...］を選択します。

4. ［General Properties］ページで、任意の［VPN］カラムを選択します。







• Manually defined。ドロップダウン・リストから既存のネットワークやグループを選択

するか、［New...］をクリックして新規のネットワークまたはグループを作成します。

8. ［VPN］ページの［Certificate List］領域にある［Add］ボタンをクリックし、手順 1で定義

した認証局によって発行された証明書を追加します。詳細については、71ページの「認証局



• ［Support authentication methods］領域で、［Public Key Signatures］を選択します。

手順 1で指定したCAによって発行された証明書だけをゲートウェイで使用するには、

［Specify］をクリックしてCAを選択します。


250



10. 内部管理ゲートウェイごとに、手順 3から手順 9までを繰り返します。

外部管理ゲートウェイの定義

11. 外部管理ゲートウェイ・オブジェクトを作成するには、以下の手順に従います。

• チェック・ポイント・ゲートウェイである場合、［Network Objects］ツリーで右クリッ

クして、［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

• チェック・ポイント・ゲートウェイではない場合は、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択します。

12. 外部チェック・ポイント・ゲートウェイだけの場合は、［General Properties］ページで、

［VPN］を選択します。

13. 相手側の管理者が提供したトポロジ情報を使用して、［Topology］ページで、各ゲートウェイ・

インタフェースの IPアドレスとネットワーク・マスクを手動で定義します。

14. 相手側の管理者が提供したVPNドメイン情報を使用して、［Topology］ページの［VPN Domain］セクションでVPNドメインを定義します。［All IP Addresses behind gateway based on Topology information］を選択するか、手動でマシンのグループまたはネット

ワークを定義し、これらをVPNドメインとして設定します。

15.［VPN］ページで、［Traditional mode configuration］をクリックします。［Traditional mode IKE properties］ウィンドウが開きます。

• IKEフェーズ I暗号化方式とデータの完全性チェック方式（ピア・ゲートウェイの管理者

と合意したもの）を選択するか、デフォルトを受け入れます。

• ［Support authentication methods］領域で、［Public Key signatures］を選択します。

16.［VPN］ページで、［Matching Criteria...］をクリックします。［Certificate Matching Criteria］ウィンドウが開きます。このウィンドウの設定によって、外部管理ゲートウェイに

定義されたCAの証明書の提示を強制し、証明書の詳細情報とここで指定した情報が一致する

ことが要求されます。この処理は、IKEネゴシエーション中に内部管理ゲートウェイによって

実行されます。







プリシェアード・シークレットを使用した VPN 設定

プリシェアード・シークレットを使用してゲートウェイを認証する場合、VPN内の各ゲートウェイを

プリシェアード・シークレットに対応できるようにする必要があります。次に、各ゲートウェイで、

ほかの各ゲートウェイに対するプリシェアード・シークレットを定義します。ただし、ゲートウェイ

の各ペアに対しては、片方のゲートウェイのペアについてのプリシェアード・シークレットを定義

するだけです。

たとえば、A、B、C、Dの4つのゲートウェイがあるVPNでは、A-B、A-C、A-D、B-C、B-D、C-Dの6つの秘密情報を使用します。

• Aでは、B、C、Dに対する秘密情報を定義します。

• Bでは、CとDに対する秘密情報を定義します。

• Cでは、Dに対する秘密情報を定義します。

VPN-1 Powerの内部管理ゲートウェイ、外部管理ゲートウェイのいずれの場合でも、以下の手順に

従います。外部管理ゲートウェイを使用する場合、相手側である外部ゲートウェイの管理者は、自

身が管理するゲートウェイを適切に設定する必要があります。

相手側の管理者からの情報取得

外部管理ゲートウェイを使用する場合は、外部ゲートウェイのトポロジとVPNドメイン情報を相手

側の管理者から取得します。

また、相手側の管理者と、VPNのプリシェアード・シークレット、認証、暗号化、データ完全性

チェック方式について合意する必要があります。


1. ゲートウェイ・オブジェクトを定義します。

• ゲートウェイが内部ゲートウェイである場合、チェック・ポイント・ゲートウェイ・

オブジェクトを定義します。ネットワーク・オブジェクト・ツリーで右クリックして、

［New］>［Check Point］>［Gateway...］を選択します。

• ゲートウェイが外部管理である場合、以下の手順に従います。

• チェック・ポイント・ゲートウェイの場合、［Network Objects］ツリーで右クリッ

クし、［New］>［Check Point］>［Externally Managed Gateway...］を選択します。

• チェック・ポイント・ゲートウェイではない場合は、［Manage］>［Network Objects...］>［New...］>［Interoperable Device...］を選択します。

注：内部管理メンバの 1 つが NG FP3 よりも前のバージョンである場合、コミュニティ内の

外部管理 VPN-1 Power 実施モジュール用に定義したプリシェアード・シークレットはサ

ポートされません。


252

2. 内部管理ゲートウェイまたはチェック・ポイント外部管理ゲートウェイに対して、ゲート

ウェイ・オブジェクトの［General Properties］ページで、［VPN］カラムを選択します。

3. 内部管理ゲートウェイだけの場合は、［Communication］ウィンドウで、SIC（Secure Internal Communication）を確立します。



5. さらに［Topology］ページで、［VPN Domain］を定義します。この場合、以下のいずれかを

選択します。


• Manually defined。ドロップダウン・リストから既存のネットワークやグループを選択す

るか、［New...］をクリックしてマシンまたはネットワークの新規グループを作成します。


• ［Support authentication methods］領域で［Pre-shared Secret］を選択して、［Edit Secrets...］をクリックします。プリシェアード・シークレットをサポートするピア・

ゲートウェイのみがリストに表示されます。

• 各ピア・ゲートウェイに対して、秘密情報を入力します。


るデフォルトを受け入れます。

7. VPNの構成要素となるゲートウェイごとに、手順 1から手順 6までを繰り返します。





リモート・アクセス VPN

255

第章14リモート・アクセス VPN の概要

この章の構成

リモート・アクセスVPNの必要性 256ページ

リモート・アクセス用のチェック・ポイント・ソリューション 257ページ

リモート・アクセス用VPNの考慮事項 265ページ

リモート・アクセス用VPNの設定 268ページ

リモート・アクセス VPN の必要性

256

リモート・アクセス VPN の必要性ユーザが遠隔地から組織にアクセスする場合、リモート・クライアントは、接続の安全性を確保す

るだけではなく、以下のような特殊な問題にも対応する必要があります。

• リモート・アクセス・クライアントの IPが不明な場合。

• リモート・アクセス・クライアントが、日中の就業時間は企業LANに接続詞、夜間は何らか

のNATデバイスの後方にあると思われるホテルのLANに接続する場合。

• リモート・クライアントが、ワイヤレス・アクセス・ポイントから企業LANに接続する必要

がある場合。

• 通常、リモート・クライアント・ユーザがオフィス外に出ると、リモート・クライアントは

社内のセキュリティ・ポリシーで保護されなくなります。リモート・アクセス・クライアン

トがインターネットの脅威にさらされるだけではなく、クライアントを通じて企業ネット

ワークが攻撃を受ける可能性もあります。

これらの問題を解決するために、ネットワークへのリモート・アクセスをセキュリティで適切に保

護するセキュリティ・フレームワークが求められています。

リモート・アクセス用のチェック・ポイント・ソリューション

第 14 章リモート・アクセス VPN の概要 257



チェック・ポイントのリモート・アクセスVPNソリューション、VPN-1 SecuRemoteを使用する

と、リモート・ユーザと組織の内部ネットワークの間でVPNトンネルを確立できます。 VPNトン

ネルでは、以下のことを保証します。

• 標準的な認証方式による認証

• データの暗号化によるプライバシー保護

• 業界標準の完全性保証方式による完全性

SecuRemote/SecureClientは、VPNの機能をリモート・ユーザまで広げることで、LAN、ワイヤレ

スLAN、さまざまなダイヤルアップ接続（ブロードバンドを含む）を使用して、ユーザが安全に

VPNトンネルで重要な情報をネットワークやサーバに送信できるようにします。ユーザは、VPN-1Powerゲートウェイの内部データベースまたは外部LDAPサーバのいずれかで管理します。

SecuRemoteユーザを認証した後、安全で透過的な接続が確立されます。

SecuRemoteは、以下の製品で使用できます。

• VPN-1 Powerゲートウェイ

• VPN-1 UTM Edgeゲートウェイ

リモート・ユーザとゲートウェイ間での接続の確立 259ページ

リモート・アクセス・コミュニティ 260ページ

リモート・アクセス・コミュニティに対するアクセス制御 261ページ

リモート・クライアントに対するネットワーク要素の識別 260ページ

クライアント -ゲートウェイ認証スキーム 262ページ

高度な機能 264ページ


258

SecureClient の拡張機能による SecuRemote の機能強化

SecureClientは、以下の機能を追加することで、SecuRemoteの機能を拡張するリモート・アクセ

ス・クライアントです。

• セキュリティ機能

• 接続機能

• 管理機能

セキュリティ機能• デスクトップ・セキュリティ・ポリシー（399ページの「デスクトップ・セキュリティ」を参照）

• ログと警告

• SCV（Secure Configuration Verification）（427ページの「SCV（Secure Configuration Verification）」を参照）

接続機能• オフィス・モード・アドレス（283ページの「オフィス・モード」を参照）

• ビジター・モード（581ページの「接続性の問題の解決」を参照）

• ハブ・モード（468ページの「ハブ・モード（リモート・クライアントのVPNルーティング）」

を参照）

管理機能• ソフトウェアの自動配布（389ページの「SecureClientのパッケージング」を参照）

• 高度なパッケージ機能 /配布オプション（389ページの「SecureClientのパッケージング」を

参照）

• 診断ツール



リモート・ユーザとゲートウェイ間での接続の確立

VPN-1 Powerゲートウェイで保護されたネットワーク・リソースにアクセスできるようにするた

め、VPNトンネルの確立プロセスが開始されます。ピア間で IKE（Internet Key Exchange）ネゴシ

エーションが実行されます。

IKEネゴシエーションで、ピアの IDが認証されます。ゲートウェイによってユーザの IDが検証さ

れ、クライアントによってゲートウェイの IDが検証されます。認証は、ICA（内部認証局）が発行

したデジタル証明書など、幾つかの方式で実行できます。また、サード・パーティのPKIソリュー

ション、プリシェアード・シークレット、またはサード・パーティの認証方式（SecurIDやRADIUSなど）でも認証できます。

IKEネゴシエーションが正常に完了した後、安全な接続（VPNトンネル）がクライアントとゲート

ウェイの間で確立されます。クライアントとゲートウェイのVPNドメイン（ゲートウェイの後方に

あるLAN）を結ぶすべての接続は、IPSec標準によって、VPNトンネル内で暗号化されます。何ら

かの方式で認証するようにユーザが指示される場合を除いて、VPNの確立プロセスは透過的に実行

されます。

図 14-1 リモートからゲートウェイへ

図 14-1の場合、リモート・ユーザがゲートウェイ1への接続を開始します。ユーザ管理は、VPNデータベースではなく、VPNサイト2のLDAPサーバで実施されます。認証は、IKEネゴシエーショ

ン中に実行されます。ゲートウェイ1は、ゲートウェイ2の後方にあるLDAPサーバでクエリを実

行してユーザの存在を検証します。ユーザの存在が確認されると、次にゲートウェイはユーザ証明

書の検証などでユーザを認証します。 IKEが正常に完了すると、トンネルが作成され、リモート・

クライアントがホスト1に接続します。

クライアントがゲートウェイの後方にある場合（たとえば、ユーザがオフィスから企業LANにアク

セスしている場合）、クライアントからLANゲートウェイの後方にある宛先への接続は暗号化され

ません。


260


チェック・ポイント・リモート・アクセス・コミュニティでは、リモート・ユーザのグループと

VPN-1 Powerゲートウェイを結ぶVPNを短時間で設定できます。リモート・アクセス・コミュニ

ティは、VPN-1 Powerゲートウェイとリモート・ユーザの間で安全な通信を定義する仮想エンティ

ティです。リモート・ユーザとゲートウェイのVPNドメイン間のすべての通信は、SmartDashboardの［Global Properties］ページでリモート・アクセス通信に対して定義したパラメータに従って、

セキュリティ（認証と暗号化）で保護されます。

リモート・クライアントに対するネットワーク要素の識別

SecuRemote/SecureClientによってネットワーク・リソースとの暗号化接続を制御するには、組織

の内部ネットワークの要素情報を取得する必要があります。これらの要素はトポロジと呼ばれ、

SmartCenterサーバで管理しているVPN-1 Powerモジュールからダウンロードできます。

サイトのトポロジ情報には、ネットワークの IPアドレスや、同じSmartCenterサーバで管理してい

るほかのゲートウェイのVPNドメインのホスト・アドレスなどがあります。送信先 IPがサイトの

トポロジ内部に含まれている場合、接続はVPNトンネルで確立されます。

ユーザがサイトを作成すると、クライアントは自動的にサイトにアクセスして、トポロジ情報と、

クライアントに対して管理者が定義したさまざまな設定プロパティをダウンロードします。この接

続はセキュリティで保護されており、SSLを通じて IKEによって認証されます。サイトのトポロジ

には検証タイムアウトがあり、その期間を過ぎると、更新されたトポロジがクライアントによって

ダウンロードされます。ネットワーク管理者は、リモート・クライアントに自動トポロジ更新を設

定することもできます。これによって、ユーザの作業は不要になります。

コネクト・モード

リモート・アクセス・クライアントは、コネクト・モードを使用してゲートウェイに接続します。

コネクト・モードで、リモート・ユーザは特定のゲートウェイへのVPNリンクを開始します。これ

以降、ほかのゲートウェイの後方にあるホストに接続する場合は、必要に応じて追加のVPNリンク

が透過的に開始されます。

コネクト・モードには、以下の機能があります。

• オフィス・モード。クライアントとゲートウェイの間のルーティング問題を解決します。

283ページの「オフィス・モード」を参照してください。

• ビジター・モード。ポート443での通常のTCP接続で、クライアントとゲートウェイ間の全

トラフィックをトンネル化する必要がある場合に使用します。

• ゲートウェイによる全トラフィックのルーティング（ハブ・モード）。高いレベルのセキュリ

ティと接続性を実現します。



• 自動接続。アプリケーションがゲートウェイの後方にあるホストに接続を開始しようとする

と、ユーザはそのゲートウェイへのVPNリンクを開始するように指示されます。たとえば、

電子メール・クライアントがゲートウェイXの後方にある IMAPサーバにアクセスしようとす

ると、ユーザはこのゲートウェイへのトンネルを開始するようにSecureClientから指示され

ます。

• ユーザ・プロファイル（場所プロファイル）。261ページの「ユーザ・プロファイル」を参照


ユーザ・プロファイル

モバイル・ユーザは、接続に関してさまざまな問題に直面します。たとえば、午前中はパートナー

企業のLANに接続し、夜は滞在しているホテルで何らかのNATデバイスに保護されているLANに

接続します。

これらの変化する接続条件に対処するため、異なるユーザ・プロファイルを使用します。ユーザが

自分自身のプロファイルを作成するか、ネットワーク管理者がユーザに代わって複数のプロファイ

ルを作成します。管理者がプロファイルを作成した場合、ユーザがサイト・トポロジを更新すると

きにプロファイルがクライアントにダウンロードされます。ユーザは、リストから使用するプロ

ファイルを選択します。たとえば、NATデバイスに対応できるようにUDPカプセル化を有効にす

るプロファイル、または、リモート・クライアントがポート443でVPN接続をトンネル化する必要

がある場合にビジター・モードを有効にするプロファイルなどです。デスクトップ・セキュリティ・

ポリシーのダウンロードに使用するポリシー・サーバも、プロファイルに指定されます。

リモート・アクセス・コミュニティに対するアクセス制御

通常、管理者は、ネットワークとのアクセスを制御するために、幾つかのルールを定義する必要が

あります。リモート・アクセス・コミュニティに属するリモート・アクセス・クライアントの場合も

同様です。リモート・クライアントがゲートウェイを通じて内部ネットワークにアクセスする場合は、

そのアクセス方法を制御するために、ポリシー・ルールを作成する必要があります（コミュニティ

のメンバになっても、ネットワークへのアクセス権が自動的に与えられるわけではありません）。

ゲートウェイのセキュリティ・ポリシー・ルール・ベースで、アクセス制御、つまり、接続を許す

かどうかを定義します。接続を暗号化するかどうかは、コミュニティで決定します。発信元と宛先

の両方が同じコミュニティに属す場合は接続が暗号化され、それ以外の場合は暗号化されません。

たとえば、FTP接続を許可するルールを考えてみましょう。ルールに一致した接続がコミュニティ

のメンバ間で確立される場合、接続は暗号化されます。接続が同じコミュニティのメンバ間ではな

い場合、この接続は暗号化されません。

ゲートウェイのセキュリティ・ポリシーは、ゲートウェイの後方にあるリソースへのアクセスを制

御し、VPN-1 Powerゲートウェイとその後方にあるネットワークを保護します。リモート・クライ

アントはゲートウェイの後方にないので、ゲートウェイのセキュリティ・ポリシーでは保護されま

せん。 SecureClientによるリモート・アクセスは、デスクトップ・セキュリティ・ポリシーで保護

できます。399ページの「デスクトップ・セキュリティ」を参照してください。


262

クライアント - ゲートウェイ認証スキーム

認証は、ゲートウェイとリモート・クライアントの間で安全な通信チャネルを確立する上で重要な

要素となっています。以下のようなさまざまな認証方式を使用できます。

• デジタル証明書

• プリシェアード・シークレット

• その他の認証方式（ハイブリッド・モードで使用可能）

デジタル証明書

デジタル証明書は管理が簡単であり、も推奨される認証方式です。通信を行う両者が、身元を証

明する手段として証明書を提示します。両者は、相手側の証明書が有効であることを検証します

（信頼済みの既知のCAによって署名されており、証明書が期限切れまたは無効になっていないこと

を検証します）。

デジタル証明書は、チェック・ポイントの内部認証局またはサード・パーティのPKIソリューショ

ンによって発行されます。チェック・ポイントの ICAはVPNと密接に統合されており、リモート・

アクセスVPNを設定する場合はも簡単に使用できます。ICAは、VPN-1 Powerゲートウェイ（自

動的）とリモート・ユーザ（生成または開始）の両方に証明書を発行できます。

ICA を使用して証明書を生成し、「ネットワークを使用せずに」ユーザに送ります。または、

SmartCenterサーバで証明書の生成プロセスを開始します。このプロセスは、ユーザによって個別

に完了されます。また管理者は、ICA管理ツールで証明書の生成を開始できます（ユーザをLDAPサーバで定義している場合は、これが唯一のオプションです）。

VPN-1 Powerゲートウェイとリモート・ユーザ間の認証の証明書を作成する場合、サード・パー

ティの認証局を使用することもできます。サポートされている証明書の形式は、PKCS#12、CAPI、およびEntrustです。

ユーザに、証明書を保存するためのハードウェア・トークンを提供することもできます。このオプ

ションの場合、秘密鍵はハードウェア・トークンだけに存在するので、高いレベルのセキュリティ

を実現できます。

IKEネゴシエーションの証明書検証プロセスの一環として、クライアントとゲートウェイが互いに

相手側の証明書を証明書を発行したCAのCRL（証明書失効リスト）と照合します。クライアント

がCRLを取得できない場合、ゲートウェイはクライアントの代わりにCRLを取得して、IKEネゴシ

エーション中にこのCRLをクライアントに転送します（CRLは、セキュリティのためCAによって

デジタル署名されています）。



プリシェアード・シークレット

この認証方式は、仕組みが簡単という利点がありますが、証明書と比べると安全性が劣ります。通信する両者は、VPNを確立する前にパスワードについて合意します。パスワードは「ネットワーク

外」で交換され、何度も再利用されます。認証プロセス中に、合意したパスワードを相手側が知っ

ているかどうか、クライアントとゲートウェイの両側で検証されます。

ハイブリッド・モードで使用可能なその他の認証方式

さまざまな組織が、さまざまなユーザ認証方式を使用しており、リモート・アクセスでもこれらの

方式を使用できることが望まれています。ハイブリッド・モードは、この要求に対応する、非対称

な形式で認証を使用できる IKEモードです。ハイブリッド・モードの場合、ユーザは以下に示した

方式のいずれかを使用して、ゲートウェイを認証します。ゲートウェイはその応答として、強力な

証明書ベースの認証を使用して、クライアントに対して自身の身元を証明します。ハイブリッド・

モードで使用可能な認証方式は、VPNの通常のユーザ認証ですべてサポートされます。

• ワン・タイム・パスワード－ユーザは、Security Dynamics SecurIDカードに表示された番

号を入力するように指示されます。 SecurID認証スキームには、スキーム固有のパラメータは

ありません。VPN-1 Power実施モジュールは、ACE/Agent 5.0として動作します。エージェン

ト設定用です。

SoftID（RSAのSecurIDのソフトウェア版）およびその他のさまざまなワン・タイム・パ

スワード・カード、およびUSBトークンもサポートされます。

• VPN-1 Powerパスワード－ユーザは内部VPN-1 Powerパスワードを入力するように指示さ

れます。

• OSパスワード－ユーザは、オペレーティング・システム・パスワードを入力するように指

示されます。

• RADIUS －ユーザは、RADIUSサーバで定義されている正しい情報を入力するように指示さ

れます。

• TACACS －ユーザは、TACACSまたはTACACS+サーバで定義されている正しい情報を入力

するように指示されます。

• SAA － SAAは、SecuRemote/SecureClient用のOPSEC API拡張機能であり、これを使用する

と、生体認証などサード・パーティの認証方式をSecuRemote/SecureClientで使用できます。

証明書またはプリシェアード・シークレットに基づかない認証方式については、『ファイアウォー

ルとSmartDefense』の「認証」を参照してください。

注：［pre-shared secret］タブで設定したパスワードはハイブリッド・モードの IKE で使用

され、プリシェアード・シークレット・モードでは使用されません。プリシェアード・シー

クレット IKE モードは、4.1 クライアントの環境で使用します。


264

高度な機能

リモート・アクセスVPNは、その他にも以下のような高度な機能をサポートします。

• 接続性とルーティングの問題の解決。283ページの「オフィス・モード」と581ページの

「接続性の問題の解決」を参照してください。

• ユーザ /グループごとの IP

• L2TPクライアント

SecuRemote/SecureClient の代替手段

クライアント・ソフトウェアのインストールや保守の手間を避けるために、チェック・ポイントで

はSSL Network Extenderも提供しています。これは、Webブラウザでユーザ・マシンにインストー

ルされる、実装が容易なシン・クライアントです。ブラウザはSSL対応のWebサーバに接続して、

ActiveXコンポーネントとしてシン・クライアントをダウンロードします。インストールは自動的

に実行されます。

リモート・アクセス用 VPN の考慮事項




リモート・アクセスVPNを設計するとき、以下の問題を考慮してください。

リモート・アクセスのポリシー定義

セキュリティ・ポリシー・ルール・ベースには、リモート・ユーザにLANへのアクセス権を付与す

るルールを含める必要があります。どのサービスへのアクセスを許可するかを検討します。制限が

必要なサービスに対しては、セキュリティ・ポリシー・ルール・ベースの明示的なルールで制限し

ます。

ICA を使用したユーザ証明書の作成方法

チェック・ポイントの ICA（内部認証局）では、以下の2つの方法で証明書を作成してリモート・

ユーザに送ることができます。

1. 管理者がSmartCenterサーバでリモート・ユーザの証明書を生成し、リムーバブル・メディア

に保存して、ネットワークを使用せずにクライアントに転送します。

2. 管理者は、SmartCenterサーバ（または ICA管理ツール）で証明書プロセスを開始し、レジス

トレーション・キーを取得します。管理者は、このレジストレーション・キーを「ネット

ワークを使用せずに」ユーザに送信します。クライアントは、CMCプロトコルにより ICAへ

のSSL接続を確立し、レジストレーション・キーを使用して証明書生成プロセスを完了します。この場合、以下の処理が実行されます。

• 秘密鍵がクライアントで生成されます。

• 作成された証明書は、マシンのハードドライブ、CAPIストレージ・デバイス、または

ハードウェア・トークンに、ファイルとして保存できます。

地理的に離れたリモート・ユーザには、この方法が特に適しています。

リモート・アクセスのポリシー定義 265ページ

ICAを使用したユーザ証明書の作成方法 265ページ

内部ユーザ・データベースと外部ユーザ・データベース 266ページ

NTグループ /RADIUSクラス認証機能 267ページ


266

内部ユーザ・データベースと外部ユーザ・データベースリモート・アクセス機能には、柔軟なユーザ管理スキームが含まれています。ユーザをさまざまな

方法で管理できます。

• 内部－ VPN-1 Powerでは、SmartCenterサーバで設定されるユーザごとに、静的なパスワー

ドをローカル・ユーザ・データベースに保存できます。追加のソフトウェアは必要ありません。

• LDAP － LDAPは、複数のベンダーが使用しているオープンな業界標準です。チェック・ポイ

ント製品は、LDAP技術に準拠しています。この準拠によって、以下の操作が可能です。

• LDAPサーバによるユーザの外部管理

• 実施モジュールによるCRLの取得

• ほかのアプリケーションのユーザ情報をLDAPユーザ・データベースに収集して、ほか

の多くのアプリケーションで共有。VPN-1 Powerは、認証の目的でユーザ情報を使用し

ます。

• RADIUS － RADIUS（Remote Authentication Dial-In User Service）は、認証機能をアクセ

ス・サーバから切り離すことで、セキュリティとスケーラビリティを提供する外部認証ス

キームです。

認証スキームとしてRADIUSを採用する場合は、VPN-1 Powerはリモート・ユーザの認証要求

をRADIUSサーバに転送します。ユーザは、ユーザ・アカウント情報を保存しているRADIUSサーバによって認証されます。RADIUSプロトコルでは、UDPを使用してゲートウェイと通信

します。 RADIUSサーバとRADIUSサーバ・グループ・オブジェクトは、SmartDashboardで

定義します。

• ACE/Server（SecurIDトークン管理サーバ） - RSA Securityが開発したSecurIDでは、ユーザ

がトークン認証機能を持ち、PINまたはパスワードを入力する必要があります。トークン認証機

能ではワン・タイム・パスワードが生成され、RSA ACE/Serverと同期されます。トークンは、

ハードウェアまたはソフトウェアの形で使用できます。ハードウェア・トークンはキーホル

ダー型またはクレジット・カード型のデバイスで、ソフトウェア・トークンはPCまたはユーザ

が認証したいデバイスに保存されます。すべてのトークンでは、ランダムな一回限りのアクセ

ス・コードが生成され、これは1分ごとに変化します。ユーザが保護されたリソースの認証を試

行する場合、一回限り有効のコードがACE/Serverによって検証される必要があります。

認証スキームとしてSecurIDを採用する場合は、VPN-1 Powerはリモート・ユーザの認証要求を

ACE/Serverに転送します。 ACEでは、RSAユーザと割り当てられたハード・トークンまたは

ソフト・トークンがデータベースで管理されます。VPN-1 Power実施モジュールはACE/Agent5.0として機能します。つまり、VPN-1 Power実施モジュールは、すべてのアクセス要求を、

認証のためにRSA ACE/Serverに転送します。エージェントの設定については、ACE/Serverのマニュアルを参照してください。



内部データベースでのユーザ管理とSmartDirectory（LDAP）サーバでのユーザ管理には、大きな

違いが2つあります。第1に、SmartDirectory（LDAP）サーバのユーザ管理は外部から実行するこ

とになり、ローカルには実行できません。第2に、SmartDirectory（LDAP）サーバ・テンプレート

は、動的に変更してユーザに適用できます。つまり、ユーザ定義の変更と管理は簡単に実行するこ

とができ、変更は即時または「同時」に反映されます。 SmartDirectory（LDAP）テンプレートに適

用した変更は、このテンプレートを使用している全ユーザにすぐに反映されます。

NT グループ /RADIUS クラス認証機能

認証は、NTグループまたはRADIUSクラスに応じて実行できます。この方法では、リモート・ア

クセス・ユーザは、属しているリモート・アクセス・コミュニティ・グループに応じて認証されます。

注： NT グループのみがサポートされ、Active Directory はサポートされません。

リモート・アクセス用 VPN の設定

268



以下の設定手順は、シンプル・モードで操作することを前提としています。シンプル・モードでは

ない場合、［Policy］>［Global Properties］>［VPN］を選択して、［Simplified mode to all newSecurity Policies］を選択し、新しいセキュリティ・ポリシーを作成します。

リモート・アクセスVPNを確立するには、ゲートウェイ側（SmartCenterサーバ経由）とリモート・

ユーザ側の両方で設定が必要です。

ゲートウェイ側では、管理者は以下の処理を実行する必要があります。

1. ゲートウェイの定義

2. ユーザ管理方法の決定

3. VPNコミュニティとそのメンバの設定

4. セキュリティ・ポリシー・ルール・ベースでの適切なアクセス制御ルールの設定

5. ゲートウェイへのポリシーのインストール

リモート・アクセスVPNの確立 269ページ

LDAPでのユーザと認証方式の定義 271ページ

内部データベースでのユーザ・プロパティと認証方式の定義 271ページ

ICA管理ツールでのユーザ証明書の開始 271ページ

SmartDashboardでのユーザ証明書の生成 272ページ

SmartDashboardでのユーザ証明書の開始 272ページ

サード・パーティ PKIを使用した証明書の設定 273ページ

ハイブリッド・モードの有効化と認証方式 274ページ

NTグループとRADIUSクラスの認証の設定 274ページ

プリシェアード・シークレットの使用 275ページ

LDAPユーザ・グループの定義 275ページ

ユーザ・グループの定義 275ページ

VPNコミュニティとそのメンバの定義 275ページ

アクセス制御ルールの定義 276ページ

ポリシーのインストール 277ページ

ユーザ証明書の管理 277ページ

リモート・アクセスVPNの暗号化プロパティの変更 278ページ

RSAのハード・トークンとソフト・トークンの使用 279ページ



リモート・クライアント側では、ユーザは以下の処理を実行する必要があります。

1. サイトの定義

2. 内部CAへの登録と証明書の取得（必要な場合）

3. サイトへの接続

詳細については、『SecuRemote/SecureClient』を参照してください。

リモート・アクセス VPN の確立

リモート・アクセスVPNを確立する場合の一般的なワークフローを図 14-2に示します。上部の

「ゲートウェイの作成とゲートウェイ・プロパティの定義」から始めて、「ポリシーのインストール」

までたどっていきます。

この図以降のセクションでは、各段階の詳細を手順ごとに説明します。

図 14-2に、リモート・アクセスVPNを確立する場合の一般的なワークフローを示します。


270

図 14-2 リモート・アクセス VPN を確立する場合のワークフロー



ゲートウェイの作成とゲートウェイ・プロパティの定義1. SmartDashboardで、ゲートウェイ・ネットワーク・オブジェクトを作成します。

2. ネットワーク・オブジェクトの［General Properties］ページで［VPN］を選択します。

3. ［Communication...］をクリックして、VPN-1 Power実施モジュールとSmartCenterサーバ

間に、安全な通信チャネルを確立します。

4. ゲートウェイの［Topology］ページで、ゲートウェイのインタフェースとVPNドメインを定

義します。

ゲートウェイに対して、証明書が内部CAによって自動的に発行されます。

LDAP でのユーザと認証方式の定義1. VPN-1 Power実施モジュールによってLDAPサーバから情報を取得できるように、ライセン

スを取得してインストールします。

2. LDAPアカウント・ユニットを作成します。

3. LDAPユーザとしてユーザを定義します。 LDAPユーザ用の新規ネットワーク・オブジェクト

が、ユーザ・ツリーに作成されます（LDAPユーザは、右側にあるオブジェクト・リスト・

ウィンドウにも表示されます）。

詳細については、『SmartCenter』の「SmartDirectory（LDAP）とユーザ管理」を参照してください。

内部データベースでのユーザ・プロパティと認証方式の定義

『SmartCenter』の「SmartCenterの概要」を参照してください。

ICA 管理ツールでのユーザ証明書の開始1. ユーザをダブルクリックして、ユーザのプロパティ・ウィンドウを開きます。［Encryption］

タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。このウィンドウの［Authentication］タブで、［Public Key］を選択します。

2. ICA管理ツールで、ユーザ証明書を開始します。詳細については、『SmartCenter』を参照して

ください。


272

SmartDashboard でのユーザ証明書の生成1. ［User properties］ウィンドウの［Encryption］タブで、［Edit...］をクリックします。［IKE

phase 2 properties］ウィンドウが開きます。［Authentication］タブで、［Public key］を

選択します。

2. ［User Properties］ウィンドウの［Certificates］タブで、［Generate and Save］をクリッ

クします。

3. PKCS #12パスワードを入力して、確認します。

PKCS #12は、ユーザの秘密鍵、証明書などを保存したり転送したりする場合に便利な形式

です。 PKCS #12ファイルとパスワードは、フロッピー・ディスクなどを使用して、「ネット

ワーク外」でユーザに安全に送信する必要があります。

4. ［Global Properties］の［Authentication］ウィンドウで、サフィックスの照合を追加または

無効にします。

証明書のあるユーザの場合、DNに特定のサフィックスがある証明書だけを受け入れるように

指定できます。この機能はデフォルトで有効になっており、この機能が必要になるのは、ユー

ザ名が完全なDNではない場合に限られます。このサフィックスに対して、すべての証明書の

DNが確認されます。

SmartDashboard でのユーザ証明書の開始

リモート・ユーザに対して証明書を生成する代わりに、証明書の生成プロセスを開始するだけで済

みます。このプロセスはユーザによって完了されます。

証明書の作成プロセスを開始するには、以下の手順に従います。

1. ［User properties］ウィンドウの［Encryption］タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。［Authentication］タブで、［Public key］を選

択します。

2. ［User Properties］ウィンドウの［Certificates］タブで、［Initialize］をクリックして、

［Copy to clipboar］を選択します。レジストレーション・キーがクリップボードにコピーさ

れます。

3. テキスト・エディタ（たとえば、メモ帳）を開いて、レジストレーション・キーを貼り付け

ます。

4. このレジストレーション・キーを「ネットワークを使用せずに」ユーザに送ります。




指定できます。この機能はデフォルトで有効になっており、この機能が必要になるのは、ユー

ザ名が完全なDNではない場合に限られます。このサフィックスに対して、すべての証明書の

DNが確認されます。



サード・パーティ PKI を使用した証明書の設定

サード・パーティのPKIを使用する場合、以下を作成します。

• ユーザの証明書

• ゲートウェイの証明書

PKCS#12、CAPI、またはEntrust標準をサポートするサード・パーティのOPSEC PKI認証局を使

用して、VPN-1 Powerゲートウェイとユーザに対して証明書を発行できます。ゲートウェイはCAを信頼し、CAによって発行された証明書を持っている必要があります。

LDAPサーバで管理するユーザの場合、証明書に表示される完全なDN（識別名）は、ユーザ名と同

じです。ただし、ユーザを内部データベースで管理する場合、証明書のユーザ名とDNは一致しま

せん。したがって、内部データベースのユーザ名は、証明書に表示される完全なDN、または証明

書のCN部に表示される名前と同じにする必要があります。たとえば、証明書に表示されるDNが以

下のように表示されるとします。

CN=John, OU=Finance, O=Widget Enterprises, C=US

内部データベースのユーザ名は、以下のいずれかにする必要があります。

• John

• CN=John, OU=Finance, O=Widget Enterprises, C=US

サード・パーティの PKI ソリューションを使用するには

1. ［User properties］ウィンドウの［Encryption］タブで、［Edit...］をクリックします。［IKE phase 2 properties］ウィンドウが開きます。［Authentication］タブで、［Public key］を選

択します。

2. SmartDashboardで、サード・パーティの認証局をオブジェクトとして定義します。「認証局


3. サード・パーティのCAからVPN-1 Powerゲートウェイの証明書を生成します。詳細につい

ては、「認証局での登録」を参照してください。

4. サード・パーティのCAから、リモート・ユーザの証明書を生成します（詳細については、

関連するサード・パーティのマニュアルを参照してください）。証明書をユーザに転送します。



注：証明書の DN には、ユーザの LDAP ブランチを含める必要があります。一部の PKI ソリューションの場合、たとえば、DN にコモン・ネームしか含まれていないなど、サブジェ

クト DN のブランチ情報が（デフォルトで）すべて含まれていないことがあります。これは、

CA の設定で調整できます。


274


指定できます。この機能はデフォルトで有効になっており、以下の2つの条件の両方が満たさ

れる場合にのみ必要になります。

• ユーザが内部データベースで定義されている

• ユーザ名が完全なDNではない

このサフィックスに対して、すべての証明書のDNが確認されます。

ハイブリッド・モードの有効化と認証方式

ハイブリッド・モードでは、ゲートウェイとリモート・アクセス・クライアントでさまざまな認証

方式を使用できます。ハイブリッド・モードを有効にするには、以下の手順に従います。

［Policy］>［Global Properties］>［Remote Access］>［VPN - Basic］を選択して、［HybridMode (VPN-1 & FireWall-1 authentication)］を選択します。

ハイブリッド・モードでのユーザ認証方式の定義

1. ［User Properties］ウィンドウの［Authentication］タブで、適切な認証スキームを選択し

ます。

2. ユーザの認証についてのクレデンシャルを入力します。

3. これらのクレデンシャルをユーザに送ります（ネットワークを使わずに）。

ユーザの認証方式、認証サーバ、ゲートウェイでの認証方式の有効化については、『ファイアウォー

ルとSmartDefense』の「認証」を参照してください。

NT グループと RADIUS クラスの認証の設定

このグループ認証機能を有効にするには、以下の手順に従います。

1. objects.Cのadd_radius_groupsプロパティを「true」に設定します。

2. RADIUSを認証方式として共用 *プロファイルを定義します。

3. 「発信元」はNT ServerまたはRADIUSによって認証するリモート・ユーザ・グループである

と設定したルールを、ポリシー・ルール・ベース内に作成します。

注：認証局の階層を使用している場合、ユーザのチェーン証明書が、ゲートウェイが信頼し

ている同じルート CA に到達する必要があります。



オフィス・モードの IP 割り当てファイル

この方式はオフィス・モードでも使用できます。 ipassignment.confファイルにリストされるグ

ループは、NTグループ認証またはRADIUSクラスで認証するグループを指しています。301ペー

ジの「ipassignment.confファイルによるオフィス・モード」を参照してください。

プリシェアード・シークレットの使用

プリシェアード・シークレットを使用する場合、リモート・ユーザとVPN-1 Powerゲートウェイは、

相手側が共有秘密情報であるユーザのパスワードを知っていることを検証して相互に認証します。

プリシェアード・シークレットの使用を有効にするには、以下の手順に従います。

1. ［Policy］>［Global Properties］>［Remote Access］>［VPN - Basic］で、［Pre-Shared Secret（For SecuRemote/SecureClient users）］を選択します。

2. ［Hybrid Mode］をオフにします。

3. ユーザごとに、［User Properties］ウィンドウの［Encryption］タブで［IKE］を選択し、

［Edit...］をクリックして、［IKE Phase 2 Properties］ウィンドウを表示します。

4. ［Authentication］タブで［Password (Pre-Shared Secret)］を有効にして、［Password (Pre-shared secret)］と［Confirm Password］フィールドにプリシェアード・シークレッ

トを入力します。

5. 「ネットワークを使用せずに」ユーザにパスワードを通知します。

LDAP ユーザ・グループの定義

『SmartCenter』の「SmartDirectory（LDAP）とユーザ管理」を参照してください。

ユーザ・グループの定義

SmartDashboardで、リモート・アクセス・ユーザに対してグループを作成します。このグループ

に対して適切なユーザを追加します。

VPN コミュニティとそのメンバの定義1. VPNコミュニティ・ツリーで、［Remote_Access_Community］をダブルクリックします。

［Remote Access Community Properties］ウィンドウが開きます。

2. ［Participating Gateways］ページで［Add...］をクリックして、リモート・アクセス・

コミュニティに追加するゲートウェイを指定します。

3. ［Participating User Groups］ページで［Add...］をクリックして、リモート・アクセス・

ユーザを追加するグループを指定します。


276

アクセス制御ルールの定義

アクセス制御は、VPNと接続していないセキュリティ層です。リモート・アクセス・コミュニティ

があるからといって、このコミュニティのメンバにネットワークへのアクセスを自動的に認めるわ

けではありません。特定のサービスへのアクセスを遮断したり許可したりするために、セキュリ

ティ・ポリシー・ルール・ベースに適切なルールを作成する必要があります。

1. リモート・アクセス接続に対応するルールをセキュリティ・ポリシー・ルール・ベースに作

成します。

2. ［VPN］カラムのエントリをダブルクリックします。［VPN Match Conditions］ウィンドウ

が開きます。

3. ［Only connections encrypted in specific VPN Communities］を選択します。

4. ［Add...］をクリックして、このセキュリティ・ポリシー・ルールに特定のコミュニティを追

加します。

5. サービスとアクションを定義します。たとえば、組織内のSMTP_SRVという名前のSMTPサーバに対して、リモート・アクセス・ユーザにアクセスを許可するには、以下のルールを

作成します。

表 14-1

SOURCE DESTINATION VPN SERVICE ACTIOIN TRACK

Any SMTP_SRV Remote_Access_Community SMTP Accept Log



ポリシーのインストール

ポリシーをインストールして、サイト・トポロジの作成や更新を行うようにユーザに指示します。

ユーザ証明書の管理

ユーザ証明書の管理では、以下の操作を行います。

• ユーザ証明書のステータスの追跡

• 証明書の自動更新

• 証明書の破棄

ユーザ証明書のステータスの追跡

ユーザ証明書のステータスは、ユーザの［Properties］ウィンドウの［Certificates］タブでいつで

も追跡できます。ステータスは、［Certificate state］フィールドに表示されます。［Pending until］フィールドに指定された日付までにユーザが証明書を生成しなかった場合、レジストレーション・

キーは削除されます。

ユーザがLDAPで定義されている場合、追跡は ICA管理ツールで実行します。

証明書の自動更新ユーザの ICA証明書は期限切れになる数日前に自動的に更新できます。期限切れになる前に、クラ

イアントは、CAでの証明書更新処理を開始します。正常に完了すると、クライアントは更新され

た証明書を受信します。

証明書の自動更新を設定するには、以下の手順に従います。

1. ［Policy］>［Global Properties］>［Remote Access］>［Certificates］を選択します。

2. ［Renew users internal CA certificates］を選択して、期間を指定します。この期間は、証

明書の有効期限に達するまでの日数であり、この値で逆算した日付でクライアントは証明書

の更新処理を開始できます。


4. サイトのトポロジを更新するようにユーザに指示します。

証明書の破棄

証明書を破棄する方法は、証明書を内部で管理しているか、LDAPによって外部で管理しているか

で異なります。


278

内部管理ユーザの場合

ユーザを削除すると、証明書は自動的に破棄されます。証明書は、いつでも無効にしたり、破棄し

たりできます。

証明書の生成を開始しており、ユーザが生成を完了していない場合は、［User Properties］ウィン

ドウの［Certificates］タブで［Disable］をオンにすることで、保留状態の証明書を無効にできます。

証明書がすでに有効になっている場合は、［User Properties］ウィンドウの［Certificates］タブ

で［Revoke］をクリックして、この証明書を破棄できます。

LDAP で管理しているユーザの場合

ユーザをLDAPで管理している場合、証明書は ICA管理ツールを使用して破棄します。

リモート・アクセス VPN の暗号化プロパティの変更

リモート・アクセス・コミュニティに含まれているユーザの暗号化プロパティは、デフォルトで設

定されます。暗号化アルゴリズム、データの完全性チェック方式、およびDiffie-Hellmanグループ

などを変更する必要がある場合、すべてのユーザに対してプロパティをグローバルに変更すること

も、ユーザごとにプロパティを設定することもできます。

ユーザの暗号化プロパティをグローバルに変更するには、以下の手順に従います。

1. ［Policy］>［Global Properties］>［Remote Access］>［VPN - (IKE Phase 1)］を選択し

ます。

適切な値を設定します。

• Support encryption algorithms - リモート・ホストでサポートされる暗号化アルゴリズムを

選択します。

• Use encryption algorithms - 選択したアルゴリズムの中でも優先度が高い暗号化アルゴリ

ズムを選択します。使用できる暗号化アルゴリズムが複数ある場合、このフィールドで選択し

たアルゴリズムが使用されます。

• Support Data Integrity - データの完全性を保証するためにリモート・ホストでサポートされ

るハッシュ・アルゴリズムを選択します。

• Use Data Integrity - 複数のアルゴリズムがある場合、ここで選択したハッシュ・アルゴリズ

ムに高の優先度が与えられます。

• Support Diffie-Hellman groups - リモート・ホストでサポートされるDiffie-Hellmanグルー

プを選択します。

• Use Diffie-Hellman group - SecureClientユーザは、このフィールドで選択した

Diffie-Hellmanグループを使用します。



ユーザにグローバルな暗号化プロパティを適用し、特定のユーザのプロパティを変更するには、

［Policy］>［Global Properties］>［Remote Access］>［VPN - (IPSEC Phase2)］を選択します。

1. ウィンドウで必須のプロパティを設定して、［Enforce Encryption Algorithm and Data Integrity on all users］を無効にします。

2. ［User Properties］ウィンドウの［Encryption］タブで、［IKE］を選択して［Edit］をク

リックします。

［IKE Phase 2 Properties］ウィンドウが表示されます。

3. ［Encryption］タブを選択します。

4. ユーザの暗号化アルゴリズムとデータの完全性チェック・アルゴリズムを［Global Properties］の定義から取得する場合は、［Global Properties］ウィンドウの［Defined in the Remote Access VPN］ページを選択します。このユーザのアルゴリズムをカスタマイズ

するには、［Defined below］を選択して、適切な暗号化アルゴリズムとデータの完全性

チェック・アルゴリズムを選択します。

RSA のハード・トークンとソフト・トークンの使用

認証にSecurIDを使用する場合、RSAのACE管理サーバでユーザを管理する必要があります。ACEでは、RSAユーザと割り当てられたハード・トークンまたはソフト・トークンがデータベースで管

理されます。 SecureClientは、サイトのゲートウェイにアクセスします。ゲートウェイは、ユーザ

の認証情報を確認するために、ACE Serverにアクセスします。このためには、以下のように設定す


• リモート・ユーザは、ACE Server上でRSAユーザとして定義する必要があります。

• VPN-1 Powerゲートウェイの場合、SecurIDユーザは、SecurIDのグループに追加する必要が

あります（このグループは、認証方式としてSecurIDを指定された外部ユーザ・プロファイ

ル・アカウントを持っています）。

SecurID 認証デバイス

さまざまなバージョンのSecurIDデバイスを使用できます。古い形式としては、トークン・コード

と呼ばれる数字コードやタイム・バーを表示する小型のデバイスがあります。トークン・コードは、

60秒ごとに変化して、認証に使用する基礎的な情報を提供します。認証するとき、ユーザはトーク

ン・コードの初に、PIN番号と呼ばれる特別なパスワードを追加する必要があります。タイム・

バーは、次のトークン・コードを生成するまでの残り時間を示します。リモート・ユーザは、PIN番号とトークン・コードの両方をSecureClientの接続ウィンドウに入力するように要求されます。

新しい形式のデバイスは、クレジット・カードに似ており、トークン・コードやタイム・バーが表

示され、PIN番号を入力するテンキーがあります。このタイプのデバイスでは、トークン・コード

と入力したPIN番号を合わせて、パスコードが作成されます。 SecureClientでは、パスコードのみ

が必要になります。


280

SoftIDは、パスコード・デバイスと同じように機能しますが、デスクトップにあるソフトウェアだ

けで構成されています。

［Advanced］ビューにはトークン・コードとパスコードのほかに［COPY］ボタンが表示され、ユー

ザはSoftIDとSecureClientの間でコピーと貼り付けを実行できます。

SoftID と SecureClientリモート・ユーザがRSAのsoftIDを正常に使用するには、以下の手順に従ってください。

1. 管理者は、Ace Server上でリモート・ユーザを作成します。

2. 管理者は「ネットワーク外」で、SDTIDトークン・ファイル（または複数のトークン）をリ

モート・ユーザに配布します。

3. リモート・ユーザがトークンをインポートします。

4. SecureClientの以下のuserc.cプロパティをOPTIONSセクションで設定する必要があります。

support_rsa_soft_tokens (true)



リモート・ユーザには、3つのウィンドウが表示されます。

リモート・ユーザは、このウィンドウでトークン・シリアル番号とPINを入力する必要があります。

リモート・ユーザがPIN番号を入力しないと、以下のウィンドウが表示されます。

PINを入力する必要があります。


282

トークンでパスフレーズが必要な場合は、リモート・ユーザに対して以下のウィンドウが表示され

ます。

283

第章15オフィス・モード

この章の構成

リモート・クライアントをLANに含める必要性 284ページ

オフィス・モード・ソリューション 285ページ

オフィス・モードでの考慮事項 296ページ

オフィス・モードの設定 297ページ

リモート・クライアントを LAN に含める必要性

284

リモート・クライアントを LAN に含める必要性組織の内部ネットワークに対するリモート・アクセスが広く普及するようになり、リモート・ユー

ザは、組織にある可能な限り多くの内部リソースにアクセスできることが重要になっています。

通常、リモート・アクセスが可能になると、クライアントは ISPなどがローカルで割り当てた IPア

ドレスを使用して接続できます。クライアントは、NATデバイスの背後に隠されているルーティン

グ不能なプライベート IPアドレスを受け取ることもあります。したがって、以下の問題が発生する

可能性があります。

• ネットワーク・プロトコルまたはリソースによっては、クライアントの IPアドレスを内部 IPアドレスにする必要があります。たとえば、ルータのACL（アクセス制御リスト）で、特定

の IPアドレスまたは内部 IPアドレスのみに、ネットワーク・リソースへのアクセスを許可し

ている場合があります。リモート・クライアントの IPアドレスを事前に知っていなければ、

この状態に対応することが困難になります。

• ルーティング不能な IPアドレスが割り当てられると、企業LANで使用される同じルーティン

グ不能な IPアドレスを持つほかのクライアントや、別のNATデバイスの背後にある同じ IPア

ドレスを持つほかのクライアントと、アドレスの競合が発生する可能性があります。

たとえば、SecuRemote/SecureClientが、10.0.0.1の IPアドレスを受け取ります。このア

ドレスは IPSecパケットのヘッダに挿入されます。このパケットは、NAT処理されます。

パケットの新しい送信元 IPアドレスは192.168.17.5です。ゲートウェイはNAT処理され

た IPのカプセル化を解除して、パケットを復号化します。 IPアドレスは、元の送信元 IPア

ドレス10.0.0.1に戻されます。これと同じ IPアドレスを持つ内部ホストが存在すると、パ

ケットが破棄される可能性があります（アンチ・スプーフィングをオンにしている場合）。

重複する IPアドレスが存在しない場合はパケットが内部サーバに転送されますが、この場

合サーバは存在しないアドレスに対して応答しようとすることになります。

• ISPによって、2人のリモート・ユーザに同じ IPアドレスが割り当てられる場合があります。

たとえば、2人のユーザが、内部でプライベート・アドレスを使用して外部への発信トラ

フィックにはNATで IPアドレスを割り当てるホテルから組織にアクセスする場合などです。両方のユーザは、同じ IPアドレスで内部ネットワークにアクセスしようとします。組織の内

部ネットワークのリソース側では、この2人のユーザを区別することができません。

オフィス・モード・ソリューション

第 15 章オフィス・モード 285



オフィス・モードについて

オフィス・モードでは、VPN-1 Powerゲートウェイで IPアドレスをリモート・クライアントに割

り当てられます。この割り当ては、ユーザが接続して認証されるとすぐに実行されます。ユーザが

接続している限り、割り当てリースは継続的に更新されます。アドレスは、一般的な IPアドレス・

プール、またはユーザ・グループごとに指定される IPアドレス・プールから選択されます。アドレ

スはユーザごとの指定、またはDHCPサーバでの指定が可能で、アドレスを指定すると、名前解決

サービスが使用可能になります。 DNSによる名前解決によって、企業ネットワーク側からクライア

ントへのアクセスが容易になります。

オフィス・モードの使用を全ユーザに許可することも、特定のユーザ・グループに限定することも

できます。たとえば、この機能では、特定のユーザ・グループ（リモート・ステーションからLANにアクセスする管理者など）のみに特権的なアクセス権を与えることができます。また、オフィ

ス・モードを導入する初期の段階では、特定のユーザ・グループに対して「試験的に」この機能を

適用し、残りのユーザは旧来の方法で作業するという手法も有効です。

オフィス・モードは、以下の環境でサポートされます。

• SecureClient

• SSL Network Extender

• Crypto

• L2TP

オフィス・モードについて 285ページ

オフィス・モードの動作 286ページ

IPアドレスの割り当て 288ページ

IPアドレス・リース期間 290ページ

名前解決の使用 ― WINSとDNS 290ページ

偽装対策 291ページ

複数の外部インタフェースがある環境でのオフィス・モードの使用 291ページ


286

オフィス・モードの動作

ユーザが組織に接続すると、IKEネゴシエーションがVPN-1 Powerゲートウェイに対して自動的に

開始されます。オフィス・モードを使用すると、configモードと呼ばれる特別な IKEモードが IKEのフェーズ Iとフェーズ IIの間に挿入されます。 configモード時に、クライアントはゲートウェイか

ら IPアドレスを要求します。 DNSサーバ IPアドレス、WINSサーバ IPアドレスなど、ほかのパラ

メータもこの方法で設定できます。

ゲートウェイが IPアドレスを割り当てると、クライアントはその IPアドレスをオペレーティング・

システム上の仮想アダプタに割り当てます。企業LANへのパケットのルーティングは、このアダプ

タを経由するように変更されます。この方法でルーティングされるパケットは、ゲートウェイに

よって割り当てられた IPアドレスを、送信元 IPアドレスとして保持します。パケットは、実際のア

ダプタから送信される前に、外部 IPアドレス（実際のアダプタに割り当てられたアドレス）を発信

元アドレスとして割り当てられ、IPsecによってカプセル化されます。この方法では、ルーティン

グ不能な IPアドレスをオフィス・モードで使用することができ、オフィス・モードのルーティング

不能なアドレスは IPsecパケット内に隠蔽されます。

オフィス・モードを正常に使用するには、VPN-1 Powerゲートウェイによって割り当てられる IPアドレスが、企業LAN内からそのゲートウェイまでルーティング可能である必要があります。これ

により、クライアントに送信されたLAN上のパケットを、同じゲートウェイを通じて返信できます

（288ページの「非フラット・ネットワークでのオフィス・モードと静的ルート」も参照）。

詳細情報

以下の手順では、オフィス・モードで接続したリモート・ユーザが組織内のリソースと情報を交換

するときのプロセスを説明します。

• ユーザはLAN上のリソースへの接続を試行し、内部ネットワークを宛先としたパケットが送

信されます。このパケットは、オフィス・モードが設定した仮想インタフェースによってルー

ティングされ、リモート・ユーザに割り当てられた送信元 IPアドレスを保持します。

• パケットは暗号化され、このパケットに対して、新しいカプセル化された IPヘッダが作成さ

れます。カプセル化されたパケットの送信元 IPアドレスはリモート・クライアントの元の IPアドレスであり、宛先はVPN-1 Powerゲートウェイの IPアドレスになります。次に、カプセ

ル化されたパケットは、インターネット経由で組織に送信されます。

• 組織のVPN-1 Powerゲートウェイはパケットを受信し、パケットをカプセルから抽出して復

号化し、元のパケットに戻します。元のパケットはリモート・ユーザに割り当てられた送信

元 IPアドレスを保持しています。次にゲートウェイは、カプセルから抽出したパケットをそ

の宛先へ転送します。

注： SecuRemote だけを使用しているリモート・ユーザは、オフィス・モードではサポート

されません。



• 内部リソースは、内部アドレスから転送されたように見えるパケットを受信します。内部リ

ソースはパケットを処理して、応答パケットをリモート・ユーザに返信します。これらのパ

ケットは、リモート・ユーザに割り当てられた（内部）IPアドレスへルーティングされます。

• ゲートウェイはこのパケットを受信し、リモート・ユーザの元の（ルーティング可能な）IPアドレスを使用してパケットを暗号化およびカプセル化し、リモート・ユーザへ返信します。

図 15-1 リモート・クライアントへ適切にルーティングされるパケット

図 15-1では、以下のように動作します。

• リモート・ホストは、カプセル化されたパケットの内側のアドレスとしてオフィス・モード

のアドレスを使用し、カプセル化ヘッダのアドレスに10.0.0.1を使用します。

• パケットのアドレスは、NATによって、新しい発信元アドレス（192.168.17.5）に変換され

ます。

• ゲートウェイはNATされた IPアドレスをカプセルから抽出して、パケットを復号化します。送信元 IPアドレスは、オフィス・モードのアドレスになります。

• パケットは内部サーバへ転送され、内部サーバが適切に応答します。


288

非フラット・ネットワークでのオフィス・モードと静的ルート

フラット・ネットワークは、すべてのステーションがブリッジまたはルータを経由しないで、相互に

通信できるネットワークです。ネットワークの1セグメントが、「フラット・ネットワーク」です。

静的ルートは、システム管理者が（ルータに対して）手動で割り当てたルートで、ネットワークの

変化を反映するには手動で更新する必要があります。

LANが非フラット（ステーションがルータやブリッジを経由して相互に通信する形式）である場合、

リモート・クライアントに宛てられたLAN上のパケットがゲートウェイへ適切にルーティングされ

るように、リモート・クライアントのOMアドレスを静的にルータに割り当てる必要があります。

IP アドレスの割り当て

ゲートウェイによってリモート・ユーザに割り当てる内部 IPアドレスは、以下のいずれかの方法で

割り当てることができます。

• IPプール

• DHCPサーバ

IP プール

システム管理者は、リモート・クライアント・マシンで利用できる IPアドレス範囲を指定します。

オフィス・モードでの接続を要求する各クライアントに対して、IPプールから固有の IPアドレスが

与えられます。

送信元 IP アドレスに基づく IP の割り当て

IPプールの IPアドレスは予約されており、送信元 IPアドレスに基づいてリモート・ユーザに割り

当てることができます。リモート・ホストがゲートウェイに接続するとき、その IPアドレスは定義

済みの送信元 IPアドレス範囲と照合されます。 IPアドレスがこの範囲に含まれていた場合、この目

的のために予約された IP範囲から、オフィス・モードの IPアドレスが割り当てられます。

この予約された IPプール内の IPアドレスを設定して、個別に設定したアクセス権限セットをこれ

らのリモート・ユーザに与えられます。



DHCP サーバ

DHCP（Dynamic Host Configuration Protocol）サーバを使用すると、オフィス・モードのクライ

アントに IPアドレスを割り当てることができます。リモート・ユーザがオフィス・モードでゲート

ウェイに接続すると、ゲートウェイは、オフィス・モード・ユーザ用に予約されている IPアドレス

範囲から IPアドレスをユーザに割り当てるように、DHCPサーバに対して要求します。

VPN-1 PowerゲートウェイのDHCP要求には、さまざまなクライアント属性を含めることができ、

これによってDHCPクライアントを区別できます。これらの属性は、クライアント側のオペレー

ティング・システムで事前に設定しておき、IPアドレスの割り当てプロセスで、異なるDHCPサー

バによって利用できます。VPN-1 PowerゲートウェイのDHCP要求には、以下の属性を含めるこ


• ホスト名

• FQDN（完全修飾ドメイン名）

• ベンダー・クラス

• ユーザ・クラス

RADIUS サーバ

RADIUSサーバは、リモート・ユーザの認証に使用できます。リモート・ユーザがゲートウェイに

接続するとき、ユーザ名とパスワードはRADIUSサーバに渡されます。このサーバが情報が正しい

ことをチェックして、ユーザの認証を行います。 RADIUSサーバは、IPアドレスを割り当てるよう

に設定することもできます。

注：認証と IP 割り当ては、同じ RADIUS サーバで実行する必要があります。


290

IP アドレス・リース期間

リモート・ユーザのマシンに IPアドレスが割り当てられると、マシンはそのアドレスを一定期間使

用できます。この期間は「IPアドレス・リース期間」と呼ばれます。 IPリース期間の半分が経過す

ると、リモート・クライアントはリース更新を自動的に要求します。したがって、IPリース期間が

60分に設定されていれば、更新要求は30分後に送信されます。更新が認められると、クライアン

トは30分ごとに更新の要求を繰り返します。更新に失敗すると、クライアントは残りの半分の時間

が経過後（この場合15分後、次に7.5分後）に再び更新を試行します。更新が許可されず、リース

期間の60分が経過して時間切れとなると、トンネル・リンクが終了します。接続を更新するには、

リモート・ユーザはゲートウェイに再接続する必要があります。再接続時には、IKEネゴシエーショ

ンが開始され、新しいトンネルが作成されます。

IPアドレスがゲートウェイ上の事前に定義された IPプールから割り当てられる場合、IPリース期

間はゲートウェイによって決定されます。デフォルトのリース期間は15分です。

DHCPサーバを使用して IPアドレスをユーザに割り当てる場合、DHCPサーバの設定によって IPリース期間が決定されます。ユーザがゲートウェイへの接続を切断してから短時間の間に再接続す

ると、ユーザには前と同じ IPアドレスが与えられる可能性が高くなります。

名前解決の使用 ― WINS と DNSリモート・ユーザが内部ネットワーク上のリソースへアクセスできるようにするため、管理者はリ

モート・ユーザ用のWINSサーバとDNSサーバを指定できます。この情報は、IKE configモード時

に IPアドレス割り当て情報と一緒にリモート・ユーザに送信され、リモート・ユーザが組織の内部

リソースにアクセスしようとするとき、リモート・ユーザのオペレーティング・システムが名前と

IPアドレス間の解決に使用します。



偽装対策

偽装対策では、ネットワーク管理者が、VPN-1 Powerゲートウェイのインタフェースごとに、通過

を許可する IPアドレスを設定します。偽装対策では、IPアドレスの受信や送信は、相手が適切な

ゲートウェイ・インタフェースであると確認された場合にのみ実行されます。オフィス・モードの

場合は、偽装対策機能に問題が生じます。なぜなら、クライアント・マシンは、複数のインタフェー

ス（インターネットへの外部インタフェースやワイヤレスLANインタフェースなど）を通じて接続

や認証ができるため、複数のインタフェースでオフィス・モードの IPアドレスが検出される可能性

があるからです。オフィス・モードでは、偽装対策機能を強化し、検出されたオフィス・モード IPアドレスが実際にユーザに割り当てられ、IPsecカプセル化パケットの送信元 IPアドレス（外部 IPアドレス）で認証されます。

複数の外部インタフェースがある環境でのオフィス・モードの使用

VPNの場合、通常、ルーティングは暗号化の前に実行されます。ゲートウェイに複数の外部インタ

フェースがあるような複雑な環境でオフィス・モードを使用する場合、問題が発生する可能性があ

ります。このような環境では、リモート・ユーザの仮想 IPアドレスに宛てたパケットは、ゲート

ウェイにある特定の外部インタフェースでルーティングされるパケットとしてマークされます。初にルーティングの決定が行われた後、パケットが IPSECでカプセル化されます。カプセル化の

後、これらのパケットの送信先 IPアドレスはクライアントの元の IPアドレスに変更されます。しか

し、カプセル化されたパケットに選択するルーティング・パスは、元のパケットの外部インタフェー

スとは異なる外部インタフェースで転送されることがあるため（送信先 IPアドレスが変わったた

め）、この場合には、ルーティング・エラーが発生することになります。このエラーを防止するため

に、オフィス・モードでは、カプセル化の後ですべてのオフィス・モード・パケットのルーティン

グが実行されます。

サイト単位のオフィス・モード

リモート・ユーザが接続して、ゲートウェイからオフィス・モード IPアドレスを受け取った後は、

このゲートウェイ暗号化ドメインに対するすべての接続では、オフィス・モード IPが内部の送信元

IPとして使用されます。オフィス・モード IPは、暗号化ドメインのホストがリモート・ユーザの

IPアドレスとして認識するアドレスです。

特定のゲートウェイが割り当てるオフィス・モード IPアドレスは、それ自体の暗号化ドメインと共

に、隣接する暗号化ドメインでも使用できます。隣接する暗号化ドメインは、アドレスを割り当て

たゲートウェイと同じVPNコミュニティに属すゲートウェイの背後にある必要があります。リモー

ト・ホスト接続は、受け取ったオフィス・モード IPアドレスに依存しているため、IPを発行した

ゲートウェイが使用不能になると、このサイトに対するすべての接続が終了します。


292

サイトのすべてのゲートウェイがリモート・ユーザのオフィス・モード IPアドレスを認識するに

は、すべてのゲートウェイがオフィス・モードの IPアドレス範囲の情報を持っており、すべての

ネットワークでこの IP範囲がルーティング可能になっている必要があります。ただし、サイト単位

のオフィス・モード機能を使用している場合、ユーザ単位の IP機能は実装できません。

図 15-2 サイト単位のオフィス・モード


• リモート・ユーザは、ゲートウェイ1への接続を確立します。

• ゲートウェイ1は、オフィス・モード IPアドレスをリモート・ユーザに割り当てます。

• リモート・ユーザはゲートウェイ1に接続している間そのゲートウェイに発行されたオフィ

ス・モード IPアドレスを使用して、ゲートウェイ2の背後にあるホストに接続できます。

注：サイト単位のオフィス・モードをアクティブ化した場合、オフィス・モードの偽装対策

は適用されません。

ユーザ単位の IP アドレスの有効化



問題

設定によっては、特定の IPアドレスに対して、ネットワークの一部に対するアクセスがルータまた

はその他のデバイスで制限されています。したがって、オフィス・モードで接続するリモート・ユー

ザは、ルータで接続が許可されている IPアドレスを取得する必要があります。

解決策

この機能を実装するには、IPアドレスをDHCPサーバで割り当てるか、IPプールで割り当てるかに

よって、2つの方法があります。

DHCP サーバ

オフィス・モード・アドレスがDHCPサーバで割り当てられる場合、以下の手順に従います。

1. オブジェクト・ツリーからチェック・ポイント・オブジェクトを開きます。

2. ［Object Properties］>［Remote Access］>［Office Mode］ページで、以下の操作を行い

ます。

• オフィス・モードを有効にします（すべてのユーザまたは関連するグループに対して）。

• DHCPサーバを選択して、［MAC address for DHCP allocation］で［calculated per user name］を選択します。

3. モジュールにポリシーをインストールします。

4. モジュールで以下のコマンドを実行して、ユーザに割り当てるMACアドレスを取得します。

5. DHCPサーバで、IPアドレスとMACアドレスを指定して、指定されたユーザ専用の IPアドレ

スを割り当てて、新しい予約を作成します。

注：この機能を実装する場合、オフィス・モードの偽装対策を有効にする必要があります。

詳細については、291 ページの「偽装対策」を参照してください。

vpn macutil <username>


294

ipassignment.conf ファイル

モジュールにある$FWDIR/conf/ipassignment.confファイルは、ユーザ単位の IP機能を実装するた

めに使用されます。管理者はこのファイルを使用することで、オフィス・モードでの接続時または

L2TPクライアントでの接続時に、特定のアドレスを特定のユーザに割り当てたり、特定のアドレ

ス範囲を特定のグループに割り当てたりすることができます。

ファイルの構文を理解するには、以下のサンプル・ファイルのコメント（文字#で始まる行）を参

照してください。

注：このファイルは、手動ですべてのモジュールに追加する必要があります。



ipassignment.conf のサンプル・ファイル

# This file is used to implement the IP-per-user feature.It allows the # administrator to assign specific addresses to specific users or specific# ranges to specific groups when they connect using Office Mode or L2TP.# # The format of this file is simple:Each line specifies the target # gateway, the IP address (or addresses) we wish to assign and the user # (or group) name as in the following examples:## Gateway Type IP Address User Name# ============= ===== =========================== ======================== # Paris-GW, 10.5.5.8, Jean# Brasilia, addr 10.6.5.8, Joao # comments are allowed# Miami, addr 10.7.5.8, CN=John,OU=users,O=cpmgmt.acme.com.gibeuu# Miami range 100.107.105.110-100.107.105.119/24 Finance# Miami net 10.7.5.32/28 Accounting## Note that real records do not begin with a pound-sign (#), and the commas# are optional. Invalid lines are treated as comments.Also, the # user name may be followed by a pound-sign and a comment.## The first item is the gateway name. This could be a name, an IP# address or an asterisk (*) to signify all gateways. A gateway will# only honor lines that refer to it.## The second item is a descriptor. It can be 'addr', 'range' or 'net'.# 'addr' specifies one IP for one user. This prefix is optional.# 'range' and 'net' specify a range of addresses. These prefixes are# required.## The third item is the IP address or addresses.In the case of a single # address, it is specified in standard dotted decimal format.# ranges can be specified either by the first and last IP address, or using# a net specification. In either case you need to also specify the subnet# mask length ('/24' means 255.255.255.0). With a range, this is the subnet# mask. With a net it is both the subnet mask and it also determines the# addresses in the range.## The last item is the user name. This can be a common name if the# user authenticates with some username/password method (like hybrid# or MD5-Challenge) or a DN if the user authenticates with a # certificate.

オフィス・モードでの考慮事項

296

オフィス・モードでの考慮事項


IP プールと DHCPIPアドレスをファイアウォールによって（IPプールを使用して）割り当てるか、DHCPサーバに

よって割り当てるかは、ネットワーク管理の手間と経費から判断する問題です。ネットワーク管理

者の中には、すべての動的 IPアドレスを同じ場所から管理することを望んでいる人もいます。この

ような場合、中央DHCPサーバが適しています。さらに、DHCPではファイアウォール IPプールを

使用した場合と異なり、クラスタ・メンバごとに異なるプールを用意せずに、クラスタがすべての

アドレスを1つのプールから割り当てることができます。一方で、DHCPサーバの購入は不必要な

経費であると考える管理者もいます。この場合、IPプール・オプションが適切です。

ルーティング・テーブルの変更

オフィス・モードで割り当てられた IPアドレスは、内部LANルータによってそのアドレスを割り

当てたゲートウェイ（またはゲートウェイ・クラスタ）へルーティングする必要があります。この

処理により、リモート・アクセスのオフィス・モード・ユーザ宛のパケットは、確実にゲートウェ

イに転送され、カプセル化されてクライアント・マシンに返信されます。この場合、組織のルー

ティング・テーブルの変更が必要になることがあります。

複数の外部インタフェース機能の使用

この機能を有効にすると、オフィス・モードは IPSECを使用してパケットがカプセル化された「後

に」ルーティングを決定するので、291ページの「複数の外部インタフェースがある環境でのオフィ

ス・モードの使用」で説明したルーティングの問題が回避されます。この機能では、ゲートウェイ

を経由するパケットのルーティングに新たにチェックや変更が追加されるため、パフォーマンスに

影響が出ます。したがって、この機能の使用は、以下の2つの条件が重なった場合に限って推奨し

ます。

• ゲートウェイに複数の外部インタフェースがある場合

• オフィス・モード・パケットが間違った外部インタフェースへルーティングされる場合

IPプールとDHCP 296ページ

ルーティング・テーブルの変更 296ページ

複数の外部インタフェース機能の使用 296ページ

オフィス・モードの設定




オフィス・モードの設定に先立って、標準のVPNリモート・アクセスが設定済みであると仮定し

ます。VPNリモート・アクセスの設定方法については、255ページの「リモート・アクセスVPNの

概要」を参照してください。

オフィス・モードの設定を開始する前に、オフィス・モードを使用するリモート・ユーザに割り当

てる内部アドレス空間を選択する必要があります。この空間のアドレスが企業ドメインで使用する

アドレスと競合しない限り、この空間は任意の IPアドレス空間でかまいません。 10.x.x.xなど、イ

ンターネット上でルーティングできないアドレス空間でも選択できます。

オフィス・モードの基本的な設定では、IPプールを使用します。DHCPを使用してアドレスを割り

当てるオフィス・モードの設定については、303ページの「オフィス・モード ― DHCPの設定」を


オフィス・モード ― IP プールの設定

IPプールを使用して基本的なオフィス・モードを導入するには、以下の手順に従います。

1. ［Manage］>［Network Objects］>［New］>［Network］を選択して、IPプールを表す

ネットワーク・オブジェクトを作成します。

［Network Properties ― General］タブで、以下のように IPプールとしてアドレス範囲を設定

します。

• ［Network Address］で、使用する開始アドレス（10.130.56.0など）を指定します。

• 使用するアドレス数に基づいて、［Net Mask］にサブネット・マスクを入力します。

たとえば、255.255.255.0を入力すると、オフィス・モード・アドレスとして、

10.130.56.1から10.130.56.254までの254の全 IPアドレスが指定されます。

• ［Broadcast Address section］タブと［Network Properties ― NAT］タブでは、値を

変更する必要はありません。

• ネットワーク・オブジェクトのプロパティ・ウィンドウを閉じます。

オフィス・モード ― IPプールの設定 297ページ

ipassignment.confファイルによるオフィス・モード 301ページ

オフィス・モード ― DHCPの設定 303ページ

SecureClientでのオフィス・モード設定 306ページ


298

2. リモート・ユーザが内部ネットワークに接続するときに使用するゲートウェイのゲートウェイ・

オブジェクトを開き、［Remote Access］>［Office Mode］ページを選択します。すべての

ユーザまたは特定グループに対して、［Office Mode］を有効にします。

図 15-3 ［Office Mode］ページ

• ［Allocate IP from network］で、事前に作成した IPプール・ネットワーク・オブジェク

トを選択します。

• ［IP lease duration］で、リモート・ホストが IPを使用する期間を指定します。

• ［Multiple Interfaces］では、オフィス・モード・パケットのカプセル化の後にルーティ

ングするかどうかを指定します。これを指定すると、ゲートウェイに複数の外部インタ

フェースがあるときにトラフィックを正しくルーティングできます。

• オフィス・モード・パケットが偽装されていないことをファイアウォールによって確認

する場合は、［Anti-Spoofing］を選択します。



オフィス・モード・ユーザがWINSサーバとDNSサーバのどちらを使用するかを指定できます。

WINSとDNSサーバの両方、またはどちらかを指定するには、引き続き手順 3を実行します。それ

以外の場合は手順 6へ進みます。

3. ［Manage］>［Network Objects］>［New］>［Node］>［Host］を選択してDNSサーバ・

オブジェクトを作成し、DNSマシン名、IPアドレス、およびサブネット・マスクを指定し

ます。別のDNSサーバがある場合は、この手順を繰り返します。

4. ［Manage］>［Network objects］>［New］>［Node］>［Host］を選択してWINSサーバ・

オブジェクトを作成し、WINSマシン名、IPアドレス、およびサブネット・マスクを指定し

ます。別のWINSサーバがある場合は、この手順を繰り返します。

5. ［Check Point Gateway ― Remote Access］>［Office Mode］ページの［IP Pool］セク

ションで、［optional parameters］ボタンをクリックします。

• ［IP Pool Optional Parameters］ウィンドウで、プライマリとバックアップのDNSサー

バ /WINSサーバに対して、適切なオブジェクトを選択します。

• ［Domain name］フィールドに、内部名が定義されているドメインのサフィックスを指

定します。この指定により、クライアントがDNSサーバをアドレスで指定するとき、この

サフィックスを追加するようにクライアントに指示します（たとえば、example.com）。

6. ポリシーをインストールします。

7. オフィス・モード・ユーザ用に予約した内部アドレス空間を宛先として指定された全トラ

フィックが、VPN-1 Powerゲートウェイ経由でルーティングされるように、すべての内部

ルータを設定します。たとえば、上記の例では、10.130.56.0のクラスCサブネットワーク

に、ゲートウェイの IPアドレス経由のルートを追加する必要があります。

オフィス・モードでゲートウェイに接続するには、ゲートウェイ側での設定手順に加えて、幾つか

の設定手順をクライアント側で実行する必要があります。

306ページの「SecureClientでのオフィス・モード設定」を参照してください。

注： WINS と DNS サーバを SmartCenter マシンで設定するのは、IP プールを使用する方式を

選択した場合だけです。


300

送信元 IP アドレスに基づく IP 割り当ての設定

送信元 IPアドレスに基づいて IP割り当てを行う場合、この機能は、テキスト・ファイルのuser.defを編集して設定します。このファイルは、リモート・アクセス用の実施モジュールを管理する

SmartCenterサーバの¥FWDIR¥confディレクトリにあります。

送信元 IPのアドレス範囲は、対応するオフィス・モードのアドレス範囲と同時に定義する必要があ

ります。 ¥FWDIR¥conf¥user.defファイルでは、複数のモジュールに対して複数の定義を指定できます。

初の行で定義された範囲は、発信元の IPアドレス範囲です。第2の行で定義された範囲は、オ

フィス・モードの IPアドレス範囲です。

図 15-4 送信元 IP アドレスに基づく IP 割り当ての例


• (10.10.5.0, 10.10.5.129)、(10.10.9.0, 10.10.9.255)、および (70.70.70.4, 70.70.70.90)は、

VPNリモート・クライアントの送信元 IPアドレス範囲です。

• (1.1.1.5, 1.1.1.87)、(1.1.1.88, 1.1.1.95)、および (8.8.8.6, 8.8.8.68)は、リモート・ユーザに割

り当てられるオフィス・モード IPアドレスです。これらのユーザの送信元 IPは、同じ行で定

義する範囲に含まれます。

• たとえば、 10.10.10.5.0から10.10.5.129までの送信元 IPアドレスを持つユーザは、1.1.1.5か

ら1.1.1.87までのオフィス・モード・アドレスを受け取ります。

送信元 IPアドレスに基づく IP割り当ては、¥FWDIR¥conf¥objects_5_0.Cファイル内にフラグを設定

して有効にします。以下のフラグを追加します。

om_use_ip_per_src_range（これ以降に値を指定します）

以下の値のいずれかを、フラグに適用する必要があります。

• Exclusively - 発信元の範囲でリモート・ホストの IPが見つからない場合、リモート・ユーザ

はオフィス・モード IPアドレスを取得しません。

• True - 発信元の IP範囲でリモート・ホストの IPが見つからない場合、ユーザは別の方式に

よってオフィス・モード IPアドレスを取得します。

• False（デフォルト）- フラグは使用されません。



ipassignment.conf ファイルによるオフィス・モード

VPN-1 Power 実施モジュールの ¥FWDIR¥conf ディレクトリにあるテキスト・ファイル

ipassignment.conf を編集すると、SmartCenter サーバで作成されたオフィス・モード

設定を変更できます。モジュールは、SmartCenter サーバでオブジェクトに定義された設

定ではなく、これらのオフィス・モード設定を使用します。

Ipassignment.confでは、以下の項目を指定できます。

• ユーザ /グループ単位の IP。これを指定すると、特定のユーザまたはユーザ・グループが常に

同じオフィス・モード・アドレスを受信できます。これによって管理者は、オフィス・モード

で接続する、ユーザに特定のアドレスを割り当てたり、特定の IP範囲 /ネットワークをグルー

プに割り当てたりできます。

• 特定のユーザまたはグループに対する個別のWINSサーバ

• 個別のDNSサーバ

• ファイル内の各エントリに対する個別のDNSドメイン・サフィックス

サブネット・マスクとオフィス・モード・アドレス

ipassignment.confファイルを使用して、サブネット・マスクを1人のユーザに割り当てることは

できません。 IPプールを使用している場合、マスクはネットワーク・オブジェクトから取得されます。

DHCPを使用している場合は、デフォルトで255.255.255.0になります。


302

構文のチェック

ipassignmentファイルの構文は、ipafile_checkコマンドでチェックできます。

シェル・プロンプトで、以下のコマンドを実行します。 vpn ipafile_check ipassignment.conf

以下の2つのパラメータを使用できます。

• warn。エラーを表示します。

• detail。詳細をすべて表示します。

以下に例を示します。



オフィス・モード ― DHCP の設定1. DHCPを選択した場合は、DNSとWINSのパラメータがDHCPサーバからダウンロードされ

ます。 DHCPによるオフィス・モードを使用し、ユーザにDNSとWINSの両方、またはいず

れかの情報を提供する場合、DHCPサーバ上のDNSまたはWINSの情報が正しい IPアドレス

に設定されていることを確認します。

2. DHCPサーバの設定では、オフィス・モード・ユーザの IPアドレス空間（10.130.56.0など）を

指定しておきます。

3. ［Manage］>［Network objects］>［New］>［Node］>［Host］を選択してDHCPサーバを

指定し、新しいノード・オブジェクトを作成します。そして、マシン名、IPアドレス、および

サブネット・マスクを指定します。

4. リモート・ユーザが内部ネットワークに接続するときに使用するゲートウェイのゲートウェイ・

オブジェクトを開き、［Remote Access］>［Office Mode］ページを選択します。すべての

ユーザまたは特定グループに対して、オフィス・モードを有効にします。

• ［Automatic (use DHCP)］オプションをオンにします。

• 事前に作成したDHCPオブジェクトを選択します。

• ［Virtual IP address for DHCP server replies］で、オフィス・モード用に予約された IPアドレスのサブネットワークから IPアドレス（たとえば、10.130.56.254）を指定します。オフィス・モードは、IP割り当てのためにDHCPリレー方式をサポートするので、応答

の宛先をDHCPサーバに指定できます。 DHCPサーバからこのアドレスへのパケットが

ゲートウェイ経由でルーティングされるように、DHCPサーバ上のルーティングと内部

ルータのルーティングを調整する必要があります。

偽装対策を使用する場合は、手順 5に進みます。それ以外の場合は、手順 7に進みます。

5. ［Manage］>［Network Objects］>［New］>［Network］を選択して、DHCPサーバでオフィ

ス・モード用に割り当てるアドレス空間を表すネットワーク・オブジェクトを作成します。

［Network Properties ― General］タブで、以下のようにDHCPアドレス範囲を設定します。

• ［Network Address］で、使用する開始アドレス（10.130.56.0など）を指定します。

• 使用するアドレス数に基づいて、［Net Mask］にサブネット・マスクを入力します。た

とえば、255.255.255.0を入力すると、リモート・ホストのオフィス・モード・アドレス

として、10.130.56.1から10.130.56.254までの254の IPアドレスがすべてDHCPサーバ

上で予約されます。

• ［Broadcast Address section］タブと［Network Properties ― NAT］タブでは、値を

変更する必要はありません。

• ネットワーク・オブジェクトのプロパティ・ウィンドウを閉じます。


304

6. ゲートウェイ・オブジェクトに戻り、［Remote Access］>［Office Mode］ページを開きます。［Additional IP addresses for Anti-Spoofing］で、IPアドレス範囲（オフィス・モード用に

DHCPサーバ上で予約したもの）を表しているネットワーク・オブジェクトを選択します。


8. オフィス・モード・ユーザ用に予約した内部アドレス空間を宛先として指定された全トラ

フィックが、VPN-1 Powerゲートウェイ経由でルーティングされるように、すべての内部

ルータを設定します。たとえば、上記の例では、10.130.56.0のクラスCサブネットワーク

に、ゲートウェイの IPアドレス経由のルートを追加する必要があります。

オフィス・モードでゲートウェイに接続するには、ゲートウェイ側での設定手順に加えて、幾つかの

設定手順をクライアント側で実行する必要があります。306ページの「SecureClientでのオフィス・

モード設定」を参照してください。

オフィス・モード ― RADIUS サーバの使用

RADIUSサーバを設定して IPアドレスを割り当てるには、以下の手順に従います。


1. ［Manage］>［Servers and OPSEC Applications］をクリックします。

2. RADIUSサーバを選択して、［Edit］をクリックします。

［RADIUS Server Properties］ウィンドウが表示されます。

3. ［RADIUS Accounting］タブをクリックします。

4. ［Enable IP Pool Management］を選択します。

5. RADIUSサーバがリモート・ユーザとの通信に使用するサービスを選択します。

RADIUSサーバをリモート・ユーザの認証を実行するように設定するには、以下の手順に従います。


1. ［Manage］>［Network Objects］をクリックします。

2. ゲートウェイを選択して、［Edit］をクリックします。

3. ゲートウェイのプロパティで、［Remote Access］>［Office Mode］を選択します。

注：オフィス・モードがサポートされるのは、コネクト・モードの場合に限られます。



図 15-5 ［Office Mode］プロパティ・ウインドウ

4. ［Office Mode Method］セクションで、［From the RADIUS server used to authenticate the user］を選択します。



306

SecureClient でのオフィス・モード設定

オフィス・モードでゲートウェイに接続するには、クライアント・マシンで以下の手順を実行する


1. システム・トレイでSecureClientアイコンを右クリックします。ポップアップ・メニューから

［Configure］を選択します。

2. ［Tools］>［Configure Connection Profile］>［Advanced］を選択し、［Support Office Mode］を選択します。

3. ［OK］、［Save］、［Close］の順にクリックし、［File］メニューから［Exit］を選択します。

4. 画面の右下隅にあるSecureClientアイコンをダブルクリックします。ダイヤルアップ接続を

使用してゲートウェイに接続する場合は、［Use Dial-up］を選択し、ドロップダウン・メ

ニューからユーザのダイヤルアップ接続プロファイル名を選択します（プロファイルがすで

に存在していると仮定した場合）。ダイヤルアップを使用しない場合（ゲートウェイへの接続

をネットワーク・インタフェース・カード経由で行う場合）は手順5へ進みます。

5. ［Connect］を選択し、オフィス・モードを使用して組織に接続します。

管理者は、プロファイルを事前に設定してユーザに提供することで、設定作業を簡素化できます。



サイトごとのオフィス・モード


1. ［Policy］>［Global Properties］>［Remote Access］>［VPN - Advanced］をクリックし

ます。

［VPN - Advanced］ウィンドウが表示されます。

図 15-6 ［VPN - Advanced］ウインドウ

2. ［Office Mode］セクションで、［Use first allocated Office Mode IP address for all connections to the Gateways of the site］を選択します。



308

309

第章16SecuRemote/SecureClient

この章の構成

SecureClientの必要性 310ページ

チェック・ポイント・ソリューション 311ページ

VPNコミュニティのSCV詳細度 312ページ

選択的ルーティング 314ページ

デスクトップ・セキュリティ・ポリシー 317ページ

NATトラバーサル・トンネリング機能 320ページ

アイドル状態の検出の設定 332ページ

SecureClientの設定 324ページ

SecureClient の必要性

310

SecureClient の必要性自宅で、または週末に、電子メールを送受信するユーザは、安全に送受信を行う必要があります。

外出時には、ホテルでのインターネット接続やビジネス・パートナーのネットワークからの接続な

ど、さまざまなネットワーク環境の問題が存在します。


第 16 章 SecuRemote/SecureClient 311

チェック・ポイント・ソリューションVPN-1 SecuRemote/SecureClientを使用すると、インターネットからの攻撃に対してマシンを保護

し、安全な方法で組織に接続できます。ユーザはインターネットを通じて個人的なファイルにアク

セスできますが、権限のないユーザがこのファイルを表示したり変更したりすることはありませ

ん。 VPN-1 SecuRemote/SecureClientを使用して、リモート・ユーザはネットワーク・アダプタ

（ワイヤレス・アダプタを含む）またはモデム・ダイヤルアップを使用して組織に接続します。通信

する双方が目的の接続先と通信していることを確認すると、それ以降のすべての通信がプライベー

ト（暗号化）で安全な通信になります。この通信環境を図 16-1に図示します。

図 16-1 サイトに接続する SecureClient

機能の仕組み

SecuRemote/SecureClientでは通信者を認証し、双方で送受信するデータを暗号化することで安全

な接続を実現します。 VPN-1 SecuRemote/SecureClientは、標準的なインターネット・プロトコル

を利用して強力な暗号化と認証を実装します。認証とは、両方の通信者が自分自身の身元を適切に

証明することです。暗号化によって、認証された通信者だけが、相互に送受信するデータを読み取

ることができるようになります。さらにデータの完全性が維持されますが、これはデータが転送中

に改変されないことを表します。

VPN コミュニティの SCV 詳細度

312

VPN コミュニティの SCV 詳細度リモート・ホストがネットワーク・セキュリティ・ポリシーとの完全な互換性を維持できるように、

検証なしで特定のホストにアクセスを与えることができます。たとえば、リモート・ホスト上でウ

イルス対策ソフトウェアが新の状態ではなくなっている場合、ゲートウェイは通常、この接続を

完全に遮断します。ただし、適切な更新プログラムを取得するために、ウイルス対策サーバへのア

クセスを与えることができます。更新プログラムを取得してリモート・ホストにインストールする

と、このホストはSCVチェックに合格して、完全なアクセス権が与えられます。

SCV詳細度がサポートされるのは、シンプル・モードの設定に限られます。

検証されていない SCV 接続の遮断


検証されていない SCV 接続の遮断クライアントが検証されていない場合に、検証が必要とされている接続を遮断するため、local.scvファイルにはblock_scv_client_connectionsオプションがあります。この機能がアクティブであ

る場合、クライアントが未検証の状態になると、すべてのSCV接続が遮断されます。クライアント

が検証されたときに確立した接続も遮断されます。ただし、SCV接続だけが遮断されます。つまり、

遮断されるのは、クライアントが検証状態であることを必要とする接続だけです。その他の接続は

遮断されません。

選択的ルーティング

314

選択的ルーティングVPNトンネルの設定では、使用するゲートウェイごとに、VPNドメインを設定する必要があります。

選択的ルーティング機能には柔軟性があり、VPNサイト間コミュニティやRA（Remote Access）コミュニティごとに、異なる暗号化ドメインを定義できるように設計されています。

リモート・アクセス VPN 専用の暗号化ドメイン

図 16-2 RA 用の暗号化ドメインへのアクセス


• ゲートウェイ1と2は、サイト間VPNを通じて接続されます。

• 各ゲートウェイには、独自の暗号化ドメインがあります。

• ゲートウェイ1は、SecuRemote/SecureClientユーザにも利用されます。

• 選択的ルーティングを使用する場合、RA（Remote Access）暗号化ドメインは、ゲートウェイ1で設定され、サーバ1とファイル・サーバ1のみにアクセスを許可します。

この場合、リモート・ホストには、暗号化ドメインの一部に対するアクセス権が許可されます。

SecuRemote/SecureClientユーザだけが、暗号化ドメイン内で許可されたサーバにアクセスできます。

ユーザは、サーバ2とファイル・サーバ2へのアクセスを拒否されます。



リモート・アクセス暗号化ドメインでの外部リソースの追加

図 16-3 外部リソースへのアクセス


• SecureClientユーザはゲートウェイ1に接続します。

• ゲートウェイ1には、外部リソースを含む暗号化ドメインがあります。

• ゲートウェイ1は、VPNドメインへのアクセスと、インターネットなどの外部リソースへの

アクセスをSecureClientユーザに許可します。

図 16-3で説明したシナリオの場合、外部リソースはRA暗号化ドメインの一部です。したがって、

リモート・ホストで外部リソースにアクセスする場合、このリソースへの接続はゲートウェイ1で

開始されます。

また、ゲートウェイには、SecureClientユーザからDMZ上のサーバへトラフィックを転送する機能

があります。


316

外部暗号化ドメインへのリモート・アクセス VPN の提供

図 16-4 外部暗号化ドメインへのアクセス


• ゲートウェイ1と2は、サイト間VPNを通じて接続されます。

• 各ゲートウェイには、独自の暗号化ドメインがあります。

• ゲートウェイ1はSecureClientユーザが利用します。

この場合、リモート・ユーザの暗号化ドメインは、1つのゲートウェイの範囲を超えて拡張されます。

ゲートウェイ1 は、ゲートウェイ2 の背後にあるサーバ2 とファイル・サーバ2 に宛てられた

SecureClient暗号化トラフィックを転送します。したがって、SecureClientユーザは、ゲートウェイ

2の背後にあるリソースにアクセスするときに、再び認証を受ける必要はありません。また、ほか

のゲートウェイの背後にあるほかのリソースに対して、すべてのSecureClientアクティビティをロ

グに記録できます。

注：リモート・ホストがゲートウェイ 1 の背後にあるリソースに正常にアクセスするには、

すべてのオフィス・モード IP がゲートウェイ 2 の暗号化ドメインに含まれているか、ゲー

トウェイ 1 で Hide NAT が有効になっている必要があります。

デスクトップ・セキュリティ・ポリシー



ポリシーをダウンロードする状況

ユーザがSecureClientでサイトを作成すると、ポリシー・サーバのリストがクライアントのマシン

にダウンロードされます。 SecureClientマシンがサイトに接続すると、ポリシーは、ポリシー・サー

バから自動的にダウンロードされます。また、ポリシーの自動ダウンロードは無効にできます。こ

の設定は、ユーザのプロファイルで管理します。

ポリシーの有効期限と更新

デスクトップ・セキュリティ・ポリシーは、一定期間のみ有効です。期間の半分が経過すると、リ

モート・クライアントは、更新 /アップデートをポリシー・サーバから検索します。以前の更新が

失敗した場合でも、クライアントは現在のポリシーを更新しようとします。更新プロセスが何度も

失敗すると、現在のデスクトップ・セキュリティ・ポリシーの有効期限が切れて、リモート・クラ

イアントは以前のポリシーを保持します。

セキュリティ・ポリシーの更新では、モバイル・ユーザのログ・ファイルがポリシー・サーバに

アップロードされます。

事前にパッケージされたポリシー

以下の手順を実行すると、SecureClientを事前にパッケージして、デフォルト・ポリシーを含める

ことができます。

1. SC.tar.gzを開きます。

2. ポリシー・ファイルを tar.gzディレクトリに入れます（local.scv、local.dt、local.lpなど）。

3. product.iniのインストール・セクションに、initialpolicy.batを指定します。

4. パッキング・ツールを使用して、クライアントのパッケージングを再実行します（または、

tar.gzから設定を実行します）。

5. 生成されたpackage/tar.gzディレクトリから、SCをインストールします。クライアントを初

めて開始するときに、ポリシーがアクティブになります。


318

ポリシー・サーバの高可用性

ゲートウェイに接続すると、ゲートウェイの背後にあるポリシー・サーバに自動的にログオンし

ます。代替ポリシー・サーバが接続プロファイルに定義されている場合、userc.cファイルで

use_profile_ps_configurationオプションを trueと設定してポリシー・サーバの高可用性機能を

アクティブにすると、別のゲートウェイにあるポリシー・サーバにログオンできます。

ワイヤレス・ホットスポット / ホテルでの登録

ワイヤレス・ホットスポットは、空港のラウンジ、コーヒー・ショップ、ホテルなど、公共の場所

で利用できるワイヤレス・ブロードバンド・インターネット・アクセス・サービスです。

ホットスポット・アプリケーションを使用している場合、ユーザはWebブラウザを起動して、イン

ターネットへの接続を試行します。接続が試行されると、ホットスポット・サーバによってブラウ

ザは自動的にホットスポットの［Welcome］ページにリダイレクトされ、登録を行うように指示さ

れます。この登録プロセスで、ユーザは必要な情報を入力します。登録が完了すると、ユーザはイ

ンターネットの利用を続行できます。

ホットスポットでは、ユーザには制限的な発信ポリシーが適用され、ハブ・モードでホットスポッ

トへの登録を実行できます。

ユーザがホットスポットの有効化を選択すると、SecureClientによって、デスクトップ・セキュリ

ティ・ポリシーやハブ・モードのルーティングが変更され、ホットスポットへの登録が有効になり

ます。この変更は、時間、IPアドレスとポートの数で制限されます。 SecureClientは、登録フェー

ズでアクセスした IPアドレスとポートを記録します。

ログの有効化


ログの有効化ログを有効にすると、すべてのアクティビティがリモート・ホストにローカルに保存されます。この情報は、問題のトラッキングやトラブルシューティングに役立ちます。ログ・ファイルに保存さ

れる情報には機密情報が含まれている可能性があるため、この情報はシステム管理者のみに送信す


ログを有効化する機能は、事前にパッケージされたポリシーに含めることもできます。

NAT トラバーサル・トンネリング機能

320

NAT トラバーサル・トンネリング機能VPNトンネルを確立する場合、事前のネゴシエーションでは、大きなパケットが生成される可能性

があります。一部のNATデバイスでは、大きなパケットを適切に断片化できず、接続が不可能にな

る場合があります。この問題を解決するため、以下のように幾つかの方法を利用できます。

• NAT-T - NAT-Tは IETF RFC 3947と3948に基づいています。リモート・ユーザがゲートウェ

イに対してVPNセッションを開始すると、リモート・ホストは、NAT-Tを使用して通信でき

るとゲートウェイに通知します。初のネゴシエーションでは、通信の両ピアで、トラ

フィックがNATデバイスを経由しているかどうかが検証されます。ピア間でNATデバイスが

検出されると、ピア間の通信はUDPポート4500に切り替えられます。アグレッシブ・モー

ドの場合、NAT-Tはサポートされません。 VPNセッション全体で使用するUDPポート4500は、有効にしておく必要があります。

NAT-Tは、Edge、L2TPクライアント、サード・パーティのゲートウェイでサポートされます。

• IKE over TCP - IKE over TCPでは、IKEフェーズ Iで作成される大きなUDPパケットの問題

を解決します。IKEネゴシエーションは、TCPパケットを使用して実行します。TCPパケッ

トは断片化されず、TCPパケットの IPヘッダでは、DFフラグがオンになります（「断片化し

ない」という意味）。フェーズ Iでは、IKEネゴシエーションのために、リモート・ホストと

ゲートウェイの間で完全なTCPセッションが開始されます。

• UDP Encapsulation - この方法では、読み取り可能なポート情報を含んだ特殊なUDPヘッダ

が、IPSecパケットに追加されます。新しいポート情報は、元の情報と同じではありません。ポート番号2746が、発信元ポートと宛先ポートの両方に含まれます。 NATデバイスは、秘匿

操作にこの発信元ポートを使用しますが、宛先アドレスとポート番号には同じ値が使用され

ます。ピア・ゲートウェイが宛先アドレスのポート番号として2746を受信すると、ゲート

ウェイはルーチンを呼び出してパケットのカプセル化を解除します。

アイドル状態の検出


アイドル状態の検出SecureClientには、ユーザがSecureClientを使用してチェック・ポイント・ゲートウェイに接続し

ているときにVPNトラフィックのアイドル状態を検出する機能があります。 VPNトンネルがアイ

ドル状態とみなされるのは、ユーザの明示的アクションにより発信されたネットワーク・トラ

フィックが、一定時間VPNトンネル経由で送信されなかった場合です。

VPNトンネルがアイドル状態と判断された場合は、VPNセッションが切断されることがユーザに

通知されます。

管理者は手作業でサービスを設定して、ユーザが開始したサービスではなく暗黙のサービスとみな

されるようにできます。このように設定したサービスは、アイドル検出状態メカニズムで無視され

ます。

モードの切り替え

322

モードの切り替えVPN-1 SecureClient製品には、簡易ビューと詳細ビューの2つのビューがあります。プロファイル

の管理機能や複数のサイトが必要ないユーザには、簡易ビューをお勧めします。詳細ビューでは、

プロファイルを管理したり、複数のVPN-1サーバを定義したりできます。

HTML ベースのヘルプ


HTML ベースのヘルプSecureClientパッケージには、HTMLベースのユーザ・マニュアルを含めることができます。 HTMLヘルプには、詳細なヘルプと画像が含まれます。

SecureClient の設定

324

SecureClient の設定この章の構成

VPN コミュニティの SCV 詳細度の設定


1. ［Policy］>［Global Properties］をクリックします。

2. ［Remote Access］の横にある［+］をクリックしてブランチを展開し、［Secure Configuration Verification (SCV)］を選択します。

3. ［Apply SCV on Simplified Mode Security Policies］チェック・ボックスをオンにして、

［Exceptions］ボタンをクリックします。

SCV検証なしで使用できるホストが表示されます。

4. ［Add］をクリックして、SCV検証から除外するホストとサービスを設定します。

block_scv_client_connections の設定

未検証になったユーザを遮断するには、local.scvファイルで属性block_scv_client_connectionsを trueに設定します。詳細については441ページの「local.scvセット」を参照してください。

選択的ルーティングの設定


1. ネットワーク・オブジェクト・ツリーで、編集するゲートウェイを右クリックします。

2. ［Edit］を選択します。

［Check Point Gateway］プロパティ・ページが表示されます。

3. ［Topology］を選択して、［Topology］ウィンドウを表示します。

VPNコミュニティのSCV詳細度の設定 324ページ

block_scv_client_connectionsの設定 324ページ

選択的ルーティングの設定 324ページ

デスクトップ・セキュリティ・ポリシーの有効期限の設定 326ページ

NATトラバーサルの設定 328ページ

アイドル状態の検出の設定 332ページ



図 16-5 チェック・ポイント・ゲートウェイの［Topology］ウインドウ

4. ［Set domain for Remote Access Community］ボタンをクリックします。

［VPN Domain per Remote Access Community］ウィンドウが表示されます。

5. ［Set］ボタンをクリックします。

［Set VPN Domain per Remote Access Community］ウィンドウが表示されます。

6. ドロップダウン・メニューから、リモート・アクセスVPNドメインを表すオブジェクトを選

択します。



326

デスクトップ・セキュリティ・ポリシーの有効期限の設定1. SmartDashboardで、［Policy］>［Global Properties］をクリックします。

［Global Properties］ウィンドウが表示されます。

2. ［Remote Access］を選択して、［Remote Access -VPN-1 SecuRemote/SecureClient］ウィンドウを表示します。

3. ［VPN-1 SecureClient - Desktop Security Policy expiration time］セクションでは、セキュ

リティ・ポリシーを現在のポリシーで有効に使用する期間（分単位）を選択します。


ホットスポット / ホテルでの登録の設定

ホットスポットの有効化オプションは、userc.cファイルを使用して設定します。ホットスポット

の設定（デフォルト）は、以下のとおりです。

:hotspot(:enabled (false):log (false):connect_timeout (600):max_ip_count (5):block_hotspot_after_connect (false):max_trials (0):local_subnets (false):ports(

:(80):(443):(8080)

))

表 16-1 ホットスポットのパラメータ

パラメータデフォルト説明

enabled false trueに設定すると、ユーザはホットスポットの登録を

実行できます。

log false trueに設定すると、登録時にアクセスした IPアドレス

とポートのリストがログと共に送信されます。

connect_timeout 600 登録を完了するまでの大秒数です。

max_ip_count 5 登録時に使用できる IPアドレスの大数です。

block_hotspot_after_connect false trueの場合は接続した際に、記録されたポートとアド

レスは解放された状態になりません。



ログの有効化の設定

ログの有効化は、SmartDashboardとSecuRemote/SecureClientで設定します。


1. ［Global Properties］>［Remote Access］>［VPN - Advanced］を選択します。

2. ［Allow users to save troubleshooting logs］を選択します。


デスクトップのシステム・トレイで、以下の手順に従います。

1. SecureClientアイコンを右クリックします。

ポップアップ・メニューから［Settings］を選択します。

2. ［Advanced］タブで［Enable Logging］を選択し、［Save Logs］をクリックします。

以下のメッセージが表示されるまで待ちます。

max_trials 0 エンド・ユーザはホットスポットの登録を試行します

が、この値は、登録の失敗時にユーザに許可する大

の試行回数を表します。この上限値に達すると、その

ユーザは二度と登録の試行できなくなります。再起動

したり、VPN接続に成功すると、カウンタはリセット

されます。また、max_trialsの値を変更すると、変更

内容は再起動や接続の成功時のみ有効になります。

max_trialsの値を0に設定すると、試行できる回数は

無制限になります。

local_subnets false アクセスをローカル・サブネットに限定します。

ports 804438080

アクセスを特定のポートに制限します。

表 16-1 ホットスポットのパラメータ（続き）

パラメータデフォルト説明


328

3. ログをデフォルトの場所に保存します。

注：デフォルトの場所は、Windowsの隠しフォルダです。このフォルダを見つける必要がある

場合は、［コントロールパネル］>［フォルダオプション］>［表示］で、［すべてのファイル

とフォルダを表示する］を選択します。

4. 場所のウィンドウを閉じます。ファイルは、自動的に保存されます。

事前にパッケージするポリシーでのログの有効化

product.iniファイルの[install]セクションに以下のコマンドのいずれかを追加して、事前にパッ

ケージするポリシーに対して、ログの有効化または無効化を指定します。

• logging.bat enable

• logging.bat disable

NAT トラバーサルの設定


1. ［Manage］>［Remote Access］>［Connection Profiles］をクリックします。

［Connection Profiles］ウィンドウが表示されます。

2. 接続プロファイルを選択して、［Edit］をクリックします。

3. ［Advanced］タブで、［Connectivity Enhancements］をクリックします。



図 16-6 ［Connection Profile Properties］-［Advanced］タブ

4. ［Use NAT traversal tunneling］を選択します。

5. ［Support IKE over TCP］と［Force UDP Encapsulation］の両方、またはいずれかを選択

します。


モード切り替えの有効化 / 無効化

330

モード切り替えの有効化 / 無効化userc.cファイルで、フラグenable_mode_switchingを trueに設定します。

パッケージへの HTML ヘルプの追加


パッケージへの HTML ヘルプの追加1. SecuRemote/SecureClientの.tgz配布ファイルを開きます。

2. .tgzを開いたディレクトリに、SR_HELP.TGZを追加します。

3. product.iniとproduct.ini.simpのインストール・セクションにsc_help_install.batを指

定します。

4. パッケージング・ツールを使用して、パッケージングを再実行します。393ページの「事前設

定済みパッケージの作成」を参照してください。

アイドル状態の検出の設定

332

アイドル状態の検出の設定

idleness_detection プロパティの設定

トラフィックのアイドル状態の検出を設定するには、DBeditでidleness_detectionプロパティを

編集します。

表 16-3 設定サンプル

表 16-2 プロパティの定義

プロパティ名デフォルト値有効な値

active 機能を有効または無効にします。 true true、falsetimeout トラフィックのない状態が何分続い

た場合にVPNトンネルを「アイドル

状態」とみなすかを定義します。

30 正の整数

excluded services

ユーザが開始したサービスとみな

さないように管理者が設定できる

サービスの一覧を定義します。

None <port number> - トラフィックを

除外するポートのポート番号を

表す整数。"<port number, protocol>" - ポート番号とプロトコルを組み

合わせて、より具体的に除外対

象を指定します。この場合、引

用符で囲む必要があります。

<icmp> - icmpプロトコルはすべ

てのポートで除外されます。

:idleness_detection (:excluded services (

:(53):("750,tcp"):(icmp)

):active (true):timeout (30)

)

注：アイドル状態検出メカニズムでは、SecureClient 制御接続は自動的に無視されます。そのため、これらの項目を別途設定する必要はありません。

333

第章17SecureClient Mobile

この章の構成

SecureClient Mobileの概要 334ページ

接続機能 335ページ

トポロジと分割トンネリング 340ページ

ハブ・モード（リモート・アクセスのVPNルーティング） 341ページ

セキュリティ・ポリシーとクライアントによる決定 342ページ

IPファイアウォール・ポリシー 343ページ

接続性ポリシー 344ページ

一般的な「GUI」ポリシー 345ページ

クライアントの導入、再パッケージング、アップグレード 346ページ

SecureClient Mobileのインストール 347ページ

クライアント側のインストール 350ページ

SecureClient Mobileの設定 354ページ

クライアント側の設定 365ページ

高度な設定 367ページ

クライアントの導入の概要 379ページ

トラブルシューティング 386ページ

SecureClient Mobile の概要

334

SecureClient Mobile の概要SecureClient Mobileはモバイル・デバイス向けのクライアントで、VPNとファイアウォールを備え

ています。これは、SecureClient for PocketPCに代わるものです。このクライアントは各種のプ

ラットフォームに対応し、導入やアップグレードも簡単です。

SecureClient MobileのVPNはSSL（HTTPS）トンネリングに基づいており、チェック・ポイント・

ゲートウェイの背後にあるリソースに携帯機器から安全にアクセスできます。

このクライアントではプログラミングにより拡張が可能なインタフェースをエクスポートしてい

るので、サードパーティのアプリケーションで起動 /制御できます。

SecureClient Mobileには、以下の2つの操作モードがあります。

• 集中管理モード：クライアントは、SecureClient Mobile用に設定されたゲートウェイ（モ

ジュール）に接続し、SmartCenterサーバからゲートウェイに送信されたポリシー一式をダウ

ンロードします。次に、クライアントがそのポリシーを実施します。

このモードを使用するには、VPN-1ゲートウェイとSmartCenterサーバがそのクライアントを

サポートするように設定する必要があります。このモードをサポートするゲートウェイのバー

ジョンは、R65、R62、R61のHFA1以上と、R60のHFA4以上です。 R65よりも前のバージョ

ンでは、SmartCenter/P1へのパッチも必要です。このパッチを適用すると、関連する追加機能

でスキーマ（データベース）が拡張されます。 R62以上のConnectraゲートウェイもこのモー

ドをサポートしています。

• SSL Network Extenderモード：クライアントは、SSL Network Extender用に設定された

ゲートウェイにのみ接続します。このモードでは、クライアントはポリシーをダウンロードし

ませんが、代わりにインストール時に事前定義されたポリシーを実施します（詳細について

は379ページの「クライアントの導入の概要」を参照してください）。クライアントは、SSL Network Extenderモード（チェック・ポイントのVPN-1 Pro R55 HF10以上のバージョンと、

Connectra 2.0以上のバージョンで使用可能）に設定されたどのゲートウェイでも動作しま

す。これは下位互換性を保つためのモードです。このモードを使用することで、企業のインフ

ラストラクチャをアップグレードしなくても、クライアント機能の一部を使用できます。チェック・ポイントのVPN-1 ProゲートウェイでSSL Network Extenderモードを設定する方

法の詳細については、『バーチャル・プライベート・ネットワーク』を参照してください。 ConnectraゲートウェイでSSL Network Extenderモードを設定する方法の詳細については、

『Connectra Web Security Gateway』を参照してください。

SecureClient Mobileは、Windows Mobile 2003/SE/5.0オペレーティング・システムでサポートさ

れています。

接続機能

第 17 章 SecureClient Mobile 335

接続機能ユーザが遠隔地から組織にアクセスするときはいつでも、通常の安全接続要件だけでなく、リモー

ト・クライアントの以下の要件にも適合している必要があります。

• 安全な接続性：安全な接続性は、すべての接続に対する認証、機密性、データの完全性がす

べて組み合わされることによって保証できます。

• アプリケーションの接続性：リモート・クライアントは、NATを実行するデバイスやプロキ

シ、ファイアウォールの背後にあっても、さまざまな場所から組織にアクセス可能でなけれ

ばなりません。使用可能なアプリケーションの中には、Web、メール・プッシュ、VoIP、ファイル共有・アプリケーションのほか、その企業に必要な専門のアプリケーションが含ま

れている必要があります。リモート・ユーザが認証されると、セッションが開始します。この

セッションのコンテキストでは、ユーザがログアウト（切断）するか、またはタイムアウト

によってセッションが終了するまで、すべての暗号化されたトラフィックが処理されます。

• 利便性：エンド・ユーザのシームレスな接続性を実現するための幾つかのオプションがあり

ます。クライアントのGUIと視覚的要素は、少ない操作で簡単に使えるように設計されてい

ます。

セッションの継続とタイムアウト

認証されたクライアントにはセッション IDが割り当てられ、この IDは一定期間有効です（期間は

設定可能です）。この期間内にネットワークのさまざまな状態が原因でクライアントのVPN接続が

切断されると、クライアントはそのセッション IDを使用してVPN接続にシームレスに再接続しま

す。全般的なユーザの操作が妨げられることはありません。たとえば、ユーザがトンネルに入った

場合やエレベータに乗った場合を思い浮かべてください。ユーザがあるインタフェースから別のイ

ンタフェースに（たとえばGPRS/UMTS からWiFi に）インターネット接続を「移動」すると、

SecureClient MobileはVPNトンネルの「上」で開いている接続を維持したままシームレスに再接

続します。

セッションがタイムアウトになる5分前に、ユーザ側に認証クレデンシャルを要求するメッセージ

が表示されることがあります。そのクレデンシャルが承認されると、タイムアウト時間が初期化さ

れます。タイムアウトまでにクレデンシャルを入力しないと、サーバから切断されます。この場合、

手作業でクライアントに再接続して再び認証を受ける必要があります。ユーザがクライアントを切

断して手作業でセッションを終了することもできます。

この機能はデフォルトで有効になっており、neo_user_re_auth_timeout プロパティと

neo_implicit_disconnect_timeout プロパティ（369 ページの表 17-1 と 371 ページの

表 17-2を参照）を使用して設定できます。

接続機能

336

ダイヤルアップの開始

デバイスがインターネットに接続していない場合にダイヤルアップ接続（GPRSなど）を開始する

ように、SecureClient Mobile を設定できます。この機能は、neo_initiate_dialupプロパティ

（369 ページの表 17-1を参照）を使用して設定します。

常時接続

以下のいずれかの状態になった場合、後に接続していたゲートウェイとの間に自動的にVPNトン

ネルを確立するように、SecureClient Mobileを設定できます。

• デバイスが有効な IPアドレスを持っている場合。たとえば、WLAN/WiFiをオンにした場合です。

• デバイスのスタンバイ・モードが終了したか、ソフトリセット /シャットダウン後にロードし

た場合。

• デバイスの自動切断の原因となった状況が解消されたあと。たとえば、デバイスで

ActiveSyncを有効にした結果クライアントが自動的に切断され、その後、クライアントが自

動的に接続したActiveSyncからそのデバイスが解放された場合です。

この動作モードでは、接続性が必要なときにエンド・ユーザが手作業でVPNトンネルを確立する必

要がないため、これをデフォルトの操作モードにすることをお勧めします。このモードで「ダイヤ

ルアップの開始」を使用すると、クライアントが常に接続された状態になります。そうすることで、

プッシュ・プロトコルやVoIPなどの使用が可能になります。

この機能は、neo_always_connectedプロパティとneo_disconnect_when_idle/timeoutプロパティ

（369 ページの表 17-1）を使用して設定します。

認証スキーム

Active Directory、RADIUSなどを含め、チェック・ポイント・ゲートウェイでサポートされている

一般的な認証スキームの大部分がクライアントでサポートされます。ユーザと接続されたデバイス

を認証する方法は幾つかあります。

• クライアント証明書（X.509、スマートカードなど）

• ワン・タイム・パスワード（RSA、SecureID、SoftIDなど）

• ユーザ /パスワードの組み合わせと、マルチ・チャレンジ・レスポンス（旧式の方法）

デバイスにダウンロードされた接続性ポリシーにより、管理者は認証プロセスでユーザが行うべき

操作の量を定義できます。

接続機能


スキームの一部では、シームレス認証（ユーザにクレデンシャルを要求しない）を設定できます。

• 証明書（CAPI経由）

• ユーザ /パスワードで証明書のキャッシュを使用。パスワードがキャッシュに保存されている

間は、クライアント認証時にユーザがパスワードを入力する必要はありません。

• OTPでSoftIDと証明書のキャッシュを使用。クライアントはSoftIDアプリケーションから

トークン・コードを透過的に読み取り、PINをキャッシュに保存できます。

これらのスキームの一部は、2要素による認証を行うように設定できます。デバイス・ログインに

よる証明書（まずユーザのデバイス・ログインを認証してから、インストール済みのCAPI証明書

を使用してCAからデバイスの認証受ける）と、OTPトークン（SoftIDを含む）です。

SecureClient Mobileは、SAA（Secure Authentication）OPSECインタフェースをサポートしてい

るため、標準の認証スキームにサードパーティの拡張機能を追加することが可能です。これには、

3要素、生体認証、認証が含まれます。

この機能は、neo_remember_user_password/timeout、neo_user_auth_methods、neo_user_re_auth_timeout、neo_saa_guilibs/urlプロパティ（369 ページの表 17-1と371 ページ

の表 17-2を参照）を使用して設定します。

詳細については、360ページの「認証スキーム」を参照してください。

警告：クレデンシャルのキャッシュを有効にすると、パスワード /PIN がデバイス上にローカ

ルで保存されます。この場合、デバイスが紛失、盗難、ハッキングなどに遭うとパスワード

が漏洩するという、セキュリティの脅威があります。

注： RSA SoftID は、60 秒ごとに一意のワンタイム・パスコードを生成する認証方法で、

インターネット経由の安全なアクセスを実現します。パスコードは PIN を使用して生成さ

れ、自動的に取得されます。 SecureClient Mobile は SoftID アプリケーションと直接通信し

て、SoftID からパスコードを取得します。デバイスに SoftID アプリケーションがインストー

ルされている必要がありますが、実行されていなくてもかまいません。

ユーザが PIN を持っていない（トークンカードが新品のため、または管理者が PIN をリ

セットしたため）場合は、PIN フィールドは空白のままになります。この場合、ログイン後

に PIN の作成を要求するページに誘導されます。今後のログインには、この PIN が使用され

ます。

ログイン前に、SoftID アプリケーションにトークン・ファイル（共有トークンが含まれる）を

インポートする必要があります。このファイルは認証サーバ（ACE/Server）と SoftID アプ

リケーションの間の認証に必要なものです。トークン・ファイルはパスフレーズによって保

護されています。パスフレーズはシステム管理者から取得できます。

接続機能

338

代替ゲートウェイのサポート

クライアントは、2つの方法でHA（ハイ・アベイラビリティ）と負荷共有を実現します。

1. クラスタ化： 1つの IPアドレスの背後に複数のゲートウェイを論理的に配置することで、

ハードウェアに障害が発生した場合にセッションの完全な継続と負荷分散が可能になります。

2. DNSベースのクラスタ化：同じトポロジを提供し、1つのDNS名を持つ複数のゲートウェ

イ。 SecureClient Mobileは、1つのDNS名をすべての IPアドレスに解決できます。 SCMは、

DNS名1つにつき10個までの IPアドレスへの接続を試行できます。 SCMは、成功するまで

各 IPアドレスへの接続を試みます。この機能のサポートは、DNSサーバで負荷共有または優

先順位付け（ラウンド・ロビンなど）に使用されるどのアルゴリズムに対しても透過的なの

で、効果的な負荷共有が可能です。このタイプのクラスタ化では、ゲートウェイに障害が発生

した場合にセッションが継続されません。

ゲートウェイ履歴

SecureClient Mobileには、以前接続していたゲートウェイについての詳細が記録されます。そのため、

ユーザはゲートウェイの情報を再び入力することなく、簡単にゲートウェイにアクセスできます。

ActiveSync 時と切断時に暗号化されていないクリア・トラフィックを許可

自宅や外出先からモバイル・デバイスでSecureClient Mobileを使用して企業ネットワークにアクセ

スしている企業ユーザは、ネットワーク・トラフィックの暗号化が不要な社内でもSecureClientMobileの使用を望むことがあります。

SecureClient MobileでActiveSync時にクリア（暗号化されていない）・トラフィックを許可するよう

に設定できます（デバイスがクレードル経由でPCに接続され、ネットワークへのNATアクセスの

ように機能します）。

モバイル・デバイスが暗号化ドメイン内部のプライベート・ネットワーク内にある場合にも、暗号

化せずに（クリアで）トラフィックを送信する必要が生じることがあります。たとえば、Wi-Fi基地

局が企業ネットワークの内部にある場合です。

クライアントでActiveSyncでのクリア・トラフィックが許可されないように設定すると、クレード

ルに置いたときに事実上クライアントを自動的に切断できます。さらに、デバイスがクレードルに

置かれている間はユーザが手作業で接続できなくなります。

注： SecureClient Mobile は、従来の MEP（複数エントリ・ポイント）をサポートしていま

せんが、DNS ベースのクラスタ化を使用すると、暗号化ドメインが完全に重複する MEP に

相当する動作を実現できます。

接続機能


この機能は、neo_clear_in_activesync、neo_allow_clear_while_disconnected、neo_disconnect_when_in_enc_domainプロパティ（369 ページの表 17-1と372 ページの

表 17-3を参照）を使用して設定します。

SCV（Secure Configuration Verification）トラバーサル SecureClient Mobileユーザは、SCV認証を要求するゲートウェイに接続できます。 SCVチェック

を通過したクライアントのみにアクセスできるようにゲートウェイが設定されている場合、SSLクライアントにSCVチェックを適用しないという例外を作成できます。これには、SecureClient MobileとSSL Network Extender（SNX）が含まれます。この機能を有効にするには、［Global Properties］>［Remote Access］>［Secure Configuration Verification (SCV)］>［Exceptions］を

クリックします。次に、［Do not apply Secure Configuration Verification on SSL clients connections］チェックボックスをオンにします。

トポロジと分割トンネリング

340

トポロジと分割トンネリングトポロジとは、ゲートウェイ、そのVPNドメイン、各ゲートウェイの背後にあるホスト、および各

ゲートウェイの外側のリモート・クライアントで構成されるシステムにおいて、有効なVPNリンク

の集合体です。

管理者は、クライアントがゲートウェイに接続後にアクセスできるネットワークとホストのリスト

を定義します。このリストは暗号化ドメインもしくはVPNドメインと呼び、初めて接続したときに

クライアントにダウンロードされます。クライアントはそれを使用して、トンネリングおよび暗号

化してゲートウェイに送信するネットワーク・トラフィックと、それを行わないトラフィックを定

義します。

ハブ・モード（リモート・アクセスの VPN ルーティング）


ハブ・モード（リモート・アクセスの VPNルーティング）

ハブ・モードでリモート・アクセス・クライアントのVPNルーティングを有効にできます。この

モードでは、デバイスからのすべてのトラフィックが、接続されたゲートウェイを経由して送受信

されます。ゲートウェイは、リモート・クライアントに対するルータとして機能します。リモート・

アクセス・クライアントからのトラフィックがゲートウェイを経由してルーティングされると、その

後のトラフィックをフィルタリングし、検査し、準拠した状態を維持することができます。

オフィス・モード

このモードでは、企業ネットワーク内からリモート・アクセス・デバイスへの接続と、クライアン

ト間の接続性（たとえば、P2PおよびVoIPプロトコル、バック・コネクション、「プッシュ」テク

ノロジ）が可能になります。オフィス・モードでは、接続されたゲートウェイがリモート・クライ

アントに IPアドレスを割り当てます。この IPアドレスは、家庭内ネットワークとの安全なカプセ

ル化通信のために内部で使用されるだけのもので、公共ネットワークでは見ることができません。

IPアドレスの割り当ては、ユーザが接続して認証されるとすぐに実行されます。ユーザが接続して

いる限り、割り当てリースは継続的に更新されます。アドレスは、一般的な IPアドレス・プール、

設定ファイルを使用してユーザ・グループごとに指定される IPアドレス・プール、DHCPサーバ、

RADIUSサーバから選択されます。 SecureClient Mobileゲートウェイを正しく設定するには、オ

フィス・モードを使用する必要があります。

ビジター・モード（SSL トンネル）

ビジター・モードでは、ポート443でのSSL/TLS接続を通じた、クライアントとゲートウェイ間の

すべての通信のトンネリングが可能になります。ビジター・モードは、クライアントがサーバをバ

イパスしてインターネットに接続し、企業ゲートウェイに到達する必要がある場合に、ファイア

ウォールとプロキシ・サーバとNATデバイスを通過するように設計されています。 SecureClientMobileゲートウェイを正しく設定するには、ビジター・モードを使用する必要があります。

セキュリティ・ポリシーとクライアントによる決定

342

セキュリティ・ポリシーとクライアントによる決定

SecureClient Mobileは、一連のプロパティを使用してクライアントの動作を定義する、幾つかの集

中管理ポリシーをサポートしています。クライアントが組織のゲートウェイに接続してVPNトン

ネルを確立すると、ポリシーがデバイスにダウンロードされ、クライアントによって実施されます。

実際にクライアントによって実施されるポリシーは、後に接続したゲートウェイからダウンロー

ドしたもので、クライアントが現在接続しているかどうかに関係なく実施されます。

一部のプロパティは管理者がクライアントに対して実施し、残りのプロパティはエンド・ユーザが

定義できるように設定できます。これには「client_decide」オプションを使用します。このオプショ

ンは、クライアントに適用できるほとんどのプロパティで使用できます。このオプションは、管理

者がこのプロパティまたは動作をクライアントに対して実施しないことを表します。これは、クラ

イアントCLIとプログラム可能なインタフェース（API）を使用して変更することもできます。一部

のプロパティはエンド・ユーザに公開され、エンド・ユーザがオプション・ダイアログを使用して

制御できます。

ゲートウェイがクライアントにポリシーをダウンロードさせない場合（前述の「SSL NetworkExtenderモード」を参照）、クライアントは事前定義済みのパッケージ・ポリシーを実施します。

そのポリシーが存在しない場合は、設定変更ができない定義済みのマスタ・ポリシーを実施します。

クライアントはゲートウェイに接続するたびにポリシーを更新します。ポリシーには有効期限が

あり、それを過ぎるとクライアントがゲートウェイから更新されたポリシーを取得します。

IP ファイアウォール・ポリシー


IP ファイアウォール・ポリシーSecureClient Mobileには IPファイアウォールが組み込まれており、このファイアウォールが事前

定義済みセキュリティ・ポリシーをサポートします。以下のポリシーの1つをクライアントに適用

して実施させることができます。

• Allow All：すべてのトラフィックを許可します。クライアントは暗黙的なファイアウォール・

ルールで保護されたままになります。

• Allow Outgoing and Encrypted： VPNドメインとの間で暗号化された送受信トラフィックを

許可します。携帯機器から開始された非VPNの送信接続も許可します。このポリシーを使用す

ることをお勧めします。

• Allow Outgoing Only：発信接続はすべて許可され、着信接続はすべて遮断されます。このポ

リシーは、非VPNホストとVPNホストの両方で着信接続の確立を阻止します。

• Allow Encrypted Only：暗号化ドメインから発信された、または暗号化ドメインが宛先であ

るVPNトラフィックのみを許可します（クライアントの接続中のみ）。

管理者は、これ以外にも以下のルールをクライアント・ファイアウォールに適用できます。

1. ActiveSync（デバイスからPCへの同期）通信を許可 /禁止するポリシー。許可されていない

PCにユーザがデバイスを同期させるのを防止するために有効です。

2. VPNドメイン宛ての暗号化されていないすべてのトラフィックを破棄するポリシー。このポ

リシーは、大のセキュリティを確保し、アドレス漏洩を防止するために、多くの場合ハブ・

モードおよびAllow Encrypted Onlyと組み合わせて使用します。

3. デバイス上のパケット転送を無効にするポリシー。このポリシーは、デバイスの IPスタック

により実行される IP転送を無効にすることで、デバイスがルータとして使用されることを防

ぎます。

これらの機能は、neo_enable_firewall_policy、neo_firewall_policy、neo_enable_activesync、neo_enable_ip_forwarding、neo_policy_expire、neo_allow_clear_while_disconnectedプロパティ

（372 ページの表 17-3を参照）を使用して設定します。

接続性ポリシー

344

接続性ポリシークライアントが接続性機能を操作する方法を、管理者が定義できます。前述のように、これには常

時接続、ActiveSync時の切断、ハブ・モードが含まれます。ほかに定義できるプロパティには、管

理者によって事前定義されていない（新しい）ゲートウェイへの接続、ゲートウェイでフィンガー

プリントを承認するときの必要条件があります。

369 ページの表 17-1に、すべてのプロパティの一覧が記載されています。

一般的な「GUI」ポリシー


一般的な「GUI」ポリシー管理者は、クライアントが自らGUIで設定可能になる項目を定義できます。これにはデバイス起動

時のクライアントの実行、エンド・ユーザによるクライアントの終了、デバッグ・ログの生成、

Today/Home項目の有無、クライアントによる操作 /ポップアップ /警告の量などがあります。

これらの機能は、neo_run_client_on_device_startup、neo_enable_kill、neo_allow_client_debug_logs、neo_allow_client_db_export、neo_show_taskbar/today_item、neo_flash_icon_on_encrypting/dropプロパティ（375 ページの表 17-4を参照）を使用して設定

します。

クライアントの導入、再パッケージング、アップグレード

346

クライアントの導入、再パッケージング、アップグレード

SecureClient Mobileは、署名によって完全性が証明された自己インストール型のCABとしてパッ

ケージングされています。このCABパッケージをユーザに配布する前にカスタマイズして、事前定

義済みのトポロジ、設定、クレデンシャル、デフォルトのファイアウォール・ポリシーを含めるこ

とができます。付属のMSIパッケージ（Windowsインストーラ）を使用してCABを再度パッケー

ジングし、Windows PCからActiveSyncのインストーラ・サービスを経由してインストールするこ

とができます。バージョンのアップグレード時は、アップグレード・パッケージで特に上書きを指

定しない限り、既存のクライアント・ポリシーとクレデンシャルが維持されます。

クライアントをモバイル・デバイスにインストールすると、証明書のインポート・ウィザードとい

う別のアプレットもインストールされます。このアプレットにより、クライアント認証に使用する

デバイスのCAPIストアにPKCS#12証明書ファイルをインポートできるようになります。

アップグレードの設定は、neo_upgrade_mode、neo_upgrade_version、neo_upgrade_urlプロパティ

（371 ページの表 17-2を参照）を使用して行います。

SecureClient Mobile のインストール



ゲートウェイ側での SecureClient Mobile のインストール

SecureClient Mobile（SCM）サポートを完全に使用できるのは、VPN1ゲートウェイとSmartCenterはR65から、Connectraスタンドアロン・ゲートウェイはR62からです。 R62 Connectraゲートウェイ

のインストールと設定については、Connectraのマニュアルを参照してください。

それより前のゲートウェイと、SmartCenterの各バージョンでは、以下のインストール手順に従っ

てください。

ゲートウェイを集中管理するためには、R65より前のSmartCenterサーバには管理パッチをインス

トールする必要がありますが、これは必須ではありません。 SCMのサポートがゲートウェイのみに

インストールされている場合は、各ゲートウェイに個別に設定を適用する必要があります。

SecureClient Mobileのユーザは、SCMサポートがインストールされていないゲートウェイや、SCMサポートがインストールされているが有効になっていないゲートウェイに、SSL Network Extenderの設定を通じて接続できます。

モジュール・サポート

以下のゲートウェイ・バージョンには、SecureClient Mobile（SCM）サポートが組み込まれています。

• R60 HFA_04以降

• R61 HFA_01以降

• R62以降

HFA のダウンロード

HFAがインストールされていない場合は、お使いのゲートウェイ・バージョンに適した新のHFAを

以下のURLからダウンロードしてください。

http://www.checkpoint.com/downloads/latest/hfa.html

注：ほとんどの場合、HFA のインストール後に「手作業」の処理が 1 つ必要です。 HFA の

インストール時に、既存の設定ファイルは一切上書きされず、ファイル名に「_HFA」が付

加されて conf フォルダにコピーされます。関連する設定データをこれらの設定ファイルに

コピーした後で、ファイル名を手作業で変更する必要があります。 SCM には 3 つの設定

ファイルがあります。ファイル名を $FWDIR/conf/*_HFA.ttm から $FWDIR/conf/*.ttmに変更


http://www.checkpoint.com/downloads/latest/hfa.html


348

SmartCenter サーバ・サポート

SCMサポート・ゲートウェイを集中管理するには、以下のバージョンのSmartCenterが必要です。

• R65以降

• SCM管理パッチをインストールしたR62



SCM 管理パッチのダウンロード

関連するバージョンのパッチを、http://www.checkpoint.com/downloads/からダウンロードします。

製品はSecureClient Mobile、バージョンはR60/R61/R62、OSはWindows Mobileです。

［Add-on for NNNN Based SmartCenter］を選択して関連するアドオンを選択します。「NNNN」は

SmartCenter OSバージョンを示します。

管理パッチのインストール

管理パッチをインストールするには、以下の手順に従います。

1. SmartCenterサーバのコマンド・プロンプトで、以下のように入力します。

fw1_HOTFIX_AAA_HF_HANN_NNN_NN

2. プロンプトが表示されたら、「y」を入力してインストールを続けます。

3. SmartCenterサーバのコマンド・プロンプトで、以下のコマンドを実行します。

cpstop

cpdb scheme_adjust

cpstart


注： Provider-1 にインストールする場合は、別のパッチが用意されています。 Sk32210（SecureClient Mobile cannot be centrally managed using Provider-1/SiteManager-1）を参照


https://secureknowledge.checkpoint.com/SecureKnowledge/viewSolutionDocument.do?lid=sk32210&partition=PUBLIC&product=Provider-1,%20SiteManager-1,%20Integ

http://www.checkpoint.com/downloads/



ゲートウェイ・パッチ

このパッチが必要なのは、R60 HFA_02のみです。

ゲートウェイ・パッチをインストールするには、各ゲートウェイで以下の手順に従います。

1. コマンド・プロンプトで以下のように入力します。

fw1_HOTFIX_DAL_HF_HA02_129_591129NNN_N

2. プロンプトが表示されたら、「y」を入力してインストールを続けます。

インストールが完了したら、マシンを再起動します。

クライアント側のインストール

350

クライアント側のインストールSecureClient Mobileをインストールする方法には、以下の2とおりがあります。

• 自己インストール型のCABパッケージ：このファイルはモバイル・デバイスに直接インス

トールされます。

• 自己インストール型のMSIパッケージ：このファイルはユーザのPCにインストールされます。インストール時には、インストーラがMSIパッケージ内からCABファイル・パッケージを展

開し、接続されているモバイル・デバイスにActiveSyncサービスを使用してインストールし

ます。

ハードウェアとソフトウェアの要件

オペレーティング・システム• Windows Mobile 2003/SE PocketPC

• Windows Mobile 5.0 PocketPC/Smartphone

プロセッサ• Intel ARM/StrongARM/XScale/PXAシリーズ・プロセッサ・ファミリ

• Texas Instrument OMAPプロセッサ・ファミリ

チェック・ポイントの証明書とロックされたデバイス

1層 /2層のロックされたMobile2MarketのWindows Mobileにクライアントをインストールするに

は、まず初にデバイスの信頼された証明書とSCPストアにチェック・ポイントの証明書をインス

トールする必要があります。この「ロックされた」構成は、SmartPhoneデバイスでは特に多く使

用されています。これにより、チェック・ポイントの証明書によって署名されたクライアントのイ

ンストーラと実行可能プログラムをインストールして実行できるようになります。チェック・ポイ

ントの証明書は、小さいCABインストーラにパッケージングされています。チェック・ポイント製

品をインストールするデバイスには、あらかじめこのパッケージを1回インストールする必要があ

ります。

1. インストーラ「cpcert.cab」は、unlock_smartphoneフォルダのクライアントZIPパッケージ

に含まれています。

2. ActiveSync中のデバイスにこの .cabファイルをコピーします。

3. ファイルエクスプローラを使用して、デバイス上で .cabを実行します。

4. インストールが完了すると、「cpcert.cabはデバイスに正常にインストールされました。」とい

うメッセージが表示されます。

http://msdn.microsoft.com/windowsmobile/partners/mobile2market/smartphoneapps/default.aspx



CAB パッケージ

.cabファイルは管理者によって提供され、モバイル・デバイスまたは接続されているストレージ・

カードに保存できます。インストールは、Over The Air（OTA）などの設定ツールを使用して自動

化できます。

インストール

CABパッケージをインストールするには、以下の手順に従います。

1. モバイル・デバイスの［ファイルエクスプローラ］ウィンドウで、.cabファイルがあるフォ

ルダを開き、.cabファイルを選択します。

2. インストール先の指定を求められた場合は、［デバイス］を選択します（ストレージ・カード

へのインストールはサポートされていません）。

［SecureClient Mobileのセットアップ］ウィンドウが開きます。

3. ［はい］をタップして再起動します。

アップグレード

CABパッケージをアップグレードするには、以下の手順に従います。

1. ［ファイルエクスプローラ］ウィンドウで、.cabファイルを選択します。


352

［Installation］ウィンドウが開きます。

2. ［OK］をタップして新しいバージョンをインストールします。アップグレードしても既存の設

定は消去されず、新しいバージョンに受け継がれます。

3. インストール先の指定を求められた場合は、［Device］を選択します（ストレージ・カードへ

のインストールはサポートされていません）。

4. ［Yes］をタップして再起動します。

アンインストール

CABパッケージをアンインストールするには、以下の手順に従います。

1. ［スタート］>［設定］>［システム］タブ>［プログラムの削除］を選択します。

2. ［Check Point SecureClient Mobile］をハイライトして、［削除］をタップします。

MSI パッケージ

.msiファイル・パッケージは管理者によって提供され、PC上に保存できます。インストールは、

Microsoft SMS Serverなどのツールを使用して自動化できます。

インストール

MSIパッケージをインストールするには、以下の手順に従います。

1. Windows PCで、管理者から提供された.msiファイルを実行します。

2. ウィザードの指示に従ってインストールを実行します。インストール時に、ソフトウェアをデ

バイスにインストールするようにActiveSyncサービスから要求されます。



アップグレード

MSIパッケージをアップグレードするには、以下の手順に従います。

1. 管理者から提供された.msiファイルを実行します。

2. ウィザードの指示に従ってインストールを実行します。インストール時に、ソフトウェアをデ

バイスにインストールするようにActiveSyncサービスから要求されます。

3. ［OK］をクリックして新しいバージョンをインストールします。アップグレードしても既存の

設定は消去されず、新しいバージョンに受け継がれます。

アンインストール

MSIパッケージをアンインストールするには、以下の手順に従います。

1. ［スタート］>［設定］>［コントロールパネル］>［プログラムの追加と削除］をクリックし

ます。

2. ［Check Point SecureClient Mobile］をハイライトして、［削除］をクリックします。

3. ウィザードの指示に従ってアンインストールを実行します。デバイスからクライアントを削除

する場合は、352ページの「アンインストール」を参照して、CABパッケージのアンインス

トール手順に従ってください。

SecureClient Mobile の設定

354

SecureClient Mobile の設定SecureClient Mobileクライアントを集中管理モードで動作させるには、以下のように設定する必要

があります。

• サポートするすべてのゲートウェイを含む、リモート・アクセス・コミュニティを設定します。

• 各ゲートウェイの負荷共有とHA機能を有効にします。

• 各ゲートウェイにオフィス・モードを設定します。

• 各ゲートウェイのリモート・アクセスのトポロジを定義します。

• SecureClient Mobileのグローバル・プロパティ（neoプロパティ）を設定します。

• 接続性の設定を確立します。

• セキュリティ・ポリシーを定義します。

• GuiDBEditツールを使用して、詳細なプロパティを設定できます。

• 各ゲートウェイで、SecureClient Mobileのサポートを有効にして、設定します。

• SecureClient Mobileのライセンス（SKU: CPVP-SCM-NNN）または評価ライセンス（SKU: CPVP-EVAL-SCM-25-30/1）をインストールします。

注： 1 つのゲートウェイに SecureClient Mobile サポートと SSL Network Extender サポート

の両方が設定されており、対応するプロパティの設定がそれぞれ異なる場合は、SSL Network Extender の設定が適用されます（たとえば、ユーザ認証方式、ゲートウェイ認証、

SSL 暗号化方式など）。

注：以下の設定ポイントの幾つかでは、特定の SmartCenter データベース・フラグ / プロパ

ティについて言及しています。これらは R65 SmartDashboard または GuiDBEdit を使用して

編集できます。 GuiDbEdit の詳細については、367 ページの「高度な設定」を参照してくだ

さい。



SecureClient Mobile をサポートするためのゲートウェイの設定

ゲートウェイでSCMサポートを有効にする方法には、以下の2とおりがあります。

1. SmartDashboad、R65以上を使用する場合：ゲートウェイ・オブジェクトで［Remote Access］>［SSL Clients］をクリックし、［SecureClient Mobile］チェックボックスをオンに

します。

2. GuiDBeditツールを使用して、各ゲートウェイ・オブジェクトでneo_enableプロパティを

有効にします（この方法を使用できるのは、R65を管理しているとき、またはSCM管理

パッチがインストールされている場合です）。

A. ［Network Object］>［network_objects］に移動します。

B. ゲートウェイを選択し、VPN セット内で ssl_neセットを探します。 ssl_neプロ

パティ（neo_enableや ssl_enableなど）が表示されない場合は、ssl_neの値

を ssl_network_extenderに変更します。これで、これらのプロパティが表示さ

れるようになります。

C. サポートを有効にする場合は、セット内で neo_enableの値を「true」に変更し、

無効にする場合は「false」に変更します。

D. 変更を保存して、ポリシーをインストールします。


356

リモート・アクセス・コミュニティのメンバとしてのゲートウェイの設定

リモート・アクセス・コミュニティのメンバとしてゲートウェイを設定するには、以下の手順に従

います。

1. SmartDashboardを開き、オブジェクト・ツリーの［Network Object］タブで［Gateway Object］を選択します。［General Properties］ウィンドウが開きます。

図 17-1 ［General Properties］ウィンドウ

2. ［VPN］が選択されていることを確認します。

3. 左側のメニューから、［VPN］を選択します。

4. ゲートウェイがリモート・アクセス・コミュニティに参加していることを確認します。参加

していない場合は、ゲートウェイをリモート・アクセス・コミュニティに追加します。



5. ［Gateway Properties］ページの［Topology］タブで、SecureClientを設定したときと同じ方

法でSecureClient MobileのVPNドメインを設定します。

6. 『バーチャル・プライベート・ネットワーク』の「接続性の問題の解決」の章に記載されてい

る説明に従って、ビジター・モードを設定します。ビジター・モードを設定しても、

SecureClientの通常のユーザ機能に支障をきたすことはありません。SecureClientユーザがビ

ジター・モードを使用できるようになります。

7. SecurePlatformで、以下のいずれかを実行します。

webuiポートを変更する場合は、webui enable <port number>を実行します（たとえば、

webui enable 444）。

webuiポートを無効にするには、webui disableを実行します。

8. NokiaプラットフォームでVoyagerポートを変更するには、以下のコマンドを実行します。

voyager -e x -s <port number>（xは暗号化レベルを表します）

詳細を表示するには、次のコマンドを実行します。 voyager -h

9. ［Remote Access］>［Office Mode］を選択します。

10. 283 ページの第15章「オフィス・モード」の説明に従って、オフィス・モードを設定します。

11. ユーザと認証を設定します。

注： VPN ドメインを使用して、SecureClient Mobile がハブ・モードで動作するように設定で

きます。ハブ・モードでは、すべてのトラフィックが中央のハブを通じて送受信されます。

［トポロジ］タブの［Set domain for Remote Access Community ...］ボタンを使用して、

ゲートウェイに接続するリモート・アクセス・クライアント用に別の暗号化ドメインを作成

することもできます。

注： SecureClient Mobile では、SecurePlatform および Nokia プラットフォームとの安全な

接続を確立し、リモート管理を行うために、TCP 443（SSL）を使用しています。 SecureClient Mobile に別のポートを割り当てることは可能ですが、ほとんどのプロキシでは

80 と 443 以外のポートを許可していないため、これはお勧めしません。その代わりに、

SecurePlatform や Nokia プラットフォームの Web ユーザ・インタフェースを 443 以外の

ポートに割り当てることをお勧めします。

注：ゲートウェイ側では、オフィス・モードがサポートされていることが必須です。


358

負荷共有クラスタのサポート

SecureClient Mobileは、負荷共有クラスタのサポートを提供します。

負荷共有クラスタのサポートを有効にするには、以下の手順に従います。

1. SmartDashboardを開き、オブジェクト・ツリーの［Network Object］タブで［Gateway Cluster Object］を選択します。［Gateway Cluster Properties］ウィンドウが開きます。

2. ［Cluster XL］を選択します。［Cluster XL］タブが表示されます。

3. ［Advanced］をクリックします。［Advanced Load Sharing Configuration］ウインドウが表示

されます。

図 17-2 ［Advanced Load Sharing Configuration］ウィンドウ

4. ［Use Sticky Decision Function］を選択します。この機能を使用した場合、クライアントがク

ラスタに接続すると、そのクライアントのすべてのトラフィックが1つのゲートウェイを通過

します。そのメンバのゲートウェイが故障すると、クライアントは別のクラスタ・メンバに

再接続し、セッションを再開します。

注：対称判定機能を設定する前に、負荷共有クラスタを作成する必要があります。



5. ［Gateway Cluster Object］>［Remote Access］>［Office Mode］を選択します。オフィス・

モードを付加共有クラスタと共に使う際は［Manual (using IP pool)］方式のみがサポートさ

れます。


360

認証スキーム

リモート・ユーザを認証する方法は4通りあります。

• Certificate：システムは、証明書を経由してユーザを認証します。登録は許可されません。

• Certificate with enrollment：証明書を経由してユーザを認証します。登録は許可されます。ユーザが証明書を所有していない場合は、システム管理者から受け取ったレジストレーション・

キーを使用することで登録が可能です。

• Legacy：ユーザ名とパスワード、およびその他のチャレンジ・レスポンス・オプション

（たとえばSecurID）を使用して、ユーザを認証します。

• Mixed：システムは、証明書を経由してユーザの認証を試みます。ユーザが有効な証明書を所

有していない場合は、従来の方法のいずれかで認証します。

SecureClientは、SAA（Secure Authentication）OPSECインタフェースをサポートしているため、

標準の認証スキームにサードパーティの拡張機能を追加することが可能です。このスキームが動作

するためには、ここでLegacyスキームを選択する必要があります。また、GuiDBEditツールを使用

して、neo_saa_guilibsプロパティをSAA DLL名で更新する必要があります。

認証方式の設定

認証方式の設定は、以下の2つの方法で行います。

1. SmartDashboardで、［Policy］>［Global Properties］>［Remote Access］>［SecureClient Mobile］をクリックします。［User authentication method］ドロップダウン・メニューから、

認証スキームを選択します。

2. 表 17-2の説明に従って、neo_user_auth_methodsプロパティを使用して認証メソッドを

設定します。

ユーザの再認証

ユーザの再認証の値は、以下の2つの方法で設定します。

1. SmartDashboardで、［Policy］>［Global Properties］>［Remote Access］>［SecureClient Mobile］>［Advanced］をクリックします。［Re-authenticate user every］フィールドに値を

入力します。

2. 表 17-2の説明に従って、neo_user_re_auth_timeoutプロパティを使用してユーザの再

認証の値を設定します。

注：登録機能を持つ証明書は、現在はクライアントに実装されていません。実装すると、

証明書オプションを選択したのと同じ効果があります。



暗号化方式の設定

使用できる暗号化方式は2つあります。

• 3DES only：（デフォルト）SecureClient Mobileクライアントは3DESのみをサポートします。

• 3DES or RC4： SecureClient Mobileクライアントは、RC4と3DESの両方の暗号化方式をサ

ポートします（RC4の方が高速な暗号化方式です）。

暗号化方式の設定は、以下の2つの方法で行います。

1. SmartDashboardで、［Policy］>［Global Properties］>［Remote Access］>［SecureClient Mobile］をクリックします。［Supported encryption methods］ドロップダウン・メニューから、

暗号化方式を選択します。

2. neo_encryption_methodsプロパティ（表 17-2）を使用して、SecureClient Mobileクライ

アントがRC4または3DES暗号化方式をサポートするかどうかを指定します。

証明書

SSL Network Extender が有効な場合には、SmartCenter サーバは、SSL Network Extender とSecureClient Mobileクライアントで同じ証明書を使用します。

1. SmartDashboardでゲートウェイ・オブジェクトを開き、［Remote Access］>［SSL Clients］に移動します。［The gateway authenticates with this certificate］ドロップダウン・メニュー

から、適切な証明書を選択します。

2. この機能はレジストリを使用して設定できます。詳細については、376ページの「非集中管理

ゲートウェイの設定」を参照してください。

証明書のニックネーム

証明書のニックネームを表示するには、以下の手順に従います。

1. SmartDashboardで、関連するネットワーク・オブジェクトの［VPN］タブを開きます。

2. ［Certificates List］セクションで、証明書の横にニックネームが表示されます。


362

内部 CA 証明書の管理

管理者がユーザ認証スキームとして［Certificate with Enrollment］を設定している場合、ユーザは

システム管理者から提供されるレジストレーション・キーを使用して証明書を作成できます。

登録用のユーザ証明書を作成するには、以下の手順に従います。

1. 『SmartCenter』の「内部認証局（ICA）と ICA管理ツール」で説明されている手順に従います。

2. ICA管理ツールのサイトhttps://<mngmt IP>:18265にアクセスして、［Create Certificates］を選択します。

3. ユーザ名を入力し、［Initiate］をクリックしてユーザにレジストレーション・キーを送信します。

ユーザが証明書なしでSecureClient Mobileを使用して接続すると、［Enrollment］ウィンドウ

が表示されます。ユーザはここにシステム管理者から受け取ったレジストレーション・キーを

入力して、証明書を作成できます。

証明書のインポート

SecureClient Mobile を使用して証明書をインポートするには、証明書がすでにPocket PC のMyDocumentsディレクトリに保存されている必要があります。

証明書をインポートするには、以下の手順に従います。

1. ［スタート］>［プログラム］>［接続］>［CertImport］を選択します。

2. インポートする証明書をクリックします。

3. 証明書パスワードを入力します。

4. ［Import issuer to Root CA］を選択して、インポートされた証明書に対して発行されたCAの

証明書をインポートします。この機能は、ユーザとサーバの証明書が同じCA（たとえば、

チェック・ポイントの内部CA）から発行されている場合に使用します。

5. 追加の証明書を表示するには、［スタート］>［設定］>［システム］>［Certificates］>［Root］を選択します。

注：このバージョンでは、外部 CA への登録はサポートされていません。

注：システム管理者はユーザを URL、http://<IP>/registration.html に誘導して、そのときに

ユーザが SSL Network Extender を使用しようとしていなくても、レジストレーション・

キーを受け取って証明書を作成できるようにすることができます。



6. 個人の証明書を表示するには、［スタート］>［設定］>［システム］>［Certificates］>［Personal］を選択します。

7. ［OK］をクリックします。証明書がインポートされたことを示すウィンドウが表示されます。


トポロジの更新

トポロジの更新は、ユーザがゲートウェイに接続したときや、認証タイムアウト後にユーザが再接

続したときに、クライアントに自動的にダウンロードまたは適用されます。それに加え、管理者が

設定した頻度で定期的に更新されます。更新されたサイトの詳細情報をクライアントにダウンロー

ドする頻度を設定するには、以下の手順に従います。

1. SmartDashboardで、［Policy］>［Global Properties］>［Remote Access］を選択します。

2. ［Topology Update］で、［Update topology every ... hours］を選択します。

3. ポリシーを更新する頻度（単位：時間）を入力します。

セキュリティ・ポリシー

セキュリティ・ポリシーとは、着信、発信の双方向のトラフィックを規制するためにシステム管理

者が作成するものです。 SecureClient Mobileサポートが有効でない場合は、クライアントが接続す

ると、クライアント・パッケージで定義されているデフォルトのポリシーが実施されます。セキュ

リティ・ポリシーの設定は、以下のいずれかの方法で行います（優先順位の高い順に記載されてい

ます）。

1. SmartDashboadで、［Policy］>［Global properties］>［Remote Access］>［SecureClient Mobile］をクリックし、［Enable firewall policy］ドロップダウン・メニューで［Yes］をク

リックします。［Firewall policy］と［Enable Microsoft ActiveSync］ポリシーを必要な値に

設定します。値とオプションの詳細については、343ページの「IPファイアウォール・ポリ

シー」を参照してください。

2. SmartCenterサーバでGUIDBEditツールを使用します。詳細については、367ページの「高度

な設定」を参照してください。

3. 各ゲートウェイでTTMファイルに変更を加えます。詳細については、376ページの「TTM（変換テンプレート・ファイル）」を参照してください。

4. パッケージ内のstartup.Cファイルに変更を加えます。詳細については、379ページの「ク

ライアントの導入の概要」を参照してください。

設定が矛盾している場合（2つの場所で、1つの設定に対して異なる値が指定されている場合）、優

先順位の高い場所で指定した値が使用されます。たとえば、neo_remember_user_passwordをdbeditで「true」に設定し、TTMファイルで「false」に設定すると、「true」として扱われます。


364

すべてのトラフィックをルーティング（ハブ・モード）

ハブ・モードが有効な場合は、ゲートウェイはクライアントに対してVPNルータとして機能するこ

とに同意します。クライアントが確立した接続は、接続先が内部ネットワークまたは外部のイン

ターネットのどちらであるかに関わらず、すべてゲートウェイを通過します。パケットはクライア

ントとゲートウェイの間で暗号化されますが、ゲートウェイと終接続相手の間は「クリア」で通

過します。さらに、終的な接続先が別のゲートウェイの背後にあり、両ゲートウェイの間にVPNリンクが定義されている場合は、このリンクに従って接続がルーティングされます。

SmartDashboardでハブ・モードを有効にするには、以下の手順に従います。

1. ゲートウェイで［Remote Access］ページを開き、［Allow SecureClient to route traffic through this gateway］を選択します。

2. ［Policy］>［Global Properties］>［Remote Access］>［SecureClient Mobile］をクリックし、

［Route all traffic through gateway］ドロップダウン・メニューから、［Yes］を選択します。

この方法の代わりに、GUIDBEditツールを使用してneo_route_all_traffic_through_gatewayプロパティを「true」に設定することもできます。

注：その他のオプションについては、sk31873 と sk31367 を参照してください。

https://secureknowledge.checkpoint.com/SecureKnowledge/viewSolutionDocument.do?id=sk31873

https://secureknowledge.checkpoint.com/SecureKnowledge/viewSolutionDocument.do?lid=sk31367&partition=PUBLIC&product=Connectra,%20VPN-1%20Pro%20(VPN-1/FW-1

クライアント側の設定



サイトへの接続

ゲートウェイに接続するには、以下の手順に従います。

1. ツールバーで、［Menu］>［Connect］>［New］をタップします。［Connect to a new Server］ウィンドウが表示されます。

2. ［Server address or name］フィールドに、ゲートウェイ情報を入力します。デフォルト以外の

ポートにビジター・モードで接続している場合は、「<gateway information>:<port>」と入力し

ます。デフォルトのポートは、TCPポート443です（341ページの「ビジター・モード（SSLトンネル）」を参照）。

3. ［OK］をタップします。初めてサーバに接続したときは、クレデンシャルの検証が必要です。

4. プロンプトが表示されたら、クレデンシャルを入力します。

前回接続したゲートウェイに接続するには、以下の手順に従います。

1. ツールバーで、［Connect］をタップします。

2. ゲートウェイのサーバ名または IPアドレスを選択するか、ツールバーの［Connect］をタッ

プして、前回接続したゲートウェイに接続します。

表示方法の設定

モバイル・デバイスでの表示方法を設定するには、以下の手順に従います。

1. ［Menu］>［Options...］を選択します。

2. ［Display Settings］までスクロールし、以下のように設定します。

• Notification Level：ドロップダウン・メニューから、以下のオプションのいずれかを選

択します。

• All - クライアントから送信されたすべてのカテゴリ（情報、進行状況、警告、

エラー）のすべてのポップアップを許可します。

• Progress, Warnings and Errors - 情報ポップアップを表示しません。

• Warnings and Errors - 警告とエラーのポップアップのみを表示します。

注：ゲートウェイに接続したら、ツールバーの［Connect］をタップして、前回接続した

ゲートウェイに接続します。


366

• Errors only - エラー以外のポップアップは一切表示しません。

• None - どのポップアップも表示しません。

• Show Today Item：［Today Item］メニューにSecureClient Mobileを表示します。

• Show Taskbar icon：クライアントの実行時に、タスクバーにSecureClient Mobileアイ

コンを表示します。

• Flash icon on encrypting：タスクバー上のアイコンに i を表示し、情報の送受信時に点

滅させます。

• Flash icon on firewall packet drop：タスクバーのアイコンに錠前を表示し、パケット

が破棄されたときに点滅させます。

ステータス・ページ

ステータス・ページには、基本と詳細の2つのビューがあります。

基本ビューには以下のものが表示されます。

• Status：クライアントがゲートウェイに接続しているかどうかを表示します。

• Server ID：現在の接続のゲートウェイ名または IPアドレスを表示します。

• Firewall policy：ファイアウォール・ポリシーが有効か無効かを表示します。

詳細ビューには以下のものが表示されます。

• Status：クライアントがゲートウェイに接続しているかどうかを表示します。

• Server ID：現在の接続のゲートウェイ名または IPアドレスを表示します。

• Office mode IP: ゲートウェイによって割り当てられたオフィス・モードの IPアドレスを

表示します。

• Duration：現在のセッションの経過時間を表示します。

• Firewall policy：ファイアウォール・ポリシーが有効か無効かを表示します。

• ActiveSync policy： ActiveSyncポリシーが有効か無効かを表示します。

高度な設定


高度な設定管理パッチをインストールすると、dbeditを使用してSmartCenterサーバでセキュリティ・ポリシーを

設定できます。

GuiDBEditツールを使用してセキュリティ・ポリシーを設定するには、以下の手順に従います。この

ツールはSmartGUIインストール・ファイルに含まれています。SmartGUIインストール・ファイル

の場所は、Program Files¥CheckPoint¥SmartConsole¥<version>¥PROGRAM¥GuiDBEdit.exeです

（SK13009を参照）。

1. ［Global Properties］>［properties］>［firewall_properties］を選択します。

2. ［Field Name］カラムで［mobile_remote_access_properties］を見つけます。このプロパティ

の下に、SecureClient Mobileのプロパティが表示されます。

3. 必要に応じて、そのプロパティをカスタマイズします。

4. 変更内容を保存して、インストール・ポリシーを選択します。

変更内容はインストール・ポリシーを実行してはじめて有効になります。ポリシーはすべてのゲート

ウェイに配布されます。セキュリティ・ポリシーの設定時に使用するプロパティの一覧については、

表 17-1を参照してください。

https://secureknowledge.checkpoint.com/SecureKnowledge/viewSolutionDocument.do?id=sk13009

高度な設定

368

図 17-3

セキュリティ・ポリシーの設定には、以下に記載されているプロパティを使用します。

• 表 17-1 VPNのプロパティ

• 表 17-2 ゲートウェイのプロパティ

• 表 17-3 ファイアウォールのプロパティ

• 表 17-4 全般プロパティ

高度な設定


表 17-1 VPN のプロパティ

プロパティ説明有効な値（太字はデフォルトを示す）

neo_remember_user_password ユーザのパスワード /PINを記憶します

（パスワードのキャッシュ）。パスワー

ドがキャッシュに保存されている間

は、クライアントが接続、再接続、再

認証をするときにパスワードを入力す

る必要はありません。

false、true、client_decide

neo_remember_user_password_timeout

ユーザがクレデンシャルを入力してか

ら、パスワード /PINのキャッシュがタ

イムアウトになるまでの時間（単位：

分）。タイムアウト時間の経過後に認証

を試行するときは、クレデンシャルの

再入力が必要です。

-1（無期限）、1 - MAX_INT、1440

neo_always_connected 常時接続。以下の場合には、クライアン

トは前回接続したゲートウェイに自動

的に接続します。

デバイスが有効な IPアドレスを持って

いる。デバイスが省電力モードまたはソフ

ト・リセットから復帰したあと。

デバイスの自動切断の原因となった状

況が解消されたあと（ActiveSync時にクリア・トラフィックを

許可し、アイドル時に切断します）。


neo_always_connected_retry 常時接続の再試行タイムアウト（単位：

分）。自動接続が失敗した場合に、クラ

イアントはこの値で設定された間隔で

再接続を繰り返し試行します。このほ

かに、クライアントの IPアドレスが変

わった場合、またはユーザが手動で接

続を要求した場合も、クライアントが

再接続を試行します。

1（デフォルト）-MAX_INT

neo_initiate_dialup このフラグは、既存のダイヤルアップ

接続（GPRSなど）を自動的に開始する

ようにクライアントに指示します。常時接続のフラグが「true」に設定され

ている場合は、ユーザが接続を要求し、

マシンに有効な IPはありません。


高度な設定

370

neo_disconnect_when_idle アイドル時に切断します。一定期間

ユーザの操作がなかった場合、トンネ

ルを自動的に切断します。クライアン

トが切断されるときは、メッセージ・バ

ルーンが表示されます。


neo_disconnect_when_idle_timeout

アイドル時に切断するまでのタイムア

ウト時間（単位：分）。

1（デフォルト）-MAX_INT

neo_user_approve_server_fp クライアントがクレデンシャルを入力す

る前に、サーバFP（フィンガープリント）

のユーザ承認を要求します。サーバFPは、クライアントとのSSL通信で提供さ

れるゲートウェイ証明書の一部です。以

下のオプションが使用できます。 Once：クライアントがこのFPを受け

取るのは初めてで、クライアント・デー

タベースに保存されていない場合。 Always：接続するたびにユーザにFPを要求します。 Never：常にFPを受け入れます。

once、always、never、client_decide

表 17-1 VPN のプロパティ（続き）


高度な設定


neo_allow_site_creation クライアントが新しいゲートウェイに

接続できるようになります。このフラ

グを「false」に設定すると、クライア

ントはクライアント・セットアップ・

パッケージで設定されているゲート

ウェイのリストを使用した接続しかで

きなくなります。


neo_block_conns_on_erase_passwords

パスワード消去時に接続を遮断します。

「true」に設定すると、ユーザが

［Options］ダイアログで［RememberPassword］オプションをオフにした

とき、または［Erase Passwords］メニュー・オプションを選択したとき

に、トンネルが自動的に切断されます。

クライアントが切断されるときは、

メッセージ・バルーンが表示されます。


neo_disconnect_when_in_enc_domain

クライアントがサイトに接続したとき

に、表示されるインタフェースの IPア

ドレスがVPN暗号化ドメインのいずれ

かに存在すると、クライアントは切断

されます。クライアントが切断される

ときは、メッセージ・バルーンが表示

されます。


表 17-2 ゲートウェイのプロパティ


neo_enable neo のサポートを有効にする

ゲートウェイ・プロパティ。

false、true

neo_user_auth_methods クライアント認証方式。 certificate、certificate withenrollment、legacy、mixed

neo_encryption_methods クライアント暗号化方式。 3DES only、3DES、RC4neo_upgrade_mode クライアントのアップグ

レードのモード。

no upgrade、ask user、force upgrade

neo_upgrade_version 必要なクライアントの

バージョン。

16進数の数字

表 17-1 VPN のプロパティ（続き）


高度な設定

372

neo_upgrade_url クライアント・ダウンロードの

絶対URL。neo_keep_alive_timeout クライアントがキープアライ

ブ・パケットを送信する頻度

（単位：秒）を設定します。

10-MAX_INT、 20（デフォルト）

neo_package_id ゲートウェイはこれらのパッ

ケージ IDを持つクライアント

だけに接続を許可します（カン

マ区切りのリスト）。

neo_user_re_auth_timeout セッションの有効性のタイム

アウト（単位：分）。

10~1440, 480（デフォルト）

neo_saa_guilibs サーバによる認証のために

ロードされるDLL名または

フル・パス。

neo_saa_url SAA認証に使用する絶対URL。

表 17-3 ファイアウォールのプロパティ


neo_enable_firewall_policy ファイアウォール・ポリシーを有

効にします。

false、true、client_ decide

neo_firewall_policy 以下のファイアウォール・ポリ

シーがサポートされています。Allow-allOutgoing onlyOutgoing and encryptedEncrypted onlyBlock all（無効にしない）

allow_all、outgoing_only、outgoing_and_encrypted、encrypted_only、block_all

neo_enable_activesync PCへのActiveSync接続を有効に

します（ファイアウォールがイン

ストールされていない場合は無効

になります）。


neo_enable_ip_forwarding IP転送を有効にします（ファイア

ウォールが有効な場合）。


neo_enable_automatic_policy_update

有効期限が切れたときに証明書を

自動更新します。


neo_policy_expire ポリシーの有効期限のタイム

アウト（単位：分）。

-1（無期限）、

10-MAX_INT、525600

表 17-2 ゲートウェイのプロパティ（続き）


高度な設定


neo_automatic_policy_update_frequency

クライアントがポリシー・ファイ

ルを更新する頻度（単位：分）。

5-MAX_INT、120

neo_request_policy_update trueに設定すると、ポリシーの有

効期限が切れたときに、クライア

ントがユーザにポリシーの更新を

要求します（automatic_ policy_update_frequency）。クライアントが切断されている場

合は、接続の確立後にポリシーの

更新が試行されます。


neo_route_all_traffic_through_gateway

すべてのトラフィックが（ハブ・

モードで）ゲートウェイを通過す

るようにします。このフラグは、

すべてのトラフィックを接続され

たゲートウェイに送信するよう

に、IPルーティング・テーブル内

のルーティングを設定します。そ

の結果、マシンから発信されるす

べてのトラフィック（特定ルート

を除く）が暗号化され、ゲートウェ

イから外部のインターネットに

ルーティングされます。受信した

すべてのクライアント・データは、

接続されたゲートウェイによって

検査されたものとみなします。このプロパティは、ゲートウェイ

がすべてのトラフィックのルー

ティングもサポートしている場合

にのみ有効です。ゲートウェイの

設定については、364ページの「す

べてのトラフィックをルーティン

グ（ハブ・モード）」を参照してく

ださい。


表 17-3 ファイアウォールのプロパティ（続き）


高度な設定

374

neo_implicit_disconnect_timeout

このタイムアウト時間（単位：分）

が経過するまで、トンネルの確立

を再試行します。

1-MAX_INT、 2（デフォルト）

neo_clear_in_activesync ActiveSync 時にクリア・トラ

フィックを許可します。「true」に設定すると、デバイスがクレード

ルに置かれたとき（たとえば

Bluetoothを使用しているPCへの

ActiveSync が有効になったとき）

に、クライアントが自動的に切断

されます。また、デバイスから暗

号化ドメインへのクリア・トラ

フィックの発信が許可されます。

この設定が必要になるのは、接続

されているPCが暗号化ドメイン

の内側にあり、データの暗号化が

不要な場合です。クライアントが

切断されるときは、メッセージ・

バルーンが表示されます。


neo_allow_clear_while_disconnected

クライアントの切断時に、暗号化

ドメインへのクリア・トラフィッ

クを許可します。このフラグが

「true」に設定されている場合を除

き、マシンから暗号化ドメインへ

のクリア・トラフィックの発信は

常に禁止されます。注： IPSECクライアントでは、こ

の機能は、ファイアウォール内の

VPN チェーンによって実現され

ています。 SecureClient Mobileで

は、この機能はファイアウォール

のルールの設定によって実現され

ています。


表 17-3 ファイアウォールのプロパティ（続き）


高度な設定


表 17-4 全般プロパティ


neo_run_client_on_device_startup

デバイスの起動時にクラ

イアントを実行します。


neo_enable_kill ユーザがクライアントを

停止できるかどうかを指

定します。このオプション

を「false」に設定すると、

クライアントのメニュー

に終了のオプションが表

示されません。


neo_allow_client_debug_logs クライアントのトラブル

シューティング・ウィンド

ウを有効にします。


neo_allow_client_db_export クライアントがローカル・

データベースをクリア・テ

キスト・ファイルにエクス

ポートし、それを使用して

カスタマイズされたイン

ストール・パッケージを作

成できるようになります。


neo_show_today_item Today項目を表示します。 false、true、client_decideneo_show_taskbar_item タスクバーのアイコンを

表示します。


neo_flash_icon_on_encrypting VPN トンネルのアクティ

ビティ（トラフィック）を

監視する点滅アイコンを

表示します。


neo_flash_icon_on_fw_packet_drop

ファイアウォールのパ

ケット破棄アクティビ

ティを監視する点滅アイ

コンを表示します。


高度な設定

376

非集中管理ゲートウェイの設定

SecureClient Mobile をサポートするゲートウェイの設定

この操作は、各ゲートウェイで実行する必要があります。サポートを有効にするには、以下の手順

に従います。

1. コマンド・プロンプトから、#ckp_regedit -a SOFTWARE¥¥CheckPoint¥¥VPN1 neo_enable 1を実行します。

2. cpstopとcpstartを実行して、サポートを有効にします。

サポートを無効にするには、以下の手順に従います。

1. コマンド・プロンプトで、以下のコマンドを実行します。

#ckp_regedit -d SOFTWARE¥¥CheckPoint¥¥VPN1 neo_enable

ゲートウェイSSL で使用される証明書を設定するには、以下の手順に従います（SSL NetworkExtenderが無効な場合のみ）。

1. 各ゲートウェイのレジストリで、SOFTWARE/CheckPoint/VPN1にneo_gw_certificateキーを追加します。

証明書を追加するには、コマンド・プロンプトから以下のコマンドを実行します。

#ckp_regedit -a SOFTWARE/CheckPoint/VPN1 neo_gw_certificate "cert_nickname"

証明書を削除するには、コマンド・プロンプトから以下のコマンドを実行します。

#ckp_regedit -d SOFTWARE/CheckPoint/VPN1 neo_gw_certificate

SSL Network Extenderが無効で、SecureClient Mobileクライアント用の証明書が定義されていな

い場合は、内部CAにより発行された証明書が使用されます。

TTM（変換テンプレート・ファイル）

SmartCenterに管理パッチがインストールされていない場合、TTMファイルを使用して各ゲート

ウェイで個々にセキュリティ・ポリシーが定義されます。 TTM ファイルは各ゲートウェイの

$FDIR/conf/フォルダにあります。

TTMファイルには以下の3種類があります。

• vpn_client_1.ttm（詳細については表 17-1を参照）。

• fw_client_1.ttm（詳細については表 17-3を参照）。

• neo_client_1.ttm（詳細については表 17-4を参照）。

高度な設定


TTMファイルを使用してセキュリティ・ポリシーを設定するには、以下の手順に従います。

1. テキスト・エディタでTTMファイルを開きます。

2. 変更するプロパティのデフォルト値を設定します。以下に例を示します。

:neo_request_policy_update ( :gateway ( :default (true)))

または

:neo_request_policy_update ( :gateway ( :map ( :false (false) :true (true) :client_decide (client_decide) ) :default (true) ) )

3. デフォルト設定の「true」を変更し、セキュリティ・ポリシーの新しいデフォルト設定を作

成します。

4. ファイルを保存して、インストール・ポリシーを選択します。

5. 以下のプロパティを使用して、ファイアウォール・ポリシーを除くすべてのポリシーの有効

期限のタイムアウトを設定します。 :expiry ( :gateway ( :default (100)))

以下のプロパティを使用して、ファイアウォール・ポリシーの有効期限のタイムアウトを設定

します。 :expiry ( :gateway (neo_policy_expire :default (100)))

SecureClient と SecureClient Mobile が混在する環境での設定

SecureClient Mobile を、SecureClient 接続を処理するように設定済みのVPN-1 ゲートウェイ

（Windows、Mac OS Xおよび4.1）に接続するときは、以下の点を考慮する必要があります。

1. 複数のゲートウェイを持つトポロジとMEP（複数エントリ・ポイント）：一部の設定では、リ

モート・アクセス・トポロジ（リモート・アクセス用ドメイン）は、ゲートウェイ間トポロ

ジに基づいています。完全には重複しない暗号化ドメインを持つゲートウェイが幾つかある場

合、これはSecureClient Mobileにとって問題になることがあります。このクライアントにダ

ウンロードされたトポロジは、（1つの）接続されたゲートウェイのリモート・アクセス暗号

化ドメインしか「認識」しないからです。 SCMはMEPもサポートしません。この制約を解消

するために、このようなゲートウェイに接続するときはハブ・モードを使用することをお勧

めします。クライアントのパケットは、サイト間VPNを使用して、接続されたゲートウェイ

を通ってネットワークの別の部分にルーティングされ、必要な場合はインターネットにルー


高度な設定

378

2. SCV（Secure Configuration Verification）トラバーサルの有効化：ゲートウェイでリモート・

アクセス用SCVを実施するときは、以下の手順に従って、SSLクライアントをSCVチェック

の対象から除外する必要があります。

A. SmartDashboardで、［Policy］>［Global Properties］>［Remote Access］>［Secure Configuration Verfication (SCV)］をクリックします。

B. ［Apply Secure Configuration Verfication on Simplified mode Security Policies］オプ

ションを選択します。

C. ［Exceptions］をクリックします。［Secure Configuration Verfication Exceptions］画面が表示されます。

D. ［Do not apply Secure Configuration Verification on SSL Clients Connections］チェッ

ク・ボックスをオンにします。

［OK］をクリックします。

クライアントの導入の概要


クライアントの導入の概要SecureClient Mobileは、自己インストール型のCAB（キャビネット）またはMSI（Microsoftイン

ストーラ）としてパッケージングされています。どちらのパッケージも、ユーザは設定の詳細情報

を指定せずにインストールできます。そのため、SecureClient Mobileソフトウェアが必ず正しく設

定されます。

CABファイル・パッケージには、主にソフトウェアの配布に使用する圧縮ファイルが格納されてい

ます。 CABファイル・パッケージはモバイル・デバイスに直接インストールされるもので、.cabファイル拡張子が付いています。

MSIパッケージはユーザのPCにインストールされるもので、.msiファイル拡張子が付いています。

これは、ユーザの操作を必要としないサイレント・インストールを行うときに使用します。インス

トールを実行すると、CABファイル・パッケージがMSIパッケージから展開され、接続されたモバ

イル・デバイスにActiveSyncサービスを使用してインストールされます。

パッケージのカスタマイズ

管理者は、チェック・ポイントのダウンロード・センターからSecureClient Mobile配布パッケージ

を入手できます。配布パッケージは.zipファイルで、表 17-5に示すフォルダとファイルが格納さ

れています。

解凍されたクライアント・ファイルはCABパッケージに入っているものと同じです。管理者はこれ

らのファイルをカスタマイズして、新しいCABまたはMSIファイル・パッケージを作成してから

ユーザに配布できます。カスタマイズしたパッケージには、事前定義済みトポロジとクレデンシャ

ル、デフォルトのファイアウォール・ポリシーなどを含めることができます。

表 17-5

フォルダ / ファイル説明

client_api SecureClient Mobile APIとサンプル・コード。

client_pkg パッケージのカスタマイズに使用するSecureClient Mobile コン

ポーネント。

tools SecureClient Mobileツール（MSIパッケージ、MSIパッケージング・

ツールなど）。

unlock_smartphone このフォルダにはチェック・ポイントの証明書が格納されています。

cpcert.cabをインストールすることによって、デバイスがチェック・

ポイントのソフトウェアを信頼し、ロックされたWindows MobileデバイスにSecureClient Mobileを導入できるようになります。

readme.txt Readmeファイル。


380

バージョンのアップグレード時は、アップグレード・パッケージで事前定義されているものを除き、

既存のクライアント・ポリシーとクレデンシャルが維持されます。クライアントのアップグレード

は、neo_upgrade_mode、neo_upgrade_version、neo_upgrade_url フラグを使用して実

行します。

モバイル・デバイスにクライアントをインストールすると、証明書のインポート・ウィザードとい

う別のアプレットもインストールされます。このアプレットを使用すると、デバイスにPKCS#12証明書をインポートできます。

管理者はCABパッケージとMSIパッケージを編集して、SecureClient Mobileの設定をカスタマイ

ズできます。以下のような編集が可能です。

• CABパッケージへのファイルの追加。たとえば、ユーザ証明書ファイルやSAA（Secure Authentication）プラグインなどを追加します。詳細については、380ページの「CABパッ

ケージへのファイルの追加」を参照してください。

• CABパッケージからのファイルの削除。たとえば、構成によってはCert_importユーティ

リティは不要です。詳細については、381ページの「CABパッケージからのファイルの削除」

を参照してください。

• クライアント・データベース・パラメータの事前設定。詳細については、382ページの「クラ

イアント設定のエクスポート」を参照してください。

• クライアントのインストール・バージョンの定義。詳細については、383ページの「クライア

ントのインストール・バージョンの定義」を参照してください。

CAB パッケージへのファイルの追加

CABパッケージにファイルを追加するには、以下の手順に従います。

1. チェック・ポイントのダウンロード・センターまたはCDから、SecureClient Mobileの配布用

.zipファイルを入手します。

2. 配布用.zipファイルをローカル・マシンに保存し、内容を展開します。その中に、

SecureClient_Mobile_<build number>.zipというファイルがあります。

3. SecureClient_Mobile_<build number>.zipを、フォルダ（たとえば、SCM)）に展開

します。多数のサブフォルダが作成されます。

4. パッケージに含めるファイルをコピーして、confフォルダに貼り付けます。confフォルダ

は、手順 3で展開されたサブフォルダのうちの1つです。

5. テキスト・エディタで、SCMフォルダにあるSecureClient_Mobile_Setup_<build number>.infファイルを開きます。



6. SecureClient_Mobile_Setup_<build number>.inf ファイルの以下のセクションに、

パッケージに含めるファイルの名前（複数可）を追加します。

• [conf]セクションで、startup.Cの直後の行からファイルの名前を追加します。

• [SourceDisksFiles]セクションで、startup.Cの直後の行から、ファイルの名前を

追加します。このセクションに記述されるすべてのファイルは、末尾が等号と数字である

必要があります。たとえば、startup.C=7と記述します。追加する各ファイル名の末尾

に、等号と数字を付加してください。数字はファイルがあるフォルダを表し、

[SourceDisksNames]セクション番号と対応します。

7. ファイルを保存します。

8. 383ページの「CABパッケージの作成」に進みます。

CAB パッケージからのファイルの削除

CABパッケージからファイルを削除するには、以下の手順に従います。




SecureClient_Mobile_Setup_<build number>.zipというファイルがあります。

3. SecureClient_Mobile_Setup_<build number>.zipを、フォルダ（たとえば、SCM)）に展開します。多数のサブフォルダが作成されます。


5. SecureClient_Mobile_Setup_<build number>.inf ファイルの以下のセクションで、

削除するファイル（複数可）への参照を削除します。

• [conf]セクションで、不要なファイルの名前を削除します。

• [SourceDisksFiles]セクションで、不要なファイルの名前を削除します。




382

クライアント設定のエクスポート

管理者はすべてのユーザに、SecureClient Mobileインストール・パッケージ上で事前設定したカス

タマイズ済みの設定を配布できます。そのためには、既存のクライアント設定をconfigファイルに

エクスポートして、それをカスタマイズしたクライアントCABパッケージに追加します。その後、

このカスタマイズしたパッケージを、接続されているデバイスにインストール /アップグレードで

きます。

クライアント設定をエクスポートするには、以下の手順に従います。

1. 携帯機器にクライアントをインストールします。

2. クライアントで必要な設定を行います。たとえば、クライアントのファイアウォール・オプ

ションや、ゲートウェイへの接続を設定します。これで、現在のクライアント設定を含むデー

タベースをエクスポートする準備ができました。

3. データベースをエクスポートするには、まずクライアントでdatabase.Cファイルを見つけ

ます。次に、database.Cファイルのglobal propertiesセクションで、

neo_allow_client_db_exportプロパティの値を「true」に変更します。

4. database.Cファイルをclientフォルダにコピーします。

5. クライアントを再起動します。

6. SecureClient Mobileで、［Menu］>［Help］>［Export db］を選択します。これで、現在の設

定がstartup.Cファイルにエクスポートされました。このファイルには、データベース内の

機密でないデータが含まれています。

7. 事前設定済みパッケージのconfフォルダにあるstartup.Cファイルを置き換えます。この

ファイルをテキスト・エディタで手作業で編集して、フラグを追加または削除できます。

注： startup.Cファイルをエクスポートすると、グローバル・プロパティ

neo_allow_client_db_exportが「true」に設定された状態でエクスポートされます。ユーザによるクライアント設定のエクスポートを禁止するには、startup.Cファイルを編

集して、このプロパティを削除するか「false」に設定してください。



クライアントのインストール・バージョンの定義

クライアントのデフォルト・インストール・バージョンは、チェック・ポイントによって定義され

たクライアントのビルド番号です。

クライアントのインストール・バージョンを変更するには、以下の手順に従います。




SecureClient_Mobile_Setup_<build number>.zipというファイルがあります。

3. SecureClient_Mobile_Setup_<build number>.zipを、フォルダ（たとえば、SCM)）に展開します。多数のサブフォルダが作成されます。


5. 以下の属性を、希望のビルド番号に変更します。

6. NEO_VERSION_NUMBER= <build number>



CAB パッケージの作成

CABパッケージはCabwizユーティリティを使用してアプリケーションから作成します。 Cabwizは、Microsoft Pocket PC 2003 SDKからダウンロードしてインストールできます。

CABパッケージを作成するには、以下の手順に従います。

1. 以下の方法でCabwizユーティリティを入手します。

• ここからMicrosoft Pocket PC 2003 SDKをダウンロードします。

• PCにSDKをインストールします。 SDKのインストールが完了すると、通常は

C:¥Program Files¥Windows CE Tools¥wce420¥POCKET PC 2003¥ToolsにCabwizユーティリティが作成されています。

2. クライアント設定をエクスポートし、ファイルの削除や追加をして、パッケージを編集します

（詳細については、380ページの「CABパッケージへのファイルの追加」、381ページの「CABパッケージからのファイルの削除」、382ページの「クライアント設定のエクスポート」を参照）。

3. Cabwiz.exeファイルとCabwiz.ddfファイルを、SCMフォルダにコピーします。このSCMフォルダは、SecureClient_Mobile_Setup_<build number>.zipファイル

（SecureClient Mobileの配布用.zipファイルから展開されたファイル）の展開時に作成され

たものです。

http://www.microsoft.com/downloads/details.aspx?FamilyID=9996b314-0364-4623-9ede-0b5fbb133652&DisplayLang=en


384

4. Windowsシステム・ディレクトリ（デフォルトではC:¥WINDOWS¥system32）からSCMフォ

ルダに、makecab.exeをコピーします。

5. Cabwiz SecureClient_Mobile_Setup_<build number>.infファイルを実行します。作成されたCABパッケージには、.cabの拡張子が付きます。

MSI パッケージの作成

カスタマイズ可能なインストール・パッケージ（ZIPファイル）に、Windowsインストーラ・パッ

ケージ（MSIファイル）と新しいクライアント・インストーラ用のプレースホルダ（CABファイ

ル）が含まれています。 MSIファイルに関連付けられたクライアントCABは、Windowsマシン（PC）

にインストールできます。関連付けられたCABは、接続されているPDAにActiveSyncサービスを

使用してインストールします。 CABファイルをMSIファイルに関連付けるには、以下の手順に従い

ます。




SecureClient MobileのMSIファイルがあります。

3. /tools/neo_msi_tool.exe SecureClient_Mobile.MSI SecureClient_Mobile.CABを実行します。

SAA プラグインの設定

SAAプラグインを有効にすると、追加の認証スキーム（SoftIDなど）を実施できるようになります。

ログイン・ページのカスタマイズも可能になります。

GuiDBeditを使用してSAAプラグインを有効にするには、以下の手順に従います。

1. neo_saa_guilibsプロパティにSAAプラグイン名（たとえば、SAAPlugin.dll）を指定

します。

2. 変更内容を保存し、GuiDBEditを終了します。

3. 更新されたポリシーをインストールします。

ゲートウェイでSAAプラグインを有効にすると、以下の2つの方法でクライアントを設定できるよ

うになります。

1. 手作業

2. 事前定義済みパッケージの使用



クライアントに手作業で SAA プラグインを設定デバイスで、以下の操作を行います。

1. SAAプラグインを以下のフォルダにコピーします。

¥Program Files¥CheckPoint¥SecureClient_Mobile

2. ゲートウェイに接続します。接続プロセスの進行中は、定義済みのSAAプラグイン・ポップ

アップが表示されます。

「Configuration Error: Failed to load SAA plugin」（設定エラー： SAAプラグインのロードに失敗し

ました）というエラー・メッセージが表示された場合は、クライアント・ログイン・ページ

（username-password）を使用して接続してください。接続したら、クライアントを終了し、再起動

します。

事前定義済みパッケージの使用この設定は、すべてのユーザがSAAプラグインを使用して接続する場合に適しています。特定の

ユーザのみがプラグインを使用する必要がある場合は、カスタマイズしたパッケージの作成が完了

した後で、neo_saa_guilibsプロパティに空の文字列を指定してください。そうすることで、カ

スタマイズしたパッケージを使用するユーザのみがSSAプラグインを使用するようになります。

1. 385ページの「クライアントに手作業でSAAプラグインを設定」の手順に従います。

2. パッケージに含める各ゲートウェイとの接続を確立します。これで、各ゲートウェイがクライ

アント・データベースに保存されます。

3. クライアント設定をエクスポートします。データベースのエクスポートについては、382ペー

ジの「クライアント設定のエクスポート」を参照してください。

エクスポートされた startup.Cを使用して、カスタマイズしたCABファイルを作成します（SAAプ

ラグインもCABに含めます）。 CABファイルの作成については、383ページの「CABパッケージの

作成」を参照してください。

トラブルシューティング

386


ログ・ファイルの有効化

ログ・ファイルはクライアントのアクティビティを記録したファイルで、さまざまな問題のトラブ

ルシューティングに役立ちます。

ログ・ファイルを有効にするには、以下の手順に従います。

• SecureClient MobileのGUIで、［Menu］>［Help］>［Troubleshooting］を選択します。

• ログ・ファイルを有効にできるのは、クライアント、VNAカーネル（仮想ネットワーク・ア

ダプタ）、FWカーネルです。

ルーティング・テーブル

TCP/IPスタックは、デバイス上で IPパケットをルーティングするためにルーティング・テーブル

を使用します。

IP 設定

IP設定ページに、各種インタフェースの IPアドレスが表示されます。

エラー・メッセージ

表 17-6に、エラー・メッセージと、考えられる原因および解決策を示します。

表 17-6 エラー・メッセージのトラブルシューティング

エラー・メッセージ考えられる原因解決策

Cannot find the server (server name). Please check the server name and try again.

サーバ名の解決時にエラー

が発生しました。サーバ名を確認し、IPア

ドレスが有効であるこ

とを確認します。

Error while negotiating with the server (server name). Please try again.

クライアント / サーバのネ

ゴシエーションでエラーが

発生しました。

再度接続してください。

You are not permitted to access the server.

ユーザが認証されません。有効なユーザ証明書が

インストールされてい

ることを確認します。



Your device is not connected to any network.

ネットワークに接続できま

せん。

デバイスをネットワー

クに接続します。

Your device is not connected to any network. Dialup connection is not available.

ネットワークに接続でき

ず、ダイヤルアップを開始

できません。設定が正しく

ない可能性があります。

ダイヤルアップが正し

く設定されていること

を確認します。

Access denied. Wrong username or password.

誤ったクレデンシャルが入

力されました。

クレデンシャルが新

のものであることを確

認して、やり直します。

クレデンシャルが

キャッシュに保存され

ている場合は、［clearpasswords］ボタンを使

用します。

User is not permitted to have an office mode IP address.

接続を試行しているユーザ

は、オフィス・モードの IPアドレスを持つように設定

されていないため、接続が

失敗しました。

ユーザがオフィス・モー

ドの IP アドレスを受信

するように設定されて

いることを確認してく

ださい。

The certificate provided is invalid. Please provide the username and password.

無効な証明書が提示されま

した。

新しいユーザ証明書を

インストールするか、

ユーザ名とパスワード

を使用して接続します。

Connection to the server (server name) was lost.

サーバへの接続が確立でき

ず、クライアントが切断さ

れました。

再接続を試みます。

Security warning! Server fingerprint has changed during connection. Contact your administrator.

サーバの検証が失敗したた

め、接続できませんでした。

管理者に連絡します。

表 17-6 エラー・メッセージのトラブルシューティング（続き）

エラー・メッセージ考えられる原因解決策


388

その他の参考資料

SecureClient Mobileの設定については、以下の資料も参照してください。

How to add your own root certificate via CAB file.（CABファイルを使用して自分のルート証明書を

追加する方法）

How to add root certificates to Windows Mobile 2003 Smartphone and to Windows Mobile 2002Smartphone.（Windows Mobile 2003 ベースのSmartphone とWindows Mobile 2002 ベースの

Smartphoneにルート証明書を追加する方法）

Windows Mobile 5.0 Security Model FAQ.（Windows Mobile 5.0セキュリティ・モデルのFAQ）

ActiveSync 4.x Troubleshooting Guide.（ActiveSync 4.xトラブルシューティング・ガイド）

http://blogs.msdn.com/windowsmobile/archive/2006/01/28/making_a_root_cert_cab_file.aspx

http://support.microsoft.com/default.aspx?scid=kb;en-us;841060

http://support.microsoft.com/default.aspx?scid=kb;en-us;841060

http://blogs.msdn.com/windowsmobile/archive/2005/12/17/security_model_faq.aspx

http://www.pocketpcfaq.com/faqs/activesync/tshoot-as4x-connection.htm

389

第章18SecureClient のパッケージング

この章の構成

概要：リモート・クライアントのインストールを簡単にする必要性 390ページ

チェック・ポイント・ソリューション - SecureClientパッケージング・ツール 391ページ

事前設定済みパッケージの作成 393ページ

MSIパッケージングの設定 396ページ

概要：リモート・クライアントのインストールを簡単にする必要性

390

概要：リモート・クライアントのインストールを簡単にする必要性

組織へのリモート・アクセスが普及するにつれ、リモート・クライアント・ソフトウェアの管理は

困難になります。多くの場合、ユーザには自分自身でソフトウェアを設定するだけの技術的な知識

がないため、管理者は大勢のユーザをサポートする必要があります。しかも、ユーザの多くが地理

的に分散し、使用しているプラットフォームの種類も多岐にわたることがあります。組織に複数の

ユーザ・グループがあり、それぞれに異なる設定が求められる場合、管理者の作業はさらに複雑化

します。

管理者には、大規模なユーザ・コミュニティのソフトウェアの設定を自動化するツールが必要です。

ユーザが自分自身で設定しなくてもよいように、このツールには管理者がソフトウェアを事前設定

できる機能が必要です。

チェック・ポイント・ソリューション - SecureClient パッケージング・ツール

第 18 章 SecureClient のパッケージング 391



概要

管理者は、SecureClientパッケージング・ツールを使用して、事前設定済みのSecureClientインス

トール・パッケージを作成できます。ユーザはこの設定済みパッケージを使用してソフトウェアを

インストールすれば、詳細情報を指定する必要がないため、SecureClientソフトウェアの設定を間

違えることもありません。

事前のパッケージングは、以下のいずれかを使用して実行できます。

• チェック・ポイント・パッケージング・ツール・ウィザード

• MSIパッケージング

パッケージングの利点は以下のとおりです。

• 設定（サイトの作成、接続や暗号化パラメータの指定など）は専門の管理者が行うため、

不慣れなユーザによる障害を防止できます。

• インストールとサポートのコストが大幅に削減されます。

• 各ユーザが個別に指定するのではなく、管理者が事前に定義するため、ユーザのセキュリ

ティ設定が組織全体で統一化されます。

• 管理者は、リモート・ユーザのセキュリティ・ソフトウェアを自動的に更新できるので、

セキュリティ上の脅威により迅速に対応できます。

パッケージング・ツールの仕組み

パッケージング・ツールでは、クライアント・インストール・パッケージ（たとえば、汎用の

SecureClientインストール・パッケージ）とパッケージ・プロファイルを組み合わせて事前設定済

みのSecureClientパッケージを作成します。作成したパッケージは、ユーザに配布できます。

管理者は、VPNゲートウェイへの接続モード（コネクト /トランスペアレント）や暗号化プロパティ

など、クライアントのインストールと設定の内容を事前に設定できます。これらの設定は、パッケー

ジ・プロファイルに保存しておき、後でパッケージを設定するときに使用できます。

概要 391ページ

パッケージング・ツールの仕組み 391ページ

MSIパッケージング・ソリューション 392ページ


392

管理者は、さまざまなユーザ・グループに対して、さまざまなパッケージ・プロファイルを作成で

きます。たとえば、管理者はWindows XPユーザ用の設定パラメータ、Windows 98ユーザ用の設

定パラメータを使用してプロファイルを作成できます。すべてのプロファイルを、中央のデータ

ベースに保存できます。

インストールした後でクライアントがすぐに組織に接続できるように、管理者は、サイトの部分的

なトポロジ情報であるサイトまたはSmartCenterサーバの IPアドレスを指定できます。この情報は

パッケージに含まれます。ユーザがサイトに初めて接続して認証を行うとき、サイトの完全なトポ

ロジがクライアントにダウンロードされます。

SecureClientパッケージには、SecureClientのインストール後に実行されるスクリプトも含めるこ


MSI パッケージング・ソリューション

MSIは、Windows環境でアプリケーションを配布する場合の標準的なファイル形式です。プロファ

イルを作成して保存すると、SecuRemoteとSecureClientユーザに配布できるようになります。

MSIパッケージでは、SecuRemote/SecureClient Extended Viewがデフォルト設定でインストール

され、コマンド・ライン・ベースのツールcpmsi_toolを使用してカスタマイズできます。

分割インストール

サード・パーティのソフトウェア配布システムを使用しているときにSecuRemote/SecureClientカーネルがインストールされると、配布サーバとの接続が切断されるため、配布サーバはインス

トールが中断されたことを認識できません。

このような問題を解決するために、分割インストール機能を使用できます。

事前設定済みパッケージの作成




管理者は、パッケージング・ツール・ウィザードを使用して、事前設定済みのSecureClientインス

トール・パッケージを作成できます。各パッケージでは、SecureClientのバージョンと事前設定済

みのプロファイルをさまざまに組み合わせて保存できます。

パッケージの作成は、主に以下の2段階に分かれています。

1. パッケージ・プロファイルを設定し、保存します。プロファイルには、パッケージによりデ

フォルトでインストールするすべての設定を含めます。

2. 既存のインストール・パッケージにプロファイルを適用し、適切に事前設定されたパッケー

ジを作成します。

新しいパッケージ・プロファイルの作成1. 新しいプロファイルを作成するには、［Profile］>［New］を選択します。プロファイルの詳

細を入力して、［Next］をクリックします。

2. パッケージング・ツール・ウィザードでは、それ以降に表示される複数のウィンドウで、ポ

リシー、暗号化、トポロジ（部分的なトポロジ情報を含む）、証明書、クライアントのインス

トール、ログオン・パラメータ（SDL/Gina DLL）など、ユーザ・プロファイルの各種パラ

メータを設定します。これらの機能の詳細については、マニュアルの関連する章を参照してく

ださい。

3. クライアントの事前設定をすべて終了すると、［Finish］画面が表示されます。この画面では、

プロファイルに表示されている変更内容で新しいパッケージを作成するか、新しいパッケー

ジを作成しないでプロファイル生成プロセスを終了するかを選択できます。この画面には以下

のオプションが表示されます。

• No, Create Profile only ― ウィザードで事前に定義した設定に基づいてプロファイルを

作成して、メインのパッケージング・ツール・ウィンドウに戻ります。

• Yes, Create profile and generate package ― このオプションを選択すると、作成した

プロファイルは保存され、パッケージ生成ウィザードが表示されます。このウィザード

の手順については、394ページの「パッケージの生成」を参照してください。

保存したプロファイルから後でいつでもパッケージを作成できます。

新しいパッケージ・プロファイルの作成 393ページ

パッケージの生成 394ページ

パッケージへのスクリプトの追加 395ページ


394

パッケージの生成

このセクションでは、パッケージ・プロファイルに定義された設定に基づいてSecureClientパッ

ケージを生成する方法について説明します。

準備

基本となるパッケージがまだ用意できていない場合は、以下の手順で用意します。

1. 元のSecureClientインストール・パッケージを入手します。このパッケージが基本となる

パッケージであり、パッケージング・ツールでは、これに基づいて新しいカスタムの

SecureClientパッケージを作成します。

2. 適切なSecureClientパッケージを空のディレクトリにコピーします。パッケージが圧縮（zipまたは tar）されている場合は、パッケージを空のディレクトリへ展開します。

基本となるパッケージを用意したら、以下の手順に従います。

3. SecureClientパッケージ生成ウィザードを実行します。新しいパッケージ・プロファイルを作

成すると、すぐにこのウィザードを実行できます（［Yes, Create profile and generate package］を選択）。また、メイン・パッケージング・ツール・ウィンドウで、以前に作成さ

れたプロファイルをハイライトし、［Profile］>［Generate］を選択しても、このウィザードを

実行することができます。

4. パッケージの発信元フォルダと宛先フォルダの入力を要求されます。

［Package source folder］では、手順 2で用意した基本SecureClientインストール・パッケー

ジを保存したディレクトリを選択します。上位ディレクトリではなく、SecureClient設定ファ

イルが実際に保存されているディレクトリを選択します。

［Package destination folder and file name］では、新しいパッケージのコピー先となる空の

ディレクトリを選択し、生成するファイルの名前を入力します。

［Next］をクリックして次のウィンドウへ進みます。

5. パッケージの詳細をパッケージから取得できない場合、パッケージの詳細（オペレーティング・

システムの種類、SecureClientのバージョンとサービス・パック）の入力を要求されます。パッ

ケージの詳細がほかのパッケージと競合する場合（たとえば、Windows 98 SecureClientパッ

ケージをFP3からNG with Application Intelligenceに更新した場合）、古いパッケージから新し

いパッケージへの置換に同意するように要求されます。

要求したアクションがパッケージング・ツールによって実行されます。



パッケージへのスクリプトの追加

ユーザがSecureClientをインストールまたはアンインストールした後にスクリプトを実行するに

は、以下の手順に従います。

1. product.iniファイルを編集します。

2. インストールの後処理スクリプトを指定するには、ファイル名を［install］セクションに追

加します。

3. アンインストールの後処理スクリプトを指定するには、ファイル名を［uninstall］セクション

に追加します。

スクリプトは、OSのPATH変数でアクセスできる必要があります。

スクリプト自体はパッケージの一部ではないので、クライアントには別に転送する必要があります。

MSI パッケージングの設定

396

MSI パッケージングの設定リモート・ユーザ用のプロファイルをカスタマイズするには、チェック・ポイントが提供した.msiファイルを保存します。このファイルを保存しておくと、このファイルに基づいて設定可能なファ

イルを別に作成し、カスタマイズして変更した値を保存できます。設定可能なファイルを編集する

には、以下の手順に従います。

1. ［cpmsi_tool <SC-MSI-package-name> out <file-name>］を使用して、パッケージからファイ

ルを抽出します。

2. ファイルをカスタマイズします。

3. ［cpmsi_tool <SC-MSI-package-name> in <file-name>］を使用して、ファイルをパッケージ

に再び戻します。

設定可能なファイルは以下のとおりです。

• product.ini

• userc.c

• userc.set

• reg.ini

• SecuRemoteAuthenticate.wav

• SecuRemoteConnected.wav

• SecuRemoteDisconnected.wav

• SecuRemoteFailed.wav

• logo.bmp

• logging.bat

• install_boot_policy.bat

• collect.bat

• scvins.bat

• scvuins.bat

• msfw.bat

• harden.bat



パッケージ内のファイルの追加と削除

パッケージに新しいファイルを追加するには、以下のコマンドを実行します。

cpmsi_tool <SC-MSI-package-name> add <file-name>

新たに追加したファイルを削除するには、以下のコマンドを実行します。

cpmsi_tool <SC-MSI-package-name> remove <file-name>

インストールのコマンド・ライン・オプション

コマンド・ライン・パラメータは、以下のとおりです。

分割インストール

アクティブにするには、以下の手順に従います。

1. product.iniファイルにSplitKernelInstall=0を設定します。

2. カーネルを除いて、製品をインストールします。

3. エンド・ユーザは、再起動を許可します。

4. 再起動の後、自動的なカーネルのインストールが実行されます。

5. 2回目の自動再起動が実行されます。

デバッグ

MSIインストールをデバッグする場合は、/l*v log_file_name_parameterを実行します。トラブル

シューティングには、log_file_nameとinstall_securemote.elgを使用します。

表 18-1 インストールのコマンド・ライン

パラメータ説明

/i pkg_name インストール

/x pkg_name アンインストール

/q 自動インストール

/l*v log_file_name ログの収集


398

Zone Labs Integrity クライアント

SecureClient MSIパッケージとZone Labs統合パッケージをインストールする場合、以下のコマン

ドを使用します。

msiexec /i <package_name> [ZL=1] [INSTALLDIR=<install_dir>] [/qr|/qb|/qb!]

• package_name - SecureClient msiパッケージの名前

• ZL=1 - Zone Labsの設定も共にインストール

• INSTALLDIR=<install_dir> - パッケージのインストール先であるフォルダ

• [/qr|/qb|/qb!] - 無人インストールで使用する標準的なMSI UIレベル・サポート

このコマンドを使用すると、product.iniファイルは自動的に修正されます。

399

第章19デスクトップ・セキュリティ

この章の構成

デスクトップ・セキュリティの必要性 400ページ

デスクトップ・セキュリティ・ソリューション 401ページ

デスクトップ・セキュリティの考慮事項 406ページ

デスクトップ・セキュリティの設定 408ページ

デスクトップ・セキュリティの必要性

400

デスクトップ・セキュリティの必要性VPN-1 Powerゲートウェイは、それを経由してネットワークとの間で送受信されるトラフィックに

対してセキュリティ・ポリシーを実施することでそのネットワークを保護します。保護されたネッ

トワークの外側にあるリモート・クライアントは攻撃に対して無防備です。リモート・クライアン

トへのトラフィックはVPN-1 Powerゲートウェイを通過しないためです。このトラフィックに対

してセキュリティ・ポリシーは実施されません。

さらに深刻な危険が存在します。攻撃者がリモート・クライアントに侵入して保護されたネット

ワークに対しても侵入路を確保できた場合、保護されたネットワークまでもセキュリティが破られ

る可能性があります（VPNトンネル経由でウイルスを転送する方法などを使用）。VPN-1 Powerゲートウェイ・モジュールによって制限の厳しいセキュリティ・ポリシーを実施しても、無防備な

リモート・クライアントを経由して攻撃が行われるとLANは充分な防御ができません。

デスクトップ・セキュリティ・ソリューション

第 19 章デスクトップ・セキュリティ 401



デスクトップ・セキュリティについて

チェック・ポイントVPN-1 SecureClientは、リモート・クライアントに対してデスクトップ・セ

キュリティ・ポリシーを実施することによりリモート・クライアントを保護します。管理者はデス

クトップ・セキュリティ・ポリシーをルール・ベースの形で定義します。特定のユーザ・グループ

またはすべてのユーザにルールを割り当てられ、柔軟にポリシーを定義できます。

デスクトップ・セキュリティ・ポリシーはSmartCenterサーバによってVPN-1 Powerゲートウェイ

にインストールされたポリシー・サーバへダウンロードされます。ポリシー・サーバはデスクトッ

プ・セキュリティ・ポリシーのリポジトリとして機能します。 SecureClientマシンは自身のデスク

トップ・セキュリティ・ポリシーをポリシー・サーバからダウンロードします。

SecureClientが組織のゲートウェイに接続してVPNを確立すると、SecureClientはポリシー・サー

バにも接続可能となり、デスクトップ・セキュリティ・ポリシーを取得してこのポリシーの実施を

開始します。 SecureClientは発信元、宛先、およびサービスに基づいて接続の許可、暗号化、また

は破棄を実行できます。

図 19-1 ポリシー・サーバからのデスクトップ・セキュリティ・ポリシーの取得

デスクトップ・セキュリティについて 401ページ

デスクトップ・セキュリティ・ポリシー 402ページ

ポリシー・サーバ 404ページ

ポリシーのダウンロード 404ページ


402


デスクトップ・セキュリティ・ポリシーは以下の2つの要素で構成されます。

• 着信ルール ― SecureClientマシンに宛てた接続に対して実施

• 発信ルール ― SecureClientから発信する接続に対して実施

デスクトップ・セキュリティ・ポリシー内のルールでは以下を指定します。

• 発信元

• 宛先

• サービス

• アクション（許可、破棄、暗号化）

• トラッキング（ログ、警告）

トラフィックの通過を認めるルールが許可ルールであったとしても、組織内のマシン（ゲートウェイ

のVPNドメイン内のすべてのマシン）への接続は自動的に暗号化されます。

暗黙的なルール

管理者が明示的に定義した着信 /発信ルールに加えて、暗黙的な「クリーンアップ」ルールが着信 /発信ポリシーの末尾に自動的に追加されます。

• 暗黙的な発信ルールはSecureClientマシンから発信するすべての接続を許可し、その結果、

過去のどのルールとも一致しない接続を可能にします。

• 暗黙的な着信ルールは明示的に許可されない接続は拒否するという前提に基づいて、過去の

どのルールとも一致しない接続であってもSecureClientに宛てられた接続はすべて遮断します。



ユーザの詳細設定

場所とユーザ・グループに基づいてリモート・ユーザに異なるルールを定義できます。

場所 ― たとえば、組織内から接続するユーザ（組織内から接続するラップトップPC に

SecureClientをインストールしているユーザなど）には制限の少ないポリシーを定義し、組織

外（ホテルの部屋）から接続する同じユーザには制限の厳しいポリシーを定義できます。これ

はルールの実装対象となるユーザの場所をユーザのセキュリティ・ルールベース内に設定して

定義します。

ユーザ・グループ ― たとえば、通常のユーザには制限付きルールを定義し、システム管理者

にはより多くのアクセス権限を許可できます。

さらに特定のユーザ・グループではなく、すべてのユーザを指定することですべてのリモート・

ユーザに実施するルールを定義できます。

ルールでは個々のユーザではなく、ユーザ・グループを指定します。 SecureClientはログインを試

行しているユーザの所属グループを認識しないので、その情報を以下の方法でポリシー・サーバか

ら取得する必要があります。 SecureClientが自らの身元をポリシー・サーバに証明すると、ポリ

シー・サーバはユーザが所属するユーザ・グループを解決してこの情報をSecureClientへ送信しま

す。 SecureClientがユーザの所属グループを確認すると、そのユーザに対して定義されているルー

ルを実施できます。またルールはRADIUSサーバ上の radiusグループにも適用できます。

デフォルト・ポリシー

SecureClientを起動すると、SecureClientはポリシー・サーバに接続する前に「デフォルトのポリ

シー」を実施します。このポリシーはポリシー・サーバからダウンロードされた新のポリシー内

にあり、すべてのユーザを対象として定義したルールから構成されています。これはこの時点で

SecureClientがユーザの所属するグループを知らないからです。ユーザが更新されたポリシー（お

よび現在のユーザ・グループの情報）をポリシー・サーバからダウンロードするまでは、このデ

フォルトのポリシーが実施されます。

SecureClientとポリシー・サーバ間の接続が切断されると、接続が回復してポリシーがダウンロー

ドされるまでデフォルトのポリシーが実施されます。


404

ポリシー・サーバ

ポリシー・サーバとは

ポリシー・サーバはVPN-1 Powerゲートウェイにインストールされるモジュールであり、デスク

トップ・セキュリティ・ポリシーのリポジトリとして機能します。 SecureClientマシンは自身のデ

スクトップ・セキュリティ・ポリシーをポリシー・サーバからダウンロードします。

高可用性と負荷分散

負荷分散と高可用性のために複数のポリシー・サーバを設定できます。負荷分散は、多数のユーザ

が平日の作業開始時にログインするときなど、大きな負荷が発生するときに特に重要です。


• High Availability between all Policy Servers, trying selected first ― SecureClientは常に指定されているポリシー・サーバの使用を初に試行します。このサーバが使用でき

ない場合、SecureClientは残りのサーバの中から別のサーバを無作為に選択します。

• High Availability only among selected Policy Servers ― SecureClientは指定されてい

るグループの中からポリシー・サーバを無作為に選択します。このオプションでは負荷が

ポリシー・サーバ間で均等に分散されるため、負荷分散の効果も得られます。

ポリシーのダウンロード

ポリシーをダウンロードする状況

ユーザがSecureClientでサイトを作成すると、ポリシー・サーバのリストがクライアントのマシン

にダウンロードされます。ユーザがコネクト・モード（デフォルトのモード）を使用している場合、

SecureClientマシンをサイトに接続するとポリシーがポリシー・サーバから自動的にダウンロード

されます。また、ポリシーの自動ダウンロードは無効にできます。この設定は、ユーザのプロファ

イルで管理します。



ポリシーの更新

ポリシーのタイムアウト（デフォルトでは60分）が定義されている場合、指定された時間の半分

が経過すると、SecureClientはポリシー・サーバに再接続して新しいポリシーをダウンロードしま

す。複数のポリシー・サーバを定義した場合（404 ページの「高可用性と負荷分散」を参照）、

SecureClientは前回ポリシーを正常にダウンロードできたポリシー・サーバに対して再び接続を試

行します。このポリシー・サーバに接続できない場合は、別のサーバに対して接続を試行します。

SecureClientが新しいポリシーをポリシー・サーバからダウンロードできなかった場合、一定時間

（デフォルトは5 分）が経過した時点で接続が再び試行されます。タイムアウトしたあと

SecureClientが新しいポリシーをダウンロードできない場合は、デフォルトのポリシーに戻ります。

ログと警告

デスクトップ・セキュリティ・ポリシーで指定されたログと警告はSecureClient Diagnosticsを使

用して表示できます。さらにすべての警告は保存され、SmartCenterサーバへアップロードされま

す。クライアントがポリシー・サーバに接続すると、クライアントは警告をスプーリング・プロセ

スへアップロードします。このプロセスによって警告は SmartCenter サーバへ渡されます。

SmartView Trackerではこれらの警告を表示できます。

デスクトップ・セキュリティの考慮事項

406



デスクトップ・セキュリティ・ポリシーの計画

ユーザのポリシーはセキュリティと利便性のバランスを適切に考慮しながら、慎重に計画する必要

があります。ポリシーを設定する場合はデスクトップ・ユーザができるだけ自由に作業でき、同時

にリモート・ユーザのデスクトップを外部から攻撃しにくくする必要があります。ここでは、考察

すべき幾つかのポイントを説明します。

• ポートで特定のサーバを実行している場合を除いて、SecureClientに対しては、いかなるサー

ビスへのアクセスも明示的に許可しないでください（着信ポリシーでサービスを許可するな

ど）。接続の確立をクライアントに許可する場合でも、接続の確立を許可する相手や許可する

発信元については慎重に検討する必要があります。

• ポリシーの制限を厳しくすると（POP3、IMAP、およびHTTPのみを許可して残りを遮断す

るなど）、ユーザの作業は困難になります。発信ポリシーで特定のサービスだけを許可してそ

れ以外をすべて遮断した場合、ある種のサービスをユーザが必要としていることが明らかに

なるたびに発信ポリシーを変更し、クライアントがその新しいポリシーを取得したことを確

認する必要があります。発信ポリシーを実装する良の方法は、特定の問題のあるサービス

（Netbusなど）だけを遮断して残りを許可するというルールを使用することです。

• 組織の暗号化ドメインに宛てた発信接続は、そのサービスに対する発信ルールが「許可」と

指定されている場合でも必ず暗号化されます。

• 暗黙的なルール（402ページの「暗黙的なルール」を参照）では、過去のルールで明示的に指

定しなかったサービスでも許可または遮断できます。たとえば、顧客が自分のマシン上で

サーバを実行する場合、その顧客のマシンへの接続を許可する明示的なルールを作成する必

要があります。このルールを作成しないと、暗黙的な着信ルール（デフォルトで遮断を行う）

によって接続が遮断されます。

デスクトップ・セキュリティ・ポリシーの計画 406ページ

ポリシー・サーバの二重認証の防止 407ページ



ポリシー・サーバの二重認証の防止

ポリシー・サーバの高可用性を実現すると、ユーザは1つのゲートウェイ経由で組織に接続し、別

のモジュールにインストールされているポリシー・サーバにも接続できます。この場合はゲート

ウェイ・モジュールで1回、ポリシー・サーバで1回、合わせて2回の認証が求められます。通常、

ユーザが特定のゲートウェイ経由で組織に接続し、そのゲートウェイにポリシー・サーバ・モジュー

ルがインストールされている場合は、［High Availability among all Policy Servers, tryingselected first］オプションを使用するようにユーザのプロファイルを設定します。この設定によ

り、ユーザが組織に接続する際に経由するゲートウェイとしてプライマリ・ポリシー・サーバが選

択されるので、認証の重複を回避できます。このようにゲートウェイへのユーザ認証の後、ゲート

ウェイにインストールされているポリシー・サーバからユーザがセキュリティ・ポリシーをダウン

ロードすることが自動的に許可されます。

デスクトップ・セキュリティの設定

408



サーバ側の設定1. ポリシー・サーバ・アドオン・モジュールをチェック・ポイント・インストールCDからイン

ストールします。ポリシー・サーバ・アドオンはVPN-1 Powerゲートウェイ・モジュールが

インストールされているマシンだけにインストールします。

2. ポリシー・サーバをインストールしたゲートウェイ・オブジェクトを開き、［General Properties］タブを選択します。［Check Point Products］セクションで［SecureClient Policy Server］を選択します。

3. ［Authentication］タブを選択します。［Policy Server］>［Users］セクションで、このポ

リシー・サーバからポリシーを取得することを許可されたユーザ・グループを選択します。

4. ほかの各ポリシー・サーバについて、手順2と3を繰り返します。

5. ［Policy］>［Global Properties］を表示して［Remote Access］を選択します。［Revert to default policy after］で、デスクトップ・セキュリティ・ポリシーのタイムアウトを選択し

ます（詳細については405ページの「ポリシーの更新」を参照してください）。

6. ポリシー選択ツールバーで［Desktop Security］を選択します。

7. 着信ルールを設定します。［Rules］>［Add Rule］メニュー項目を使用して、ポリシーへ

ルールを追加できます。

着信ルールでは、SecureClient（デスクトップ）が宛先であり、ルールの適用対象のユーザを

指定できます。

8. 発信ルールを設定します。

発信ルールでは、SecureClient（デスクトップ）が発信元であり、ルールの適用対象のユーザ

を指定できます。

9. ポリシーをインストールします。高度なセキュリティ・ポリシーをゲートウェイにインストー

ルし、デスクトップ・セキュリティ・ポリシーをポリシー・サーバにインストールします。

サーバ側の設定 408ページ






1. デスクトップの右下にあるSecureClientアイコンをダブルクリックし、［Properties］をク


2. サイトへの接続後にポリシー・サーバに自動的にログオンする場合は、［Logon to Policy Server］を選択します。

3. サイトに複数のポリシー・サーバがあり、SecureClientによってこれらのサーバ間の負荷分散

を試行する場合は、［Support Policy Server High Availability］を選択します。この機能を使

用する場合、以下のいずれかを選択する必要があります。

• High Availability among all servers, trying selected first ― プライマリ・ポリシー・

サーバを選択します。

• High Availability only among selected servers ― 接続先となるサーバを選択します。

管理者がユーザ用にカスタム・プロファイルを作成すると、ユーザはこれらの手順を設定する必要

がなくなります。


410

411

第章20L2TP（Layer Two Tunneling Protocol）クライアント

この章の構成

L2TPクライアントをサポートする必要性 412ページ

ソリューション - L2TPクライアントの使用 413ページ

Microsoft IPSec/L2TPクライアントを選択するときの考慮事項 419ページ

Microsoft IPSec/L2TPクライアント用のリモート・アクセスの設定 420ページ

L2TP クライアントをサポートする必要性

412

L2TP クライアントをサポートする必要性一部の組織では、内部ネットワークへのリモート・アクセスに機能が豊富で安全なチェック・ポイ

ントSecuRemote/SecureClientよりも、Microsoft製 IPSecクライアントを使用する方が効果的な場

合があります。

Microsoft L2TP IPSecクライアントを使用する理由としては、このクライアントが元々 Windows2000とWindows XPオペレーティング・システムの一部であり、追加のクライアントをインストー

ルする必要がなく無料で使用できるという点があります。

ソリューション - L2TP クライアントの使用

第 20 章 L2TP（Layer Two Tunneling Protocol）クライアント 413



L2TP クライアントについて

チェック・ポイントVPN-1 Powerゲートウェイでは、さまざまなサード・パーティ製 IPSecクラ

イアントとの間にVPNを作成できます。ここでは、Microsoft IPSec/L2TPクライアントを中心に説

明します。

L2TP（Layer Two Tunneling Protocol）によってVPN（バーチャル・プライベート・ネットワーク）

接続を確立すると、インターネットを通じてプライベート・ネットワークにアクセスできます。

L2TPは業界標準のインターネット・トンネリング・プロトコルです。

チェック・ポイントは、Windows 2000とWindows XPマシンでMicrosoft IPSec/L2TPクライアン

トをサポートします。このクライアントはWindowsオペレーティング・システムの標準搭載機能

です。

Microsoft IPSec/L2TPクライアント・ユーザのためにリモート・アクセス環境を構築する方法は、

SecuRemote/SecureClientsのためにリモート・アクセスを設定する方法と基本的に変わりません。

Microsoft IPSec/L2TPクライアント用にリモート・アクセスを設定する前に、第14章「リモート・

アクセスVPNの概要」を読んで理解することを強くお勧めします。

L2TPクライアントについて 413ページ

Microsoft IPSec/L2TPクライアントとチェック・ポイント・

ゲートウェイ間でのVPNの確立

414ページ

L2TP接続の動作 415ページ

IPSec/L2TPを使用する場合のVPN-1 Powerゲートウェイの要件 416ページ

ユーザとクライアント・マシンの認証 416ページ

ユーザの証明書の目的 418ページ


414

Microsoft IPSec/L2TP クライアントとチェック・ポイント・ゲートウェイ間での VPN の確立

図 20-1に示すように、Microsoft IPSec/L2TPクライアントのユーザがVPN-1 Powerゲートウェイ

で保護されたネットワーク・リソースにアクセスできるように、Microsoft IPSec/L2TPクライアン

トとゲートウェイの間にはVPNトンネルが確立されます。

図 20-1 IPSec クライアントとチェック・ポイント・ゲートウェイの接続

VPNの確立プロセスはユーザには透過的であり、以下のように実行されます。

1. Microsoft IPSec/L2TPクライアントのユーザがVPN-1 Powerゲートウェイへの接続を開始し

ます。

2. Microsoft IPSec/L2TPクライアントは、暗号化トンネルの構築を開始するためにピア・ゲート

ウェイとの間で IKE（Internet Key Exchange）ネゴシエーションを開始します。

3. IKEネゴシエーションの間、リモート・クライアント・マシンとVPN-1 Powerゲートウェイ

の識別情報が認証されます。この認証は証明書を使用して実行されます。両方の通信者は、認

証情報を証明する手段として相互に証明書を送信します。これによって、認証されたマシンだ

けが接続を確立できます。

4. 両方のピアは暗号化鍵を交換して IKEネゴシエーションを終了します。

5. この時点で暗号化がクライアントとゲートウェイの間で確立されます。クライアントとゲート

ウェイ間のすべての接続は、IPSec標準を使用してこのVPNトンネル内で暗号化されます。

6. クライアントは短時間のL2TPネゴシエーションを開始します。クライアントはこのネゴシ

エーションの後に IPSecで暗号化され、カプセル化されたL2TPフレームをゲートウェイに

渡すことができます。



7. この時点でVPN-1 Powerゲートウェイは、Microsoft IPSec/L2TPクライアントのユーザを認

証します。この認証は手順 3でのクライアント・マシンの認証に対して追加的に実行されます。身元の証明は以下の2つの方式で実行できます。

• 証明書

• MD5チャレンジ。ユーザはユーザ名とパスワード（プリシェアード・シークレット）の

入力を指示されます。

8. VPN-1 Powerゲートウェイはリモート・クライアントにオフィス・モード IPアドレスを割り

当てて、内部ネットワークでクライアントをルーティングできるようにします。オフィス・

モードのすべての方式でアドレスを割り当てることができます。

9. Microsoft IPSec/L2TPクライアントはゲートウェイに接続して、内部ネットワークの場所を参

照して接続できます。

L2TP 接続の動作

IPSec/L2TPクライアントを使用する場合、組織に接続すると同時に外部に接続することはできま

せん。

クライアントがゲートウェイに接続すると、クライアントから送信されるすべてのトラフィックは

このゲートウェイに送信されて暗号化されるからです。この場合、ゲートウェイの背後にある保護

されたネットワークにトラフィックが到達するかどうかは関係ありません。次に、このゲートウェ

イの暗号化ドメインに宛てられていない暗号化トラフィックはすべて破棄されます。

IPSec/L2TPを使用する場合のVPN-1 Powerゲートウェイの要件

Microsoft IPSec/L2TPクライアントを使用するには、リモート・アクセス用にVPN-1 Powerゲート

ウェイを設定する必要があります。この設定は、SecuRemote/SecureClientを使用する時にリモー

ト・アクセスで必要となる設定と非常によく似ています。たとえば、VPN-1 Powerゲートウェイと

ユーザ・グループを含むリモート・アクセス・コミュニティを作成する点などです。

さらに必要な作業は、オフィス・モード機能によってクライアントにアドレスを提供するために

VPN-1 Powerゲートウェイを設定することです。


416

ユーザとクライアント・マシンの認証

L2TP接続を認証するには以下の2つの方式があります。

• 従来からある認証方式

• 証明書の使用

認証方式

L2TPクライアントでは、接続を確立するために以下の認証スキームを使用できます。

• チェック・ポイント・パスワード

• OSパスワード

• RADIUS

• LDAP

• TACACS

ユーザ名とパスワードを使用してユーザの身元を検証します。すべてのユーザはリモート・アクセ

ス・コミュニティのメンバにする必要があり、オフィス・モードに応じて設定する必要があります。

証明書

L2TP接続の確立プロセスでは2段階の認証が実行されます。第1にクライアント・マシンとVPN-1Powerゲートウェイは、証明書を使用して相互に相手の認証情報を認証します。次にクライアント・

マシンのユーザとVPN-1 Powerゲートウェイは、証明書またはプリシェアード・シークレットを

使用して相互に認証を行います。

Microsoft IPSec/L2TPクライアントは、クライアント・マシンの IKE認証とユーザ認証のための個

別の証明書を保持しています。

VPN-1 Powerゲートウェイでユーザ認証に証明書を使用する場合、VPN-1 Powerゲートウェイは

ユーザ認証と IKE認証に対して同じ証明書を使用することも異なる証明書を使用することもでき

ます。

クライアントとユーザの証明書は、同じCAでも異なるCAでも発行できます。 SmartDashboardで

は、ユーザとクライアント・マシンはユーザとして個別に定義されます。

証明書は以下のいずれかで発行できます。

• SmartCenterサーバの ICA（内部認証局）

• OPSECが認定した認証局

証明書にはPKCS#12形式を使用する必要があります。この形式は秘密鍵と証明書を保存したり転

送したりする場合に互換性の高い形式です。証明書はクライアント・マシンに転送されて保存され

ます。



IKE でのクライアント・コンピュータの認証

IKE ネゴシエーションでVPN-1 Power ゲートウェイに対して自らの身元を証明するために、

Microsoft IPSec/L2TPクライアント・マシンには証明書が必要になります。

1つの証明書をすべてのクライアント・マシンで共有することも可能ですが、この環境ではユーザ

がログオンに使用したマシンを識別できなくなります。たとえば、SmartView Tracker には

「user=bob, machine=bob_laptop」ではなく、「user=bob, machine=generic_laptop」と表示されます。

コンピュータ・アカウント（マシン・アカウント）は、PKIを使用し、リモート・アクセス・コミュ

ニティ内にある必要があります。これは、GUIの［Remote Access］タブの認証スキームの影響を

受けません。すべてのクライアントで同じ証明書（および「マシン」ユーザ）を使用することが適

する場合と適さない場合があります。このユーザに対しては、1つの内部CA証明書を問題なく使

用できます。このことは、認証タブが定義されていてもいなくても違いはありません。

ユーザ・アカウントはルール照合とログの基礎であるため、コンピュータ・アカウントよりも重要

です。ユーザ・アカウントは、MD5チャレンジ（パスワード）または証明書のいずれかを使用し

ます。 MD5チャレンジを選択すると、リモート・アクセス・タブの証明書セクションは無関係に

なります。ユーザ定義に関しては、認証タブがどのように定義されていても（定義されていなくて

も）違いはありません。パスワードは常に、暗号化タブで定義された共有秘密です。この動作は

SecureClientとは異なることに注意してください。SecureClientでは認証タブのパスワードが暗号

化タブからの共有秘密より優先されます。

クライアント・マシンの管理者は、マシンの証明書ストアに証明書をインストールする必要があり

ます。

ユーザの認証

Microsoft IPSec/L2TPクライアントに接続する場合、各ユーザを認証する必要があります。ユーザ

は以下の方式で認証できます。

• 証明書

• MD5チャレンジ。ユーザはユーザ名とパスワード（プリシェアード・シークレット）の入力

を指示されます。ユーザには「ネットワークを使用せずに」パスワードを通知する必要があ

ります。

ユーザの証明書はユーザの証明書ストアに簡単に追加できます。ユーザの証明書をスマート・カー

ドに保存した場合、カードをクライアント・マシンに挿入すると証明書が自動的に証明書ストアに

保存されます。


418

ユーザの証明書の目的

PKI証明書の利用を、事前に定義した目的のみに限定できます。証明書は「クライアントの認証」、

「サーバの認証」、「IPSec」、「電子メールの署名」などの目的に利用できます。利用目的は証明書の

Extended Key Usageエクステンションに示されます。

IKE 認証に使用する証明書には、利用目的は必要ありません。ユーザ認証の場合に、MicrosoftIPSec/L2TPクライアントでこの目的が必要とされます。

• ユーザ証明書では「クライアントの認証」を目的とする必要があります。

• ゲートウェイの証明書では「サーバの認証」を目的とする必要があります。

ほとんどのCA（ICA を含む）では、これらの目的はデフォルトで指定されません。つまり、

IPSec/L2TPクライアントに対して証明書を発行するCAは、適切な目的で証明書を発行するように

設定する必要があります（Extended Key Usageエクステンションで）。

発行する証明書で適切な目的が設定されるように、SmartCenterサーバ上の ICAを設定できます。

OPSECが認定したCAの場合、目的を含めて証明書要求を作成するようにSmartCenterサーバを設

定できます（Extended Key Usageエクステンションで）。

また、L2TP ネゴシエーションのときにゲートウェイの証明書を検証しないように、MicrosoftIPSec/L2TPクライアントを設定できます。クライアントは IKEネゴシエーションですでにゲート

ウェイの証明書を検証しているので、これはセキュリティの問題になりません。

Microsoft IPSec/L2TP クライアントを選択するときの考慮事項


Microsoft IPSec/L2TP クライアントを選択するときの考慮事項

SecureClientの機能性は、個人用ファイアウォール以上のものです。この製品は完全なデスクトッ

プ・セキュリティ・ソリューションで、管理者はクライアントに対して完全なデスクトップ・セ

キュリティ・ポリシーを定義できます。一方、IPSecクライアントは基本的なリモート・クライア

ントであり、一部の組織にとって充分な機能を備えています。

IPSec/L2TPクライアントを使用する場合、組織に接続すると同時に外部に接続することはできま

せん。結果的に組織への接続時にマシンを限定的に使用できるので、組織によってはこれが適切な

接続ポリシーになる場合もあります。一方、SecuRemote/SecureClientの場合は組織とインター

ネットに同時に接続できます。

Microsoft IPSec/L2TP クライアント用のリモート・アクセスの設定

420



一般的な設定手順

Microsoft IPSec/L2TPクライアント用にリモート・アクセスVPNを確立する場合、VPN-1 Powerゲートウェイとクライアント・マシンの両方で設定を行う必要があります。設定の手順は

SecuRemote/SecureClient用のリモート・アクセスとほとんど同じですが、追加手順が幾つかあり

ます。Microsoft IPSec/L2TPクライアント用にリモート・アクセスを設定する前に、第14章「リ

モート・アクセスVPNの概要」を読んで理解することを強くお勧めします。

一般的な手順は以下のとおりです。

1. SmartDashboardを使用してユーザに対してクレデンシャル（通常は証明書）を生成するなど、

リモート・アクセス環境を設定します。

2. クライアント・マシンを認証するために証明書を生成します。

3. VPN-1 Powerゲートウェイでオフィス・モードとL2TPサポートを設定します。

4. クライアント・マシンでユーザ証明書ストアにユーザの証明書を保存し、マシン証明書スト

アにクライアント・マシンの証明書を保存します。

5. クライアント・マシンでMicrosoft IPSec/L2TPクライアントの接続プロファイルを設定します。

設定の詳細は以下のセクションで説明します。

一般的な設定手順 420ページ

リモート・アクセス環境の設定 421ページ

クライアント・マシンと証明書の定義 421ページ

オフィス・モードとL2TPサポートの設定 421ページ

クライアント・マシンの準備 421ページ

マシン証明書ストアへのクライアント証明書の保存 422ページ

ユーザ証明書ストアへのユーザ証明書の保存 423ページ

Microsoft IPSec/L2TPクライアントの接続プロファイルの設定 423ページ

ユーザ証明書の目的の設定 424ページ

L2TP接続の確立 425ページ

詳細情報 426ページ



リモート・アクセス環境の設定1. 268ページの「リモート・アクセス用VPNの設定」の手順に従ってください。

クライアント・マシンと証明書の定義1. クライアント・マシンごとに対応するユーザを定義するか、すべてのマシンに対してまとめ

て1人のユーザを定義して、各クライアント・マシン・ユーザに証明書を生成します。この手

順は、ユーザや証明書を定義するときに必要な手順と同じです（268ページの「リモート・ア

クセス用VPNの設定」を参照）。

2. クライアント・マシンに対応するユーザをユーザ・グループに追加し、ユーザ・グループを

リモート・アクセスVPNコミュニティに追加します。

オフィス・モードと L2TP サポートの設定1. オフィス・モードを設定します。詳細な手順については、297ページの「オフィス・モードの

設定」を参照してください。

2. ゲートウェイ・オブジェクトの［Remote Access］ページで、［Support L2TP］をオンにし

ます。

3. ユーザに対して［Authentication Method］を選択します。

• 証明書を使用するには［Smart Card or other Certificates (encryption enabled)］を選

択します。

• ユーザ名と共有秘密情報（パスワード）を使用するには、［MD5-challenge］を選択します。

4. ［Use this certificate］では、自らの身元をユーザに証明するためにゲートウェイが提示する

証明書を選択します。ユーザの認証方式として手順 3の［Authentication Method］で証明書を

選択した場合、この証明書が使用されます。

クライアント・マシンの準備1. Windows環境では、クライアント・マシンの［サービス］で［IPSec Policy Agent］が実行

中であることを確認します。このサービスは［自動］に設定する必要があります。

2. ほかの IPSecクライアント（SecuRemote/SecureClientなど）がマシンにインストールされ

ていないことを確認します。


422

マシン証明書ストアへのクライアント証明書の保存1. 管理者の権限でクライアント・マシンにログオンします。

2. Microsoftの管理コンソールを起動します。［スタート］>［ファイル名を指定して実行］をク


3. 「MMC」と入力してEnterキーを押します。

4. ［コンソール］>［スナップインの追加と削除］を選択します。

5. ［スタンドアロン］タブで、［追加］をクリックします。

6. ［スタンドアロンスナップインの追加］ウィンドウで［証明書］を選択します。

7. ［証明書スナップイン］ウィンドウで［コンピュータアカウント］を選択します。

8. ［コンピュータの選択］ウィンドウで、新しい証明書を保存したコンピュータ（ローカルであ

るかどうかを問わず）を選択します。

9. この手順を完了するには［完了］をクリックします。［スナップインの追加と削除］ウィンド

ウを閉じるには［閉じる］をクリックします。

10. MMCの［コンソール］ウィンドウでは、新しい証明書のブランチがコンソール・ルートに追

加されています。

11. ［証明書］ブランチの［個人］エントリを右クリックして、［すべてのタスク］>［インポート］

を選択します。証明書のインポート・ウィザードが表示されます。

12. 証明書のインポート・ウィザードでは、証明書の場所を参照します。

13. 証明書ファイルに対するパスワードを入力します。

14.［証明書ストア］ウィンドウで、証明書ストアが証明書の種類に基づいて自動的に選択されて

いることを確認します。

15.［完了］をクリックしてインポートを完了します。

MMCを使用すると、「ローカル・コンピュータ」の証明書ストアで証明書を表示できます。



ユーザ証明書ストアへのユーザ証明書の保存 1. クライアント・マシンで証明書を保存した場所を開き、ユーザの証明書アイコン（.p12ファ

イル）をダブルクリックします。証明書のインポート・ウィザードが表示されます。

2. パスワードを入力します。

3. ［証明書ストア］ウィンドウで、証明書ストアが証明書の種類に基づいて自動的に選択されて

いることを確認します。

4. ［完了］をクリックしてインポートを完了します。

MMCを使用すると、「現在のユーザ」の証明書ストアで証明書を表示できます。

Microsoft IPSec/L2TP クライアントの接続プロファイルの設定

クライアント・マシンの証明書とユーザの証明書を適切に配布したら、L2TPの接続プロファイル

を設定します。

1. クライアント・マシンでデスクトップにある［マイネットワーク］アイコンを右クリックし

て、［プロパティ］を選択します。

2. ［ネットワークとダイヤルアップ接続］ウィンドウで、［新しい接続の作成］を選択します。ネットワークの接続ウィザードが表示されます。

3. ［ネットワーク接続の種類］ウィンドウが表示されます。 Windows 2000マシンの場合は、

［インターネット経由でプライベートネットワークに接続する］を選択します。 Windows XPマシンの場合は、［職場のネットワークへ接続する］を選択して次のウィンドウで［仮想プライ

ベートネットワーク接続］を選択します。

4. ［接続先のアドレス］ウィンドウでゲートウェイの IPアドレスまたは解決可能なホスト名を入

力します。

5. ［接続の利用範囲］ウィンドウで、［すべてのユーザ］または［自分のみ］を選択して新しい

接続を利用できるユーザを設定します。

6. 後のウィンドウでは、「L2TP_connection」など新しい接続に名前を指定します。

7. 新しい接続の種類に対して［接続］ウィンドウが表示されます。

L2TP接続の設定を完了するには以下の手順に従ってください。順番が重要なので注意してください。

8. ［接続］ウィンドウで［プロパティ］をクリックします。

9. ［ネットワーク］タブでL2TPサーバを選択します。


424

10.［セキュリティ］タブで［詳細］>［設定］を選択し、［拡張認証プロトコルを使う］または

［次のプロトコルを許可する］を選択します。

［拡張認証プロトコルを使う］を選択した場合は、［MD5-challenge］または［スマートカード

またはその他の証明書 (暗号化は有効 )］を選択します。ゲートウェイでの設定と同じにします。

［次のプロトコルを許可する］を選択した場合は、［暗号化されていないパスワード (PAP)］を

選択します。

詳細については421ページの「オフィス・モードとL2TPサポートの設定」を参照してください。

11. 設定を保存して［接続］ウィンドウに戻るには、［OK］をクリックします。

12.［接続］ウィンドウでは、ユーザ名とパスワードを入力するか、または証明書を選択します。

ユーザ証明書の目的の設定

目的が指定された証明書を発行するように CA を設定するには

1. ICAを使用している場合は ICA管理ツール（このツールの詳細については『SmartCenter』の

「内部認証局（ICA）と ICA管理ツール」の章を参照）を起動し、［Configure the CA］ペー

ジを表示して以下の手順に従います。

• 「サーバー認証」を目的としてゲートウェイの証明書を発行するには、［IKE Certificate Extended Key Usage］プロパティの値を1に変更します。

• 「クライアントの認証」を目的としてユーザの証明書を発行するには、［IKE Certificate Extended Key Usage］プロパティの値を2に変更します。

OPSECに認定されたCAを使用して証明書を発行している場合は、DBeditコマンド・ラインを

使用するか、グラフィカル・データベース・ツールを使用して、グローバル・プロパティ

cert_req_ext_key_usageの値を1に変更します。この操作により、SmartCenterサーバは目的を

指定された証明書を要求するようになります（目的はExtended Key Usageエクステンションで

指定）。

2. SmartDashboardを使用してVPN-1 Powerゲートウェイに対して新しい証明書を発行します（［VPN］ページの［Certificate List］セクションで［Add］をクリックします。新しい

［Certificate Properties］ウィンドウが開きます）。証明書のプロパティを参照して、証明書

に表示されるExtended Key Usageエクステンションを調べます。

3. VPN-1 Powerゲートウェイ・オブジェクトの［Remote Access］ページを開き、［L2TP Support］セクションで新しい証明書を選択します。



証明書内の目的「サーバー認証」を無視するように Microsoft IPSec/L2TP クライアントを設定するには

以下の手順をMicrosoft IPSec/L2TPクライアントに対して行うと、ゲートウェイの証明書上に目的

「サーバー認証」が示されていることを必須とすることを止めることができます。

1. クライアント・マシンでデスクトップにある［マイネットワーク］アイコンを右クリックして、

［プロパティ］を選択します。

2. ［ネットワークとダイヤルアップ接続］ウィンドウでL2TP接続プロファイルをダブルクリッ

クします。

3. ［プロパティ］をクリックして［セキュリティ］タブを選択します。

4. ［詳細 (カスタム設定 )］を選択して［設定］をクリックします。

5. ［セキュリティの詳細設定］ウィンドウの［ログオンのセキュリティ］で［拡張認証プロトコル (EAP) を使う］を選択し、［プロパティ］をクリックします。

6. ［スマートカードまたはほかの証明書のプロパティ］ウィンドウで［サーバの証明書の有効化］

をオフにして［OK］をクリックします。

L2TP 接続の確立7. L2TP接続を確立するには［Connect］をクリックします。

8. 接続に割り当てられた IPアドレスを確認するには、接続の［Status］ウィンドウにある

［Details］タブを表示するか、ipconfig /allコマンドを実行します。

注：クライアントは IKE 認証のときにゲートウェイの証明書に関して、「サーバ認証」以外

のすべての要素を検証します。


426

詳細情報

Microsoft IPSec/L2TPクライアントの高度な機能を設定する場合は、以下のセクションを参照して

ください。

• 488ページの「非プライベート・クライアント IPアドレス」

• 293ページの「ユーザ単位の IPアドレスの有効化」

• 496ページの「逆向き接続（サーバからクライアント）」

L2TPプロトコルはRFC 2661で定義されています。IPSecを使用したL2TPの暗号化はRFC 3193で規定されています。L2TPプロトコルとMicrosoft IPSec/L2TPクライアントの詳細については、

Windows 2000とXPのヘルプで「ネットワークとダイヤルアップ接続」のセクションを参照して

ください。

427

第章21SCV（Secure Configuration Verification）

この章の構成

リモート・クライアント・セキュリティ・ステータスの検証の必要性 428ページ

SCV（Secure Configuration Verification）ソリューション 429ページ

SCVの考慮事項 434ページ

SCVの設定 436ページ

リモート・クライアント・セキュリティ・ステータスの検証の必要性

428

リモート・クライアント・セキュリティ・ステータスの検証の必要性

ネットワークとファイアウォールの管理者は、組織内のコンピュータを簡単に制御できます。

Microsoftドメイン・ベースの環境では、この制御はネットワーク・ドメイン・コントローラでユー

ザの権限を制御することで実行します。管理者はブラウザ内のJavaやActiveXコントロールなどの

危険なコンポーネントを無効にし、ウイルス対策チェッカをインストールしてチェッカが正常に動

作していることを確認できます。

リモート・ユーザの場合はLANの外側から（インターネットを通じて）組織にアクセスし、通常は

ドメインに接続できないため、管理者が設定できるオプションは制限されます。管理者は、ドメイ

ン・コントローラでリモート・ユーザの設定を制御して確認することができません。

たとえば、ActiveXを有効にしたリモート・ユーザが悪意のあるActiveXコントロールが仕込まれた

Webサイトに接続し、このコントロールによってコンピュータのセキュリティが破られたとします。

このリモート・ユーザが組織のLANに接続した場合、LANまでが外部からの攻撃を受けやすくなり

ます。

適切に設定されたデスクトップ・セキュリティ・ポリシーは重要ですが、ポリシーはこの種の攻撃

に対しては対応できません。なぜなら、この攻撃はユーザ・マシンに対するアクセス制御の弱点を

狙うのではなく、クライアント上のアプリケーション設定の弱点を巧みに利用するからです。

SCV（Secure Configuration Verification）ソリューション

第 21 章 SCV（Secure Configuration Verification） 429



SCV（Secure Configuration Verification）について

SCV（Secure Configuration Verification）を使用すると、管理者はリモート・コンピュータの設定

を監視し、設定が組織のセキュリティ・ポリシーに準拠していることを確認し、準拠していないマ

シンとの接続を遮断できます。SCVはデスクトップ・セキュリティ・ポリシーに置き換わるもので

はなく、これを補完するものです。SCVはSecureClientマシンが企業のセキュリティ・ポリシーに

準拠して設定されていることを保証して、企業のセキュリティを強化します。

SCVはSCVチェックを作成して使用するためのプラットフォームです。SCVチェックには、ユー

ザのブラウザ設定、デスクトップ・コンピュータ上にインストールされたウイルス対策ソフトウェ

アの現在のバージョン、パーソナル・ファイアウォール・ポリシーの適切な操作など、安全に設定

されたクライアント・システムを定義する条件セットが含まれています。これらのセキュリティ・

チェックは、事前に設定した間隔でSecureClientによって実行されます。VPN-1 Powerゲートウェイ

は、SCVチェックの結果に基づいてクライアントからLANへの接続を許可するか遮断するかを決

定します。

チェック・ポイントのSCVソリューションには、オペレーティング・システムとユーザ・ブラウザ

を対象とする、定義済みのSCVチェックが付属しています。また、ウイルス対策ソフトウェア・

メーカーなどのOPSECパートナーは、自社製品にSCVチェックを追加できます。

SCV（Secure Configuration Verification）について 429ページ

SCVの機能の仕組み 430ページ

SCVチェック 432ページ

SCVポリシーの構文 437ページ

local.scvセット 441ページ

完全な local.scvファイルの例 443ページ


430

SCV の機能の仕組み

SCVは以下の6つの手順で機能します。

1. クライアントへのSCVプラグインのインストール

2. SmartCenterサーバでのSCVポリシーの設定

3. クライアントへのSCVポリシーのダウンロード

4. SCVポリシーの検証

5. ランタイムSCVチェック

6. 組織のセキュリティ・ポリシー SCVの認識

クライアントへの SCV プラグインのインストール

SCVチェックは、クライアントの設定項目をチェックしてその結果を返す特別なDLLによって実行

されます。SCVアプリケーションはSCV DLLをシステム・レジストリに登録します。

SCV設定の初の手順は、SCVチェックを実行するアプリケーションをクライアントにインストー

ルすることです。インストール中にこれらのアプリケーションは自らをSCVプラグインとして登録

し、SCV DLLのハッシュ値を書き込んで改ざんを防止します。

SmartCenter サーバでの SCV ポリシーの設定

SCVポリシーはSCVプラグインで提供されるチェックに基づくルール、すなわち条件のセットです。

これらの条件は各SCVチェックで要求される結果を定義し、クライアントはこの結果に基づいて安

全に設定されているクライアントか、安全に設定されていないクライアントかに分類されます。たと

えば、ファイル共有アプリケーションを許可しない管理者は、ファイル共有アプリケーション・プ

ロセスが実行されていないことを検証するルールをSCVポリシーで定義します。

すべてのSCVテストで必要な結果が返されると、クライアントは安全に設定されていると見なされ

ます。SCVテストで1つでも予期しない結果が返されると、クライアントは安全に設定されていな

いと見なされます。

注：この例で説明する SCV チェックは、SmartCenter サーバに付属の定義済みの SCVチェックです（432 ページの「チェック・ポイント SCV チェック」を参照）。このチェック

は特定のプロセスをテストするものです。



クライアントへの SCV ポリシーのダウンロード

SecureClientがポリシー・サーバからデスクトップ・ポリシーをダウンロードするとき、同時に

SCVポリシーもダウンロードします。

SCV ポリシーの検証

SecureClientはSCVポリシーをダウンロードしたあと、ハッシュ値を計算してその結果をDLLのイン

ストール時に指定されたDLLのハッシュ値と比較することで、SCVポリシーに指定されたSCV DLLが改ざんされていないことを確認します（「クライアントへのSCVプラグインのインストール」を

参照）。

ランタイム SCV チェック

SecureClientは定期的（デフォルトでは15秒ごと）にSCV DLLを起動して、SCVポリシーに指定

されたSCVチェックを実行してその結果をSCVポリシーと比較します。安全に設定されていない

クライアントでポップアップの通知を表示したり、SmartCenterサーバへログを送信するように

SCVポリシーを設定できます。

組織のセキュリティ・ポリシー SCV の認識

SecureClientはこの時点でクライアントが安全に設定されているかどうかを判定できます。管理者

は、クライアントのSCVステータスに応じてVPN-1 Powerゲートウェイで実行すべきアクション

を設定します。たとえば、管理者は安全に設定されていないクライアントに対しては、企業LANに

あるリソースの一部または全部にアクセスできないように設定できます。この設定により、クライ

アントのセキュリティ設定の不備によって生じる危険から組織が保護されます。

管理者はリモート・クライアントに対してSCVを実施するかしないかを選択できます。SCVを実

施すると、ルールに従って安全に設定されたクライアントだけがアクセスを許可されます。SCVを

実施しない場合、ルールに従ってすべてのクライアントがアクセスを許可されます。

シンプル・モードの場合、これはグローバルに設定します。トラディショナル・モードでは、ルー

ルごとに個別に設定します。詳細については、436ページの「サーバ側の設定」を参照してください。

クライアントがVPN-1 Powerゲートウェイに接続すると、SecureClientとゲートウェイ間で IKEネ

ゴシエーションが実行されます。ゲートウェイのセキュリティ・ポリシーがSCVチェックを要求す

ると、ゲートウェイはクライアントが安全に設定されているかどうかをチェック（SCV）する間、

その接続を保留します。ゲートウェイがクライアントのSCVステータスをすでに知っている場合

（過去5分以内にSCVステータスのチェックが実行された場合）、以下の動作が実行されます。

• クライアントが安全に設定されている場合、ゲートウェイは接続を許可します。

• クライアントが安全に設定されていない場合、ゲートウェイは接続を破棄するか、接続を許

可してログを記録します（この動作は設定可能です）。


432

ゲートウェイがクライアントのSCVステータスを知らない場合は、SCVクエリを含む ICMP配信不

能エラー・メッセージをクライアントに送信してSCVチェックを開始します。クライアントはSCVクエリを受信すると、SCVステータスの確認を試行します。コネクト・モードの場合、クライアン

トはポリシー・サーバにも接続し、更新されたSCVポリシーをダウンロードします。同時にSCVクエリを受信したクライアントは、UDPポート18233経由で20秒間隔で5分間、ゲートウェイに

SCVステータスの応答メッセージを送信します。これらの応答メッセージはキープアライブ・メカ

ニズムとして使用され、クライアントがSCVステータスを確認している間、ゲートウェイのステー

タス・テーブル内でユーザの接続を維持します。キープアライブ・パケットにより、ユーザは後続

の接続を5分間隔で開くことができ、この間SCVクエリを使用する必要はありません。クライアン

トは自身のSCVステータスを決定すると、SCVステータスを含むSCV応答メッセージをUDPポー

ト18233経由でゲートウェイに返信します。ゲートウェイはユーザのSCVステータスを受信する

と、ユーザの接続の処理方法を決定します。

SCV チェック

チェック・ポイント SCV チェック

SecureClientインストールの一部として、以下のようにSCVチェックが用意されています。

• SC_VER_SCV ― 管理者の指定に基づいてSecureClientのバージョンが新であることを検

証する、バージョン・チェック。

• Network Configuration Monitor ― 以下の項目を検証します。

• すべてのネットワーク・インタフェース・カードでデスクトップ・ポリシーが

SecureClientによって実施されること

• IP以外のプロトコルがすべてのインタフェースで無効になっていること

• OS Monitor ― リモート・ユーザのオペレーティング・システムのバージョン、サービス・

パック、スクリーン・セーバの設定（起動時間、パスワード保護など）を検証します。

• HotFix Monitor ― オペレーティング・システムのセキュリティ・パッチがインストールされ

ているかどうかを検証します。

• Group Monitor ― ユーザがマシンにログオンしているか、またユーザが管理者によって指定

された特定のドメイン・ユーザ・グループのメンバであるかを検証します。

• Process Monitor ― 指定されたプロセスがクライアント・マシンで動作しているかどうかを

チェックします（ファイル共有アプリケーションが動作していないこと、またはウイルス対

策ソフトウェアが動作していることなど）。Process Monitorでは、プロセスが動作していな

いこともチェックできます。

• user_policy_scv ― ユーザがポリシー・サーバにログオンしているか、デスクトップ・ポリ

シーが新であるかなど、デスクトップ・ポリシーの状態をチェックします。

• Browser Monitor ― Internet Explorerのバージョンのほか、JavaとActiveXの各種オプション

など特定の設定項目を検証します。



• Registry Monitor ― 特定のキーまたは値がシステム・レジストリに存在することを検証し

ます。RegMonitorでは、キーの存在だけではなくキーの内容までチェックできます。

• ScriptRun ― 指定された実行プログラム（たとえば、特定のファイルが存在するかどうかを

チェックし、その結果に基づいて戻り値を設定するスクリプト）をSecureClientマシン上で

実行し、実行プログラムの戻り値をテストします。ScriptRunでは、追加的な設定チェックを

行うスクリプトを実行できます。

• Anti-Virus Monitor ― ウイルス対策プログラムが実行されているかどうかを検出し、その

バージョンをチェックします。サポートされるウイルス対策プログラムは、Norton、Trend Office Scan、およびMcAfeeです。

• SCVMonitor ― SCV製品のバージョン、特にクライアントのマシンにインストールされた

SCV DLLのバージョンを検証します。

• HWMonitor ― CPUの種類、ファミリ、モデルを検証します。

サード・パーティの SCV チェック

サード・パーティ・ベンダーは、チェック・ポイントのOPSEC SCV SDKを使用してSCVチェッ

クを記述できます。これらのアプリケーションがインストールされたあと、管理者はSCVポリシー

内でこれらのSCVチェックを使用できます。

スクリプトのその他の要素• SCVpolicy ― SCVNamesに定義されたチェックの中から、ユーザのデスクトップで実行す

るSCVチェックを選択します（442ページの「SCVNames」を参照）。

• SCVGlobalParams ― 一般的なSCVパラメータを定義するために使用します。

ネットワーク管理者は特定のSCVチェックのセット（たとえば、ユーザのSecureClientがセキュ

リティ・ポリシーを実施しているかどうかのチェックのみ）、または必要なすべてのSCVチェック

のセット（たとえば、上記のすべてのSCVチェック）を簡単に有効にできます。SCVチェックは

SCV DLLによって個別に実行されており、SecureClientはSCVプラグインを通じて15秒ごとにス

テータスをチェックしています。このチェックにより、ユーザが安全に設定されているかどうかが

判定されます。1つ以上のテストで不適合になると、SecureClientは安全に設定されていないと見

なされます。

注：特定の SCV チェックを実施するには、SCVNames セクションにチェックのパラメータを

設定して SCVPolicy にチェックの名前を指定します。

SCV の考慮事項

434

SCV の考慮事項


SCV ポリシーの設計

SmartCenter サーバのファイル$FWDIR/conf/local.scvには、SCV のインストールで提供する

チェックのための基本的なSCVポリシーのサンプルが含まれています。実行するSCVテストを判

定するときにこのファイルが参考になります。OPSEC製品にウイルス対策チェックや完全性SCVチェックなどの追加的なSCVチェックが必要な場合は、http://www.opsec.comにアクセスしてくだ

さい。

ユーザ権限

SCVを効果的に実装するには、リモート・ユーザがデスクトップ上で管理者権限を使用できないよ

うにすることをお勧めします。ユーザに管理者権限を与えるとユーザがシステム設定を変更できる

ようになり、SCVテストが失敗する原因となります。SCVチェックに通過しなかったデスクトッ

プは、組織にとってセキュリティ上の潜在的な脅威となります。

たとえば、管理者はユーザが JavaアプレットをWebサイトからダウンロードできないようにユー

ザのブラウザを設定できます。通常のユーザにはこれらのアプレットのダウンロードを禁止し、管

理者権限を持つユーザにはブラウザの設定を上書きできるように設定します。SCVポリシーを適切

に定義すると、ブラウザの設定が変更されたことを通知して、ゲートウェイ側で適切なアクション

を開始できます。ただし、SCVポリシーの設定が誤っている場合、またはゲートウェイ側でのユー

ザSCVステータスのチェックに不備がある場合など、ゲートウェイからLANへのアクセスを誤っ

てユーザに許可すると、LANにとってユーザのデスクトップはセキュリティ上の潜在的なリスクと

なります。

SCVポリシー自体は保護されています。ユーザが管理者権限を持っている場合でも、受信したSCVポリシーの定義ファイルは変更できません。クライアントに提供されるSCVポリシー・ファイル

は、クライアントに到達する前に署名され、SecureClientによってクライアント側の署名と照合さ

れます。これらの署名が一致しない場合、SCVチェックは失敗します。

SCVポリシーの設計 434ページ

ユーザ権限 434ページ

NGより前のクライアントでのSCVの使用 435ページ

http://www.opsec.com

SCV の考慮事項


NG より前のクライアントでの SCV の使用

NG以前のクライアントには上記のSCVメカニズムがありません。たとえば、バージョン4.1クラ

イアントは以下の限定されたSCVテストだけを実行できます。

• 複数の定義済みセキュリティ・ポリシーの1つが、すべてのインタフェースにインストールさ

れていることのチェック

• IP転送が無効になっていることのチェック

• TCP/IP以外のプロトコルがインストールされていないことのチェック

これらのクライアントに対してSCVを使用しても、実行できるテストが限られるので前述のような

完全なSCV機能は実行できません。限られたテストだけでクライアントのSCVステータスを判定

するようにゲートウェイを設定することも可能ですが、この設定では適切に判定できない可能性が

あります。これらの基本的なテストでは網羅されないパラメータがあるので、ユーザ・デスクトッ

プのセキュリティ・レベルが正確に判定できないからです。

通常は、新バージョンでSCVメカニズムに追加された機能強化を活用できるよう、以前のクライア

ントを新バージョンにアップグレードすることをお勧めします。

SCV の設定

436

SCV の設定


サーバ側の設定1. まずSCVに対して一般的なパラメータを幾つか設定する必要があります。SmartDashboard

を起動して［Policy］>［Global Properties］を表示し、［Remote Access］>［Secure Configuration Verification (SCV)］タブを選択します。このタブには以下のようなオプション

があります。

• Apply Secure Configurations on Simplified Mode - シンプル・ポリシー・モードの全

リモート・アクセス・ルールで、SCVフラグをオンにするかどうかを指定します。

• Upon Verification failure - クライアントで1つまたは複数のSCVチェックが不適合に

なったときに実行されるアクションを指定します。クライアントの接続を遮断するか、

接続を許可してこのイベントのログを送信するかのどちらかを選択します。

• Basic configuration verification on clients machine - クライアントのデスクトップに

ある全ネットワーク・インタフェース・カードにポリシーがインストールされているか、

またこれらのインタフェース・カードにTCP/IPプロトコルだけがインストールされてい

るかを確認するために、SecureClientによってSCVチェックを実行するかしないかを指

定します。

• Configurations Violation Notification on client's machine - リモート・ユーザがSCVチェックに適合しなかったことを示すログを、SmartCenterマシンに保存するかしないか

を指定します（これは一般的な通知メッセージです。したがって、ユーザのデスクトッ

プで不適合と見なされた特定のSCVチェックに関しては、詳細な情報がありません）。

2. NG以前のクライアントをSCVチェック済みと見なすかどうかを設定するには、［Policy］>［Global Properties］を開いて［Remote Access］>［Early Version Compatibility］タブを

選択します。このタブで定義済みのポリシーのリストから［Required policy for all desktops］を選択します。選択したポリシーが実施されない以前のクライアントをSCVチェック済みと見なさない場合は、［Client is enforcing required policy］を選択します。

3. ［Global Properties］画面を閉じます。

サーバ側の設定 436ページ


SCVポリシーの構文 437ページ

SCV の設定


4. シンプル・モード（VPNコミュニティをサポートするモード）を使用している場合は、この

手順を省略します。トラディショナル・モードを使用している場合はセキュリティ・ポリ

シー・ルール・ベースを編集し、リモート・アクセス・ルール（Client Encryptルールまたは

Client Authルール）用のSCVチェックを追加します。リモート・アクセス・ルールのために

SCVを有効にするには、そのルールのアクション・タブを右クリックして［Edit properties］>［Apply rule Only if Desktop Configuration is Verified］を選択します。［OK］をクリッ

クしてプロパティ画面を閉じます。

5. $FWDIR/confディレクトリにあるlocal.scvファイルを編集して、SCV ポリシーを設定します。

詳細については437ページの「SCVポリシーの構文」と441ページの「local.scvセット」を参

照してください。

6. ポリシーをインストールします。ポリシーのインストール・ダイアログ・ボックスで、ゲー

トウェイに高度なセキュリティ・ポリシーを選択し、ポリシー・サーバにデスクトップ・セ

キュリティ・ポリシーを選択します。

クライアント側の設定1. OPSEC SCVアプリケーションを使用する場合は、アプリケーションをクライアントにイン

ストールしてアプリケーションとSCVの統合を有効にします（この方法については、アプリ

ケーションのマニュアルを参照してください）。

2. SecureClientを起動し、ゲートウェイに接続してSCVポリシーを取得します。詳細について

は「デスクトップ・セキュリティ」を参照してください。

SCV ポリシーの構文

SCVポリシーは管理者によってテキスト・ファイル$FWDIR/conf/local.scvの中に設定されます。

管理者はテキスト・エディタまたはhttp://www.opsec.comにあるSCVEditorというツールを使用し

てこのファイルを手動で編集できます。local.scvファイルは、セット、サブセット、式が格納さ

れたポリシー・ファイルです。

注：通常、新しい SCV サブセットを記述しなくても、定義済みのチェック（local.scvファイルの SCVNames セクションにあります）をそのままテンプレートとして使用でき

ます。変更したチェックは SCVPolicy セクションに指定できます。

SCV の設定

438

セットとサブセット

各セットにはそれぞれ特定の目的が事前に定義されています。たとえば、あるセットは特定のパラ

メータの定義に使用でき、また別のセットは特定のイベントが発生したときに実行するアクション

を指定できます。セットは、セット名と再帰的な階層で区別されされます。各セットにはサブセッ

トを指定でき、また各サブセットには独自のサブセットを指定できます。サブセットには論理式を

含むこともできます。複数のサブセットおよび条件を指定するセットやサブセットは左括弧と右括

弧 ()で囲み、セット /サブセット名で開始します。同じ階層にあるサブセットおよび式の区別には

コロン :を使用します。以下に例を示します。

上記の例では、SetNameという名前のセットにSubSetName1とSubSetName2という2つのサブセッ

トが含まれています。SubSetName1には2つの条件（ExpressionName1_1とExpressionName1_2）が含まれています。SubSetName2 には1 つの条件（ExpressionName2_1）と1 つのサブセット

（SubSetName2_1）が含まれています。SubSetName2_1には1つの条件（ExpressionName2_1_1）が含まれています。

式

式では式の値（SCVチェックに対応）とその式に対して定義された値（括弧内の値）が比較されて

評価されます。たとえば、SecureClientで提供されるBrowser Monitor SCVチェックでは以下の式を

指定できます。

この式は、クライアントにインストールされている Internet Explorerブラウザのバージョンが5.xかどうかをチェックします。バージョン（主要バージョン）が5である場合、この式は trueとして評

価され、5でなければ falseとして評価されます。式の名前（「browser_major_version」など）は

SCVアプリケーションによって異なり、メーカーによって提供されます。

複数の式を順に指定した場合はこれらの論理積が使用されます。すなわち、すべての式が trueと評

価された場合のみ、これらのすべての値を評価して trueとなります。それ以外の場合（式の1つで

も falseの場合）は、全体の値が falseになります。以下に例を示します。

(SetName :SubSetName1 ( :ExpressionName1_1 (5) :ExpressionName1_2 (false) ) :SubSetName2 ( :ExpressionName2_1 (true) :SubSetName2_1 ( :ExpressionName2_1_1 (10) ) ))

:browser_major_version (5)

:browser_major_version (5):browser_minor_version (0)

SCV の設定


これらの式の論理積が計算されます。Internet Explorerのバージョンが5、副次バージョンが0（す

なわち、バージョン5.0）の場合は結果が trueになり、それ以外の場合は falseになります。InternetExploreのバージョンが4.0である場合は初の式が false、次の式は trueとなるので、両方の論理

積の結果は falseになります。

式の中には、別の式の評価方法に影響を与えるものがあります。以下に例を示します。

これらの式の論理積が計算されますが、第3の式は第1の式と第2の式の評価方法に影響を与えます。

上記の例では、Internet Explorerのバージョンが5.0以上（「>=」）の場合は結果が true、それ以外の

場合は falseになります。Internet Explorerのバージョンが4.5である場合は falseになり、バージョン

が5.1以上の場合は trueになります。

論理セクション

前述したとおり、後続の式は自動的に論理積が計算されます。ただし、論理積ではなく、式の論理

和を求めることが必要な場合もあります。この場合は以下のラベルを使用します。

begin_or (orX)ラベル - このラベルによって、複数の式を指定したセクションを開始します。この

セクションの末尾はend (orX)ラベルによって指定します（Xは個々の論理和セクションを識別す

る数字で置き換えられます）。このセクション内のすべての式の論理和を評価し、そのセクション

の単一の値とします。以下に例を示します。

このセクションは Internet Explorerのバージョンが5と6のどちらかであるかをチェックします。5と6のどちらかの場合は true、それ以外の場合は falseになります。

:browser_major_version (5):browser_minor_version (0):browser_version_operand (">=")

:begin_or(or1):browser_major_version (5):browser_major_version (6):end(or1)

SCV の設定

440

begin_and (andX)ラベル - このラベルはbegin_or (orX)ラベルと似ていますが、内部の式が評価

されて論理積が計算されます。このセクションの末尾はend (andX)またはend (orX)ラベルによっ

て指定します。前述したとおり、単純な式が後続する場合は自動的に論理積が計算されます。この

ラベルを使用すると、論理和セクション内に論理積セクションをネストできます。たとえば、古い

ブラウザは潜在的に安全でないコンポーネントをあまり多く含んでいないので安全であると見なし、

一方で新しいブラウザは新のセキュリティ・パッチをすべて適用してあるから安全であると見なす

場合、管理者は以下のSCVルールを定義できます。

上記の例では、初の論理積セクションは Internet Explorer のバージョンが>= 5.0 であるかを

チェックし、次の論理積セクションは Internet Explorerのバージョンが<=3.0であるかをチェック

し、これらの結果の論理和が計算されます。つまり、Internet Explorerのバージョンが5.0以上の場

合または3.0以下の場合、この例では総体的に結果が trueと評価されます。

特別な意味を持つ式とラベル

特別な意味を持つ式とラベルが幾つかあります。

• begin_admin (admin) - このラベルで開始するセクションでは、クライアントがサブセット

内にある前の式のSCVチェックで適合しなかった場合（すなわち、サブセット内の前の式が

falseの値を返した場合）にのみ実行する複数のアクションを定義します。このセクションの

末尾はend (admin)ラベルによって指定します。

• send_log (type) - この式はbegin_admin (admin) - end (admin)セクションの一部として使用

され、クライアントがSCVチェックで適合しなかったことを示すログをSmartCenterサーバ

（およびクライアントの診断ツール）へ送信するかどうかを指定します。

typeには log/alertなど送信するログの種類を指定します。alertはSmartCenterサーバにログ

を送信することを表し、logはリモート・クライアントの診断ツールにログを送信することを

表します。

• mismatchmessage ("Message") - この式はbegin_admin (admin) - end (admin)セクションの

一部として使用され、リモート・ユーザのデスクトップ上に問題を通知するポップアップ・

メッセージを表示することを指定します。引用符で囲まれたテキスト（Message）は、問題

の原因と実行すべきアクションをクライアントに指示するテキストを指定します。

:begin_or(or1):begin_and (and1):browser_major_version (5):browser_minor_version (0):browser_version_operand (">="):end (and1):begin_and (and2):browser_major_version (3):browser_minor_version (0):browser_version_operand ("<="):end (and2):end(or1)

SCV の設定


以下に例を示します。

この例の場合、ユーザの Internet Explorerのバージョンが5.0より前であれば、警告がSmartCenterサー

バへ送信され、ポップアップ・メッセージがユーザに表示されて問題があることが通知されます。

local.scv セット

local.scvポリシー・ファイルにはSCVObjectと呼ばれる1つのセットが含まれます。このセット

は必ず指定する必要があり、ここにSCVチェックとパラメータの全サブセットを含めます。現在、

SCVObjectには以下の3つのサブセットがあります。

• SCVNames - このセクションはSCVポリシーの主要定義セクションであり、SCVチェック

およびアクションのすべてを定義します。これはSCVポリシーの定義部分であり、この指

定では実際に実行されるSCVチェックは決定されません。このセクションでは、テスト・

セットを定義します。管理者は後でユーザのデスクトップ上で実行するセットをこの中

から選択します。

• SCVPolicy - このセクションでは、SCVNamesで定義されたSCVチェックの中から、

クライアント・マシン上で実際に実行するSCVチェックの名前を指定します。

• SCVGlobalParams - このセクションには幾つかのグローバルなSCVパラメータを指定

します。

:browser_major_version (5):browser_minor_version (0):browser_version_operand (">="):begin_admin (admin):send_log (alert):mismatchmessage ("The version of your Internet Explorer browser is old. For security reasons, users with old browsers are not allowed to access the local area network of the organization. Please upgrade your Internet Explorer to version 5.0 or higher.If you require assistance in upgrading or additional information on the subject, please contact your network administrator"):end (admin)

SCV の設定

442

SCVNames管理者はこのセクションでSCV製品の名前とそのチェックを指定します。ここではSCVNamesセクションにあるSCVチェック・サブセットの一般的な定義を示します。

このテスト・セクションはSCVチェックの名前（SCVCheckName1）で始まります。SCVCheckName1はテスト・セットの名前を定義します。この名前はSCVアプリケーションで定義され、SCVメーカー

によって提供されます。type (plugin)式は、テストがSCV DLLプラグインによって実行されるよう

に指定します。parametersサブセットはSCVルールとアクションを定義する場所です。type (plugin)式とparametersサブセットは、SCVチェックのサブセット（SCVCheckName1など）を定義すると

きに必ず指定する必要があります。

SCVPolicyこのセクションは実施されるSCVチェックの名前を定義します（この名前はSCVNamesで指定さ

れるSCVチェック名の一部です）。このセクションの一般的な構造を以下に示します。

注：コロン（:）と左括弧の間には、スペースを 1 つ入力します。

SCVNames と SCVPolicy の違い• SCVNamesセクションにはチェックのさまざまなパラメータを定義します。

• SCVPolicyセクションには実施するチェックを指定します。

特定のSCVチェックを実施するには、以下の手順に従います。

• SCVNamesにチェックのパラメータを指定します。

• SCVPolicyにチェックの名前を指定します。

: (SCVCheckName1 :type (plugin) :parameters ( :Expression1 (value) :Expression2 (value) :begin_admin (admin) :send_log (alert) :mismatchmessage ("Failure Message") :end (admin) ) )

:SCVPolicy ( :(SCVCheckName1) :(SCVCheckName2) )

SCV の設定


SCVGlobalParamsこのセクションにはSCVのグローバル・パラメータを指定します。

完全な local.scv ファイルの例

完全なlocal.scvファイルの例を以下に示します。

これ以降の例では、SCVサブセットの一部の内部構文が前述の構文と異なることに注意してくだ

さい。新のバージョンではSCVポリシー構文が改訂されましたが、これらのSCVチェックは古い

構文を使用して記述されているからです。たとえば、sc_ver_scvサブセットにはbegin_admin(admin) - end (admin)セクションがありません。さらにこのセクションにあったmismatchmessage式はMismatchMessage（大文字）式で置き換えられました。MismatchMessage の構文と動作は

mismatchmessageと似ていますが、MismatchMessageはbegin_admin (admin) - end (admin)セク

ションには記述しません。

sc_ver_scvサブセットについて前述の構文と異なるもう1つの点は、

EnforceBuild_XX_Operand式とSecureClient_XX_BuildNumber式に関するものです。

これらの式はその論理積を計算するのではなく、ユーザが使用するオペレーティング・システム

に基づいて自動的に評価されます。たとえば、ユーザがWindows 2000システムを使用している場

合はEnforceBuild_2K_Operand式とSecureClient_2K_BuildNumber式だけが評価され、

ほかのオペレーティング・システムに関係する式は評価されません。

前述の構文からの変更点としては、このほかにlocal.scvポリシー・ファイルにも小さな変更点が

あります。デフォルトのlocal.scvポリシー・ファイルを見ると変更点が分かります。通常、新し

いSCVサブセットを記述しなくても定義済みのチェック（SCVNamesセクションにある）をその

ままテンプレートとして使用できます。変更したチェックはSCVPolicyセクションに指定できます。

:SCVGlobalParams (:enable_status_notifications (true):status_notifications_timeout (10):disconnect_when_not_verified (false):block_connections_on_unverified (false):scv_policy_timeout_hours (24):enforce_ip_forwarding (true):not_verified_script ("myscript.bat"):not_verified_script_run_show (true):not_verified_script_run_admin (false):not_verified_script_run_always (false):allow_non_scv_clients (false)

:block_scv_client_connections (false))

注：特定の SCV チェックを実施するには、SCVNames セクションにチェックのパラメータを

設定して SCVPolicy にチェックの名前を指定します。

SCV の設定

444

例

(SCVObject:SCVNames (: (user_policy_scv:type (plugin):parameters ()

): (BrowserMonitor:type (plugin):parameters (:browser_major_version (5):browser_minor_version (0):browser_version_operand (">="):browser_version_mismatchmassage ("Please upgrade your Internet browser."):intranet_download_signed_activex (disable):intranet_run_activex (disable):intranet_download_files (disable):intranet_java_permissions (disable):trusted_download_signed_activex (disable):trusted_run_activex (disable):trusted_download_files (disable):trusted_java_permissions (disable):internet_download_signed_activex (disable):internet_run_activex (disable):internet_download_files (disable):internet_java_permissions (disable):restricted_download_signed_activex (disable):restricted_run_activex (disable):restricted_download_files (disable):restricted_java_permissions (disable):send_log (alert):internet_options_mismatch_message ("Your Internet browser settings do not meet

policy requirements¥nPlease check the following settings:¥n1. In your browser, go to Tools -> Internet Options -> Security.¥n2. For each Web content zone, select custom level and disable the following items: DownLoad signed ActiveX, Run ActiveX Controls, Download Files and Java Permissions.")

)): (OsMonitor:type (plugin):parameters (:os_version_mismatchmessage ("Please upgrade your operating system."):enforce_screen_saver_minutes_to_activate (3):screen_saver_mismatchmessage ("Your screen saver settings do not meet policy

requirements¥nPlease check the following settings:¥n1. Right click on your desktop and select properties.¥n2. Select the Screen Saver tab.¥n3. Under Wait choose 3 minutes and check the Password Protection box.")

:send_log (log):major_os_version_number_9x (4)

SCV の設定


:minor_os_version_number_9x (10):os_version_operand_9x (">="):service_pack_major_version_number_9x (0):service_pack_minor_version_number_9x (0):service_pack_version_operand_9x (">="):major_os_version_number_nt (4):minor_os_version_number_nt (0):os_version_operand_nt ("=="):service_pack_major_version_number_nt (5):service_pack_minor_version_number_nt (0):service_pack_version_operand_nt (">="):major_os_version_number_2k (5):minor_os_version_number_2k (0):os_version_operand_2k ("=="):service_pack_major_version_number_2k (0):service_pack_minor_version_number_2k (0):service_pack_version_operand_2k (">="):major_os_version_number_xp (5):minor_os_version_number_xp (1):os_version_operand_xp ("=="):service_pack_major_version_number_xp (0):service_pack_minor_version_number_xp (0):service_pack_version_operand_xp (">=")

)): (ProcessMonitor:type (plugin):parameters (:begin_or(or1):AntiVirus1.exe (true):AntiVirus2.exe (true)

:end(or1):IntrusionMonitor.exe (true):ShareMyFiles.exe (false):begin_admin (admin):send_log (alert):mismatchmessage ("Please check that the following processes are running:¥n1.

AntiVirus1.exe or AntiVirus2.exe¥n2. IntrusionMonitor.exe¥n¥nPlease check that the following process is not running¥n1. ShareMyFiles.exe")

:end (admin))

): (groupmonitor:type (plugin):parameters (:begin_or(or1):begin_and (1):"builtin¥administrator" (false):"BUILTIN¥Users" (true)

:end (1):begin_and (2)

SCV の設定

446

:"builtin¥administrator" (true):"BUILTIN¥Users" (false)

:end (and2):end(or1)

:begin_admin (admin):send_log (alert):mismatchmessage ("You are using SecureClient with a non-authorized user.¥nMake

sure you are logged on as an authorized user."):securely_configured_no_active_user (false)

:end (admin))

): (HotFixMonitor:type (plugin):parameters (:147222 (true):begin_admin (admin):send_log (alert):mismatchmessage ("Please install security patch Q147222.")

:end (admin))

): (AntiVirusMonitor:type (plugin):parameters (:type ("Norton"):Signature (">=20020819"):begin_admin (admin):send_log (alert):mismatchmessage ("Please update your AntiVirus (use the LiveUpdate option).")

:end (admin))

): (HWMonitor:type (plugin):parameters (:cputype ("GenuineIntel"):cpumodel ("9"):cpufamily ("6"):begin_admin (admin):send_log (alert):mismatchmessage ("Your machine must have an¥nIntel(R) Centrino(TM) processor

installed."):end (admin)

)): (ScriptRun:type (plugin):parameters (:exe ("VerifyScript.bat"):begin_admin (admin)

SCV の設定


:send_log (alert):mismatchmessage ("Verification script has determined that your configuration

does not meet policy requirements."):end (admin)

)): (RegMonitor:type (plugin):parameters (:value

("Software¥TrendMicro¥PC-cillinNTCorp¥CurrentVersion¥Misc.¥PatternVer>=414"):begin_admin (admin):send_log (alert):mismatchmessage ("Please update your AntiVirus (use the LiveUpdate option).")

:end (admin))

): (SCVMonitor:type (plugin):parameters (:scv_version ("54014"):begin_admin (admin):send_log (alert):mismatchmessage ("Please upgrade your Secure Configuration Verification

products package."):end (admin)

)): (sc_ver_scv:type (plugin):parameters (:Default_SecureClientBuildNumber (52032):Default_EnforceBuildOperand ("=="):MismatchMessage ("Please upgrade your SecureClient."):EnforceBuild_9X_Operand (">="):SecureClient_9X_BuildNumber (52030):EnforceBuild_NT_Operand ("=="):SecureClient_NT_BuildNumber (52032):EnforceBuild_2K_Operand (">="):SecureClient_2K_BuildNumber (52032):EnforceBuild_XP_Operand (">="):SecureClient_XP_BuildNumber (52032)

))

):SCVPolicy (: (BrowserMonitor): (HWMonitor): (AntiVirusMonitor)

):SCVGlobalParams (

SCV の設定

448

:enable_status_notifications (false):status_notifications_timeout (10):disconnect_when_not_verified (false):block_connections_on_unverified (false):scv_policy_timeout_hours (24):enforce_ip_forwarding (true):not_verified_script (""):not_verified_script_run_show (false):not_verified_script_run_admin (false):not_verified_script_run_always (false):not_verified_script_run_always (false):allow_non_scv_clients (false)

)

このファイルを使用する場合、インデントとネストは同じ形式を維持することが重要です。

SCV の設定


共通の属性

SCVポリシー・ファイルにある共通のパラメータ（SCVチェック）で、通常、管理者が変更する

必要があるのは一部だけです。

SCV チェック1. AntiVirusMonitor

パラメータ

• Type ("av_type")

ウイルス対策ソフトウェアの種類。たとえば、「Norton」、「VirusScan」、「OfficeScan」、または「ZoneLabs」などです。

• Signature(x)

ウイルス定義ファイルのシグネチャ。署名の形式はウイルス対策ソフトウェアの種類で異

なります。たとえば、Norton Antivirusの場合、署名は「>=20031020」の形式になります

（Norton Antivirusの署名の形式は「yyyymmdd」です）。

TrendMicro Officescanの場合、署名は「<650」になります。

McAfee VirusScanの場合、4.0.4291以降の署名には「>404291」の形式を使用します。

ZoneLabsの場合は「>X.Y.Z」の形式を使用します。Xは.dat署名ファイルの主要バー

ジョン、Yは副次バージョン、Zはビルド番号を表します。

AntiVirusMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を

持つ式とラベル」を参照してください。

2. BrowserMonitor

パラメータ

• browser_major_version (5)

Internet Explorerのメジャー・バージョン番号。このフィールドがlocal.scvファイルに

指定されていない場合またはこの値が0である場合、BrowserMonitorチェックの一部とし

て Internet Explorerのバージョンはチェックされません。

• browser_minor_version (0)

Internet Explorerのマイナー・バージョン番号。

• browser_version_operand (">=")

Internet Explorerのバージョン番号をチェックする演算子。

• browser_version_mismatchmessage ("Please upgrade your Internet Browser.")

Internet Explorerのバージョン・チェックで設定が不適合であった場合に表示されるメッ

セージです。

SCV の設定

450

• intranet_download_signed_activex (enable)

ローカル・イントラネット内から署名されたActiveXコントロールをダウンロードするた

めに Internet Explorerに必要な大の権限レベル。

• intranet_run_activex (enable)

ローカル・イントラネット内から署名されたActiveX コントロールを実行するために

Internet Explorerに必要な大の権限レベル。

• intranet_download_files (enable)

ローカル・イントラネット内からファイルをダウンロードするために Internet Explorerに必要な大の権限レベル。

• intranet_java_permissions (low)

ローカル・イントラネット内から javaアプレットを実行するために Internet Explorerに必

要な大のセキュリティ・レベル。

(low)はセキュリティ・レベルが低いことを表します。

• trusted_download_signed_activex (enable)

信頼されたゾーンから署名されたActiveX コントロールをダウンロードするために


• trusted_run_activex (enable)

信頼されたゾーンから署名された ActiveX コントロールを実行するために InternetExplorerに必要な大の権限レベル。

• trusted_download_files (enable)

信頼されたゾーンからファイルをダウンロードするために Internet Explorerに必要な大

の権限レベル。

• trusted_java_permissions (medium)

信頼されたゾーンから javaアプレットを実行するために Internet Explorerに必要な大の

セキュリティ・レベル。

• internet_download_signed_activex (disable)

インターネットから署名されたActiveXコントロールをダウンロードするために InternetExplorerに必要な大の権限レベル。

• Internet_run_activex (disable)

インターネットから署名されたActiveXコントロールを実行するために Internet Explorerに必要な大の権限レベル。

• internet_download_files (disable)

インターネットからファイルをダウンロードするために Internet Explorerに必要な大の

権限レベル。

SCV の設定


• internet_java_permissions (disable)

インターネットから javaアプレットを実行するために Internet Explorerに必要な大のセ

キュリティ・レベル。

• restricted_download_signed_activex (disable)

制限されたゾーンから署名されたActiveX コントロールをダウンロードするために


• restricted_run_activex (disable)

制限されたゾーンから署名された ActiveX コントロールを実行するために InternetExplorerに必要な大の権限レベル。

• restricted_download_files (disable)

制限されたゾーンからファイルをダウンロードするために Internet Explorerに必要な大

の権限レベル。

• restricted_java_permissions (disable)

制限されたゾーンから javaアプレットを実行するために Internet Explorerに必要な大の

セキュリティ・レベル。

• send_log (type)

クライアントが「SCV」に適合していないことを通知するためにSmartCenterサーバにロ

グを送信するかどうかを決定します。

このSCVチェックでは「begin admin/end admin」パラメータ・セクションはサポートさ

れません。

(type)セクションは(log)または(alert)を指定します。

• internet_options_mismach_message ("Your Internet browser settings do not meet policy requirements")

Internet Explorerの設定に対するMismatchメッセージ。

Internet Explorerのバージョンのみ、または特定のゾーンに対するブラウザの設定のみをチェック

するようにBrowserMonitorを設定できます。たとえば、以下のパラメータのいずれも指定されて

いない場合、

i. restricted_download_signed_activex

ii. restricted_run_activex

iii.restricted_download_files

iv. restricted_java_permissions

SCV の設定

452

BrowserMonitorは制限されたゾーンのセキュリティ設定をチェックしません。同様にパラメータ

「browser_major_version」が指定されていない場合または値が0である場合、Internet Explorerのバージョン番号はチェックされません。

BrowserMonitorでは「begin_or」と「begin_and」の構文はサポートされず、adminパラメータも

サポートされません。「特別な意味を持つ式とラベル」も参照してください。

Internet Explorerのサービス・パックをチェックするスクリプトについては459ページの「InternetExplorerのサービス・パック用のスクリプト」を参照してください。

3. Groupmonitor

パラメータ

• "builtin¥administrator" (false)

ユーザ・グループの名前。マシン設定を検証で適合させるには、ユーザはこのグループに

所属している必要があります。

• securely_configured_no_active_user (true)

ユーザがログオンしていないときに、マシンの設定が適合であると見なすかどうかを指定

します。デフォルト値は falseです。

4. HotFixMonitor

パラメータ

• HotFix_Number (true)

チェックするシステム・ホットフィックスの番号。マシンを検証して適合させるには、ホッ

トフィックスがインストールされている必要があります。たとえば、「823980(true)」は

MicrosoftのRPCパッチがオペレーティング・システムにインストールされているかどう

かを検証します。

• HotFix_Name (true)

チェックするシステム・ホットフィックスの完全な名前。マシンを検証して適合させるに

は、ホットフィックスがインストールされている必要があります。たとえば、

「KB823980(true)」はMicrosoftのRPCパッチがオペレーティング・システムにインストー

ルされているかどうかを検証します。

HotFixMonitor関連で説明したフィールドをすべてlocal.scvファイルに指定する必要はありません。

まったく指定しないフィールドや複数回指定するフィールドがあっても問題ありません。またこれら

のフィールドは論理和や論理積によって評価できます。このようにして、複数のホットフィックスを

チェックして結果を論理和または論理積で柔軟に評価できます。

SCV の設定


5. HWMonitor

パラメータ

• cputype ("GenuineIntel")

ベンダー ID文字列で記述されるCPUの種類。この文字列は「GenuineIntel」、「AuthenticAMD」、「aaa bbb ccc 」のように厳密に12文字にする必要があります。

スペースは1文字として数えられます。

• cpufamily(6)

CPUファミリ。

• cpumodel(9)

CPUモデル。

HWMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ

式とラベル」も参照してください。

6. OsMonitor

パラメータ

• enforce_screen_saver_minutes_to_activate (3)

スクリーン・セーバを起動するまでの時間（分）。スクリーン・セーバがこの時間内に起

動されない場合、クライアントは検証に適合しません。さらにスクリーン・セーバはパス

ワードで保護する必要があります。

• screen_saver_mismatchmessage ("Your screen saver settings do not meet policy requirements")

スクリーン・セーバ・チェック用のMismatchメッセージ。プロパティ

「enforce_screen_saver_minutes_to_activate」を指定していない場合または

時間を0に設定した場合、スクリーン・セーバはチェックされません。

• send_log (type)

クライアントが「SCV」に適合していないことを通知するためにSmartCenterサーバにロ

グを送信するかどうかを決定します。

このSCVチェックでは「begin admin/end admin」パラメータ・セクションはサポートさ

れません。

(type)セクションは(log)または(alert)を指定します。

• major_os_version_number_9x (4)

検証する9xオペレーティング・システムに必要なメジャー・バージョンを指定します。

SCV の設定

454

• minor_os_version_number_9x (10)

検証する9xオペレーティング・システムに必要なマイナー・バージョンを指定します。

• os_version_operand_9x (">=")

9xでオペレーティング・システムのバージョンをチェックする演算子。

• service_pack_major_version_number_9x (0)

検証する9xオペレーティング・システムに必要なサービス・パックのメジャー・

バージョンを指定します。

• service_pack_minor_version_number_9x (0)

検証する9xオペレーティング・システムに必要なサービス・パックのマイナー・


• service_pack_version_operand_9x (">=")

9xでオペレーティング・システムのサービス・パックをチェックする演算子。

• major_os_version_number_nt (4)

検証するWindows NTオペレーティング・システムに必要なメジャー・バージョンを指定

します。

• minor_os_version_number_nt (10)

検証するWindows NTオペレーティング・システムに必要なマイナー・バージョンを指定

します。

• os_version_operand_nt (">=")

Windows NTでオペレーティング・システムのバージョンをチェックする演算子。

• service_pack_major_version_number_nt (0)

検証するWindows NTオペレーティング・システムに必要なサービス・パックのメジャー・

バージョン。

• service_pack_minor_version_number_nt (0)

検証するWindows NTオペレーティング・システムに必要なサービス・パックのマイナー・

バージョン。

• service_pack_version_operand_nt (">=")

Windows NTでオペレーティング・システムのサービス・パックをチェックする演算子。

• major_os_version_number_2k (4)

検証するWindows 2000オペレーティング・システムに必要なメジャー・バージョンを指

定します。

SCV の設定


• minor_os_version_number_2k (10)

検証するWindows 2000オペレーティング・システムに必要なマイナー・バージョンを指

定します。

• os_version_operand_2k (">=")

Windows 2000でオペレーティング・システムのバージョンをチェックする演算子。

• service_pack_major_version_number_2k (0)

検証するWindows 2000オペレーティング・システムに必要なサービス・パックの

メジャー・バージョンを指定します。

• service_pack_minor_version_number_2k (0)

検証するWindows 2000オペレーティング・システムに必要なサービス・パックのマイ

ナー・バージョンを指定します。

• service_pack_version_operand_2k (">=")

Windows 2000でオペレーティング・システムのサービス・パックをチェックする演算子。

• major_os_version_number_xp (4)

検証するWindows XPオペレーティング・システムに必要なメジャー・バージョンを指定

します。

• minor_os_version_number_xp (10)

検証するWindows XPオペレーティング・システムに必要なマイナー・バージョンを指定

します。

• os_version_operand_xp (">=")

Windows XPでオペレーティング・システムのサービス・パックをチェックする演算子。

• service_pack_major_version_number_xp (0)

検証するWindows XPオペレーティング・システムに必要なサービス・パックのメジャー・


• service_pack_minor_version_number_xp (0)

検証するWindows XPオペレーティング・システムに必要なサービス・パックのマイナー・


• service_pack_version_operand_xp (">=")

Windows XPでオペレーティング・システムのサービス・パックをチェックする演算子。

SCV の設定

456

• os_version_mismatches ("Please upgrade your operating system")

オペレーティング・システムのバージョン /サービス・パック・チェックで設定が不適合

であった場合に表示されるメッセージです。scvファイルにパラメータが指定されていな

い場合、オペレーティング・システムのバージョンとサービス・パックはチェックされま

せん。

• :major_os_version_number_2003 (5)

検証するWindows 2003オペレーティング・システムに必要なメジャー・バージョンを指

定します。

• :minor_os_version_number_2003 (2)

検証するWindows 2003オペレーティング・システムに必要なマイナー・バージョンを指

定します。

• :os_version_operand_2003 ("==")


• :service_pack_major_version_number_2003 (0)

検証するWindows 2003オペレーティング・システムに必要なサービス・パックの

メジャー・バージョンを指定します。

• :service_pack_minor_version_number_2003 (0)

検証するWindows 2003オペレーティング・システムに必要なサービス・パックのマイ

ナー・バージョンを指定します。

• :service_pack_version_operand_2003 (">=")


スクリーン・セーバの設定のみ、またはオペレーティング・システムのバージョンとサービス・

パックのみをチェックするようにOsMonitorを設定できます。たとえば、以下のパラメータのいず

れも指定されていない場合、

i. major_os_version_number_xp

ii. minor_os_version_number_xp

iii.os_version_operand_xp

iv. service_pack_major_version_number_xp

v. service_pack_minor_version_number_xp

vi. service_pack_version_operand_xp

OsMonitorはWindows XPプラットフォームでシステムのバージョンとサービス・パックをチェッ

クしません。

SCV の設定


同様に以下のような動作になります。

パラメータ「enforce_screen_saver_minutes_to_activate」が指定されていない場合、スクリー

ン・セーバの設定はチェックされません。

OSMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式

とラベル」も参照してください。

7. ProcessMonitor

パラメータ

• ProcessName.exe (true)

管理者がチェックするプロセス。値が trueである場合、マシンが検証に適合するには、指

定したプロセスが実行されている必要があります。値が falseである場合、マシンが検証

に適合するには、指定したプロセスが停止している必要があります。

ProcessMonitorを使用すると、複数のプロセスの存在や除外をチェックすることもでき

ます。フィールドは柔軟に論理和や論理積で評価できます。

8. RegMonitor

• PredefinedKeys (HIVE)

以下のいずれかからレジストリ・ハイブを指定します。

• HKEY_CURRENT_USER

• HKEY_LOCAL_MACHINE

• HKEY_USERS

ハイブが指定されていない場合はHKEY_LOCAL_MACHINEが使用されます。

HKEY_CLASSES_ROOTに対してチェックを設定するには、

HKEY_LOCAL_MACHINE¥Software¥ClassesとHKEY_CURRENT_USER¥Software¥Classesを使用します。

• value (registry_value_path)

定義済みのキーに指定されたハイブで、レジストリDWORDのパスがチェックされます。

値は演算子と数値で指定する必要があります。次に例を示します。"Software¥TrendMicro¥PC-cillinNTCorp¥CurrentVersion¥Misc.¥PatternVer>=414"

値パラメータの構文は以下のとおりです。

:value ("pathOPval")

たとえば、

:value ("Software¥...¥PaternVer>=414")

• string (registry_string_path)

定義済みのキーに指定されたハイブで、レジストリ文字列のパスがチェックされます。

DWORDの比較方法と同じ方法で、文字列の値が特定の値と比較されます。

SCV の設定

458

• keyexist (registry_key_path)

キーが存在するかどうかをチェックするために、定義済みのキーに指定されたハイブでレ

ジストリ・キーのパスがチェックされます。検証でマシンを適合とするには、キーが存在

している必要があります。

• keynexist (registry_key_path)

定義済みのキーに指定されたハイブで、除外をチェックするレジストリ・キーのパスがチェッ

クされます。検証でマシンを適合とするには、キーが存在していないことが必要です。

• allow_no_user (default: true)

このパラメータが有効なのはユーザがマシンにログオンしているときだけです。

ユーザがログオンしていないときにSC サービスとSCV チェックが実行されるので、

チェックによって適合と不適合のどちらになったかを判定する必要があります。

ユーザがマシンにログオンしていないときにHKEY_CURRENT_USERを監視するように

RegMonitorチェックの実行を設定する場合、システムはフラグallow_no_userに応じて動

作します。

allow_no_userが trueである場合、チェックに適合します。

allow_no_userが falseである場合、チェックに不適合となります。

デフォルトでは、この属性はlocal.scvファイルに含まれていません。この属性がファイル

に指定されていない場合、使用されるデフォルト設定も trueです。

この属性の設定はlocal.scvによって行います。以下に例を示します。

RegMonitor関連で説明したフィールドをすべてlocal.scvファイルに指定する必要はありません。

まったく指定しないフィールドや複数回指定するフィールドがあっても問題ありません。またこれら

のフィールドは論理和や論理積によって評価できます。このようにして、複数のレジストリ・エン

トリをチェックして結果を論理和または論理積で柔軟に評価できます。

: (RegMonitor :type (plugin) :parameters ( :keyexist ("HKEY_CURRENT_USER¥Software¥CheckPoint") :allow_no_user (true) :begin_admin (admin) :send_log (alert) :mismatchmessage ("mismatch message ") :end (admin) ) )

SCV の設定


Internet Explorerのサービス・パック用のスクリプト

Internet Explorerのバージョンとサービス・パックをチェックするようにRegMonitorを設定できます。スクリプトは以下のように記述されます。

9. SCVMonitor

パラメータ

• scv_version(">=541000076")

SCV製品のビルド番号を表します。これはSCVチェックで検証するDLLのバージョンです。

この番号はSecureClientのビルド番号とは異なります。SCV製品はアップグレードされる

可能性があり、SecureClientの更新なしでアップグレードされる場合もあります。

: (RegMonitor :type (plugin) :parameters ( :begin_or(or1) :keynexist ("Software¥Microsoft¥Internet Explorer") :string ("Software¥Microsoft¥Internet Explorer¥Version>=6") :begin_and (and1) :string ("Software¥Microsoft¥Internet Explorer¥Version>=5.5"):string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion>=SP2") :string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion<=SP9") :end_and (and1) :begin_and (and2) :string ("Software¥Microsoft¥Internet Explorer¥Version>=5.5") :string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion>=;SP2") :string ("Software¥Microsoft¥Windows¥CurrentVersion¥Internet Settings¥MinorVersion<=;SP9") :end_and (and2):end_or (or1) :begin_admin (admin) :send_log (alert) :mismatchmessage ("Your IE must be at least version 5.5 with SP2.") :end (admin) ))

SCV の設定

460

文字列は、演算子に「vvshhhbbb」形式でDLLのバージョン番号を付加したものです。

たとえば、DLLバージョンを低54.1.0.220とする場合、構文は scv_version (">=541000220")となります。

SCVMonitorでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ


10. ScriptRun

パラメータ

• exe ("VerifyScript.bat")

実行ファイルを実行します。実行ファイルの名前とその完全なパスを指定します。

• run_as_admin ("no")

検証スクリプトを管理者権限で実行するかどうかを指定します。デフォルトは「no」です。

ほかに指定できる値は「yes」だけです。

• run_timeout (10)

実行ファイルが完了するまで待機する時間（秒）です。実行ファイルが指定した時間内に

完了しない場合、プロセスは失敗したと見なされ、このマシンは「不適合」と分類され

ます。デフォルト値は0であり、これは「タイムアウトなし」を意味します。

ScriptRunでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ式

とラベル」も参照してください。

11. sc_ver_scv

パラメータ

• Default_SecureClientBuildNumber (52032)

SecureClientのビルド番号。このビルド番号がチェックされるのは（指定した演算子によ

り）、特定のプラットフォームに対して特定のビルド番号をチェックしないときだけです。

• Default_EnforceBuildOperand ("==")

local.scvのビルド番号とクライアントのビルド番号を比較する演算子。

• MismatchMessage ("Please upgrade your SecureClient")

SecureClient のビルドが local.scv の設定と一致しない場合に表示されるMismatch メッ

セージ。

• EnforceBuild_9x_Operand (">=")

Windows 9xプラットフォームで local.scvのビルド番号とクライアントのビルド番号を比

較する演算子。

• SecureClient_9x_BuildNumber (52030)

Windows 9xプラットフォームのSecureClientビルド番号。

SCV の設定


• EnforceBuild_NT_Operand ("==")

Windows NTプラットフォームで local.scvのビルド番号とクライアントのビルド番号を比


• SecureClient_NT_BuildNumber (52030)

Windows NTプラットフォームのSecureClientビルド番号。

• EnforceBuild_2K_Operand (">=")

Windows 2000プラットフォームで local.scvのビルド番号とクライアントのビルド番号を

比較する演算子。

• SecureClient_2K_BuildNumer (52030)

Windows 2000プラットフォームのSecureClientビルド番号。

• EnforceBuild_XP_Operand (">=")

Windows XPプラットフォームで local.scvのビルド番号とクライアントのビルド番号を比


• SecureClient_XP_Buildnumber (52030)

Windows XPプラットフォームのSecureClientビルド番号。

sc_ver_scvでは「begin_or」と「begin_and」の構文はサポートされません。「特別な意味を持つ


12. user_policy_scv

パラメータ

• logged_on_to_policy_server (true/false)

SCVチェックで適合するにはユーザがポリシー・サーバにログオンする必要があるかどう

かを指定します。

• policy_refresh_rate ("168")

デスクトップ・ポリシーを有効と見なす時間（単位は時間）。168時間が経過すると、デス

クトップ・ポリシーは無効と見なされ、ユーザはSCVチェックで不適合になります。この

パラメータが指定されていない場合、ポリシーの更新時期はチェックされません。

• mismatchmessage ("Place a message here")

user_policy_scvチェックで不適合であった場合に表示されるメッセージ。

• dont_enforce_while_connecting

このパラメータが指定されている場合、ゲートウェイに接続するときにユーザはSCVチェックで適合したと見なされます。ユーザがSCVチェックで適合したと見なされるの

は、接続プロセスの間だけです。

SCV の設定

462

13. SCVGlobalParams

パラメータ

すべてのブールリアン・パラメータ（trueまたは false）では、値を引用符で囲まないでく

ださい。

• enable_status_notifications (true/false)

「true」の場合、デスクトップがSCVチェックで適合していないと、SecureClientによって

バルーン・ウィンドウが表示されます。Windows 9xとNTではバルーンはサポートされず、

ポップアップが表示されます。

• status_notifications_timeout ()

バルーン・ウィンドウ（前のパラメータを参照）を表示する秒数。

• disconnect_when_not_verified (true/false)

「true」の場合、デスクトップがSCVチェックで適合していないと、SecureClientの接続

がサイトから切断されます。

• block_connections_on_unverified (true/false)

「true」の場合、デスクトップがSCVチェックで適合していないと、確立されているすべ

ての接続がSecureClientによって切断されます。

注：このパラメータが true の場合、VPN サイトとの送受信の接続だけではなく、マシンに対す

るすべての接続が遮断されます。

• scv_policy_timeout_hours ()

ポリシー・サーバへの前回のログオン以降、SCVポリシーを有効と見なす期間（単位は時

間）。このタイムアウトの期限が近づくと、SecureClientは新しいSCVポリシーを取得す

るためにポリシー・サーバへのログオンを試行します。

有効な値は1～504時間（21日間）です。デフォルト値は168時間（1週間）です。値を

0に設定すると、SCVポリシーの有効期限は制限されなくなります（タイムアウトなし）。

• enforce_ip_forwarding (true/false)

「true」の場合、ユーザがSCVチェックで適合となるには、ユーザ・デスクトップのネッ

トワーク・インタフェース・カード間で IP転送を無効にする必要があります。

• ip_forwarding_mismatchmessage ("Message string placed here")

この値は IP転送が有効である場合に表示される文字列です。たとえば、

ip_forwarding_mismatchmessage ("Please....etc")などです。

この文字列が使用されるのは、IP転送がSCVチェックの一部である場合、すなわちこの

パラメータがTrueと定義されている場合だけです。

SCV の設定


• not_verified_script ("script_name.bat")

デスクトップがSCVチェックで適合と見なされない場合に実行する実行ファイルの名前。

以下の3つのパラメータには、実行ファイルの実行に関連するオプションが幾つかあります。

• not_verified_script_run_show (true/false)

「true」の場合、実行ファイルの進行状況が画面上のウィンドウに表示されます。

• not_verified_script_run_admin (true/false)

「true」の場合、実行ファイルは管理者の権限で実行されます。

• not_verified_script_run_always (true/false)

「true」の場合、デスクトップがSCVチェックで適合しないたびに実行ファイルが実行さ

れます。「false」の場合、SecureClientセッションごとに1度実行されます。

• :allow_non_scv_clients (true/false)

「true」の場合、OSでSCVがサポートされない場合でも、クライアントは適合という通知を

対象のゲートウェイに送信します。

SCV の設定

464

465

第章22VPN ルーティング - リモート・アクセス

この章の構成

VPNルーティングの必要性 466ページ

接続性とセキュリティを強化するチェック・ポイント・ソリューション 467ページ

リモート・アクセスVPNでのVPNルーティングの設定 472ページ

VPN ルーティングの必要性

466

VPN ルーティングの必要性ゲートウェイやリモート・アクセス・クライアントがほかのゲートウェイやクライアントに直接接

続できない場合があります。ときには、所定のゲートウェイやクライアントが必要なレベルのセ

キュリティを提供できないこともあります。たとえば、以下のような場合です。

• 2台のゲートウェイに、IPアドレスが動的に割り当てられている場合（DAIPゲートウェイ）。

各ゲートウェイの背後のホストで通信する必要がありますが、IPアドレスが変化するため、2台のDAIPゲートウェイでVPNトンネルを開けません。トンネルの作成時には、もう一方の正

確な IPアドレスは不明です。

• SecuRemote/SecureClientユーザが、VoIP（Voice-over-IP）ソフトウェアで公開で会話をし

たり、Microsoft NetMeetingなどのクライアント間で通信するソフトウェアを使用する場合。

リモート・アクセス・クライアント同士では直接接続を開くことはできません。設定された

ゲートウェイのみで接続可能です。

いずれの場合も、接続性とセキュリティを拡張する方法が必要です。

接続性とセキュリティを強化するチェック・ポイント・ソリューション

第 22 章 VPN ルーティング - リモート・アクセス 467


VPNルーティングは、VPNトラフィックの方向を制御する方法のひとつです。VPNルーティング

は、ゲートウェイのモジュールとリモート・アクセス・クライアントで実装できます。VPNルー

ティングの設定には、SmartDashboard経由で直接行う方法（単純なケース）と、ゲートウェイ上

のVPNルーティング設定ファイルを編集する方法（より複雑なシナリオ）があります。

図 22-1 単純な VPN ルーティング

図 22-1では、ゲートウェイAの背後にあるホスト・マシンのいずれかで、ゲートウェイBの背後に

あるホスト・マシンに接続する必要があります。技術的またはポリシー上の理由で、ゲートウェイ

AはゲートウェイBとのVPNトンネルを開くことができません。しかし、ゲートウェイAもBも

ゲートウェイCとのVPNトンネルを開くことは可能なため、接続はゲートウェイCを経由してルー


接続性とセキュリティの拡張以外に、VPNルーティングではゲートウェイの複雑なネットワークを

1つのハブでまとめられるため、ネットワークの管理を簡素化できます。


468

ハブ・モード（リモート・クライアントの VPNルーティング）

ハブ・モードでリモート・アクセス・クライアントのVPNルーティングを行うことができます。ハブ・モードでは、すべてのトラフィックが中央のハブを経由して送受信されます。中央のハブは、

リモート・クライアントに対する一種のルータとして機能します。リモート・アクセス・クライア

ントからハブを経由してトラフィックが送信されると、ほかのクライアントとの接続し、その後の

トラフィックの内容の検閲することも可能になります。

ハブ・モードを使用するときは、オフィス・モードを有効にしてください。リモート・クライアン

トが ISPから供給された IPアドレスを使用している場合、そのアドレスが完全にルーティングでき

ないことがあります。オフィス・モードを使用すると、オフィス・モードでの接続に直接関連する

ルールを作成できます。

ゲートウェイを経由するすべてのトラフックの SecureClientによるルーティングの許可

図 22-2では、VPN-1 Powerモジュールの背後のサーバにリモート・クライアントが接続する必要

がある場合を示しています。会社のポリシーとして、このサーバへの接続はすべて、内容を検閲す

る必要があります。VPN-1 Power実施モジュールでは、必要な内容の検閲を実行できません。すべ

てのトラフィックがゲートウェイを経由してルーティングされる場合、リモート・クライアントと

サーバの間の接続を検閲できます。

図 22-2 リモート・クライアントへのトラフィックの監視

注：オフィス・モードは SecureClient でのみサポートされ、SecuRemote ではサポートされ

ていません。



同じリモート・クライアントでインターネット上のHTTPサーバにアクセスする必要があると仮定

します。セキュリティに関する会社のポリシーは、同じものが適用されます。

図 22-3 リモート・クライアントからインターネットへのアクセス

リモート・クライアントのトラフィックがVPN-1 Powerゲートウェイに転送され、このゲートウェイ

からUFP（URL Filtering Protocol）にルーティングされて、URLとパケット内容の正当性がチェック

されます。これは、ゲートウェイにはURLチェック機能がないためです。その後、パケットはイン

ターネット上のHTTPサーバに転送されます。

VPN-1 Powerゲートウェイの背後のリモート・クライアントにNATでアドレスを割り当てると、

インターネット上のHTTPサーバがクライアントに直接応答できなくなります。リモート・クライ

アントのアドレスにNATを適用しない場合、リモート・クライアントはHTTPサーバからの暗号化

されていない応答を許可しません。

リモート・クライアント同士の通信

リモート・クライアント同士の接続は、以下の2つの方法で行います。

• すべてのトラフィックをゲートウェイ経由でルーティングする方法

• オフィス・モードのアドレス範囲を、ゲートウェイのVPNドメインに含める方法

すべてのトラフィックをゲートウェイ経由でルーティングする方法

2人のリモート・ユーザが、VoIPソフトウェアを使用してセキュアな通信を行っているとします。

このトラフィックは、図 22-4で示すように、中央のハブを通じて送受信されます。


470

図 22-4 リモート・アクセス・クライアントのハブ・モード

この方法で通信を行うには、以下の条件に従う必要があります。

• ゲートウェイで［Allow SecureClient to route traffic through this Gateway］が有効になっ

ている。

• リモート・クライアントのプロファイルが、すべてのトラフィックをゲートウェイ経由で

ルーティングするように設定されている。

• リモート・クライアントがコネクト・モードで動作している。

2つのリモート・クライアントが、異なるゲートウェイを使用するハブ・モードに設定されている

場合、各リモート・クライアントとその指定されたゲートウェイの間、その後ゲートウェイの間で、

ルーティングは3段階で行われます。

図 22-5 異なるハブに接続されたリモート・クライアント



図 22-5では、リモート・クライアント1はゲートウェイAとのハブ・モードで設定され、リモー

ト・クライアント2はゲートウェイBとのハブ・モードで設定されています。接続を正しくルーティ

ングするには、以下の条件に従う必要があります。

• オフィス・モードが有効になっている必要がある。

• 両方のゲートウェイ上のVPN設定ファイルに、相手のゲートウェイが使用するオフィス・

モードのアドレス範囲が含まれている必要がある。図 22-5では、ゲートウェイAのVPN設定

ファイルによって、ゲートウェイBのオフィス・モードの IP宛てのすべてのトラフィックが

ゲートウェイBに送信されます。リモート・クライアント1からの接続がゲートウェイAに送信

されます。接続はゲートウェイAからゲートウェイBにリダイレクトされます。ゲートウェイ

Bでは、さらにその接続がリモート・クライアント2へリダイレクトされます。リモート・ク

ライアント2からの応答は、同じルートを逆に通ります。

• 両方のゲートウェイで使用するオフィス・モードのアドレスは、重複しないようにする必要

があります。

オフィス・モードのアドレス範囲をゲートウェイの VPN ドメインに含める方法

クライアント間の通信を行うためのもう1つの方法は、オフィス・モードでのリモート・クライア

ントのアドレス範囲を定義して、このアドレス範囲をハブとして動作するゲートウェイのVPNドメ

インに含めることです。各リモート・クライアントはゲートウェイを経由してリモート・ピアに通

信を送信します。リモート・クライアント側からは、ピアはゲートウェイのVPNドメインに属して

いるように見えます。

注：ゲートウェイの VPN ドメインにオフィス・モードのアドレス範囲を含める方法は、NG with Application Intelligence でのみ使用可能です。

リモート・アクセス VPN での VPN ルーティングの設定

472


一般的なVPNルーティングのシナリオはVPNスター・コミュニティを経由して設定できますが、

一部のVPNルーティング設定にはSmartDashboardで処理されないものがあります。ゲートウェイ

間（スターまたはメッシュ）のVPNルーティングは、設定ファイル$FWDIR¥conf¥vpn_route.confを編集して設定することもできます。

同じVPNコミュニティに属していないゲートウェイ間のVPNルーティングを設定することはでき

ません。

リモート・アクセス・クライアントのハブ・モードの有効化

1. ［Gateway properties］ウィンドウの［Remote Access］ページにある［Hub Mode configuration］セクションで、［Allow SecureClient to route all traffic through this gateway］を選択します。

2. ［Remote Access］コミュニティの［Properties］ウィンドウにある［Participating Gateways］ページで、「ハブ」として機能するゲートウェイを設定します。

3. ［Participant User Groups］ページで、リモート・クライアントを選択します。

4. セキュリティ・ポリシー・ルール・ベースに適切なアクセス制御ルールを作成します。 VPNルーティングのトラフィックはセキュリティ・ポリシー・ルール・ベースで単一の接続とし

て処理され、1つのルールにのみ一致します。

5. リモート・クライアントのプロファイルを、指定したゲートウェイを経由してすべての通信を

ルーティングするように設定します。



オフィス・モードのアドレス範囲をゲートウェイの VPNドメインに含める、クライアント間ルーティングの設定

VPNドメインを経由したリモート・アクセス・クライアントのVPNルーティングを設定するには、

以下の手順で、オフィス・モードのアドレス範囲をゲートウェイのVPNドメインに追加します。

1. SmartDashboardで、オフィス・モードのアドレスのアドレス範囲オブジェクトを作成します。

2. VPNドメインとオフィス・モードの範囲を両方含むグループを作成します。

3. ゲートウェイ・オブジェクトの［General properties］ウィンドウで、［Topology］ページの

［VPN domain］セクションで［Manually defined］を選択します。

4. ゲートウェイのVPNドメインとオフィス・モードのアドレスを両方含むグループを選択します。

リモート・クライアントがサイトに接続し、サイトの更新を実行しないと、リモート・クライアン

ト同士の通信はできません。

ハブ・モードを使用して複数のハブを経由するクライアント間通信

図 22-6は、ハブ・モードで異なるゲートウェイと動作するようにそれぞれ設定されている2つのリ

モート・クライアントを示しています。

図 22-6 異なるハブに接続されたリモート・クライアント


474

リモート・クライアント1はハブ1とハブ・モードで動作します。リモート・クライアント2はハ

ブ2とハブ・モードで動作します。 VPNルーティングが正しく実行されるためには、以下の条件に

合う必要があります。

• リモート・クライアントがオフィス・モードで動作している。

• 各ゲートウェイのオフィス・モードのアドレス範囲が、相手のゲートウェイにインストール

されているvpn_route.confファイルに含まれている。

リモート・クライアント1がリモート・クライアント2と通信すると、以下のように動作します。

• トラフィックはまずハブ1へ送信されます。これは、リモート・クライアント1がハブ1と

ハブ・モードで動作しているためです。

• ハブ1で、リモート・クライアント2の IPアドレスがハブ2のオフィス・モードの範囲に属し

ていることが識別されます。

• ハブ1のvpn_route.confファイルで、このトラフィックの次のホップ先がハブ2であること

が識別されます。

• トラフィックがハブ2に到達すると、ハブ2が通信をリモート・クライアント2にリダイレク

トします。

表 22-1


Hub1_OfficeMode_range ハブ1 ハブ2Hub2_OfficeMode_range ハブ2 ハブ1

475

第章23リモート・アクセス・クライアントのリンク選択

この章の構成

概要 476ページ

リモート・アクセスのシナリオでのリンク選択 478ページ

リンク選択の設定 481ページ

概要

476

概要リンク選択は、送受信のVPNトラフィック、および適なパスで使用するインタフェースを決定す

る際に使用する方法です。リンク選択メカニズムを使用することにより、管理者は各ゲートウェイ

上のリモート・アクセス・クライアントから送信されるVPNトラフィックにどの IPアドレスが使

用されているか、個別に確認できます。

リンク選択の詳細については、195ページの「リンク選択」を参照してください。

リモート・ピアによる IP 選択

リモート・アクセス・クライアントでローカル・ゲートウェイの IPアドレスを解決する方法を判断

するには、幾つかの方法があります。リモート・ピアは、以下の情報を使用してローカル・ゲート

ウェイに接続できます。

• 常に固定の IPアドレスを使用する場合

• Main address - VPNトンネルは、ゲートウェイの［General Properties］ページにある

［IP Address］フィールドに指定されたゲートウェイのメイン IPで作成されます。

• Selected address from topology table - ゲートウェイとのVPNトンネルは、ドロップダ

ウン・メニューから選択した IPアドレスで作成されます。このドロップダウン・メニュー

には、ゲートウェイの［Topology］ページで設定した IPアドレスが表示されます。

• Statically NATed IP - VPNトンネルがNATed IPアドレスを使用して作成されます。この

アドレスは、［topology］タブにリストされていなくてもかまいません。

• Calculate IP based on network topology - ネットワーク・トポロジによって計算され

る IPアドレス。リモート・アクセス・クライアントは［Calculate IP Based on Network Topology］を使用して、ゲートウェイのネットワーク・オブジェクトで定義されたトポ

ロジ情報を通じてゲートウェイの適切な IPアドレスを検出します。リモート・アクセス・

クライアントは毎回別の場所から接続できるため、クライアントが接続するたびに新し

く計算が行われます。計算を正しく行うためには、ゲートウェイのすべてのインタ

フェースのトポロジが正しく設定されている必要があります。

• プローブ方法を使用する場合

• Using ongoing probing - セッションを開始すると、使用可能なすべての送信先 IPアド

レスが継続してRDPパケットを受信します。 VPNトンネルは、初に応答した IP（また

はプライマリ IPが設定されてアクティブになっている場合はプライマリ IP）を使用し、

IPが応答を停止するまでその IPを使用し続けます。リモート・アクセス・クライアント

が接続して、バックグラウンド・プロセスとして続行されている間は、RDPプロービン

グがアクティブになります。

• Using one time probing - リモート・アクセス・クライアントを接続すると、すべての

送信先 IPアドレスがRDPセッションを受信してルートをテストします。応答した初の

IPが選択され、次にクライアントが再接続するまでこれが使用されます。

概要

第 23 章リモート・アクセス・クライアントのリンク選択 477

プローブしない IPアドレス（内部 IPアドレス）は、プローブ対象の IPリストから削除できます。


どちらのプロービング・オプション（one-timeとon-going）でも、プライマリ・アドレスを割り当

てられます。

プライマリ・アドレス

VPNに使用できる IPアドレスが複数あるゲートウェイにいずれかのプロービング方式を実装する

場合、IPアドレスの1つをプライマリ・アドレスとして設定することができます。これによって、

ほかのインタフェースのメトリックが低い場合でも、ピアはプライマリ IPアドレスに高い優先度を

割り当てるようになります。

プライマリ・アドレスを有効にしても、発信VPNトラフィック用に選択される IPには影響はあり

ません。リモート・アクセス・クライアントによって、プライマリ・アドレスを定義したピア・

ゲートウェイに接続する場合、リモート・アクセス・クライアントは、ネットワーク速度（レイテ

ンシ）またはルートのメトリックに関係なく、プライマリ・アドレス（アクティブな場合）に接続

します。

プライマリ・アドレスで障害が発生し、接続がバックアップにフェイルオーバーされた場合、VPNトンネルは、プライマリが復旧するまでバックアップを使用し続けます。

リモート・アクセスのシナリオでのリンク選択

478

リモート・アクセスのシナリオでのリンク選択リンク選択は、さまざまなインフラストラクチャで使用できます。このセクションでは、リンク選

択の実装の効果が発揮されるシナリオを説明します。


1 つの外部 IP アドレスがあるゲートウェイ

これはも単純な事例です。図 23-1では、ローカル・ゲートウェイにはVPN用の外部インタフェー

スが1つあります。

図 23-1 リモート・アクセス・クライアントに 1 つの IP がある場合

ここで、以下の視点から、ローカル・ゲートウェイの設定を検討します。

• リモート・アクセス・クライアントが、VPNトラフィックに使用するローカル・ゲートウェイ

上の IPをどのように選択するか

1つの外部 IPアドレスがあるゲートウェイ 478ページ

複数の外部 IPアドレスを持つゲートウェイ 479ページ

ネットワーク・トポロジに基づく IPの計算 480ページ



VPNには使用可能なインタフェースは1つしかないので、以下のようになります。

• リモート・アクセス・クライアントがVPNのローカル・ゲートウェイの IPを検出する方法を

指定するには、［Main address］を選択するか、［Selected address from topology table］ドロップダウン・メニューから IPアドレスを選択します。

• IPアドレスが静的NATデバイスの背後にある場合は、［Statically NATed IP］を選択します。

複数の外部 IP アドレスを持つゲートウェイ

このシナリオでは、ローカル・ゲートウェイに、リモート・アクセス・クライアントが使用できる

外部 IPアドレスが2つあります。

図 23-2 複数のインタフェースを持つゲートウェイへの接続

リモート・アクセス・クライアントでローカル・ゲートウェイの IPアドレスを検出する方法を判定

するには、継続プロービングを使用します。プライマリ IPアドレスが設定されていないかぎり、リ

モート・アクセス・クライアントは初に応答した IPアドレスを経由して接続し、応答が停止する

までその IPに接続し続けます。


480

ネットワーク・トポロジに基づく IP の計算

リモート・アクセス・クライアントは毎回別の場所から接続できるため、クライアントが接続する

たびに新しく計算が行われます。

図 23-3 内部ネットワークへのアクセス

図 23-3では、すべてのリモート・ユーザが、使用するインタフェースを現在の場所に基づいて計

算し、内部ネットワークにアクセスする様子を示しています。ネットワークの外にいるリモート・

ユーザは外部インタフェースを使用し、ネットワークの中にいるリモート・ユーザは内部インタ

フェースを使用します。



リンク選択の設定リンク選択は、［Topology］>［Link Selection］ウィンドウで、各ゲートウェイごとに設定します。

この設定は、ゲートウェイ間の接続と、リモート・アクセス・クライアントからゲートウェイへの

接続の両方に適用されます。

リモート・ユーザに対するリンク選択の設定は、以下の属性を使用してそれぞれ設定できます。

この設定は、［Link Selection］ページの設定よりも優先されます。

Dbeditを使用して、以下の手順に従います。

• ゲートウェイのオブジェクトで、apply_resolving_mechanism_to_SRの値を falseに変更します。

• ip_resolution_mechanismを使用して、リンク選択の方法を選択します。有効な値は以下のと

おりです。

• mainIpVpn

• singleIpVpn

• singleNATIpVPN

• topologyCalc

• oneTimeProb

• ongoingProb

• single_VPN_IP_RA – ゲートウェイのトポロジの特定の IPアドレスや静的なNAT IPが設定さ

れている場合、IPアドレスはこの属性で設定されます。

• interface_resolving_ha_primary_if – ワンタイム・プロービングや継続プロービングに、

プライマリ IPアドレスが使用されます。

• use_interface_IP – ワンタイム・プロービングと継続プロービングのみに使用されます。［topology］タブで定義したすべての IPアドレスをプローブする必要がある場合は、この属性を

trueに設定します。手動で作成した IPアドレスのリストをプローブする必要がある場合は、

falseに設定します。

• available_VPN_IP_list – ワンタイム・プロービングと継続プロービングのみに使用され

ます。プローブ対象の IPアドレスのリストです（このリストは、use_interface_IPの値が

falseの場合のみ使用されます）。


482

旧バージョンとの互換性解決メカニズムの設定


1. ［Policy］>［Global Properties］>［Remote Access］>［Early Versions Compatibility］を

選択します。

2. リモート・アクセス・クライアントがNGX以前のゲートウェイからトポロジをダウンロード

して、トポロジ計算を使用して IPアドレスを解決する必要がある場合は、［Static calculation based on network topology］を選択します。

3. ［Dynamic interface resolving mechanism］を選択して、表 23-1に示す方式のいずれかに

変換します。

NGX以前のゲートウェイによってリモート・アクセス・クライアントのトポロジにダウンロードさ

れた方式は、以下のように「変換」されます。

表 23-1 下位互換性

ゲートウェイでの方式 NGX 以前のゲートウェイからリモート・アクセス・クライアントがトポロジをダウンロードする方式

トポロジ・テーブルから選択されたアドレス継続プロービング

静的NAT IP 継続プロービング

DNS解決を使用継続プロービング

ネットワーク・トポロジに基づいて IPを計算メイン IP

メイン IP メイン IP

継続プロービング継続プロービング

ワンタイム・プロービングワンタイム・プロービング

注：プロービングのために手動で IP アドレス・リストを作成した場合、NGX（R60）以前

のリモート・アクセス・クライアントで、IP アドレス・リストに指定されたアドレスだけで

はなく、すべての IP アドレスがプローブされます。プライマリ・アドレスが設定されている

と、NGX 以前（R60）のリモート・アクセス・クライアントはすべての IP アドレスを同じ

優先度で処理し、プライマリ・アドレスは無視します。

483

第章24リモート・アクセスでのDirectional VPN の使用

リモート・アクセス・コミュニティの強化

リモート・アクセス・コミュニティでは、以下の機能をサポートします。

• Directional VPN

• ルールの宛先カラムでのユーザ・グループ

RA コミュニティ内の Directional VPNリモート・アクセス・コミュニティでDirectional VPNが設定されている場合、特定のネットワー

ク・オブジェクトとの接続を拒否するオプションがあります。図 24-1のルールについて考えます。

図 24-1 リモート・アクセス・コミュニティ内の Directional VPN

リモート・ユーザと「MyIntranet」VPNコミュニティ内のホストを接続することはできません。その

他の接続は、リモート・アクセス・コミュニティ内から発生するものであれば、VPNコミュニティ

の内外にかかわらず、いずれも可能です。

484

RA コミュニティ内の宛先としてのユーザ・グループ

ユーザ・グループをルールの宛先カラム内に設定することができます。これにより、以下のことが

可能となります。

• クライアント同士の接続をより簡単に設定する

• リモート・クライアントとゲートウェイ間の逆向きの接続の設定

図 24-2は、「逆向き」の接続を返すことができるリモート・アクセス・コミュニティの方向付け

ルールを示しています。

図 24-2 リモート・アクセス・コミュニティでの方向付けルール

ルールの宛先カラムにユーザ・グループを含めるには、以下の条件を満たしている必要があります。

• ルールで方向を指定している

• ［VPN］カラムで、リモート・アクセス・コミュニティがエンドポイント宛先として設定され

ている

リモート・アクセス・コミュニティでの Directional VPN の設定

第 24 章リモート・アクセスでの Directional VPN の使用 485

リモート・アクセス・コミュニティでのDirectional VPN の設定

リモート・アクセス・コミュニティでDirectional VPNを設定するには、以下の手順に従います。


2. 適切なルールの［VPN］カラム内を右クリックし、ポップアップ・メニューから［Edit...］または［Add Direction］を選択します。

［VPN Match Conditions］ウィンドウが表示されます。

3. ［Add...］をクリックします。

［Directional VPN Match Conditions］ウィンドウが表示されます。

4. 右にあるドロップダウン・ボックスから、接続の発信元を接続します。

5. 左にあるドロップダウン・ボックスから、接続の宛先を選択します。


リモート・アクセス・コミュニティでの Directional VPN の設定

486

487

第章25リモート・アクセスの高度な設定

この章の構成

非プライベート・クライアント IPアドレス 488ページ

暗号化ドメイン内のクライアントが暗号化されないようにする方法 489ページ

認証タイムアウトとパスワードのキャッシュ 491ページ

SecuRemote/SecureClientとSDL（Secure Domain Logon） 492ページ

逆向き接続（サーバからクライアント） 496ページ

トポロジの自動更新（コネクト・モードのみ） 497ページ

チェック・ポイント以外のファイアウォールの操作方法 498ページ

旧バージョンのSecuRemote/SecureClient 499ページ

SecuRemote DNSサーバによる内部名の解決 500ページ

非プライベート・クライアント IP アドレス

488

非プライベート・クライアント IP アドレス

リモート・アクセス接続

SecuRemote/SecureClientユーザがNATデバイスの背後から、別の組織に属する非プライベート IPアドレスを使用して接続すると仮定します。接続している間、ゲートウェイはその非プライベート

IPアドレス宛てのすべてのトラフィックを、IPアドレスの実際の所有者宛てのトラフィックであっ

ても、SecuRemote/SecureClientユーザにルーティングします。

リモート・アクセスの問題の解決

Objects_5_0.Cファイルのvpn_restrict_client_phase2_idを、以下のように設定します。

表 25-1 vpn_restrict_client_phase2_id

値意味

om_only NATデバイスの背後のSecuRemote/SecureClientは、オフィス・モー

ドのみを使用して接続可能です。

private_and_om SecuRemote/SecureClientは以下のいずれかを使用して接続可能です。

• オフィス・モードを使用する方法

• プライベート IPアドレスを使用する方法（「プライベート」の

意味は、［Global Properties］ウィンドウの［NAT］ページで

指定します）

none この設定（デフォルト）では、前述の問題には対処できません。

注：オフィス・モードまたはプライベート IP アドレスを使用するように制限されている

ユーザが別の種類の接続を実行しようとすると、接続が切断されてログが SmartView Tracker に送信されます。

暗号化ドメイン内のクライアントが暗号化されないようにする方法

第 25 章リモート・アクセスの高度な設定 489


問題

あるゲートウェイのVPNドメイン内にあるSecuRemote/SecureClientが別のゲートウェイのVPNドメイン内のホストへの接続を開くと、接続は2回暗号化（1回目はSecuRemote/SecureClientで、

2回目はゲートウェイで）されますが、復号化はピア・ゲートウェイでの1回しか行われません。

解決策

この問題を防止するには、同じSmartCenterサーバで管理されるゲートウェイのVPNドメインに

SecuRemote/SecureClientとホスト（接続のエンドポイント）の両方が入っている場合は暗号化を

行わないように、SecuRemote/SecureClientを設定します。

この設定を行うには、objects_5_0.Cのsend_clear_traffic_between_encryption_domainsプロパ

ティを有効にします。

クライアントにプライベート・アドレスがある場合

send_clear_traffic_between_encryption_domainsプロパティが有効な場合、ゲートウェイのVPNドメインにプライベート・アドレスがあると問題が発生します。「プライベート」の意味は、［GlobalProperties］ウィンドウの［Non Unique IP Address Ranges］ページで指定します。

VPNドメインの外（ホテルなど）からSecuRemote/SecureClientで接続したときに、ISPやNATデ

バイスによって割り当てられたプライベート IPアドレスが偶然ゲートウェイのVPNドメイン内に

あった場合、VPNドメインに接続してもSecuRemote/SecureClientでは暗号化が行われません。接

続が暗号化されないため、接続は切断されます。

このトラフィックを暗号化するようにSecuRemote/SecureClientを設定する方法は、以下のとおり

です。

• プライベート・アドレスからのトラフィックを暗号化するには、objects_5_0.Cのsend_clear_except_for_non_uniqueプロパティを有効にします。

• 特定の IPアドレスからのトラフィックを暗号化するには、以下の手順に従います。

1. 指定するアドレスで構成されるグループを定義します。

2. objects_5_0.Cのsend_clear_except_for_specific_addressesプロパティを有効にします。

注：この機能を有効にするには、ゲートウェイの間で VPN が定義されていることを確認し

ます。 SecuRemote/SecureClient で 2 つ以上のサイトが定義されている場合、この機能は無

効になります。


490

3. send_clear_except_for_address_groupを、手順1で定義したグループの名前に設

定します。

接続されていないときのコネクト・モードでの作業

SecuRemote/SecureClientのコネクト・モードで接続している場合は、objects_5_0.Cのallow_clear_traffic_while_disconnectedプロパティを有効にすることによって、認証の頻度を下

げることができます。接続していない場合、SecuRemote/SecureClientは、ピア暗号化ドメインへ

のトラフィックを暗号化しなくなります。これにより、ピア暗号化ドメイン内の暗号化されていな

いサービスへ接続する際の、不要な認証が防止されます。

たとえば、サイトにプライベートと公開のHTTPサーバが両方含まれている場合、公開サイトへの

トラフィックを暗号化する必要はありません。あるユーザに対して不要な認証を行わない理由が、

そのユーザが内部ユーザであるということのみである場合は、デスクトップ・ポリシーで以下の2つのルールを設定します。

注： SecuRemote/SecureClient で 2 つ以上のサイトが定義されている場合、この機能は無効

になります。

表 25-2

SOURCE DESTINATION SERVICE ACTIOIN

encryption domain encryption domain Any Accept

Any encryption domain Any Encrypt

注：この機能を有効にするには、ゲートウェイの間で VPN が定義されていることを確認し

ます。この機能は、コネクト・モードのみに適用されます。SecuRemote/SecureClient で2 つ以上のサイトが定義されている場合、この機能は無効になります。

認証タイムアウトとパスワードのキャッシュ


認証タイムアウトとパスワードのキャッシュ

問題

ユーザにとって、1つのセッション中に何度も認証を行うのは面倒なことです。しかし同時に、この

ような複数の認証は、ユーザがしばらくクライアントのそばを離れている場合などにセッションが

ハイジャックされないことを保証するための効果的な方法です。問題は、利便性とセキュリティの

間の適切なバランスを見つけることです。

解決策

複数の認証は、以下の2つの方法で減らすことができます。

• 認証タイムアウトの時間を長くする

• ユーザのパスワードをキャッシュする

認証タイムアウトの時間

再認証するまでの時間を指定するには、［Policy］>［Global Properties - Remote Access］を選

択し、［Authentication Timeout］セクションの［Validation timeout］に値を入力します。また

は、［Use default value］のチェックをオンにします。

コネクト・モードでは、クライアントが接続した時点から、タイムアウトまでのカウントダウンが

開始します。

パスワードのキャッシュ

タイムアウトまでの時間に到達すると、再認証を要求するメッセージが表示されます。パスワード

のキャッシュが有効であれば、SecuRemote/SecureClientからキャッシュされたパスワードが自動

的に入力されて、ユーザが操作しなくても認証が実行されます。言い換えれば、ユーザは再認証が

行われたことに気付きません。

パスワードのキャッシュは、何度も使用するパスワードのみ可能です。ユーザの認証スキームがワ

ンタイム・パスワード（SecurIDなど）を実装している場合、パスワードのキャッシュは不可能で、

認証タイムアウトまでの時間に到達すると、ユーザ側には再認証を要求するメッセージが表示され

ます。このようなスキームでは、パスワードのキャッシュ機能は実装されません。

パスワードのキャッシュは、SecureClientの［Authentication］ウィンドウで指定します。

SecuRemote/SecureClient と SDL（Secure Domain Logon）

492


問題

SecuRemote/SecureClientユーザがドメイン・コントローラにログオンするとき、ユーザはまだ自

分のSecuRemote/SecureClientのログオン情報を入力していません。したがって、ドメイン・コン

トローラへの接続は暗号化されません。

解決策

SDL（Secure Domain Logon）機能が有効な場合は、ユーザがOSのユーザ名とパスワードを入力

してからドメイン・コントローラへの接続が開始するまでの間に、［SecuRemote Client UserAuthentication］ウィンドウが表示されます。ユーザがSecuRemote/SecureClientのログオン情報

を入力すると、暗号化トンネルでのドメイン・コントローラへの接続が実行されます。

Secure Domain Logon の有効化と無効化

SDL（Secure Domain Logon）を有効にするには、SecuRemote/SecureClientの［Passwords］メニューから［Enable Secure Domain Logon］を選択します。

以下のことに注意してください。

• Windows NTとWindows 2000の場合

• SDLを有効にできるのは管理者のみで、コンピュータがドメインの一部として設定され

ている場合に限られます。

• SDLを有効化または無効化した後は、コンピュータを再起動する必要があります。

• WINS（493ページの「WINS（コネクト・モードのみ）」を参照）を使用している場合は、

WINSを設定してからSDLを有効にしてください。

• Secure Domain Logonが有効になっているときに、コンピュータのドメイン設定を変更しな

いでください。



ドメイン・コントローラ名の解決

SecuRemote/SecureClient がコネクト・モードとオフィス・モードで設定されている場合、

SecuRemote/SecureClientではダイナミックWINSを使用して自動的にNTドメイン名を解決します。

それ以外の場合は、LMHOSTSまたはWINSを使用してNTドメイン名を解決します。

LMHOSTS

LMHOSTSの名前解決サービスは、LANでもダイヤルアップ設定でも、以下の方法で使用できます。

VPN-1 Powerゲートウェイの$FWDIR/conf/dnsinfo.Cファイルに適切な情報（図 25-1を参照）を

入力して、ポリシーをインストールします。

図 25-1 構文

SecuRemote/SecureClientでトポロジが更新されると、名前解決データが自動的に

SecuRemote/SecureClientのuserc.Cファイルのdnsinfoエントリに転送され、その後LMHOSTSファイルに転送されます。

WINS（コネクト・モードのみ）

WINS の名前解決サービスは、ダイヤルアップ設定でのみ使用できます。 Windows 9x プラット

フォームではサポートされていません。

WINSを使用するには、SecuRemote/SecureClientの仮想アダプタで以下のように操作します。

1. VPN-1 Powerで保護されたプライマリWINSサーバ、および必要に応じてセカンダリWINSサーバを指定します。

2. SecuRemote/SecureClientコンピュータを再起動します。

( :LMdata( :( :ipaddr (<IP address>) :name (<host name>) :domain (<domain name>) ) :( :ipaddr (<IP address>) :name (<host name>) :domain (<domain name>) ) ))

警告：この操作は、SDL を有効にする前に実行する必要があります（492 ページの「Secure Domain Logon の有効化と無効化」を参照）。


494

SDL タイムアウトの設定

SDLは同時に行われるプロセスの同期に依存するため、タイムアウトを柔軟に定義することが重要

です。

Secure Domain LogonのSDLタイムアウト機能を使用すれば、ユーザが自分のドメイン・コント

ローラのログオン情報を入力し終わるまでの時間を定義できます。指定した時間が経過して、

キャッシュされた情報（使用可能な場合）が使用されていない場合、ログオンは失敗します。

タイムアウトは、Objects_5_0.Cファイルのsdl_netlogon_timeout (<value in seconds>)で管理

します。

キャッシュされた情報

SecuRemote/SecureClientコンピュータが正常にドメイン・コントローラへログオンすると、ユー

ザのプロファイルがキャッシュに保存されます。キャッシュされた情報は、その後のドメイン・コ

ントローラへのログオンが何らかの理由で失敗した場合に使用されます。

クライアントのレジストリでこのオプションを設定するには、以下の手順に従います。

1. HKLM¥Software¥Microsoft¥Windows NT¥Current Version¥Winlogonフォルダを開きます。

2. 0～50の有効な値の範囲で、新しいキー CachedLogonCountを作成します。キーの値は、サー

バにキャッシュされる実行されたログオン試行回数です。

値を0にするとログオンのキャッシュが無効になります。また、値を51以上にしても、50回

のログオン試行しかキャッシュされません。

Secure Domain Logon の設定1. SecuRemoteクライアントを、LMHOSTS（すべてのプラットフォーム）またはWINS

（Windows 9xを除くすべてのプラットフォーム）を使用するように設定します。

2. Windows NTとWindows 2000では、SDLタイムアウトを設定します。

3. ドメイン・コントローラを配置するサイトを定義し、トポロジをダウンロードまたは更新し

ます。

4. クライアントがドメインのメンバでない場合は、コンピュータをドメインのメンバとして設

定します。

注：この機能は、［Auto Local Logon］オプションが有効な場合は使用できません（コネ

クト・モードのみ）。



5. Windows NTとWindows 2000の場合は、以下の操作を行います。

• Auto Local Logon（オプション）を有効にする

• Secure Domain Logonを有効にする

6. コンピュータを再起動してログオンします。

Secure Domain Logon の使用

コンピュータを再起動してから、以下の手順に従います。

1. Windows NTの［ログオン］ウィンドウが表示されたら、オペレーティング・システムのクレ

デンシャルを入力します。


SecuRemoteの［Logon］ウィンドウが表示されます。

3. 定義された時間内に、SecuRemoteのクレデンシャルを入力します（494ページの「SDLタイ

ムアウトの設定」を参照）。

ログオンに失敗して、キャッシュされた情報が使用されていない場合は、1分待ってから再度ログ

オンしてます。

クライアントですでにSDL が設定されている場合は、デフォルトでSDL が有効になっている

SecuRemote/SecureClientインストール・パッケージを管理者がカスタマイズできるため、ユーザ

が手動でSDLを設定する必要はありません。カスタマイズの方法には以下の2通りがあります。

• SecureClient Packaging Tool（「SecureClientのパッケージング」を参照）を使用して自己解

凍型クライアント・パッケージを作成し、［Operating System Logon］ウィンドウで

［Enable Secure Domain Logon (SDL)］を選択する

• EnableSDLの値を1に設定して、SecuRemoteのインストール・パッケージ内のproduct.iniファイルを編集する詳細については、「Userc.CとProduct.ini設定ファイル」を参照してくだ

さい。

逆向き接続（サーバからクライアント）

496

逆向き接続（サーバからクライアント）逆向き接続（サーバからクライアントへの接続）は、Xtermなど一部のアプリケーションで必要と

なります。このような接続は、ルール・ベースで明示的に定義する必要はありません。逆向き接続を

行うためにユーザがサイトにログオンすると、ユーザ名と IPアドレスが認証データベースに15分間

（この時間は設定可能です）保存されます。この間は、サーバからクライアントへのすべての逆向き

接続が可能です。この時間を経過すると、逆向き接続は暗号化されずに送信されます。

サーバへのキープアライブ・パケットの送信

15分の間隔を有効にするには、クライアントからサーバへキープアライブ転送が送信されるように

逆向き接続を設定します。この操作は、特にNATデバイスを使用している場合に必要です。

キープアライブ・パケットを送信することによって、認証データベースに保持されている IPアドレ

スが常に更新されます。［Global Properties］ウィンドウの［Remote Access］ページで、［Enableback connections (from gateway to client)］のチェックをオンにし、［Send Keep-Alive packetto the Gateway］の値を指定します。

トポロジの自動更新（コネクト・モードのみ）


トポロジの自動更新（コネクト・モードのみ）SecuRemoteクライアントを設定して、SecuRemoteの起動または IKE鍵交換の直前にサイトのト

ポロジを自動的に更新できます。［Global Properties］ウィンドウの［Remote Access］ページ

で設定します。

［Global Properties］ウィンドウで、システム管理者は以下の操作を選択できます。

• Update topology every ... hours －後にトポロジが更新されてから定義された期間が経過

すると、次の鍵交換が実行される前にサイトのトポロジが更新されます。

［Update topology every ... hours］が有効な場合は、以下の機能が使用できます。

• Automatic update －この機能を有効にすると、鍵交換が行われてから（［Update topology every ... hours］の値に従って）サイトが更新されます。これにより、ユーザがサイトを更新

する必要がなくなります。

• Upon VPN-1 SecuRemote/SecureClient startup －この機能を有効にすると、SecuRemoteクライアントの起動時に、トポロジの更新を要求するメッセージがユーザに表示されます。 SecuRemoteクライアントの起動時にユーザがネットワークに接続していない場合、ユーザ

はこのメッセージを拒否できます。この場合、トポロジはサイトとの次の鍵交換の後に自動的

に更新されます。

チェック・ポイント以外のファイアウォールの操作方法

498

チェック・ポイント以外のファイアウォールの操作方法

チェック・ポイント以外のファイアウォールの背後にSecuRemote/SecureClientがある場合、ファ

イアウォールに以下のポートを開いて、SecuRemote/SecureClientのトラフィックが通過できるよ

うにする必要があります。

表 25-3 チェック・ポイント以外のファイアウォールで開くポート

ポート説明

UDPポート500 常に。IKE over TCPを使用する場合も

TCPポート500 IKE over TCPを使用する場合のみ

IPプロトコル50 ESP UDPカプセル化を使用していない場合

UDPポート2746 設定可能。UDPカプセル化を使用している場合のみ

UDPポート259 MEP、インタフェース解決またはインタフェースの高可用性を

使用する場合のみ開く

旧バージョンの SecuRemote/SecureClient


旧バージョンの SecuRemote/SecureClientチェック・ポイントでは、SmartCenter Server、モジュール、SecuRemote/SecureClientというアッ

プグレード順を推奨しています。したがって、アップグレードされたモジュールに旧バージョンの

SecuRemote/SecureClientで接続するという期間が存在します。これらのSecuRemote/SecureClientのいずれかがバージョン4.1の場合、［Global Properties］ウィンドウの［Early Versions Compatibility］ページ（［Remote Access］の下）で下位互換性が有効になっている必要があります。

［Required policy for all desktops］では、バージョン4.1のクライアントで実施されるポリシーの種

類が定義されます。 NG以降では、SecuRemote/SecureClientに適用されるセキュリティ・ポリシー

は、自動的にデスクトップ・セキュリティ・ルール・ベースに定義されたポリシーとなります。バー

ジョン4.1のクライアントでは、ユーザがポリシーを実施するかどうかを決定し、実施する場合は

以下の接続を許可するかどうかを決定する必要があります。

• すべての送信接続およびすべての暗号化接続

• 送信接続のみ

• 暗号化接続のみ

［Client is enforcing required policy］を選択すると、クライアントのセキュリティ・ポリシーを

検証するSCVチェックが追加で実行されます。

SecuRemote DNS サーバによる内部名の解決

500


問題

SecuRemote/SecureClientでは、内部DNSサーバを使用して、固有ではない IPアドレスを持つ内

部ホスト（VPN-1 Powerゲートウェイの背後にある）の名前を解決する必要があります。

解決策

も簡単な解決策は、コネクト・モードとオフィス・モードを使用することです。それ以外では、

SecuRemote DNSサーバを定義して、スプリットDNS機能を使用します。

SecuRemote DNSサーバは内部DNSサーバを示すオブジェクトです。これを使用して、IPアドレ

ス（RFC 1981形式）が登録されていない内部名を解決できます。このような内部名のDNS解決は

暗号化することをお勧めします。 DNSトラフィックをすべて暗号化する必要はありません。すべて

のDNS解決に認証が必要になるためです。

SecuRemote DNS サーバの設定

1. オブジェクト・ツリー（図 25-2）で、新しいSecuRemote DNSサーバを作成します。

図 25-2 SecuRemote DNS サーバの作成

2. ［SecuRemote DNS Properties］ウィンドウには、以下のタブがあります。

• ［General］タブ ― SecuRemote DNSサーバの全般的な設定のほか、SecuRemote DNSサーバが存在するホストを設定します。

• ［Domains］タブ ― 新しいドメインを追加したり、既存のドメインの編集や削除を行い

ます。



図 25-3 ［Domain］タブ

3. ［Domain］タブ（図 25-3）で、ドメインのサフィックスと照合ルールを定義します。ルール

に対応するドメイン内の名前が、SecuRemote DNSサーバによって解決されます。その他のす

べての名前は、SecuRemoteクライアントのデフォルトのDNSサーバによって解決されます。

• ［Domain Suffix］で、SecuRemote DNSサーバが内部名を解決する対象となるドメイン・

サフィックス（checkpoint.comなど）を指定します。

• ［Match only *.suffix］を選択して、解決されるラベルの大数が1となるように指定し

ます。

たとえば、［Domain Suffix］が「checkpoint.com」で、［Match only *.suffix］が選択さ

れている（すなわちプレフィックスの大ラベル数が事実上 1 つである）場合、

SecuRemote DNSサーバは「www.checkpoint.com」と「whatever.checkpoint.com」の解

決には使用されますが、「www.internal.checkpoint.com」の解決には使用されません。

• 照合するラベルの数を増やすには、［Match up to...labels preceding the suffix］を選択

します。

たとえば、［Domain Suffix］が「checkpoint.com」で、［Match up to...labels precedingthe suffix］が選択されて値が3 に設定されている場合、SecuRemote DNS サーバは

「www.checkpoint.com」と「www.internal.checkpoint.com」の解決には使用されますが、

「www.internal.inside.checkpoint.com」の解決には使用されません。

その他の考慮事項

以下の場合には、スプリットDNSは無効です。

• コネクト・モードで、通信が切断されている。

この問題を解決するには、SecuRemote/SecureClientのuserc.Cファイルで、

disable_split_dns_when_disconnectedをfalseに設定します。

• コネクト・モードで、オフィス・モードで接続されている。

この問題を解決するには、SecuRemote/SecureClientのuserc.Cファイルで、

disable_split_dns_in_omをfalseに設定します。


502

503

第章26リモート・アクセス VPNの複数エントリ・ポイント

この章の構成

複数エントリ・ポイントを持つゲートウェイの必要性 504ページ

複数エントリ・ポイントのためのチェック・ポイント・ソリューション 505ページ

MEPの設定 509ページ

複数エントリ・ポイントを持つゲートウェイの必要性

504

複数エントリ・ポイントを持つゲートウェイの必要性

VPN-1 Power実施モジュールをインストールしたゲートウェイでは、内部ネットワークに対して1つのエントリ・ポイントが提供されます。このゲートウェイによって、リモート・マシンへの内部

ネットワークが「有効」になります。ゲートウェイでエラーが発生すると、内部ネットワークは使

用できなくなります。したがって、同じネットワークに複数エントリ・ポイント（MEP）を設定す

ると有効です。

複数エントリ・ポイントのためのチェック・ポイント・ソリューション

第 26 章リモート・アクセス VPN の複数エントリ・ポイント 505


MEP環境では、複数のVPN-1 Powerゲートウェイによって、同じVPNドメインに対する保護とア

クセスの両方が与えられます。宛先の IPアドレスに到達するためのゲートウェイをリモート・ユー

ザが選択する方法は、MEPを持つゲートウェイの設定によって異なります。この設定は、組織の要

件によっても異なります。

詳細については217ページの「複数エントリ・ポイントVPN」を参照してください。

複数エントリ・ポイントに対するチェック・ポイントのソリューションは、ゲートウェイの可用性を

テストする独自のプロービング・プロトコル（PP）が基礎になっています。MEPゲートウェイは

同じ場所にある必要はなく、地理的に分散していてもかまいません。

SecureClient の接続プロファイルと MEP所定の接続のエントリ・ポイントとして使用されるゲートウェイを選択する方法には、以下の3つ

があります。

• 初に応答。初に応答したゲートウェイを選択するMEP環境では、SecureClientはそのプ

ロファイルで設定されたゲートウェイに接続しようとします。設定されたゲートウェイが応

答しない場合は、初に応答したゲートウェイが選択されます。

• プライマリ /バックアップ。この方法では、SecureClientはまずプライマリ・ゲートウェイに

接続しようとします。プライマリ・ゲートウェイが応答しない場合は、バックアップ・ゲー

トウェイに接続しようとします。バックアップ・ゲートウェイも応答しない場合、その後の

接続は行われません。

• ランダム選択。負荷共有機能を持つMEP環境では、SecureClientはランダムにゲートウェイを

選択し、ゲートウェイに優先度を割り当てます。VPNドメイン内のホスト・コンピュータに

対するその後のすべての接続について、リモート・ピアは選択されたゲートウェイを継続し

て使用します。負荷分散は、「接続のエンドポイント」のレベルではなく、「別々のクライア

ント」のレベルで行われます。また、SecureClientはプロファイル内で「ゲートウェイに接続」

するように設定されたゲートウェイをすべて無視します。

注： MEP ゲートウェイ環境でサポートされるリモート・クライアントは、チェック・ポイ

ントの SecuRemote/SecureClient のみです。


506

優先バックアップ・ゲートウェイ

優先バックアップ・ゲートウェイでは、MEPの設定に含まれるゲートウェイのうちから、バック

アップ・ゲートウェイにするゲートウェイをリモート・ホストで選択できます。プライマリ・ゲー

トウェイとバックアップ・ゲートウェイが使用不可になった場合、MEPの設定に含まれるほかのす

べてのゲートウェイは無視されます。

図 26-1 優先バックアップ・ゲートウェイ


• VPNドメインが、A、B、およびCというゲートウェイの背後にあります。

• ゲートウェイAはプライマリ・ゲートウェイです。

• ゲートウェイAが使用不可の場合、ゲートウェイBがバックアップ・ゲートウェイとなります。

• ゲートウェイAもBも使用不可の場合、リモート・ホストはゲートウェイCには接続しません。



ビジター・モードと MEPMEP環境で使用されるRDPゲートウェイ検出メカニズムはUDP上で動作します。すべてのトラ

フィックは通常のTCP接続でトンネルされるため、ビジター・モードでSecureClientを使用する場

合には問題が発生します。

MEP環境では、以下のように動作します。

• RDPプロービング・プロトコルは使用されません。代わりに、特別なビジター・モードの

ハンドシェイクが採用されます。

• MEPのフェイルオーバーが発生すると、SecureClientは切断されるため、ユーザは通常の

方法でサイトに接続しなおす必要があります。

• プライマリ /バックアップが設定されている場合、プライマリ・ゲートウェイが使用不可に

なると、接続はバックアップ・ゲートウェイにフェイルオーバーされます。プライマリ・

ゲートウェイが復旧しても、接続はプライマリ・ゲートウェイに戻りません。

• MEP環境のすべてのゲートウェイは、以下の条件に従う必要があります。

1. ビジター・モードをサポートしている。

2. ビジター・モードが有効なプロファイルでユーザが作業している。

返信パケットのルーティング

返信パケットが正しくルーティングするために、MEP設定のゲートウェイでは IPプールNATを利

用します。

IP プール NATIPプールNATはNATの一種です。IPプールNATにより、リモートVPNドメインのソース IPアド

レスが、登録された IPアドレスのプールから取得された IPアドレスにマッピングされます。MEP設定のゲートウェイを使用して対称型のセッションを維持するため、MEP設定のゲートウェイは IPアドレス範囲を使用してNATを実行します。この IPアドレス範囲は、そのゲートウェイ専用の範

囲であり、内部ネットワーク内で発信元のゲートウェイにルーティングされます。返信パケットが

ゲートウェイに到達すると、ゲートウェイは元の送信元 IPアドレスを復元して、発信元にパケットを

転送します。

注：オフィス・モードが有効な場合は、オフィス・モードが動的に IP をリモート・ホスト

に割り当てるため、IP プール NAT を設定する必要はありません。

MEP の無効化

508

MEP の無効化MEPが無効になると、MEPのRDPプロービングとフェイルオーバーは実行されません。その結果、

リモート・ホストは、MEPの設定を考慮せずに定義したゲートウェイに接続します。

MEP の設定


MEP の設定


MEPを設定するには、以下の項目を決定します。

1. MEPの選択方式

• 初に応答

• プライマリ /バックアップ

• 負荷分散

初に応答複数のゲートウェイが同じ（重複する）VPNドメインに接続する場合、リモートVPN-1 PowerピアはこれらのゲートウェイはMEPであると判断し、プロービング・プロトコルに応答した初の

ゲートウェイが選択されます。初に応答を設定するには、すべてのゲートウェイによって共有さ

れるネットワークの部分を1つのグループとして定義して、このグループをVPNドメインとして割

り当てます。

各ゲートウェイ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。次に、すべてのゲー

トウェイに対して同じVPNドメインを定義します。

初に応答 509ページ

プライマリ -バックアップ 510ページ

負荷分散 510ページ

返信パケットの設定 511ページ

優先バックアップ・ゲートウェイの設定 512ページ

MEPの無効化 513ページ

MEP の設定

510

プライマリ - バックアップ1. ［Global Properties］ウィンドウの［VPN］>［Advanced］ページで、［Enable Backup

Gateway］を選択します。

2. ネットワーク・オブジェクト・ツリーの［Groups］セクションで、バックアップ・ゲート

ウェイとして機能するゲートウェイのグループを作成します。

3. プライマリ・ゲートウェイとして選択するネットワーク・オブジェクトの［VPN］ページで

［Use Backup Gateways］を選択し、ドロップダウン・ボックスからバックアップ・ゲート

ウェイのグループを選択します。この設定により、このゲートウェイは、特定のVPNドメイ

ンのプライマリ・ゲートウェイとして動作します。

4. バックアップ・ゲートウェイに対してVPNを定義します。バックアップ・ゲートウェイには、

独自のVPNドメインがない場合もあります。これらは、単純にプライマリのバックアップと

して機能します。バックアップ・ゲートウェイに独自のVPNドメインがない場合、VPNドメ

インにはそのバックアップ・ゲートウェイだけを組み込む必要があります。

a. バックアップ・ネットワーク・オブジェクトの［Properties］ウィンドウを開き、［Topology］ページの［VPN Domain］セクションで［Manually defined］を選択します。

b. グループまたはバックアップ・ゲートウェイのみを含むネットワークを選択します。

バックアップにVPNドメインが存在する場合、以下の操作を実行します。

a. バックアップ・ゲートウェイの IP アドレスがプライマリの VPN ドメインに含まれていないことを確認します。

b. 各バックアップ・ゲートウェイに対して、ほかのバックアップ・ゲートウェイのVPNドメインと重複しないVPNドメインを定義します。

5. 返信パケットを処理するように IPプールNATを設定します。511ページの「返信パケットの

設定」を参照してください。

負荷分散1. ［Global Properties］ウィンドウで、［Remote Access］>［VPN Basic］ページの［Load

distribution］セクションで［Enable load distribution for Multiple Entry Point configurations (Remote Access connections)］を選択します。

2. すべてのゲートウェイに同じVPNドメインを定義します。

このオプションをオンにすることは、負荷分散が動的に行われ、リモート・クライアントがランダ

ムにゲートウェイを選択することも意味します。

注：プライマリ・ゲートウェイの VPN ドメインとバックアップ・ゲートウェイの VPN ドメ

インに、重複がないようにしてください。つまり、両方に属する IP アドレスは存在できま

せん。

MEP の設定


返信パケットの設定

返信パケットは、ゲートウェイに属する IPプールNATアドレスで処理されます。

IP プール NAT の設定

［Global Properties］ウィンドウの［NAT］ページで、［Enable IP Pool NAT for SecuRemote/SecureClient and gateway to gateway connections］を選択します。その後、

以下の手順に従います。

1. 各ゲートウェイについて、そのゲートウェイの IPプールNATアドレスを示すネットワーク・

オブジェクトを作成します。 IPプールは、ネットワーク、グループ、またはアドレス範囲で

設定できます。たとえば、アドレス範囲の場合は以下のとおりに設定します。

• ネットワーク・オブジェクト・ツリーで［Network Objects］ブランチを右クリックし、

［New］>［Address Range...］を選択します。［Address Range Properties］ウィンド

ウが表示されます。

• ［General］タブで、アドレス範囲の初の IPと後の IPを入力します。

• ［OK］をクリックします。ネットワーク・オブジェクト・ツリーの［Address Ranges］ブランチに、新しいアドレス範囲が表示されます。

2. IPプールNAT変換が実行されるゲートウェイ・オブジェクトで、［Gateway Properties］ウィンドウから［NAT］ページへ進み、［IP Pools (for Gateways)］セクションで以下のいず

れか（または両方）を選択します。

• Use IP Pool NAT for VPN client connections

• Use IP Pool NAT for gateway to gateway connections

• ［Allocate IP Addresses from］フィールドで、作成したアドレス範囲を選択します。

• 未使用のアドレスが IPプールに返却されるまでの待機時間を分単位で指定します。

• ［OK］をクリックします。

3. 各内部ルータのルーティング・テーブルを編集して、NATプールから割り当てられた IPアド

レスを持つパケットが適切なゲートウェイにルーティングされるようにします。

優先バックアップ・ゲートウェイの設定

512

優先バックアップ・ゲートウェイの設定SmartDashboardで、以下の手順に従います。

1. ［Manage］>［Remote Access］>［Connection Profiles］をクリックします。

2. 既存のプロファイルを選択し、［Edit］をクリックするか、［New］>［Connection Profile］をクリックします。

［Connection Profile Properties］ウィンドウが表示されます。

図 26-2 ［Connection Profile Properties］ページ

3. ［Connect to Gateway］と［Backup Gateway］フィールドで、このプロファイルのプライ

マリ・ゲートウェイとバックアップ・ゲートウェイとして機能するゲートウェイを、ドロッ

プダウン・メニューから選択します。


MEP の無効化


MEP の無効化MEPの無効化を設定するには、次のDbeditコマンドを trueに設定します。

• desktop_disable_mep

MEP の無効化

514

515

第章27 Userc.C と Product.ini設定ファイル

この章の構成

Userc.CとProduct.iniの概要 516ページ

Userc.Cファイルのパラメータ 518ページ

Product.iniのパラメータ 530ページ

Userc.C と Product.ini の概要

516

Userc.C と Product.ini の概要VPN管理者はパッケージ・ツールを使用して、カスタマイズしたSecuRemote/SecureClientパッ

ケージを作成してエンドユーザに配布することができます。パッケージ・ツールでは、パッケージ

に収録されているUserc.CとProduct.iniファイルのプロパティの値を変更することによって、

SecuRemote/SecureClientの動作を変更します。

ただし、これらのファイルのプロパティの一部には、パッケージ・ツールを使用しても変更できな

いものがあります。 SecuRemote/SecureClientパッケージをエンド・ユーザに配布する前に、パッ

ケージのUserc.CとProduct.iniファイルを手動で編集すると、SecuRemote/SecureClientの動作を

変更できます。

Userc.C ファイル

Userc.C の構造

Userc.C設定テキスト・ファイルには、 Global、Managers、およびGatewaysという3つのセクション

があります。

• Global ― （単一のSmartCenterサーバが管理する）サイトまたはピア・ゲートウェイに限定

されないプロパティです。クライアント・マシンでは、このプロパティは変更されません。オブジェクト・データベースの［Global Properties］セクションを変更する際は、userc.CのGlobalセクションを手動で変更しないでください。 SmartDashboardの［Global Properties］を

編集するか、DBeditコマンド・ラインまたはSmartCenterサーバのグラフィカル・データ

ベース・ツールを使用します。

• Managers ― SmartCenterサーバごとに適用されるプロパティです。エンド・ユーザがサイト

の更新を行うたびに更新されます。

• Gateway ― 特定のゲートウェイに固有のプロパティです。エンド・ユーザがサイトの更新を

行うたびに更新されます。

ファイルの中で各パラメータが存在するセクションは、Userc.Cファイルのパラメータ・テーブル

（後述）の、［Location in Userc.C］というカラムに示されています。

Userc.C の自動更新方法

ゲートウェイにセキュリティ・ポリシーをインストールすると、オブジェクト・データベースもイン

ストールされます。データベースのうち、リモート・クライアントに関連する部分が、ゲートウェ

イのトポロジ・サーバに送信されます。クライアントがサイトの更新を実行すると、クライアント

はトポロジ・サーバから実際にトポロジ情報をダウンロードします。このトポロジ情報によって、

クライアント上のuserc.CファイルのManagers およびGateway セクションが更新されます。

userc.Cファイルは、クライアント・マシンのSecuRemote¥databaseディレクトリに格納されます。

パラメータはoptionsセクションに表示されます。

Userc.C と Product.ini の概要

第 27 章 Userc.C と Product.ini 設定ファイル 517

Userc.C を手動で編集する方法 userc.CのGlobalセクションは、手動で変更しないでください。

userc.CのManagersおよびGatewayセクションを手動で変更するには、以下の手順に従います。

1. 元のSecuRemote/SecureClientのtgz形式のインストール・パッケージから、userc.Cを抽出

します。

2. 必要に応じて、userc.Cのパラメータを編集します。

3. tgzファイルを作成しなおします。

Product.ini ファイル

Product.ini設定テキスト・ファイルには、パッケージのインストールに関わるプロパティの

ほとんどが含まれています。プロパティの値は固定されています。 Product.iniファイルは、

SecuRemote/SecureClientのインストール時にのみ読み取られます。

products.iniを変更するには、パッケージ・ツールを使用するか、必要に応じて以下の手順でファ

イルを手動で編集します。

1. 元のSecuRemote/SecureClientのtgz形式のインストール・パッケージから、products.iniを抽出します。

2. products.iniに必要な編集を手動で実行します。

3. tgzファイルを作成しなおします。この tgzファイルが、エンド・ユーザ用の

SecuRemote/SecureClientパッケージです。

警告： SecuRemote/SecureClient では、userc.Cファイルに対する低限の構文チェックを

行います。編集されたパラメータが誤っていると、ファイルが壊れたり、サイトを再定義

しなくてはならなくなることがあります。

Userc.C ファイルのパラメータ

518



SecureClient

• default_ps (n.n.n.n) ― デフォルトのポリシー・サーバの IPアドレスを指定します。この

プロパティが存在すると、SecureClientを起動すると自動的にポリシー・サーバに（IP n.n.n.nで）ログオンするため、ユーザが手動でポリシー・サーバにログオンする必要がなく

なります。― Global

• manual_slan_control（true、false） ― このプロパティを無効にすると、［Policy］メニュー

から［Disable Policy］メニュー項目が削除されます。―Global

• allow_clear_in_enc_domain（true、false） ― このプロパティを有効にすると、暗号化のデ

スクトップ・ルールに従って、SecureClient NGで非暗号化接続が許可されます。また、

［Encrypted Only］または［Outgoing and Encrypted］ポリシーが実行されているSecureClient 4.1でも、非暗号化接続が許可されます。ただし、接続元と接続先の IPアドレスの両方が、1つの

VPN-1 Powerゲートウェイの暗号化ドメイン内にあることが条件です。 ― Global

• disable_stateful_dhcp（true、false） ― この属性が falseになっていれば、実施されている

デスクトップ・セキュリティ・ポリシーに関わらず、SecureClientでDHCPパケットが許可

されます。この属性を trueに設定すると、デスクトップ・セキュリティ・ポリシーが明示的に

DHCPを許可している場合のみ、DHCPが許可されます。そのためには、SecureClientバー

ジョン4.1の場合は［Allow All］のポリシーが実行されていること、またSecureClient NGの

場合はルールでDHCPが通るようになっている必要があります。 ― Global

• block_conns_on_erase_passwords（true、false） ― trueに設定すると、SecureClientの［Passwords］メニューの［Erase Password］オプションが［Close VPN］に置き換わり、

ツールバーにボタンが表示されます。［Close VPN］オプションを選択するか、このボ

タンをクリックすると、暗号化された接続がすべて遮断されます。 ― Managers

SecureClient 518ページ

暗号化 520ページ

複数エントリ・ポイント 524ページ

暗号化逆向き接続 525ページ

トポロジ 525ページ

NTドメインのサポート 526ページ

その他 527ページ

注：太字はデフォルト値を示します。Global、Managers、または Gateway は、Userc.Cファイル内の場所を示します。 516 ページの「Userc.C の構造」を参照してください。 Globalプロパティは手動で編集しないでください。



• enable_automatic_policy_update（true、false） ― ポリシーの自動アップデートを有効にす

るかどうかを指定します。 ― Managers

• silent_policy_update（true、false） ― trueに設定すると、automaic_policy_update_frequencyに指定した時間が経過しても、クライアントの起動時にポリシーの更新を要求するメッセー

ジが表示されなくなります。鍵交換が正常に行われたあとにポリシーの更新を要求するメッ

セージは引き続き表示されます。 ― Managers

• PS_HA（true、false） ― ログオン失敗時にバックアップ・ポリシー・サーバを使用します。 ― Managers

• PS_LB（true、false） ― trueに設定すると、すべてのクライアントが同じポリシー・サーバに

接続しないよう、ポリシー・サーバがランダムに使用されます。 ― Managers

• LB_default_PS（true、false） ― default_ps(x.x.x.x)が設定されている場合、このプロパティを

trueに設定すると、トポロジの調査によって検出された同じサイト内のポリシー・サーバがラ

ンダムに使用されます。 ― Managers

• no_policy（true、false） ― ポリシー状態が無効であることを示します。 ― Global

• policy_expire（60） ― ポリシーのタイムアウト時間（分単位）です。このプロパティは

SmartDashboardでも管理できます。 ― Managers

• retry_frequency（30） ― ポリシー・サーバにログインしたが、有効時間の半分が経過してか

ら再ログオンに失敗した場合、このパラメータによって、ログオンの再試行までの時間が秒

単位で指定されます。毎回、すべてのポリシー・サーバに対して試行されます。 ― Managers

• automaic_policy_update_frequency（10080） ― SecureClientがポリシー・ファイルを更新

する頻度を秒単位で管理します。 ― Managers

• suppress_all_balloons（true、false） ― すべてのバルーン・メッセージを管理します。この

フラグを trueに設定すると、メッセージ・バルーンが表示されなくなります。 falseに設定す

ると、すべてのバルーンが表示されます。バルーンのメッセージは .tdeファイルには表示さ

れ、Status DialogのMessageViewerに記録されます。

• sdl_browse_cert（true、false） ― falseに設定すると、「認証の変更」での証明書の参照が無

効になります。 trueに設定すると、SDLモードの参照ダイアログが制限されるため、ファイル

の参照は可能ですが、ファイルの作成や変更、アプリケーションの起動はできません。

• disconnect_when_in_enc_domain（true、false） ― クライアントがサイトに接続したときに、

表示されるインタフェースがゲートウェイのVPNドメインのいずれかに存在する IPアドレス

を持っていると、クライアントは切断されます。理由はメッセージ・バルーンで説明されます。

• open_full_diagnostic_tool（true、false） ― falseに設定すると、SecureClientでは診断のロ

グ・ビューのみが開きます。 trueに設定すると、すべての診断内容が開きます。いずれの場合

も、スタート・メニューから完全な診断ツールを開くことは可能です。

• tt_failure_show_notification（true、false） ― fail_connect_on_tt_failureが falseに設

定されている（ttが失敗しても接続は成功する）場合、このフラグによって、接続の進行の詳

細に tt失敗についての通知文字列が表示されます。

• simplified_client_route_all_traffic（true、false） ― この属性によって、シンプル・クラ

イアントが route-all-trafficを使用して接続するかどうかが指定されます。


520

• scv_allow_sr_clients（true、false） ― trueに設定すると、デフォルトでSCV検証されていな

いSecuRemoteクライアントから、実施中のゲートウェイに検証された状態が送信されます。

• use_profile_ps_configuration（true、false） ― リモート・ユーザがあるゲートウェイに

接続して、別のゲートウェイの背後のポリシー・サーバにログオンできるようにするには、

このプロパティを trueに設定します。

• force_route_all_in_profile（true、false） ― trueに設定すると、ユーザが作成したプロファイ

ルで「route all traffic」オプションが選択され、プロファイル作成や編集のダイアログで淡色

表示になります。 ― Global

• enable_mode_switching（true、false） ― trueに設定すると、クライアントで拡張表示と簡易

表示を切り替えることができます。

ホット・スポット登録• enabled（true、false） ― ユーザがホットスポット登録を実行できるようにするには、trueに

設定します。

• log（true、false） ― 登録中にアクセスした IPアドレスとポートのリストを含むログを送信す

るには、trueに設定します。

• connect_timeout（600） ― 登録を完了するまでの長時間（秒単位）です。

• max_ip_count（5） ― 登録中に許可される IPアドレスの大数です。

• block_hotspot_after_connect（true、false） ― 接続成功時にこのプロパティが trueに設定

されていると、記録されたポートとアドレスが開いたままになりません。

• max_trials（0） ― この値は、エンド・ユーザに許可されるホットスポット登録の大試行

回数を表します。この上限値に達すると、そのユーザは二度と登録の試行できなくなります。再起動したり、VPN接続に成功すると、カウンタはリセットされます。また、max_trialsの値を変更すると、変更内容は再起動や接続の成功時のみ有効になります。

max_trialsの値を0に設定すると、試行できる回数は無制限になります。

• local subnets（true、false） ― ローカル・サブネットへのアクセスのみを制限します。

• ports（80、443、8080） ― 特定のポートへのアクセスを制限します。

暗号化

• use_cert（true、false） ― ［IKE Authentication］ウィンドウの［Use Certificate］の

チェックをオンにするかどうかを指定します。 ― Global

• use_entelligence（true、false） ― Entrust Entelligenceツールキットがインストールされて

いる場合に、それをSecuRemoteで使用するかどうかを指定します。 ― Global

注：太字はデフォルト値を示します。Global、Managers、または Gateway は、Userc.Cファイル内の場所を示します。 516 ページの「Userc.C の構造」を参照してください。

Global プロパティは手動で編集しないでください。



• entrust_inifile ― Entrust証明書を処理しているときにSecuRemote/SecureClientによって

使用される、デフォルトでないentrust.iniファイルへの完全なパスです。 ― Global

• certfile ― 後に使用した証明書の名前です。 ― Global

• gettopo_port（264） ― トポロジの更新に使用するポートです。 ― Global

• pwd_erase_on_time_change（true、false） ― ユーザがシステム・クロックを変更すると、

パスワードの消去が実行されます。 ― Global

• force_udp_encapsulation（true、false） ― UDPのカプセル化を使用するかどうかを指定し

ます（コネクト・モードでは透過的でアクティブなプロファイル）。コネクト・モードでデ

フォルトのプロファイルを作成するときにも使用します。 ― Global

• support_tcp_ike（true、false） ― IKE時にTCPを使用するかどうかを指定します（コネク

ト・モードでは透過的でアクティブなプロファイル）。コネクト・モードでデフォルトのプロ

ファイルを作成するときにも使用します。 ― Global

• support_tcp_ike（true/false/use_site_default） ― TCP上で IKEを実行するかどうかを決

定します。 ― Gateway

• support_ip_assignment（true、false） ― オフィス・モードを使用するかどうかを指定します

（コネクト・モードでは透過的でアクティブなプロファイル）。コネクト・モードでデフォル

トのプロファイルを作成するときにも使用します。 ― Global

• ChangeUDPsport（true、false） ― ChangeUDPsportと force_udp_encapsulation両方のフラグ

の値が trueの場合、IKEパケットにはランダムのソース・ポートが使用され、別のランダムな

ソース・ポートがUDPカプセル化パケットに使用されます。 ― Global

• uencapport（2746） ― UDPカプセル化の使用時に、UDPカプセル化パケットで使用される

ポートを指定します。 ― Gateway

• ChangeIKEPort（true、false） ― trueの場合は、ポート500にバインドしないでください。代わりに、ルータ・ポートとアドレス変換を使用して、ポート500から接続が発信されている

かのように見せることができます。このパラメータでは、ほかのクライアント・アプリケー

ション（NokiaやMicrosoftなど）に対してポートの使用が許可されます。ポートが使用中の

場合は、別のポートが使用されます。 ― Global

• send_clear_traffic_between_encryption_domains（true、false） ― このパラメータが trueで、発信元と宛先がそれぞれ異なる暗号化ドメインの背後にある場合、パケットは暗号化さ

れずに送信されます。この機能は、定義されているサイトが1つの場合のみ有効です。 ― Managers

• send_clear_except_for_non_unique（true、false） ― このパラメータが trueの場合、NATプ

ライベート・アドレスとして定義された IPアドレスでは、

send_clear_traffic_between_encryption_domainsが機能しません。

• send_clear_except_for_specific_addresses（true、false） ― このパラメータが trueの

場合、send_clear_except_for_address_groupで定義された IPアドレスでは、

send_clear_traffic_between_encryption_domainsが機能しません。 ― Managers

• send_clear_except_for_address_group ― send_clear_except_for_specific_addressesのアドレス・グループを指定します。 ― Managers


522

• dns_encrypt（true、false） ― トポロジ内で受信した暗号化属性を、dnsinfoセクションで上

書きします。NG FP3以前のバージョンに対応するプロパティです。 ― Global

• disable_split_dns_when_in_om（true、false） ― オフィス・モード時にスプリットDNSを無

効化します。 ― Global

• disable_split_dns_when_disconnected（true、false） ― 切断時にスプリットDNSを無効化

します。 ― Global

• disconnect_on_IKE_SA_expiry（true、false） ― このプロパティが trueの場合、コネクト・

モードで IKEタイムアウトの時間に達すると、パスワードを消去する代わりに接続を切断し

ます。 ― Global

• renew_users_ica_cert（true、false） ― ユーザが自分の証明書を（明示的または暗黙的に）

更新できるかどうかを指定します。 ― Managers

• renew_users_ica_cert_days_before (1-1000) 60 ― 期限が切れて暗黙的な更新が行われる

までの日数です。 ― Managers

• rupgrade_fp1_and_below_users_ica_cert（true、false） ― NG FP2より前に発行された証明

書を暗黙的に更新するかどうかを指定します。 ― Managers

• ike_negotiation_timeout（36） ― タイムアウトが発生するまでに、IKEエンジンがピアから

の応答を待機する長時間を秒単位で指定します。この時間は連続したパケットの間の大

間隔で、ネゴシエーションの長持続時間ではありません。 ― Managers

• phase2_proposal（large、small) ― クイック・モード（パケット1）でクライアントによって

送信されるプロポーザルのサイズを決定します。このプロパティには、下位互換性がありま

す。phase2_proposal_sizeを使用するのは、NG FP3以上のバージョンです。 ― Managers

• phase2_proposal_size（large、small) ― クイック・モード（パケット1）でNG FP3以上の

クライアントによって送信されるプロポーザルのサイズを決定します。この値が設定されてい

ない場合は、phase2_proposalの値が代わりに使用されます。NG FP3クライアントは、小さ

いプロポーザルの試行に失敗した後で、大きなプロポーザルを試行します。 ― Managers

• vpn_peer_ls（true、false） ― 暗号化ドメイン設定と完全に重複するMEPで、このプロパ

ティが trueの場合は、ゲートウェイはMEPゲートウェイからランダムに選択され、優先度を

与えられます。 ― Managers

• ike_support_dos_protection（true、false） ― ステートレス防御を使用してメイン・モード

を再起動し、クライアントがDoS防御要求に応答しようとしているかどうかを判断します。 SmartDashboardの［Global Property］の［Support IKE DoS Protection from unidentified Source］に相当します。 ― Managers

• sr_don't_check_crl（true、false） ― 証明書のCRLをチェックしません。 ― Managers

• crl_start_grace（610200） ― SecuRemote/SecureClientで、まだ有効でないCRLを受理で

きます。 ― Managers

• crl_end_grace（1209600） ― SecuRemote/SecureClientで、近期限切れになったCRLを受

理できます。 ― Managers



• site_default_tcp_ike（true、false） ― TCP上で IKEを試行するデフォルトのサイトを決定

します。各ゲートウェイには、「supports_tcp_ike」（true、falseまたはuse_site_default）とい

うプロパティがあります。値が「use_site_default」に設定されていると、クライアントでは

管理プロパティ site_default_tcp_ikeを使用して、TCP上で IKEを試行するかどうかを判断し

ます。 ― Managers

• suppress_ike_keepalive（true、false） ― IPsecのkeepaliveがオンになっていて、

「suppress_ike_keepalive」プロパティが falseの場合、空のUDPパケットがゲートウェイ

（宛先のポート500）に送信されます。UDP keepaliveパケットは、ピアに IKE SAが存在し、

UDPカプセル化が選択されている場合のみ送信されます。 ― Managers

• default_phase1_dhgrp ― このフィールドでは、クライアントにトポロジができる前の IKEフェーズ Iで使用するDHグループを示します。このフラグが存在しない場合は、グループ2が使用されます。 ― Global

• to_expire（true、false） ― フェーズ IIの IKE認証にタイムアウトを設定するかどうかを指定

します。このプロパティはSmartDashboardでも管理できます。 ― Managers

• expire（120） ― IKEフェーズ IIのタイムアウトです。このプロパティはSmartDashboardで

も管理できます。 ― Managers

• ICA_ip_address ― 内部CAの IPアドレスです。 ― Global

• allow_capi（true、false） ― 内部CA登録にCAPIを保存できないようにします。 ― Global

• allow_p12（true、false） ― 内部CA登録にp12を保存できないようにします。 ― Global

• trust_whole_certificate_chain（true、false） ― この属性によって、証明書の階層がある場

合の接続性が向上し、ゲートウェイが信頼するCAが、クライアントが信頼するCAの下位

CA（直下でなくてもよい）となります。このフラグがない場合は、ゲートウェイとクライア

ントの両方が同一のCAを信頼する必要があります。 ― Global

• is_subnet_support（true、false） ― このプロパティをオンにすると IPsec SAがサブネット

に対して有効となり、オフにすると特定のアドレスに対して有効になります。 ― Gateway

• ISAKMP_hybrid_support（true、false） ― このプロパティをオンにすると、認証ポップ・アッ

プが表示されたときに、ユーザが認証モードとしてハイブリッド・モードと証明書のいずれ

かを選択できます。オフにすると、証明書とプリシェアード・シークレットのいずれかを選

択できます。 ― Gateway

• resolve_multiple_interfaces（true、false） ― resolve_interface_ranges（静的インタ

フェース解決）が無効または失敗したときに、このプロパティがオンになっていると、この

ゲートウェイのアドレスを指定する際に動的インタフェース解決が実行されます。この場合、

ゲートウェイのインタフェースは1度だけプローブされます。 ― Gateway

• interface_resolving_ha（true、false） ― 動的インタフェース解決が使用されたときに

（resolve_multiple_interfacesを参照）、このプロパティがオンになっていると、接続を行うた

びにゲートウェイのインタフェースがプローブされ、インタフェースが使用可能であること

が確認されます。 ― Gateway


524

• isakmp.ipcomp_support（true、false） ― ピア・ゲートウェイが下位のNGで、クライアン

トがSecureClientである（かつSecuRemoteでない）場合に、クライアントが「send small proposal」モードで、このプロパティがオンになっていると、IP圧縮が提案されます。クラ

イアントが「send large proposal」モードの場合は、このプロパティの値に関わらず IP圧縮

が提案されます。 ― Gateway

• supports_tcp_ike（use_site_default） ― TCP上の IKEがクライアントで設定されていて、

このプロパティが trueであるか、use_site_defaultと site_default_tcp_ikeが trueの場合、

TCP上では IKEフェーズ Iが実行されます。 ― Gateway

• supportSRIkeMM（true、false） ― 認証方法がPKIで、このプロパティが falseの場合、メイン・

モードはサポートされません。 ― Gateway

複数エントリ・ポイント

resolver_ttl（10） ― ゲートウェイがダウンしていると判断するまでにSecuRemoteが待機する

時間を秒単位で指定します。 ― Global

active_resolver（true、false） ― SecuRemoteで定期的にゲートウェイの状態を確認するかどう

かを指定します。アクティブ・ゲートウェイ解決を行うと、ダイヤルアップ接続が ISPに接続しよ

うとする場合があります。このプロパティをオフにすることで、この動作に関連する問題を防止で

きます。 ― Global

resolver_session_interval（30） ― ゲートウェイのステータス（アップまたはダウン）の有効期

間を秒単位で指定します。 ― Global、Managers

注：太字はデフォルト値を示します。Global、Managers、または Gateway は、Userc.Cファイル内の場所を示します。 516 ページの「Userc.C の構造」を参照してください。 Globalプロパティは手動で編集しないでください。



暗号化逆向き接続

• keep_alive（true、false） ― VPN-1 Powerの実施モジュールがクライアントに対するセッ

ション鍵の情報を保持するかどうかを指定します。保持することにより、いつでも暗号化逆

向き接続が可能になります。このプロパティはSmartDashboardでも管理できます。 ― Global、Managers

• keep_alive_interval（20） ― keep_aliveが trueの場合、SecuRemoteではn秒ごとにVPN-1 Power実施モジュールにpingを行います。nは、keep_alive_intervalプロパティで指定した数

字です。このプロパティはSmartDashboardでも管理できます。 ― Global

トポロジ

• topology_over_IKE（true、false） ― SecuRemoteの［New Site］で、ユーザの認証に IKEを

使用するかどうかを指定します。このプロパティを trueに設定すると IKEが使用されます。

このとき、ハイブリッド認証（ユーザのプロパティの［Authentication］タブで選択した認証

方式）を使用する場合と、証明書を使用する場合があります。このプロパティを falseに設定

すると、SSLが（バージョン4.1と同様に）使用されるため、ユーザは IKEのプリシェアー

ド・シークレットか設定済みの証明書を使用して、新しいサイトを定義する必要があります。 ― Global、Managers

• encrypt_db（true、false） ― userc.Cのトポロジ情報を暗号化して保持するかどうかを指定し

ます。 ― Global

• silent_topo_update（true、false） ― サイトごとにプロパティを渡さないサーバの操作を行

う際の下位互換性に使用します。このプロパティはSmartDashboardでも管理できます。 ― Global、Managers

• silent_update_on_connect（true、false） ― 接続しようとしているゲートウェイと実際に接

続が行われる前に更新します（Nokiaクライアントに適用）。 ― Global

• update_topo_at_start（true、false） ― タイムアウト時間が経過すると、

SecuRemote/SecureClientのGUIアプリケーションの起動時にトポロジを更新します。 ― Global、Managers






526

NT ドメインのサポート

• no_clear_tables（true、false） ― このプロパティを trueに設定すると、ログオフやシャット

ダウンによってSecuRemote/SecureClientが閉じた後で、暗号化ドメインとの暗号化接続を

新しく開くことができるようになります。ただし、暗号化鍵が交換されていて、まだ有効で

ある場合に限られます。この機能は、NTドメインでローミング・プロファイルを使用してい

る場合に必要です。SecuRemote/SecureClientがWindowsによって閉じられた後、PCがログ

オフやシャットダウン中にユーザのプロファイルをドメイン・コントローラに保存しようと

するためです。有効な暗号化鍵が常に存在するためには、「keep_alive」（525ページの「暗号

化逆向き接続」を参照）と組み合わせてこの機能を使用する必要があります。 ― Global

• connect_domain_logon（true、false） ― Global。この属性を trueに設定すると、クライアン

トがコネクト・モードを使用して、SDL経由でドメイン・コントローラにログオンできます。ドメイン・コントローラにログオンするには、ユーザは以下の手順に従う必要があります。

1. ローカルのWindowsコンピュータにログオンします。

2. 組織に接続します。

3. ログオフし、暗号化接続を使用して（ログオフしてから5分以内に）保護されたドメイン・

コントローラへログオンしなおします。

• sdl_main_timeout（60000） ― コネクト・モードでは、このプロパティによって、ユーザが

正常に接続するか、接続ダイアログをキャンセルするまでの待機時間を指定します。 ― Global



注： 1. この設定を有効にすると、ユーザが Windows からログオフしてから 5 分間、クライアン

トが組織に接続されたままになります。

2. この機能は、コネクト・モードの SDL が NG FP2 HF2 でサポートされる前に導入された

ものです。 SDL がサポートされているバージョンでは、このプロパティはドメイン・ローミ

ング・プロファイルのサポートにのみ使用されます。



その他

• enable_kill（true、false） ― ユーザがSecuRemote/SecureClientを停止できるかどうかを指

定します。このオプションを falseに設定すると、［File］メニューや、システム・トレイ・ア

イコンを右クリックしたときの［Stop VPN-1 SecuRemote］または［Stop VPN-1 SecureClient］が表示されなくなります。 ― Global

• use_ext_auth_msg（true、false） ― 認証が成功または失敗したときに、

SecuRemote/SecureClientの認証ウィンドウにカスタムのメッセージを表示するかどうかを

指定します。メッセージは、SecuRemoteディレクトリ（通常はProgram Files¥CheckPoint）にあるAuthMsg.txtというファイルに書き込まれます。詳細については、SecuRemoteパッ

ケージのAuthMsg.txtファイルを参照してください。 ― Global

• use_ext_logo_bitmap（true、false） ― 認証が成功または失敗したときに、

SecuRemote/SecureClientの認証ウィンドウにカスタムのビットマップを表示するかどうか

を指定します。ビットマップ・ファイルの名前は logo.bmpで、SecuRemoteディレクトリ

（通常はProgram Files¥CheckPoint）にあります。 ― Global

• guilibs ― SAA DLLの指定に使用され、このコンテキストで記録されます。 ― Global

• pwd_type（now、later） ― 現在または後の認証ダイアログのステータスを示すために内部で

使用されます。このプロパティは変更しないでください。 ― Global

• connect_mode_erase_pwd_after_update（true、false） ― コネクト・モードでサイトを更新し

た後に、パスワードを消去します。silent_update_on_connectと共に使用します。 ― Global

• disable_mode_transition（true、false） ― ユーザがGUIやコマンド・ラインを使用してモー

ドを切り換えられないようにします。 ― Global

• connect_api_support（true、false） ― SecuRemote/SecureClientのモードを示します。接続

APIで操作するには、このプロパティを trueに設定します。 ― Global

• connect_mode ― SecuRemote/SecureClientのモードを示します。コネクト・モードにするに

は trueに設定します。 ― Global

• allow_clear_traffic_while_disconnected（true、false） ― 切断時にトポロジがロードされ

ないため、LAN上にいる際に切断されてもポップアップが表示されません。 ― Global

• stop_connect_when_silent_update_fails（true、false） ― silent_update_on_connectモード

で接続しようとして、トポロジの更新に失敗すると、接続が失敗します。 ― Global

• go_online_days_before_expiry（0） ― Entrust自動鍵更新（証明書の更新）までの日数です。

ゼロは更新しないことを意味します。 ― Global

• go_online_always（true、false） ― trueに設定すると、IKEネゴシエーションに成功した後に

LDAP（entrust.ini）プロトコルを実行します。 ― Global




528

• implicit_disconnect_threshold（900） ― 物理アダプタの接続が失われると、

implicit_disconnect_thresholdで指定した時間（秒単位）だけSecuRemote/SecureClientが接続状態を維持します。この時間が経過するか、別の IPアドレスで接続が再開されると、

SecuRemote/SecureClientは切断します。ワイヤレスなど頻繁にネットワークが接続される

ネットワーク環境で便利な機能です。 ― Global

• active_test ― アクティブなテストの設定です。 ― Global

• log_all_blocked_connections ― モードを示すために内部で使用され、GUIチェック・ボッ

クスの状態を反映しています。このプロパティは変更しないでください。 ― Global

• cache_password ― 内部で使用され、［Remember password, as per site settings］というチェッ

ク・ボックスのステータスを保存します。このプロパティは変更しないでください。 ― Global

• dns_xlate（true、false） ― スプリットDNSの機能をオフにします。 NG FP3以前のバージョン

で必要です。NG FP3以降のバージョンでは、オフィス・モードではデフォルトでスプリット

DNSを使用しません。 ― Global

• FTP_NL_enforce（0、1、2） ― FTP検査の厳密度を示します。0はチェックなし、1はデフォ

ルトのチェックで複数の改行文字が使用可能、2は厳密なチェックで複数の改行文字は使用不

可です。 ― Global

• show_disabled_profiles（true、false） ― このプロパティが trueの場合、コネクト・モードで

IKEタイムアウトの時間に達すると、パスワードを消去する代わりに接続を切断します。 ― Global

• post_connect_script ― 接続が確立された後にSecuRemote/SecureClientが実行するスクリ

プトの完全なパスを指定します（コネクト・モードのみ）。 ― Managers

• post_connect_script_show_window（true、false） ― 接続後のスクリプトを非表示のウィンド

ウで実行するかどうかを指定します。 ― Managers

• list_style ― メイン・フレーム・ウィンドウでのサイトのアイコンの表示方法です。 ― Global

• mac_xlate（true、false） ― 「実際の」DNSサーバへのトラフィックと「分割された」DNSサーバへのトラフィックのルーティング方法が異なるスプリットDNSをサポートするには、

このプロパティを trueに設定する必要があります。も一般的なシナリオは、「実際の」DNSサーバがクライアントと同じサブネット上にある場合です。スプリットDNSではパケットの

IPを変更しますが、MAC送信先は変更しません。mac_xlateが trueに設定されていると、

MAC送信先アドレスはデフォルトのゲートウェイのアドレスに設定されます。 ― Global

• mac_xlate_interval ― デフォルトのゲートウェイのMACアドレス（mac_xlateを参照）を

チェックする頻度です。 ― Global

• sda_implicit（true、false） ― SDA（Software Distribution Agent）の作業モードです。trueは暗黙的、falseは明示的です。 ― Global、Managers

• sda_imlicit_frequency ― SDA（Software Distribution Agent）がASDサーバに接続して更新を

チェックする頻度（分単位）です。 ― Global、Managers



• sr_build_number、sr_sw_url_path、sr_sw_url_path_9x、sr_build_number_9x、sr_sw_url_path_nt、sr_build_number_nt、sr_sw_url_path_w2k、sr_build_number_w2k ― SmartCenterサーバのコンピュータでは、これらのプロパティの名前はdesktop_sw_versionやdesktop_build_numberなどになります。これらの属性は、SecureClientのアップグレード

をする必要があるかどうかを判断する際に便利です。 ― Managers

• install_id_nt、install_id_9x、install_id_w2k ― インストール IDです。 ― Managers

Product.ini のパラメータ

530

Product.ini のパラメータ表 27-1 Product.ini のパラメータ

パラメータ（太字はデフォルトを示す）意味

OverwriteConfiguration=0/1 アップグレード中の［Update］または［Overwrite］の選択

肢の値を設定します。デフォルト値（0）は、［Update］が選

択されていることを示します。

ShowUpdateOverwrite=0/1 インストール中に［Update］または［Overwrite］ウィンド

ウをユーザ側に表示します。ウィンドウが表示されない場合

は、OverwriteConfigurationの値が使用されます。

PathAskUser=0/1 インストール中に［Choose Installation Destination］ウィンドウをユーザ側に表示します。ウィンドウが表示され

ない場合は、InstallShieldで選択されたデフォルト値が使用さ

れます（通常はC:¥Program Files¥CheckPoint¥SecuRemote）。

DesktopSecurityAskUser=0/1 インストール中に［Desktop Security］ウィンドウをユーザ

側に表示します。ウィンドウが表示されない場合は、

DesktopSecurityDefaultの値が使用されます。

DesktopSecurityDefault=0/1 インストールされるデスクトップ・セキュリティの値を設定

します。値が1の場合はSecureClientがインストールされ、0の場合はSecuRemoteがインストールされることを意味します。

InstallDialupOnly=0/1 すべてのアダプタにバインドするか、ダイヤルアップ・アダ

プタのみにバインドするかを設定します。値が0の場合は、

インストールがすべてのアダプタにバインドされます。

ShowNetworkBindings=0/1 インストール中に［Adapter Bindings］ウィンドウをユーザ

側に表示します。ウィンドウが表示されない場合は、

InstallDialupOnlyの値が使用されます。

ShowReadmeFile=0/1 ［Readme］ウィンドウをユーザに表示します。このウィンド

ウでは、インストールを終了する前に readmeファイルを表示

するかどうかをユーザに確認します。値が0の場合は、ウィン

ドウは表示されず、インストール中にreadmeファイルを読ま

ないことを意味します。

ShowBackgroundImage=0/1 インストール中にバックグラウンド画像を表示するかどうか

を決定します。

ShowSetupInfoDialogs=0/1 InstallShieldの情報ダイアログ（ユーザの操作は必要ない）を

表示するかどうかを決定します。

DisableCancelInstall=0/1 インストールのダイアログでのキャンセル操作を無効にする

オプションです。

ShowRestart=0/1 再起動ダイアログを表示するかどうかを決定します。

RestartAfterInstall=0/1 0の場合はインストール後の再起動は行われず、1の場合は再

起動されます。



ShowRebootWarning=0/1 「The installation will complete after reboot」というメッセージ

が表示されないようにします。

IncludeBrandingFiles=0/1 authmsg.txtおよびlogo.bmpファイル（［Authentication］ダ

イアログのカスタマイズに使用）を、インストール中にコピー

するかどうかを決定します。 use_ext_auth_msgおよび

use_ext_logo_bitmapの詳細については、userc.Cのオプショ

ンのセクションを参照してください。

EnableSDL=0/1 インストール中の［Secure Domain Logon (SDL)］の値を設

定します。値が1の場合は、インストール中にSDLが有効に

なります。

SdlNetlogonTimeout (Seconds/0) オペレーティング・システムのNet Logonのタイムアウトを

設定します。0の場合は、現在の値は変更されません。

Support3rdPartyGina=0/1 SecuRemote クライアントNG では、サード・パーティ製の

GINA DLLを使用した認証が可能です。このプロパティを選

択しない場合、WindowsのGINA DLLがデフォルトで使用され

ます。サード・パーティ製のGINA DLLを使用している場合に

このプロパティを有効にすると、SDL操作と競合する可能性

があります。

EnablePolicyView=0/1 SecureClient Diagnosticsアプリケーションの［Policy］ビュー

を有効にします。

EnableLogView=0/1 SecureClient Diagnosticsアプリケーションの［Log］ビュー

を有効にします。

EnableDiagnosticsView=0/1 SecureClient Diagnosticsアプリケーションの［Diagnostics］ビューを有効にします。

ShowKernelInstallation=0/1 ドライバのインストール・ダイアログを表示するかどうかを

決定します。 OverwriteEntINI=0/1 既存のentrust.iniファイルを、インストール時のentrust.ini

で上書きするかどうかを決定します。値が1の場合は、既存の

entrust.iniファイルを上書きすることを示します。

DefaultPath（完全パス）デフォルトは、C:¥Program Files¥CheckPoint¥SecuRemoteです。

ConnectMode=0/1 デフォルトのクライアント・モードを設定します。 0は透過的

で、1はコネクト・モードです。

表 27-1 Product.ini のパラメータ（続き）

パラメータ（太字はデフォルトを示す）意味


532

533

第章28SSL Network Extender


SSL Network Extenderの概要 534ページ

SSL Network Extenderの動作 535ページ

共通概念 536ページ

SSL Network Extender特有の考慮点 539ページ

SSL Network Extenderの設定 542ページ

ユーザによるSSL Network Extenderの操作 557ページ

トラブルシューティング 577ページ

SSL Network Extender の概要

534

SSL Network Extender の概要ユーザが遠隔地から組織にアクセスするときはいつでも、通常の安全接続要件だけでなく、リモー

ト・クライアントの特殊な要件にも適合している必要があります。その要件には、以下のようなも

のがあります。

• 接続性：リモート・クライアントがNATを実行するデバイスやプロキシ、ファイアウォール

の背後にあっても、さまざまな場所から組織にアクセスできる必要があります。使用可能なア

プリケーションには、Web アプリケーション、メール、ファイル共有、および企業の必要性

に特化したアプリケーションが含まれている必要があります。

• 安全な接続性：すべての接続に対する認証、機密性およびデータの完全性の組み合わせに

よって保証されます。

• 利便性：インストールが簡単である必要があります。ネットワークを変更しても設定は不要

でなければなりません。所定のソリューションを、接続するユーザがシームレスに利用できる


これらの問題を解決するためには、企業ネットワークへの安全なリモート・アクセスを可能にする

ための安全な接続フレームワークが必要となります。

SSL（Secure Socket Layer）Network Extenderは、実装の簡単なリモート・アクセス・ソリュー

ションです。シン・クライアントがユーザのコンピュータにインストールされます（SSL NetworkExtenderクライアントは、他のクライアントよりもはるかに小さいサイズです）。シン・クライア

ントは、実施モジュールの一部であるSSL対応Webサーバに接続されます。デフォルトでは、SSL対応Webサーバは無効になっています。 SSL対応WebサーバはSmartDashboardを使用して有効

にされ、SSL上での完全に安全な IP接続が可能となります。ほかのリモート・アクセス・クライア

ントと異なり、SSL Network Extenderではサーバ側の設定のみが必要となります。ユーザがサーバ

に接続すると、シン・クライアントがActive X コンポーネントとしてダウンロードおよびインス

トールされ、それを使用して、SSLプロトコルを使用する企業ネットワークに接続します。

旧来からあるほかのクライアントの新しいバージョンを導入するよりも、SSL Network Extenderクライアントの新しいバージョンを導入する方がはるかに簡単です。

SSL Network Extender の動作

第 28 章 SSL Network Extender 535

SSL Network Extender の動作SSL Network Extenderソリューションは、ユーザのデスクトップやラップトップにインストールさ

れたシン・クライアントとSSL対応のWebサーバ・コンポーネントで構成されています。これら

はVPN-1 Power実施モジュールに統合されています。

SSL Network Extenderを使用するクライアントの接続性を有効にするには、SSL Network Extenderを参照する軽微な設定のほか、VPN-1 PowerがSecuRemote/SecureClientをサポートするように設

定されている必要があります。

SSL Network Extenderは、R55 HFA10（またはこれ以降）実施モジュールからダウンロードして

ユーザのコンピュータにインストールできます。

共通概念

536

共通概念このセクションでは、SSL Network Extenderを操作する際に考慮する共通概念について簡単に説明

します。このガイドを読む前に、本書の「リモート・アクセスVPN」に目を通すことを強くお勧め

します。


リモート・アクセス VPNSecuRemote/SecureClientやSSLクライアント、サード・パーティ製の IPSecクライアントなどの

クライアント・ソフトウェアを使用してネットワークにアクセスするリモート・ユーザのことです。

VPN-1ゲートウェイでは、リモート・クライアントにリモート・アクセス・サービスを提供します。


リモート・アクセス・コミュニティは、チェック・ポイントVPN-1の概念です。一種のVPNコミュ

ニティで、特に社内LANの外の離れた場所で通常作業をするユーザ向けに作成されたものです。

オフィス・モード

オフィス・モードは、チェック・ポイントのリモート・アクセスVPNソリューションの機能です。

これにより、VPN-1 Powerゲートウェイでリモート・クライアントに IPアドレスを割り当てるこ

とができます。この IPアドレスは、家庭内ネットワークとの安全なカプセル化通信のために内部

でのみ使用されるため、公共ネットワークでは見ることができません。ユーザが接続して認証され

ると、割り当てが実行されます。ユーザが接続している限り、割り当てリースは継続的に更新され

ます。アドレスは構成ファイルを使用して、一般的な IPアドレス・プール、またはユーザ・グルー

プごとに指定される IPアドレス・プールから選択されます。

リモート・アクセスVPN 536ページ

リモート・アクセス・コミュニティ 536ページ

オフィス・モード 536ページ

ビジター・モード 537ページ

Integrity Clientless Security 537ページ

共通概念


ビジター・モード

ビジター・モードは、チェック・ポイントのリモート・アクセスVPNソリューションの機能です。

これにより、ポート443での通常のTCP接続を通じた、クライアントとゲートウェイ間のすべての

通信のトンネリングが可能になります。ビジター・モードは、IPSec接続を遮断するために設定さ

れたファイアウォールやプロキシ・サーバ用のソリューションとして設計されています。

Integrity Clientless Security Integrity Clientless Security（ICS）は、害を及ぼすおそれのあるソフトウェアが内部のアプリケー

ションにアクセスする前に検出できるよう、末端のコンピュータをスキャンするために使用します。

エンド・ユーザが初めてSSL Network Extenderにアクセスすると、エンド・ユーザのコンピュー

タでマルウェアをスキャンするActive Xコンポーネントのダウンロードを要求するメッセージが表

示されます。スキャンの結果は、ゲートウェイとエンド・ユーザの両方に表示されます。 SSLNetwork Extenderへのエンド・ユーザのアクセスは、管理者が設定したコンプライアンス・オプ

ションに基づいて許可または拒否されます。

ユーザ・グループごとの ICS ポリシー

ネットワーク・セキュリティの脅威にはさまざまな種類があり、その数は増え続けています。その

ため、脅威による被害を防ぐために必要な設定は、ユーザによって異なります。管理者は、さまざ

まな ICSポリシーを設定することで、ユーザ・グループ間単位でソフトウェア遮断プロセスをカス

タマイズできます。

遮断されるソフトウェアの種類

ICSでは、以下の表に挙げる種類のマルウェアを遮断できます。

表 28-1 遮断されるソフトウェアの種類

ソフトウェアの種類説明

ワームネットワーク接続を妨害したり、ソフトウェアや

データを破壊する目的で、コンピュータ・ネット

ワーク上で増殖するプログラム

トロイの木馬型ウイルス一見無害なアプリケーションのふりをする、悪意

のあるプログラム

ハッカー・ツールハッカーがコンピュータにアクセスしたり、その

コンピュータからデータを抜き出したりするた

めのツール

キー・ロガーユーザの入力動作（マウスやキーボード操作）を、

ユーザの同意の有無に関わらず記録するプログ

ラム。キー・ロガーの中には、記録された情報を

サード・パーティに転送するものがあります。

共通概念

538

アドウェア広告を表示したり、Web利用行動に関する情報を

記録して保存したり、ユーザの承認および通知な

しにマーケティング業者や広告業者へその情報

を転送したりするプログラム

ブラウザ・プラグインユーザのブラウザの設定を変更したり、ブラウザ

に機能を追加したりするプログラム。ブラウザ・

プラグインの中には、デフォルトの検索ページを

有料検索サイトに変更したり、ユーザのホーム・

ページを変更したり、ブラウザの履歴をサード・

パーティに転送したりするものがあります。

ダイヤラユーザのダイヤルアップ接続設定を変更して、

ユーザが近くのインターネット・サービス・プロ

バイダの代わりに別のネットワークに接続する

ようにするプログラム。通常は長距離電話番号や

国際電話番号に接続されます。

サード・パーティ・

クッキー

ユーザのインターネット操作に関する情報を

マーケティング業者に提供するために使用され

るクッキー

その他の有害な

ソフトウェア

ユーザのコンピュータ上で密かに有害なアク

ションを勝手に実行する不要なソフトウェアで、

上記の説明のいずれにも当てはまらないもの

表 28-1 遮断されるソフトウェアの種類（続き）

ソフトウェアの種類説明

SSL Network Extender 特有の考慮点


SSL Network Extender 特有の考慮点このセクションでは、以下のようなSSL Network Extender特有の考慮事項として、必要条件や機能、

制限事項について説明します。


必要条件

SSL Network Extenderの必要条件は、以下のとおりです。

クライアント側の必要条件

SSL Network Extenderのクライアント側の必要条件は、以下のとおりです。

• リモート・クライアントで以下のものが動作している必要があります。

• Windows 2000 Pro

• Windows XP Home EditionまたはPro

• Windows Vista

• Linux RHEL 3.0

• Linux Suse 9以上

• Red Hat Linux 7.3

• Mac OSX Tiger

• リモート・クライアントで以下のものが使用されており、それぞれでActiveXまたはJava Appletが有効になっている必要があります。

• Internet Explorerバージョン5.0以上

• FireFox

• Safari

• 初にクライアントのインストール、アンインストール、およびアップグレードを行うには、

クライアント・コンピュータに対する管理者権限が必要となります。

必要条件 539ページ

機能 540ページ


540

サーバ側の必要条件

SSL Network Extenderのサーバ側の必要条件は、以下のとおりです。

• SSL Network Extenderはサーバ側のコンポーネントで、SSL Network Extenderが関連付けら

れている特定の実施モジュールの一部です。SSL Network Extenderがゲートウェイ上で有効

になっていて、リモート・アクセスSecureClientゲートウェイとして機能するように設定済

みの場合があります。

• 特定のVPN-1実施モジュールが、VPN-1リモート・アクセス・コミュニティのメンバとして

設定され、ビジター・モードで動作するように設定されている必要があります。このことが

SecureClientの機能に支障をきたすことはありませんが、SecureClientユーザによるビジ

ター・モードの使用は許可されます。

• SecureClientユーザとSSL Network Extenderユーザの両方に、同じアクセス・ルールが設定

されます。

• Integrity Clientless Security（ICS）を使用する場合は、ICSサーバまたは ICS設定ツールを

インストールする必要があります。ICSサーバは、

http://www.checkpoint.com/products/clientless/index.htmlから、マニュアルと共にダウンロード

できます。

機能

SSL Network Extenderの機能は、以下のとおりです。

• インストールと導入が簡単です。

• 直感的かつ簡単なインタフェースによる設定および使用が可能です。

• SSL Network Extenderのメカニズムは、ビジター・モードとオフィス・モードが基礎となっ

ています。

• 自動プロキシ検出が実装されています。

• サイズの小さいクライアントです。SSL Network Extenderパッケージのダウンロード・サイ

ズは400KB未満で、ディスクにインストールされた後のSSL Network Extenderのサイズは約

650KBです。

• すべてのVPN-1 Power認証スキームがサポートされています。証明書、チェック・ポイント

のパスワード、またはSecurID、LDAP、RADIUSなどの外部ユーザ・データベースを使用し

た認証が可能です。

• セッションの終了時に、ユーザやゲートウェイに関する情報がクライアント・コンピュータ

に残りません。

• VPN-1 SecuRemote/SecureClientと同一の多彩なログ機能がゲートウェイ上で使用可能です。

• 高可用性クラスタとフェイルオーバーがサポートされています。

http://www.checkpoint.com/products/clientless/index.html



• SSL Network Extenderのアップグレードがサポートされています。

• SSL Network Extenderでは、RC4暗号化方式をサポートしています。

• ユーザは、システム管理者がSmartDashboardなどで定義した、信頼済みのCAが発行した証

明書を使用して認証を実行できます。

• SSL Network Extenderが IPSOでサポートされています。

• Integrity Clientless Securityによって、ワームやトロイの木馬、ハッカーのツール、キー・

ロガー、ブラウザのプラグイン、アドウェア、サード・パーティ・クッキーなどの種類の

マルウェアがもたらす脅威が防止されます。

• SSL Network Extenderは、ハブ・モードで動作するように設定できます。ハブ・モードでリ

モート・アクセス・クライアントのVPNルーティングを行うことができます。ハブ・モード

では、すべてのトラフィックが中央のハブを経由して送受信されます。

SSL Network Extender の設定

542

SSL Network Extender の設定以下のセクションでは、サーバの設定方法を説明します。負荷共有クラスタのサポート、Web GUIのカスタマイズ、SSL Network Extenderクライアントのアップグレード、および管理者権限がない

ユーザのインストールについても説明します。


サーバの設定

サーバを設定する前に、SSL Network Extenderの有効なライセンスを所有していることを確認します。

SSL Network Extenderの有効なライセンスがあるかどうかを確認するには、cpconfigコマンドを

使用します。チェック・ポイントのソフトウェア製品は、ライセンス・キーによるアクティベーショ

ン方式を採用しています。ライセンス・キーを入手するには、製品メディア・パックの背面に記載

されているCertificate Keyをユーザ・センターに登録する必要があります。

http://www.checkpoint.com/usercenter

サーバの設定 542ページ

負荷共有クラスタのサポート 551ページ

SSL Network Extenderポータルのカスタマイズ 552ページ

管理者権限を持たないユーザのインストール 556ページ

http://www.checkpoint.com/usercenter



サーバ側の設定

SSL Network Extenderでは、サーバ側の設定のみが必要とされます。


リモート・アクセス・コミュニティのメンバとしてのゲートウェイの設定

1. SmartDashboardを開き、オブジェクト・ツリーの［Network Object］タブでゲートウェイ・オブジェクトを選択します。［General Properties］ウィンドウが表示されます。

2. ［VPN-1 Power］が選択されていることを確認し、［OK］をクリックします。

3. 左側のオブジェクト・ツリーで［VPN］を選択します。

4. モジュールがリモート・アクセス・コミュニティに参加していることを確認します。参加していない場合は、モジュールをリモート・アクセス・コミュニティに追加します。

5. ［Gateway Properties］ページの［Topology］タブで、SecureClientで設定したときと同じ方法でSSL Network ExtenderのVPNドメインを設定します。

6. 「接続性の問題の解決」で説明したとおりに、ビジター・モードを設定します。ビジター・モードを設定しても、通常のSecureClientユーザの機能に影響はありません。 SecureClientユーザに対してビジター・モードが有効になります（ビジター・モードの詳細については、537ページの「ビジター・モード」を参照してください）。

7. SecurePlatformで作業している場合は、以下の操作を実行できます。

• 以下のコマンドを実行して、webuiポートを変更できます。

webui enable <port number>（たとえばwebui enable 444）

• 以下のコマンドを実行して、webuiポートを完全に無効にできます。

webui disable

リモート・アクセス・コミュニティのメンバとしてのゲートウェイの設定 543ページ

SSL Network Extenderをサポートするゲートウェイの設定 544ページ

SSL Network Extenderの設定 546ページ

注： VPN ドメインを使用して、SSL Network Extender がハブ・モードで動作するように

設定できます。設定すると、すべてのトラフィックは中央のハブを通じて送受信されます。

また、同じタブの［Set domain for Remote Access Community...］ボタンを使用して、ゲー

トウェイに接続するリモート・アクセス・クライアント用に別の暗号化ドメインを作成する

こともできます（324 ページの「選択的ルーティングの設定」を参照）。

注： SSL Network Extender では SecurePlatform との安全な接続のために TCP 443（SSL）を使用し、Nokia プラットフォームではリモート管理のために TCP 443（SSL）を使用し

ます。 SSL Network Extender に別のポートを割り当てることは可能ですが、ほとんどのプロ

キシでは 80 と 443 以外のポートを許可していないため、これはお勧めしません。代わりに、

SecurePlatform や Nokia プラットフォームの Web ユーザ・インタフェースを 443 以外の

ポートに割り当てることを強くお勧めします。


544

8. NokiaプラットフォームでVoyagerポートを変更するには、以下のコマンドを実行します。

voyager -e x -S <port number>（xは暗号化レベルを表します）

詳細を表示するには、次のコマンドを実行します。 voyager -h

9. ［Remote Access］>［Office Mode］を選択します。

10.「オフィス・モード」で説明したとおりに、オフィス・モードを設定します（オフィス・モー

ドの詳細については、536ページの「オフィス・モード」を参照してください）。

11. ユーザと認証を設定します。

SSL Network Extender をサポートするゲートウェイの設定

SSL Network Extenderを設定するには、以下の手順に従います。

注：ゲートウェイ側では、オフィス・モードがサポートされていることが必須です。

注： R55 実施モジュールから R60 以上へアップグレードする際に、SSL Network Extenderが R55 実施モジュールに設定されていた場合は、slim.confファイルを削除する必要があり

ます。削除しないと、SmartDashboard の GUI 設定よりも slim.conf ファイルの方が優先さ

れます。

注： SSL Network Extender を使用するゲートウェイそれぞれについて、この設定を行う必




1. ［Remote Access］>［SSL Network Extender］を選択します。［SSL Network Extender］ウィンドウが表示されます。

2. ［Support SSL Network Extender］チェック・ボックスをオンにします。

3. ゲートウェイで認証するサーバ側の証明書を、ドロップダウン・リストから選択します。



546


1. ［Policy］>［Global Properties］>［Remote Access］>［SSL Network Extender］を選択

します。SSL Network Extenderの［Global Properties］ウィンドウが表示されます。

2. SSL Network Extenderで使用されているユーザ認証方式を、ドロップダウン・リストから選

択します。選択肢は以下のとおりです。

• Certificate：ユーザは証明書経由でのみ認証されます。登録は許可されません。

• Certificate with enrollment：ユーザは証明書経由でのみ認証されます。登録は許可され

ます。ユーザが証明書を所有していない場合は、システム管理者からあらかじめ受け取った

レジストレーション・キーを使用して登録できます。

• Legacy：（デフォルト）システムは、ユーザのユーザ名とパスワードによって認証を行

います。

• Mixed：システムは、証明書を経由してユーザを認証しようとします。ユーザが有効な

証明書を所有していない場合は、ユーザのユーザ名とパスワードによって認証します。

内部 CA 証明書の管理

管理者がユーザ認証スキームとして［Certificate with Enrollment］を設定している場合、ユーザ

はシステム管理者から提供されるレジストレーション・キーを使用して、自分が使用する証明書を

作成できます。

登録用のユーザ証明書を作成するには、以下の手順に従います。

1. 『SmartCenter』の「内部認証局（ICA）と ICA管理ツール」で説明されている手順に従い

ます。

2. ICA管理ツールのサイトhttps://<mngmt IP>:18265にアクセスして、［Create Certificates］を選択します。

3. ユーザの名前を入力して、［Initiate］をクリックしてレジストレーション・キーを受け取

り、そのレジストレーション・キーをユーザに送信します。

ユーザが証明書なしでSSL Network Extenderに接続しようとすると、［Enrollment］ウィンドウが表示されます。ユーザがここにシステム管理者から受け取ったレジスト

レーション・キーを入力すると、自分が使用する証明書を作成できます。

ユーザのログイン操作の詳細については、「クライアントのダウンロードと接続」を参照


注：このバージョンでは、外部 CA への登録はサポートされていません。

注：システム管理者はユーザを URL、http://<IP>/registration.html に誘導して、そのときに

ユーザが SSL Network Extender を使用しようとしていなくても、レジストレーション・

キーを受け取って証明書を作成できるようにすることができます。



3. SSL Network Extenderを自動的にアップグレードするかどうかを決定できます。ドロップダ

ウン・リストからアップグレードのモードを選択します。選択肢は以下のとおりです。

• Do not upgrade：旧バージョンのユーザに対してアップグレードを要求しません。

• Ask user：（デフォルト）ユーザが接続すると、アップグレードするかどうかを尋ねます。

• Force upgrade：旧バージョンのユーザであるか新規ユーザであるかに関わらず、すべてのユーザが新バージョンのSSL Network Extenderをダウンロードおよびインストールします。

ユーザのアップグレード操作の詳細については、「クライアントのダウンロードと接続」を


4. SSL Network Extenderクライアントで、RC4暗号化方式と3DESの両方をサポートするかどうかを指定できます（RC4の方が高速な暗号化方式です）。ドロップダウン・リストから、サポートする暗号化方式を選択します。選択肢は以下のとおりです。

• 3DES only：（デフォルト）SSL Network Extenderは3DESのみをサポートします。

• 3DES or RC4： SSL Network ExtenderクライアントはRC4暗号化方式と3DESの両方をサポートします。

5. ユーザが接続を切断したときに、SSL Network Extenderを自動的にアンインストールするか

どうかを指定できます。ドロップダウン・リストから該当するオプションを選択します。選択

肢は以下のとおりです。

• Keep installed：（デフォルト）アンインストールしません。ユーザがSSL Network Extenderをアンインストールしたい場合は、手動でアンインストールできます。

• Ask user whether to uninstall：ユーザが接続を切断すると、アンインストールするかどうかを尋ねます。

• Force uninstall：ユーザが接続を切断すると常に自動的にアンインストールします。

ユーザの切断操作の詳細については、「切断時のアンインストール」を参照してください。

6. Integrity Clientless Security（ICS）をアクティブにするかどうかを指定できます。 ICSをアク

ティブにすると、SSL Network Extenderに接続しようとするユーザは、ICSスキャンを実行

しないとSSL Network Extenderにアクセスできなくなります。ドロップダウン・リストから

該当するオプションを選択します。選択肢は以下のとおりです。

• None

• Integrity Clientless Security

注：［Force Upgrade］オプションは、すべてのユーザが管理者権限を持っていることを

システム管理者が確信している場合のみ使用してください。そうでないと、ユーザによる

SSL Network Extender への接続と使用ができなくなります。

注：切断時のアンインストール機能では、アンインストールするかどうかをユーザに尋ねる

ことはありません。したがって、ユーザが接続中に一時停止状態や休止状態になっても、

SSL Network Extender はアンインストールされません。


548

xml 構成ファイルの取得

ICSサーバをインストールして設定したら、以下の手順を実行して ICSサーバから xml構成ファイ

ルを取得する必要があります。

1. 任意のコンピュータでブラウザを開きます。

2. http://<サイトのIP>/<サイト名または仮想ディレクトリ>/sre/report.aspにアクセス

し、表示されたXMLファイルを、［名前をつけて保存］コマンドを使用してディスクに保

存します。

3. XMLファイルを、ゲートウェイの $FWDIR/conf/extender/request.xmlにコピーします。

ICS のアップグレード

ICSを手動でアップグレードするには、以下の手順に従います。

1. $FWDIR/conf/extenderにあるICSScanner.cabファイルを、新しいパッケージで置き換え

ます。

2. $FWDIR/conf/extenderにあるics.htmlファイルを、以下の手順で編集します。

i. #Version=を検索し、現在の値を新しいバージョンで置き換えます。

ii. 保存します。

7. ［Advanced］をクリックします。SSL Network Extenderの［Advanced Settings］ウィン

ドウが表示されます。

図 28-1 SSL Network Extender の［Advanced Settings］ウィンドウ

注：現時点では、Dynamic ICS Update 機能はサポートされていません。



8. セッション・タイムアウトの時間を設定します。認証されると、リモート・ユーザにはSSL Network Extenderのセッションが割り当てられます。このセッションのコンテキストでは、

ユーザがログアウトするか、またはタイムアウトによってセッションが終了するまで、その

後のすべての要求がSSL Network Extenderで処理されます。

指定したセッション時間（タイムアウト）が経過する5分前に、認証設定によってはユーザ側にク

レデンシャルを要求するメッセージが表示されることがあります。クレデンシャルが承認される

と、タイムアウト間隔が初期化されます。タイムアウトが経過するまでにユーザがクレデンシャル

を入力しないと、ユーザはサーバから切断され、クライアントに再接続するには手動で接続する必


9. キープアライブ・パケットの転送頻度を設定します。キープアライブ・パケットは、ユーザが

接続しているNATデバイスやHTTPプロキシに、ユーザの接続がまだアクティブであること

を通知します。

10.［OK］をクリックします。SSL Network Extenderの［Global Properties］ウィンドウが表

示されます。

11.［OK］をクリックします。

ICS ポリシーの設定

SmartCenterサーバ側での処理

1. $FWDIR/libディレクトリに移動します。

2. vpn_table.defファイルのバックアップを作成します。

3. vpn_table_HFA.defのファイル名をvpn_table.defに変更します。

セキュリティ・ゲートウェイ側での処理

1. ICSサーバまたは ICS設定ツール（チェック・ポイントのダウンロード・センターからダウン

ロード可能）を使用して、各グループ用の xmlポリシー・ファイルを作成し、

$FWDIR/conf/extenderに置きます。

2. request.xmlという名前でデフォルトのポリシー・ファイルを作成できます。これはあくまで

オプションで、このファイルはグループを指定しなかった場合に使用されます。

注：デフォルト値は 8 時間です。小値は 10 分で、大値は 24 時間です。

注：［Global Properties］>［Remote Access］>［SSL Network Extender］ページで、

ICS（Integrity Clientless Security）が有効であることを確認してください。


550

3. $FWDIR/confフォルダに、ics.groupというファイルを作成します。これは、各行に1つの

グループ名とそのポリシー xmlファイルを記述したテキスト・ファイルです。

ics.groupファイルの例

Group1 group1.xml

Group2 group2.xml

Group3 defGroup.xml

Group4 defGroup.xml

ics.groupファイルに関する重要な注意

• グループ名は、SmartDashboardでの名前と同じである必要があります。

• 同じxmlファイルに複数のグループを登録できます。

• 同じグループを2回以上ics.groupファイルに記述することはできません。

• ics.groupファイルに記述されたグループは、指定のxmlファイルを使用します。 ics.groupファイルに記述されていないグループは、request.xmlファイルのデフォル

ト・ポリシーを使用します。 request.xmlファイルがない場合はエラーが返されます。

• デフォルトのxmlファイル（request.xml）をics.group ファイルで指定することは

できません。

4. ics.groupファイルを作成した後（または変更を加えた後）、ポリシーをインストールします。

5. セキュリティ・ゲートウェイでcpstopを実行し、次にcpstartを実行します。

6. 各ユーザに、グループと対応するURLを割り当てる必要があります。 URLは、

https://hostIP/<groupName>_ics.htmlという形式にします。

たとえば、「group1」に属するすべてのユーザは、割り当てられた

https://10.10.10.10/group1_ics.htmlというURLにアクセスします。

トラブルシューティングのヒントについては、577ページの「トラブルシューティング」を参照し

てください。



負荷共有クラスタのサポート

SSL Network Extenderには、負荷共有クラスタをサポートする機能があります。

負荷共有クラスタのサポートを行うには、以下の手順に従います。

1. SmartDashboardを開き、オブジェクト・ツリーの［Network Object］タブで［Gateway Cluster Object］を選択します。［Gateway Cluster Properties］ウィンドウが表示されます。

2. ［Cluster XL］を選択します。［Cluster XL］タブが表示されます。

3. ［Advanced］をクリックします。［Advanced Load Sharing Configuration］ウィンドウが

表示されます。

図 28-2 ［Advanced Load Sharing Configuration］ウィンドウ

4. ［Use Sticky Decision Function］を選択します。クライアントがクラスタに接続すると、ク

ラスタのすべてのトラフィックが1つのゲートウェイを通過します。そのメンバのゲートウェ

イが故障すると、クライアントは別のクラスタ・メンバへ透過的に再接続し、セッションを

再開します。

5. ［Gateway Cluster Object］>［Remote Access］>［Office Mode］を選択します。負荷共

有クラスタで使用するためにオフィス・モードを定義するときは、［Manual (using IP pool)］方式のみがサポートされます。

注：対称判定機能の使用を設定する前に、負荷共有クラスタを作成する必要があります。


552

図 28-3 ［Gateway Cluster Properties］の［Office Mode］ページ

SSL Network Extender ポータルのカスタマイズ

SSL Network Extenderポータルのスキンや言語を変更することができます。

スキン・オプションの設定

スキン・オプションを設定するには、以下の手順に従います。

SSL Network Extenderのゲートウェイの$FWDIR/conf/extenderに、skinディレクトリがあります。

このディレクトリには2つのサブディレクトリがあります。サブディレクトリは以下のとおりです。

• chkp：チェック・ポイントからデフォルトで提供されるスキンが入っています。アップグレー

ドすると、このサブディレクトリは上書きされます。

• custom：ユーザが定義したスキンが入っています。customがまだ存在していない場合は、作

成します。アップグレードしても、このサブディレクトリは上書きされません。新しいスキン

はこのサブディレクトリに追加されます。



スキンの無効化

1. customサブディレクトリで、無効化する特定のスキンのサブディレクトリを開き、disableというファイルを作成します。このファイルは空でもかまいません。

2. 特定のスキンがcustomサブディレクトリに存在しない場合は、スキンを作成し、その中に

disableというファイルを作成します。

3. ポリシーをインストールします。次にユーザがSSL Network Extenderのポータルに接続する

と、このスキンは使用不可になっています。

例

cd $FWDIR/conf/extender/skin/custommkdir skin1touch disable

ポリシーをインストールします。

スキンの作成

1. customサブディレクトリを開きます。

2. 適切なスキン名をつけてフォルダを作成します。

各スキン・フォルダには、以下の5つのスタイル・シートが入っています。

• help_data.css：メインのOLHページがこのスタイル・シートを使用します。

• help.css： OLHページの内側のフレームがこのスタイル・シートを使用します。

• index.css：ICSページとメインのSSL Network Extenderポータル・ページがこのスタイ

ル・シートを使用します。

• style.css：すべてのログイン・ページがこのスタイル・シートを使用します。

• style_main.css： SSL Network Extenderのメインの［Connection］ページ、［Proxy Authentication］ページおよび［Certificate Registration］ページが、このスタイル・

シートを使用します。

3. 新しいスキンを作成してから、ポリシーをインストールします。

注：この名前が、chkp にすでに存在していないことを確認します。使用されている場合は、

新しいスキンの定義が既存のスキンの定義よりも優先されます（新しいスキンの定義が存在

する場合）。新しいスキンの定義を削除すると、chkpのスキン定義が再び使用されます。

注： chkpスキンから前述のファイルをコピーし、その後必要に応じて変更することをお勧

めします。


554

例

メインのSSL Network Extenderのポータル・ページに、会社のロゴを追加します。

cd $FWDIR/conf/extender/skin/custom

mkdir <skin_name>

cd <skin_name>

copy ../../chkp/skin2/* .

このディレクトリにロゴの画像ファイルを配置します。

index.cssを編集します。

.company_logoに移動し、既存のURLの参照を、新しいロゴ画像ファイルへの参照で置き換えます。

保存します。


言語オプションの設定

言語オプションを設定するには、以下の手順に従います。

SSL Network Extenderのゲートウェイの$FWDIR/conf/extenderに、languagesディレクトリがあ

ります。

このディレクトリには2つのサブディレクトリがあります。サブディレクトリは以下のとおりです。

• chkp：チェック・ポイントからデフォルトで提供される言語が入っています。アップグレード

すると、このサブディレクトリは上書きされます。

• custom：ユーザが定義した言語が入っています。customがまだ存在していない場合は、作成

します。アップグレードしても、このサブディレクトリは上書きされません。新しい言語はこ

のサブディレクトリに追加されます。

注： <skin_name>には、スペースを入れないでください。



言語の無効化

1. customサブディレクトリで、無効化する特定の言語のサブディレクトリを開き（存在する場合）、

disableというファイルを作成します。このファイルは空でもかまいません。

2. 特定の言語がcustomサブディレクトリに存在しない場合は、言語を作成し、その中に

disableというファイルを作成します。

3. ポリシーをインストールします。次にユーザがSSL Network Extenderのポータルに接続すると、

この言語は使用不可になっています。

言語の追加


2. 適切な言語名をつけてフォルダを作成します。

3. 既存のchkp言語のmessages.jsファイルを、このフォルダにコピーします。

4. messages.jsファイルを編集して、二重引用符で囲まれたテキストを翻訳します。

5. 保存します。

6. 新しい言語を追加してから、ポリシーをインストールします。

例

cd $FWDIR/conf/extender/language

mkdir custom

cd custom

mkdir <language_name>

cd <language_name>

copy ../../chkp/english/messages.js

messages.jsファイルを編集して、二重引用符で囲まれたテキストを翻訳します。

保存します。

custom/english/messages.jsに、以下の行を追加します。

<language_name>="翻訳したlanguage_name";

注：言語名が、chkp にすでに存在していないことを確認します。存在している場合は、新し

い言語の定義が既存の言語の定義よりも優先されます（新しい言語の定義が存在する場合）。

新しい言語の定義を削除すると、chkpの言語定義が再び使用されます。


556


言語の変更


2. 変更対象のchkp言語フォルダに一致する言語名を付けたフォルダを作成します。

3. 空のmessages.jsファイルを作成し、変更したいメッセージのみを以下のフォーマットで挿入

します。

<variable_name>="<該当するテキスト>";

管理者権限を持たないユーザのインストール

SSL Network Extenderでは通常、ActiveXコンポーネントをインストールするには管理者権限が必

要です。管理者権限を持たないユーザがSSL Network Extenderを使用できるようにするには、管理

者が企業向けリモート・インストール・ツール（Microsoft SMS など）を使用し、SSL NetworkExtenderを設定する際のMSIパッケージとして、SSL Network Extenderのインストールを配布し

ます。

SSL Network ExtenderのMSIパッケージを準備するには、以下の手順に従います。

1. $FWDIR/conf/extenderにあるextender.cabファイルをWindowsコンピュータに移動し、

WinZipを使用してファイルを開きます。

2. cpextender.msiを抽出し、それをMSIパッケージとして使用してリモート・インストールを

行います。

Windows Vista、Mac、Linuxでは、管理者でないユーザでも、管理パスワードを知っていればSSLNetwork Extenderをインストールできます。この場合、通常の手順でSSL Network Extenderのインス

トールを実行し、要求に応じて管理パスワードを入力してください。

注： <language_name>には、スペースを入れないでください。

注：詳しくは、chkp/<言語名 >にある messages.js ファイルを参照してください。

ユーザによる SSL Network Extender の操作




このセクションでは、SSL Network Extenderのダウンロードや接続、クライアント証明書のイン

ポート、切断時のアンインストールなどのユーザの操作について説明します。

Microsoft Internet Explorer の設定

チェック・ポイントのSSL Network Extenderでは、ActiveXコントロールとクッキーを使用して、

インターネット経由でアプリケーションに接続します。これらのテクノロジを利用するには、アプ

リケーションがコンピュータにインストールされて正しく動作していることを確認するための特

別なブラウザ設定が必要となります。信頼済みサイトを設定するアプローチでは、SSL NetworkExtenderのポータルを信頼済みサイトの1つにします。このアプローチはセキュリティのレベルを

下げないため、強くお勧めします。ブラウザを設定するには、以下の手順に従います。

信頼済みサイトの設定

1. Internet Explorerで、［ツール］>［インターネットオプション］>［セキュリティ］を選択し

ます。

2. ［信頼済みサイト］を選択します。

3. ［サイト］をクリックします。

4. SSL Network ExtenderポータルのURLを入力して［追加］をクリックします。

5. ［OK］を2回クリックします。

Microsoft Internet Explorerの設定 557ページ

ActiveXコントロールについて 558ページ

クライアントのダウンロードと接続 558ページ

切断時のアンインストール 570ページ

Linux / Macオペレーティング・システムでのSSL Network Extenderの使用 570ページ

インポートした証明書の削除 575ページ


558

ActiveX コントロールについて

ActiveXコントロールは、MicrosoftのComponent Object Model（COM）アーキテクチャを基礎と

するソフトウェア・モジュールです。基本的なソフトウェア・パッケージに既製のモジュールをシー

ムレスに組み込むことによって、ソフトウェア・アプリケーションに機能を追加します。

インターネットでは、ActiveXコントロールをWebページにリンクしたり、ActiveX準拠のブラウ

ザでダウンロードしたりすることが可能です。 ActiveXコントロールによって、Webページがほか

のプログラムと同様の動作をするソフトウェア・ページに変わります。

SSL Network Extenderではアプリケーション内でActiveXコントロールを使用できます。 ActiveXを使用するには、各アプリケーションに必要なActiveXコンポーネントをダウンロードする必要が

あります。これらのコンポーネントをロードすると、アップグレードやアップデートが入手可能に

なるまで、ダウンロードしなおす必要はありません。 ActiveXコンポーネントを使用せずに、JavaAppletを使用することもできます。

クライアントのダウンロードと接続

次のセクションでは、SSL Network Extenderのダウンロードおよび接続方法について説明します。

クライアントをダウンロードするには、以下の手順に従います。

1. Internet Explorerで、ゲートウェイのSSL Network Extenderポータル（https://<ゲートウェイ

の名前または IP>）にアクセスします。以下のような［Security Alert］ウィンドウが表示され

ます。

図 28-4 ［Security Alert］ウィンドウ

注： Windows XP Professional および Windows 2000 の各オペレーティング・システムで

ソフトウェアをインストールまたはアンインストールするには、管理者権限が必要です。



このウィンドウは、信頼されるCAに指定していない認証局からサイトのセキュリティ証明書

が発行されていることを示しています。このサーバに接続する前に、サーバの証明書に署名し

たCAを信頼する必要があります（ユーザがどのCAを信頼してよいかは、システム管理者が

定義できます）。証明書を見て、続行するかどうかを決定できます。

2. ［Yes］をクリックします。

Integrity Clientless Securityが有効な場合は、ICS Webページが表示されます。

ICSで初めてスキャンされたユーザは、ICS ActiveXオブジェクトをインストールする必要があ

ります。

ICSを初めて使用するときは、［Server Confirmation］ウィンドウが表示されます。表示され

た ICSサーバが、組織のリモート・アクセス用サイトと同じであることの確認を要求するメッ

セージが表示されます。

図 28-5 ［Server Confirmation］ウィンドウ

3. 次のいずれかをクリックします。

• ［No］をクリックすると、エラー・メッセージが表示されてユーザのアクセスが拒否され

ます。

• 図 28-5で［Yes］をクリックすると、ICSクライアントがソフトウェアのスキャンを続

行します。また、［Save this confirmation for future use］チェック・ボックスをオン

にすると、次回のログイン時から［Server Confirmation］ウィンドウが表示されなくな

ります。

ICSサーバが確認されると、クライアントのコンピュータで自動ソフトウェア・スキャンが

実行されます。スキャンが完了すると、その結果と、処理を続行する方法が表示されます

（図 28-6を参照）。

注：管理者はユーザを http://<mngmt IP>:18264の URL に誘導して、この CA の証明書を

インストールして信頼を確立して今後このメッセージが表示されないようにすることができ

ます。


560

図 28-6 スキャン結果

ICSは、有害である可能性のあるソフトウェアを持つユーザがネットワークにアクセスするのを

防止し、企業で定められたウイルス対策およびファイアウォールのポリシーにユーザが従うよう

に要求します。ICSスキャンを正しく通過したユーザであると定義されるのは、そのユーザが

マルウェア、ウイルス対策プログラム、およびファイアウォールのスキャンを正しく受けてい

る場合のみです。マルウェアはそれぞれリンクとして表示され、選択すると、検出されたマル

ウェアの詳細を示すデータ・シートへリダイレクトされます。データ・シートには、検出され

たマルウェアの名前と簡単な説明、動作、および推奨される排除方法が記されています。



ユーザが使用できるオプションは、管理者が ICSサーバで設定します。オプションは以下の表

のとおりです。

4. ［Language］ドロップダウン・リストから別の言語を選択できます（図 28-6を参照）。 SSL Network Extenderポータルへ接続中に言語を変更すると、処理を続行すると接続が切断され

るので再接続が必要になるというメッセージが表示されます。

5. ［Skin］ドロップダウン・リストから別のスキンを選択できます（図 28-6を参照）。スキンの

変更は、SSL Network Extenderポータルに接続中でも可能です。

表 28-2 スキャンのオプション

スキャンのオプション説明

Scan Again ユーザにマルウェアの再スキャンを許可します。

このオプションは、望ましくないソフトウェア・

アイテムを手動で削除した後にスキャン結果を

更新するために使用します。

Cancel ユーザがポータルへのログインを続行できない

ようにし、現在のブラウザのウィンドウを閉じ

ます。

Continue Connectraクライアントの ICSがスキャン結果を

無視してログオン処理を続行するようにします。


562

6. ［Continue］をクリックします（図 28-6を参照）。

• 設定されている認証スキームが［User Password Only］の場合は、以下の［SSL Network Extender Login］ウィンドウが表示されます。

図 28-7 ［SSL Network Extender Login］ウィンドウ

［User Name］と［Password］フィールドを入力し、［OK］をクリックします。

• 設定されている認証スキームが［Certificate without Enrollment］で、ユーザがすでに

証明書を所有している場合。ユーザがまだ証明書を所有していない場合、アクセスは拒否

されます。

• 設定されている認証スキームが［Certificate with Enrollment］で、ユーザがまだ証明書

を所有していない場合は、登録ウィンドウが表示されます（図 28-8を参照）。

［Registration Key］にレジストレーション・キーを入力し、PKCS#12パスワードを選択

します。

［OK］をクリックします。 PKCS#12ファイルがダウンロードされます。

注：ユーザ認証が、SecurID や LDAP などのサード・パーティの認証メカニズムを経由して

実行されるように設定されている場合は、管理者はユーザに PIN またはパスワードの変更を

要求できます。そのような場合は［Change Credentials］ウィンドウが別に表示され、その

後ユーザが SSL Network Extender にアクセスできるようになります。



図 28-8 登録ウィンドウ

ここでユーザはそのファイルを開いて、以下のようにMicrosoftの証明書のインポート・

ウィザードを使用する必要があります。

Microsoftの証明書のインポート・ウィザードを使用した Internet Explorerへのクライアン

ト証明書のインストール

Internet Explorerへのクライアント証明書のインポートは、ブロードバンド・アクセス機

能を持つ家庭用PCと、ダイヤルアップ接続の企業用ラップトップ・コンピュータのいず

れのアクセスでも使用可能です。クライアント証明書は、SSL Network Extenderゲート

ウェイへ接続するときに、ブラウザが自動的に使用します。

クライアント証明書をインポートするには、以下の手順に従います。

a. ダウンロードした PKCS#12 ファイルを開きます。以下の［証明書のインポートウィザード］ウィンドウが表示されます。

注： Internet Explorer の［インターネットオプション］の［詳細設定］タブで、［暗号化さ

れたページをディスクに保存しない］をオンに設定することを、強くお勧めします。これに

より、証明書がディスクにキャッシュされなくなります。


564

図 28-9 ［証明書のインポートウィザード］ウィンドウ

b. ［次へ］をクリックします。以下の［インポートする証明書ファイル］ウィンドウが表示

されます。

図 28-10［インポートする証明書ファイル］ウィンドウ

P12というファイル名が表示されます。

c. ［次へ］をクリックします。以下の［パスワード］ウィンドウが表示されます。



図 28-11［パスワード］ウィンドウ

［秘密キーの保護を強力にする］をオンにすることを強くお勧めします。これによって、認

証が必要になるたびに設定に従って同意とクレデンシャルが要求されます。オンにしない

と、ユーザに対して完全に透過的に認証が行われます。

d. パスワードを入力し、［次へ］を2回クリックします。［秘密キーの保護を強力にする］を

オンにすると、以下の［新しい秘密交換キーをインポートします］ウィンドウが表示さ

れます。

図 28-12［新しい秘密交換キーをインポートします］ウィンドウ

• ［OK］をクリックすると、［セキュリティレベル］にデフォルト値である［中］が割

り当てられ、認証にユーザの証明書が必要になるたびにユーザの確認が要求される

ようになります。

• ［セキュリティレベルの設定］をクリックすると、以下のセキュリティレベルの設

定ウィンドウが表示されます。［高］または［中］を選択し、［次へ］をクリックし

ます。


566

図 28-13セキュリティレベルの設定ウィンドウ

e. ［完了］をクリックします。以下の［正しくインポートされました］ウィンドウが表示さ

れます。

図 28-14［正しくインポートされました］ウィンドウ

f. ［OK］をクリックします。

g. ブラウザを閉じて、再度開きます。インポートした証明書を使用してログインできるよう

になりました。

7. 初めてSSLゲートウェイに接続する場合は、VeriSignの証明書メッセージが表示され、ユーザ

がインストールの続行に同意することが要求されます。



図 28-15 VeriSign の証明書メッセージ

• Java Appletを使用して接続する場合は、以下の Javaのセキュリティ・メッセージが表示

されます。［Yes］をクリックします。

図 28-16 Java のセキュリティ・メッセージ

• システム管理者がアップグレードのオプションを設定している場合は、以下のアップグ

レード確認ウィンドウが表示されます。


568

図 28-17アップグレード確認ウィンドウ

［OK］をクリックすると、再認証が必要になり、新しいバージョンのSSL Network Extenderがインストールされます。

［キャンセル］をクリックすると、SSL Network Extenderが通常どおりに接続します（アッ

プグレード確認ウィンドウは、1週間は再度表示されません）。［SSL Network Extender］ウィンドウが表示されます。［Click here to upgrade］リンクがこのウィンドウに表示さ

れます。ここからでもアップグレードが可能です。［Click here to upgrade］リンクをク

リックすると、再認証を行ってからアップグレードが続行可能になります。

8. ユーザが初めて接続すると、クライアントが特定のゲートウェイに関連付けられることが通

知されます。［Yes］をクリックします。

図 28-18特定のゲートウェイに関連付けられるクライアント

ゲートウェイのサーバ証明書が認証されます。システム管理者がユーザに送ったフィンガープ

リントを持っているなら、自分に送信されたフィンガープリントとルートCAのフィンガープ

リントが同一であることを確認することを、強くお勧めします。

システム管理者はSmartDashboardの［Certificate Authority Properties］ウィンドウから、

すべての信頼されるルートCAのフィンガープリントを表示したり送信したりできます。

9. 認証を必要とするプロキシ・サーバをユーザが使用している場合は、［Proxy Authentication］ポップアップが表示されます。ユーザは自分のプロキシのユーザ名とパス

ワードを入力して、［OK］をクリックします。

10. Windows Vistaで接続している場合は、Windowsのファイアウォールに関するメッセージが

表示されます。［ブロックを解除する］をクリックします。



［SSL Network Extender Connection］ウィンドウが以下の図のように開いたままになっている

か、または（システム・トレイに）小化されている状態であれば、いつでもクライアントを利用

できます。

図 28-19クライアントが接続された状態

初にSSL Network Extenderをインストールすると、Check Point SSL Network Extender という

新しいWindowsサービスと、新しい仮想ネットワーク・アダプタが追加されます。新しいネット

ワーク・アダプタは、コマンド・ラインでipconfig /allと入力すると表示されます。

仮想ネットワーク・アダプタとCheck Point SSL Network Extenderサービスは両方とも、製品のアン

インストール中に削除されます。

製品のインストール、アップグレードまたはアンインストールの後に、クライアント・コンピュー

タを再起動する必要はありません。

11. 操作を完了したら、［Disconnect］をクリックしてセッションを終了します。ウィンドウが

小化されている場合は、アイコンを右クリックして［Disconnect］をクリックします。ウィンドウが閉じます。

注：アダプタとサービスの設定は変更できません。 IP の割り当てや更新、解放は自動的に行

われます。

注： Check Point SSL Network Extender サービスは、仮想ネットワーク・アダプタと DHCPクライアント・サービスの両方に依存します。したがって、ユーザのコンピュータで DHCPクライアント・サービスを無効にすることはできません。


570

切断時のアンインストール

管理者が、アンインストールするかどうかをユーザに確認するように切断時のアンインストールを

設定している場合、ユーザは以下の手順で切断時のアンインストールを設定できます。

切断時のアンインストールを設定するには、以下の手順に従います。

1. ［Disconnect］をクリックします。以下の図で示す切断時のアンインストールを確認する

ウィンドウが表示されます。

図 28-20切断時のアンインストール

2. アンインストールする場合は［OK］をクリックします。

図 28-20で［Cancel］をクリックすると、SSL Network Extenderはアンインストールされず、

以下のメッセージが表示されます。

［OK］をクリックすると、次にユーザがSSL Network Extenderに接続した際にも、切断時の

アンインストール・ウィンドウが表示されます。

Linux / Mac オペレーティング・システムでの SSL Network Extender の使用

Linuxからは以下の2つの方法でネットワーク・アプリケーションにアクセスできます。

• Java

• コマンド・ライン

Java1. 初めて接続したときに、SSL Network Extenderのインストール・アーカイブ・パッケージが

ダウンロードされます。

このプロセスは、Windows Javaのインストールと似ています。



2. ルート・アクセス権を持っていないユーザがパッケージをインストールする場合は、ルート・

パスワードの入力が要求されます。パスワードを入力し、Enterキーを押します。

インストールが終了すると、アプレットが接続を試行します。

初めて接続するときは、以下のウィンドウが表示されます。

図 28-21フィンガープリントの検証

システム管理者が送ったフィンガープリントを持っている場合は、ウィンドウに表示されている

フィンガープリントとルートCAのフィンガープリントが同一であることを確認することを、

強くお勧めします。

3. ［Yes］をクリックして確認します。

コマンド・ライン

SSL Network Extenderのインストール・アーカイブ・パッケージをダウンロードするには、以下の

手順に従います。

1. ［Network Applications Settings］ウィンドウで、［For Linux command line SSL Network Extender installation click here］という文の中の［click here］をクリックします。ユーザ

のホーム・ディレクトリに、シェル・アーカイブ・パッケージがダウンロードされます。

インストール・スクリプトを実行する前に、そのファイルに対する実行権限があることを確認

してください。実行権限を追加するには、chmod + x snx_install.shコマンドを使用します。


572

2. SSL Network Extenderの手動インストール・パッケージをダウンロードします。

以下のリンクが表示されます。

• Download MSI installation package for Windows

• Download command line SSL Network Extender for Linux

• Download command line SSL Network Extender for Macintosh

3. 適切なオペレーティング・システムを選択します。

ユーザのホーム・ディレクトリに、シェル・アーカイブ・パッケージがダウンロードされます。

4. snx_install.shを実行してインストール・スクリプトを実行します。

ルート・アクセス権を持っていないユーザがパッケージをインストールする場合は、ルート・

パスワードの入力が要求されます。パスワードを入力し、Enterキーを押します。

5. インストール後に接続するには、以下の操作を行います。

---------- SNXコマンドを使用して接続

Server_1:/ snx -s <server name> -u <user name>

Check Point's Linux SNX

build 5416000XX

---------- パスワードを入力

Please enter your password:

SNX authentication:

Please confirm the connection to gateway: <server name>

Root CA fingerprint: MOOD TREK ALP EEL FILM MESH RUBY BELA MACE

TEND DRY PUT

---------- フィンガープリントが有効であれば承諾

Do you accept? [y]es/[N]o:y

SNX - connected

Session parameters:

===================

Office Mode IP : 9.1.3.9

DNS Server : 19.18.17.16

DNS Suffix : domain.com

Timeout:10 minutes



6. インストール後に接続するには、以下の操作を行います。

---------- 以下を実行して切断

Server_1:/ snx -d

SNX - Disconnecting... done.

SSL Network Extender のコマンドの属性

表 28-3 SSL Network Extender のコマンドの属性

属性説明

snx -f <configuration file> デフォルトの名前や場所ではなく、設定ファイルで

定義されたパラメータを使用して、SSL NetworkExtenderを実行します。

snx -d Connectraから切断します。

snx -s <server> サーバの IPまたはホスト名を指定します。

snx -u <username> 有効なユーザを指定します。

snx -c <certificate file> 認証に使用する証明書を指定します。

snx -l <CA directory> CAの証明書を保存するディレクトリを定義します。

snx -p <port> HTTPSポートを変更します（デフォルトのポートは

TCP 443）。snx -g デバッグを有効にします。snx.elgログ・ファイルが

作成されます。

snx -e <cipher> 特定の暗号化アルゴリズムの使用を強制します。

有効な値はRC4と3DESです。


574

設定ファイルの属性

SSL Network Extenderの属性は、ユーザのホーム・ディレクトリにある設定ファイル（.snxrc）を使用して設定できます。 SSL Network Extenderコマンドを実行すると、ファイルに保存され

ている属性がSSL Network Extenderコマンドで使用されます。別の名前のファイルを実行す

るには、snx -f <filename>コマンドを実行してください。

表 28-4 設定ファイルの属性

属性説明

サーバサーバの IPまたはホスト名を指定します。

sslport HTTPSポートを変更します（デフォルトのポートは

TCP 443）。username 有効なユーザを指定します。

certificate 認証に使用する証明書を指定します。

calist CAの証明書を保存するディレクトリを定義します。

reauth 再認証を有効にします。有効な値 - {yes, no}debug デバッグを有効にします。snx.elgログ・ファイルが

作成されます。有効な値は {yes, no}です。 Javaの実

行時にデバッグを有効にするには、ホーム・ディレ

クトリに作成した .snxrcファイルにdebug yes行を

記述します。

cipher 特定の暗号化アルゴリズムの使用を強制します。

有効な値はRC4と3DESです。

proxy_name プロキシのホスト名を定義します。

proxy_port プロキシのポートを定義します。

proxy_user プロキシのユーザを定義します。

proxy_pass プロキシ認証用のパスワードを定義します。

注：プロキシ情報は設定ファイルで設定します。コマンド・ラインから直接設定することは

できません。



インポートした証明書の削除ブラウザに証明書をインポートすると、手動で削除するまで証明書は保存されたままになり

ます。ブラウザが他人のものである場合は、証明書を削除することを強くお勧めします。

インポートした証明書を削除するには、以下の手順に従います。

1. 以下の図で示す［インターネットオプション］ウィンドウで、［コンテンツ］タブをクリック

します。

図 28-22［インターネットオプション］ウィンドウ

2. ［証明書］をクリックします。以下の［証明書］ウィンドウが表示されます。


576

図 28-23［証明書］ウィンドウ

3. 削除する証明書を選択して、［削除］をクリックします。



トラブルシューティングここでは、問題が発生した場合の解決方法のヒントを示します。

SSL Network Extender の問題外部のSSL Network Extender ゲートウェイに直接送信したユーザのパケットのうち、SSLNetwork Extenderで暗号化されないものがある。

SSLトンネルを経由してゲートウェイへ明示的に接続する必要がある場合は、暗号化ドメイン

の一部である内部インタフェースに接続します。

SSL Network Extenderゲートウェイではユーザが証明書によって自分自身を認証できるため、

SSL Network Extenderゲートウェイに接続すると、「表示しようとしているWebサイトには身元

確認が必要です。接続時に使用する証明書を選択してください。」というメッセージが表示される。

このメッセージがユーザ側で表示されないようにするには、次の2つの解決策があります。

1. クライアント・コンピュータで、Internet Explorerを起動します。［ツール］>［インター

ネットオプション］>［セキュリティ］タブを選択し、［イントラネット］>［サイト］を

選択します。ここでローカル・イントラネット・ゾーンに、クライアント認証のポップ

アップを表示しないSSL Network Extenderゲートウェイを追加します。［詳細設定］を

クリックし、ゲートウェイの外部 IPまたはDNS名を既存のリストに追加します。

2. クライアント・コンピュータで、Internet Explorerを起動します。［ツール］>［インター

ネットオプション］>［セキュリティ］タブを選択し、［インターネット］>［レベルの

カスタマイズ］を選択します。［その他］セクションで、［既存のクライアント証明書が

1つ、または存在しない場合の証明書の選択］を［有効にする］に設定します。［OK］を

クリックします。［警告］ウィンドウで［はい］をクリックします。［OK］を再度クリッ

クします。

クライアント・コンピュータにSecuRemote/SecureClientソフトウェアがインストールされてい

て「透過モード」で動作するように設定されており、その暗号化ドメインにSSL Network Extenderゲートウェイが含まれているか、SSL Network Extenderの暗号化ドメインと重複している場合、

SSL Network Extenderが誤動作する。

この問題を解決するには、SecuRemote/SecureClientで重複しているサイトを無効にします。

注：この方法ではすべてのインターネット・サイトでの Internet Explorer の動作が変更され

るので、より高い精度が必要な場合は、1 つ目の解決策を参照してください。


578

クライアント・コンピュータにSecuRemote/SecureClientソフトウェアがインストールされてい

て「コネクト・モード」で動作するように設定されており、その暗号化ドメインにSSL NetworkExtenderゲートウェイが含まれているか、SSL Network Extenderの暗号化ドメインと重複して

いる場合、SSL Network Extenderが誤動作する。

この問題を解決するには、allow_clear_traffic_while_disconnectedのフラグが「True」（デ

フォルト値）であることを確認します。

SSL Network Extender接続ではSCVルールに一致しないため、SecureClient接続でSCVルール

に一致させるには、SecureClientユーザとSSL Network Extenderユーザを区別する必要がある。

区別する方法の1つは、ルールベースのSCV機能を使用することです。トラディショナル・

モードで［Apply Rule Only if Desktop Configuration Options are verified］を選択すると、2種

類のルールを設定できます。選択した（SCV）ルールではSecureClient接続のみが通過します

が、選択されていないルールでは、SecureClientおよびSSL Network Extender接続が通過さ

れます。シンプル・モードでは、管理者はSCVチェックから除外するサービスを指定できま

す。そのようなサービスにSecureClientクライアントやSSL Network Extenderクライアントが

アクセスしようとすると、SCVが検証されなくてもアクセスが許可されます。両方のクライア

ントで指定したサービスでは、SCVが適用されません。

ICS の問題

ユーザがスキャンを通過しない（［Continue］ボタンが表示されない）。

ユーザがポリシーの要件に一致しなかったと考えられます。

• 「ユーザ・グループごとの ICS」の機能を使用していない場合は、ユーザが適切なポ

リシーを使用しているかどうかを確認します。

• ポリシーに従って、ユーザをブロックしている要素の削除方法をユーザに説明します。

ユーザがグループのURLにアクセスできない。

• URLに記述されているグループが、適切な xmlファイルと共に ics.groupファイルに

記述されていることを確認します。

• グループに割り当てられたxmlファイルが$FWDIR/conf/extenderにあることを確認

します。

• ics.groupファイルの変更後にインストール・ポリシーが作成されていることを確認

します。



ユーザが ICSスキャンを通過したが、接続しようとすると「Wrong ICS Scan」というエラーが

発生する。

ユーザが通過したスキャンは、そのユーザ自身が属していないグループ用のスキャンです。

• ユーザが使用しているURLが正しいことを確認します。

• SmartView Trackerを確認します。ユーザのスキャンの際に使われた xmlファイルが

ログに記載されています。

• このファイルがユーザのグループ・ファイルと同じであることを確認します。同じで

ない場合は、ユーザを正しいURLに誘導します。


580

581

第章29接続性の問題の解決

この章の構成

接続性を解決する機能の必要性 582ページ

接続性の問題に対するチェック・ポイント・ソリューション 583ページ

NAT関連の問題の解決 584ページ

インターネット・アクセスの制限の解決 590ページ

リモート・アクセスの接続性の設定 594ページ

接続性を解決する機能の必要性

582

接続性を解決する機能の必要性ゲートウェイ間のVPNに関して接続性の問題がいくつか存在しますが、リモート・アクセス・クラ

イアントには特別な課題があります。リモート・クライアントはもともとモバイル機器です。午前

中はパートナー企業のネットワーク内で使用され、夕方はホテルのLANに接続されたり、ある種の

実施デバイスやNATデバイスの背後に接続されたりすることがあります。そのような状況では、以

下のような接続性の問題がいくつか発生します。

• 断片化をサポートしないNATデバイスに関する問題

• 実施デバイスでのサービスやポートのフィルタに関する問題

接続性の問題に対するチェック・ポイント・ソリューション

第 29 章接続性の問題の解決 583

接続性の問題に対するチェック・ポイント・ソリューション

チェック・ポイントでは、以下のような数々の機能で、NATに関連する接続性の問題を解決します。

• IKE over TCP

• 小さい IKEフェーズ IIプロポーザル

• UDPカプセル化

• IPSecパス大転送単位（IPSec PMTU）

チェック・ポイントでは、ビジター・モード（以前はTCPトンネリングと呼んでいたもの）でポー

トが閉じられている際に起こる問題を解決します。

その他の接続性の問題

リモート・クライアントが内部ネットワーク上の IPと一致する IPアドレスを受信した場合など、そ

の他の接続性の問題が発生する場合があります。このようなルーティングの問題は、オフィス・モー

ドを使用して解決します。詳細については、「オフィス・モード」を参照してください。

その他の、ゲートウェイによって保護された内部ネットワーク上で検出されたDNSサーバに関す

るドメイン名の解決などの問題は、スプリットDNSで解決します。スプリットDNSの詳細につい

ては、「リモート・アクセスの高度な設定」を参照してください。

NAT 関連の問題の解決

584

NAT 関連の問題の解決パケットの断片化をサポートしていないHide NATデバイスでは、NAT関連の問題が発生します。

リモート・アクセス・クライアントがピア・ゲートウェイとVPNトンネルを作成しようとすると、

IKEまたは IPSecパケットがMTU（大転送単位）の値よりも大きくなることがあります。作成さ

れたパケットがMTUより大きい場合、オペレーティング・システムのTCP/IPスタックのデータ・

リンク層でパケットが断片化されます。

このようなパケットの断片化をサポートしていないHide NATデバイスの背後にリモート・アクセ

ス・クライアントがある場合、以下のような問題が発生します。

図 29-1 UDP の断片化



Hide NATでは、IPヘッダだけでなく、UDPヘッダに含まれるポート情報も変更します。図 29-1で

は、UDPパケットが長すぎるためにリモート・クライアントでパケットが断片化されるところを示

しています。 1つ目の断片は、IPヘッダとUDPヘッダ、およびデータの一部分で構成されます。 2つ目の断片は、IPヘッダと2つ目のデータの断片のみで構成されます。 NATデバイスでは、すべて

の断片が到着するまで待機したり、組み立てなおしてNATを実行したりすることができません。

1つ目の断片を受信すると、NATデバイスは IPヘッダのアドレス情報とUDPヘッダのポート情報

を正しく変換し、パケットを転送します。 2つ目の断片を受信しても、2つ目のパケットにはUDPヘッダが含まれていないためNATデバイスではポート情報を変換できません。したがってパケット

が欠落し、 IKEネゴシエーションは失敗します。

IKE フェーズ I の実行中

サイズの大きなUDPパケットが発生する原因を理解するには、IKEの初のフェーズを詳しく調べ

る必要があります。IKEフェーズ Iの間、リモート・アクセス・クライアントとゲートウェイは互い

に相手を認証しようとします。認証方法の1つとして、証明書の使用があります。証明書または証

明書失効リスト（CRL）が長いと、その結果UDPパケットが大きくなり、リモート・クライアン

トのオペレーティング・システムによって断片化されます。

IKE Over TCPIKE over TCPでは、IKEフェーズ Iで作成される大きなUDPパケットの問題を解決します。IKEネ

ゴシエーションは、TCPパケットを使用して実行します。TCPパケットは断片化されず、TCPパ

ケットの IPヘッダでは、DFフラグがオンになります（「断片化しない」という意味）。フェーズ I中の IKEネゴシエーションのピアの間で、完全なTCPセッションが開きます。

IKE フェーズ II の実行中

リモート・アクセス・クライアントには、暗号化と完全性チェックの方式に関するポリシーがあり

ません。リモート・アクセス・クライアントでは、一連のプロポーザルによって暗号化と完全性

チェックの方式をネゴシエートするため、可能性のあるゲートウェイの組み合わせに対してすべて

ネゴシエートする必要があります。このため大きなUDPパケットが作成され、このパケットはリ

モート・クライアントのOSによって再度断片化されてから送信されます。リモート・クライアン

トの前にあるNATデバイスでは、UDPヘッダ（ポート情報を含む）のないパケットが欠落します。

IKEネゴシエーションは再び失敗します。

注： VPN-1 Power のピアがプリシェアード・シークレットを使用して互いに認証した場合は、

大きな UDP パケットは作成されません。ただし、証明書はより安全なので、この方法をお

勧めします。


586

フェーズ Iと同様に IKE over TCPを再度使用しない理由

IKE over TCPでは長いパケットの断片化の問題は解決されますが、フェーズ IIでは場合によって、

ゲートウェイがリモート・クライアントへの接続を開始する必要があります。フェーズ Iを開始す

るのはリモート・クライアントのみですが、フェーズ IIでの鍵の更新の必要性はいずれの側でも認

識できます。ゲートウェイが鍵の更新の必要性を認識すれば、ゲートウェイが接続を開始します。

ゲートウェイが接続を開始すると、ゲートウェイではNATデバイスの IPアドレスを認識しますが、

NATデバイスの背後のリモート・クライアントに変換されるポート番号を供給することはできませ

ん。前回の接続中に使用したポート番号は一時的なもので、すぐに変更されます。NATデバイスは

リモート・クライアントへ正しく接続を転送できないため、ゲートウェイによって開始された接続

は失敗します。

IKE over TCPの使用は可能ですが、そのためにはTCP接続が常時開いている必要があります。セッ

ションが開いているとゲートウェイ上のソケットを予約するため、貴重なシステム・リソースが消

費されます。より合理的な解決策は、UDPの「キープアライブ」パケットをゲートウェイに送信す

ることによってNATデバイス上のポートを開いたままにしておき、その後通常の方法で IKEフェー

ズ IIを実行することです。しかし、UDPパケットを短くして断片化を防ぐことは必要となります。

小さい IKE フェーズ II プロポーザル

ゲートウェイとリモート・ピアはいずれも、少数の暗号化および完全性チェックの方式を提示して

IKEネゴシエーションを開始します。より一般的な方式は、小さいプロポーザルに含まれます。

リモート・クライアントとゲートウェイの間でプロポーザルが一致すると、提案された方式が使用

されます。一致するプロポーザルが見つからない場合は、大量のプロポーザルが作成されます。通常は小さいプロポーザルで一致するものが見つかるため、断片化は問題になりません。しかし、場

合によっては一致するプロポーザルが見つからないために大量のプロポーザルを作成する必要が

あることがあります。これは、リモート・ゲートウェイがAES-128を使用して暗号化しているが、

小さいプロポーザルにAES-128が含まれていない場合などに発生します。

大量のプロポーザルが作成されると、結果的にUDPパケットが大きくなります。このような大きな

パケットはクライアント上のTCP/IPスタックのデータ・リンク層で再度断片化され、断片化をサ

ポートしていないHide NATデバイスでは破棄されます。 AES-128のケースでは、AES-128を優先

的な方式として定義することで、この暗号化方式を小さいプロポーザルに含めることができます。



IPSec の実行中

NAT トラバーサル（ファイアウォールとプロキシの UDP カプセル化）

IKEフェーズ Iと IIのネゴシエーションに成功すると、IPSecの段階に移行します。 3DESなどで暗

号化され、MD5で（完全性のために）ハッシュされたデータのペイロードは、IPSecパケット内に

配置されます。しかし、この IPSecパケットにはTCPまたはUDPヘッダは含まれていません。 HideNATデバイスは、ヘッダ内のポート情報を変換する必要があります。 TCP/UDPヘッダはデータの

ペイロードと共に暗号化されているため、NATデバイスで読み取ることはできません。

ポート番号を追加する必要があります。以下の図に示すように、UDPカプセル化は、読み取り可能

なポート情報を含む特別なUDPヘッダを IPSecパケットに追加するプロセスです。

図 29-2 UDP カプセル化

新しいポート情報は、元のポート情報とは異なります。ポート番号2746が発信元ポートと宛先ポー

トの両方に含まれます。 NATデバイスはHide処理に発信元ポートを使用しますが、宛先アドレスと

ポート番号は変わりません。ピア・ゲートウェイが宛先アドレスのポート番号として2746を受信

すると、ゲートウェイはルーチンを呼び出してパケットのカプセル化を解除します。

IPSec パス大転送単位

IPSecパスMTUは、IPSecパケットの断片化に対処する手段です。データ・リンク層には、物理

ネットワーク上で送信可能なパケットのサイズに上限が設けられています。これを、大転送単位

またはMTUといいます。パケットを送信する前に、オペレーティング・システムのTCP/IPスタッ

クがローカル・インタフェースに照会してMTUを取得します。 TCP/IPスタックの IP層がローカル・

インタフェースのMTUとパケットのサイズを比較し、必要に応じてパケットを断片化します。


588

リモート・クライアントが複数のルータを経由してゲートウェイと通信する場合、すべてのルータ

の中でも小さいMTUが重要となります。このMTUをパスMTU（PMTU）といいます。リモート・

アクセス・クライアントには、IPSecパケットが大きすぎる場合でもクライアントのOSが IPSecパケットを断片化しないようにするための、特別な IPSec PMTU検出メカニズムが存在します。

しかし、インターネット上のルーティングは動的であるため、リモート・クライアントとゲート

ウェイの間のPMTUは一定ではありません。ゲートウェイからクライアントへのルートは両方の方

向で異なる場合があり、この場合それぞれの方向に独自のPMTUがあります。 VPNでは、以下の2つの方法でこの問題に対応します。

• アクティブ IPSec PMTU

• パッシブ IPSec PMTU

アクティブ IPSec PMTU

IKEフェーズ IIが終了してから IPSecステージが開始するまでの間に、リモート・アクセス・クラ

イアントはさまざまなサイズの特殊な検出用 IPSecパケットをゲートウェイに送信します。パケッ

ト上のDF（do not fragment）ビットが設定されます。すべてのルータのMTUよりもパケットが長

い場合、ルータでパケットが欠落し、ICMPエラー・メッセージがリモート・クライアントに送信

されます。断片化されなかったも長いパケットから、リモート・クライアントは適切なPMTUを

解決します。このPMTUは、OSへ直接伝達されません。 TCPでの3方向ハンドシェイク中、SYNおよびSYN-ACKパケット上の大セグメント・サイズ（MSS）がPMTUを反映して変更されます。

オペレーティング・システムではこのことは認識されません。これを、アクティブ IPSec PMTUと

いいます。

図 29-3 IPSec 検出パケット



パッシブ IPSec PMTU

パッシブ IPSec PMTUはインターネット上での動的なルーティング問題を解決します。パッシブ

IPSec PTMUは、ルーティングのパスが変わったことによる ICMPエラー・メッセージをいずれか

の側で受信した場合に発生する処理です。ルートはインターネット上で動的に変化するため、DFビットが設定されているパケットを別のルータで断片化する必要がある場合、ルータはそのパケッ

トを破棄し、「cannot fragment」という ICMPエラー・メッセージを生成します。エラー・メッセー

ジは、パケットを送信したVPN-1 Powerピアに送信されます。ピアはこのエラー・メッセージを受

信すると、PMTUを減少させて再転送します。

NAT および負荷共有クラスタ

図 29-4では、NATデバイスの背後にあるリモート・クライアントが負荷共有クラスタに接続して

いるところを示しています。

図 29-4 NAT および負荷共有クラスタ

クラスタ・メンバの間にフェイルオーバーが発生しても接続を維持するためには、［GlobalProperties］>［Remote Access］>［Enable Back connections from gateway to client］で「キー

プアライブ」機能を有効にする必要があります。

これは、ゲートウェイのクラスタ側でNATを実行する場合にも当てはまります。

注：システム管理者の視点からは、PMTU には設定は不要です。アクティブもパッシブも、

IPSec PMTU 検出メカニズムは自動的に動作します。

インターネット・アクセスの制限の解決

590

インターネット・アクセスの制限の解決ユーザがホテルや顧客のオフィスなどの離れた場所から組織に接続した場合、インターネットの接

続性が、HTTPに指定された標準のポート（一般的にはHTTPでポート80、HTTPSでポート443）を使用したWebブラウジングに限定される場合があります。リモート・クライアントではポート

500で IKEネゴシエーションを行ったり IPSecパケット（IPSecは別のプロトコルで、予測される

TCPパケットではない）を送信したりする必要があるため、通常の方法でVPNトンネルを確立で

きません。この問題は、ビジター・モード（以前はTCPトンネリング）で解決されます。

ビジター・モード

ビジター・モードでは、ポート443での通常のTCP接続を通じて、クライアントとゲートウェイ間

のすべての通信のトンネリングを行います。

図 29-5 ビジター・モード

クライアントとサーバの間の必要なすべてのVPN接続性（IKE、IPsecなど）が、このTCP接続内

でトンネリングされます。これは、ピア・ゲートウェイがポート443でビジター・モード（TCP）のサーバを実行する必要があることを意味しています。

注： • 図 29-5でのリモートにあるゲートウェイがチェック・ポイント製品でない（別のベン

ダー製のゲートウェイ）場合でも、ビジター・モードでは引き続きそのゲートウェイを

通じて接続がトンネリングされます。

• ビジター・モードでは、新しいサイトは定義できません。

• トポロジの更新が行われるのは、ビジター・モードを有効にしたプロファイルが後の

接続で使用された場合のみです。



ユーザの数

ビジター・モードのサーバの適なパフォーマンスを得るには、以下の処理を行います。

• パフォーマンスが低下したら、ビジター・モードが許可されたユーザの数を小限にする

• OSの該当する値（Linuxシステムのソケット・ディスクリプタなど）を編集して、使用可能

なソケットの数を増やす

カスタム・ポートの割り当て

ある組織がビジター・モードのサーバ用に、一般的に割り当てられるポート443でなくカスタマイ

ズされたポートを使用しようと決定したとします。このシナリオでは、すべてのリモート拠点と

ホームが相互に同意した別のポートが、ビジター・モード用に使用できます。このソリューション

では、ビジネス・パートナーとの間ではうまく機能します。単にパートナーがビジター・モードの

接続用のポートを開くことに同意すればよいのです。選択されたポートが、SmartDashboardで事

前に定義されたサービスによって指定されていない場合は、ポートを使用するためにサービスを作

成する必要があります。ポートについて相互に同意が成立していて、プロキシが存在する場合は、

このポート宛てにトラフィックを送信できるようにプロキシを設定します。

ビジター・モードとプロキシ・サーバ

リモートでプロキシ・サーバを実行する場合でも、ビジター・モードを使用できます。このシナリ

オでは、リモート・ユーザがビジター・モード接続をプロキシ・サーバを通過させることができます。

図 29-6 プロキシ・サーバの導入

注：ピア・ゲートウェイ上で動作しているビジター・モードのサーバでは 1 つのポートでし

か listen を実行していないので、すべてのパートナーのゲートウェイが同じ割り当てポートを

使うことを合意している必要があります。


592

ポート 443 が HTTPS サーバに使用されている場合のビジター・モード

組織のゲートウェイにあるサーバによってHTTPS接続用にポートが予約されている場合など、指

定されたポートがすでに使用中の場合は、SmartCenterサーバに「Visitor Mode Server failed tobind to xxx.xxx.xxx.xxx:yy (either port was already taken or the IP address does not exist)」というログが送信されます。

ピア・ゲートウェイがすでに通常のHTTPサーバを実行していて、それがHTTPSのポート443で

も listenしている場合は、公開 IPアドレスを持つ外部インタフェースを2つ（HTTPサーバ用とビ

ジター・モードのサーバ用に1つずつ）設定する必要があります。後者のルーティング可能なアド

レスは、以下の2つの方法で取得できます。

• ビジター・モードのサーバに追加のネットワーク・インタフェースをインストールする

• ポートを遮断している同じネットワーク・インタフェース上で仮想 IPを利用する

ビジター・モードのサーバを実行しているゲートウェイ・オブジェクトで、［General Properties］>［Remote Access page］を選択すると、［Allocated IP address］の設定が表示されます。使用

可能なすべての IPアドレスを、ビジター・モードの接続をポート443で listenするように設定でき

ます。

SecurePlatform/Nokia でのビジター・モード

LinuxおよびNokiaマシンで動作しているSecurePlatformは、HTTPSサーバが動作しています。こ

のサーバはゲートウェイ上で動作し、ポート443で listenします。これらのHTTPSサーバでは自動

的にすべての使用可能な IPアドレスをバインドするため、追加のネットワーク・インタフェースを

インストールしたり、ビジター・モードのサーバの仮想 IPを利用したりすることは適切ではなく、

お勧めしません。

このような場合は、ビジター・モード用に443を予約することをお勧めします。ホテルなどから接

続するユーザがポート80および443経由でしか接続を許可されないためです。これらの設定済み

HTTPSサーバには、ビジター・モードのサーバと競合しないポートを割り当てる必要があります。

MEP 環境でのビジター・モード

ビジター・モードは、MEP環境でも機能します。詳細については、507ページの「ビジター・モー

ドとMEP」を参照してください。



インタフェースの解決

ビジター・モード環境でインタフェースの解決をするためには、静的な IP解決を使用するか、イン

タフェースを1つビジター・モード専用にすることをお勧めします。

注：ビジター・モードは、Internet Explorer 4.0 以上でのみサポートされています。

リモート・アクセスの接続性の設定

594

リモート・アクセスの接続性の設定このセクションでは、以下の項目について説明します。

IKE Over TCP の設定1. ゲートウェイで、［Global Properties］>［Remote Access］ページ>［VPN-Basic］サブ

ページ>［IKE over TCP］セクションを開きます。［Gateways support IKE over TCP］を

選択します。

2. 接続プロファイルで IKE over TCPを有効にします。リモート・ユーザはコネクト・モードで

作業して自動的にプロファイルを受信します。設定を行うには、以下の手順に従います。

a. ファイル・メニューから、［Manage］>［Remote Access］>［Connection profiles...］を選択すると、［Connection Profiles］ウィンドウが開きます。［New...］をクリックします。

b. ［Connection Profile Properties］ウィンドウが開きます。［Advanced］タブで、

［Support IKE over TCP］を選択します。

ユーザがコネクト・モードで作業していない場合は、クライアント上で手動で IKE over TCPを有

効にする必要があります。

ゲートウェイで IKE over TCPが有効になっている場合、IKE over UDPも有効になります。リモー

ト・クライアントでは、IKE over TCPを有効にするプロファイルでクライアントが動作している場

合のみ、IKE over TCPがサポートされます。

IKE Over TCPの設定 594ページ

小さい IKEフェーズ IIプロポーザルの設定 595ページ

NATトラバーサル（UDPカプセル化）の設定 595ページ

ビジター・モードの設定 596ページ

プロキシ・サーバで作業するリモート・クライアントの設定 597ページ



小さい IKE フェーズ II プロポーザルの設定

小さい IKEフェーズ IIプロポーザルには常にAES-256が含まれますが、AES-128は含まれません。

小さいプロポーザルにAES-128を含めるには、以下の手順に従います。

1. コマンド・ラインのデータベース編集ツールDBeditを開きます。小さいプロポーザルを使用

するかどうかを制御するプロパティは2つあります。NG with Application Intelligenceより古

いバージョン向けのプロパティと、NG with Application Intelligence向けのプロパティです。

• phase2_proposal ― 古いクライアント（NG with Application Intelligenceより古いバー

ジョン）が小さいプロポーザルを試行するかどうかを指定します。デフォルトは「false」です。

• phase2_proposal_size ― 新しいクライアント（NG with Application Intelligence）が

小さいプロポーザルを試行するかどうかを指定します。デフォルトは「true」です。

2. ［Global Properties］>［Remote Access］ページ>［VPN -Advanced］サブページ>［User Encryption Properties］セクションで、［AES-128］を選択します。ここで、リモー

ト・ユーザが小さいプロポーザルとしてAES-128を提示するように設定します。

NAT トラバーサル（UDP カプセル化）の設定

ゲートウェイ・ネットワーク・オブジェクトで、以下の手順でUDPカプセル化を有効にし、UDPカプセル化を処理するポートを決定します。

1. ［General Properties］>［Remote Access］ページ>［NAT Traversal］セクションで、

［Support NAT traversal mechanism (UDP encapsulation)］を選択します。

2. ［Allocated port］ドロップダウン・リストからポートを選択します。デフォルトは

［VPN1_IPSec_encapsulation］です。

3. リモート・アクセスの処理中は、UDPカプセル化を行う IKEフェーズ IIプロポーザルと行わ

ないプロポーザルの両方が提案されます（ゲートウェイ間ではUDPカプセル化は行われま

せん）。既存の小さい IKEフェーズ IIプロポーザルを縮小しないのであれば、クライアントで

UDPを有効にする必要はありません。接続プロファイルでUDPカプセル化を有効にします。

リモート・ユーザはコネクト・モードで作業して自動的にプロファイルを受信します。設定を

行うには、以下の手順に従います。

a. ファイル・メニューから、［Manage］>［Remote Access］>［Connection profiles...］を選択すると、［Connection Profiles］ウィンドウが開きます。［New...］をクリックします。

b. ［Connection Profile Properties］ウィンドウが開きます。［Advanced］タブで

［Force UDP Encapsulation］を選択します。


596

ユーザがコネクト・モードで作業していない場合は、クライアント上で手動でUDPカプセル化を

有効にする必要があります。クライアントのファイル・メニューで、［Tools］>［Advanced IKESettings］を選択し、［Force UDP Encapsulation］を選択します。

ゲートウェイでUDPカプセル化を選択すると、カプセル化されたVPNトラフィックとカプセル化

されていないトラフィックの両方がゲートウェイでサポートされます。

ビジター・モードの設定

ビジター・モードでは、サーバとクライアントの両方を設定する必要があります。507ページの「ビ

ジター・モードとMEP」も参照してください。

サーバの設定

VPN-1 PowerのTCPトンネリング機能を有効にするには、以下の手順に従います。

ビジター・モードのサーバを実行しているゲートウェイ・オブジェクトの［Remote Access］ペー

ジ>［Visitor Mode］セクションで、［Support Visitor Mode］を選択します。

• TCPTサーバにポート443が割り当てられている場合は、［Allocated Port］セクションのデ

フォルトである［tcp https］を変更しないでください。

• カスタム・ポート（デフォルトとは別のポート）について同意されている場合は、ドロップ

ダウン・メニューからそのポートに対応するサービスを選択します。選択したポートが、

SmartDashboardで事前に定義されたサービスによって指定されていない場合は、サービスを

作成します。

• ［Allocated IP Address］のデフォルトは［All IPs］です。ポートの競合を避けるためには、

ビジター・モードのサーバ用に、ルーティングが可能で有効かつ適切な IPを選択します。サーバで［Dynamic Interface Resolving Configuration...］が有効になっている場合は

（［VPN - Advanced］ページ）、ビジター・モードに［All IPs］でない特定のアドレスを割り

当てることをお勧めします。

これらの設定では、ゲートウェイ上で動作するビジター・モードのサーバを設定します。

注： UDP カプセル化が必要な場合、Microsoft L2TP IPSec クライアントはチェック・ポイ

ントのゲートウェイとは機能できません。

注：ゲートウェイでビジター・モードが有効になっていると、RDP インタフェース検出メ

カニズムが動作しません。代わりに、ビジター・モードのハンドシェイクが使用されます。



ビジター・モードとゲートウェイ・クラスタ

クラスタのサポートは制限されています。高可用性および負荷共有ソリューションには、「維持性」

が必要です。すなわち、ビジター・モードの接続が常に同じクラスタ・メンバを通過する必要があ

ります。

高可用性のシナリオでは、クラスタ・メンバからクラスタ・メンバへのフェイルオーバーはサポー

トされません。

接続プロファイルを使用したビジター・モードの有効化

ビジター・モードのユーザ用にカスタマイズした接続プロファイルを作成します。このプロファイ

ルによって、クライアント側でビジター・モードの機能が有効になります。プロファイルを作成す

るには、以下の手順に従います。

1. SmartDashboardで、［Manage］>［Remote Access］>［Connection profiles］を選択す

ると、［Connection Profiles］ウィンドウが開きます。

2. ［New...］をクリックして新しい接続プロファイルを作成するか、［Edit...］をクリックして既

存のプロファイルを変更します。［Connection Profile Properties］ウィンドウが開きます。

3. ［Advanced］タブで、［Visitor Mode］を選択します。

リモート・クライアントで、コネクト・モードで作業するユーザを設定します。

プロキシ・サーバで作業するリモート・クライアントの設定

1. SecureClientで、［Detect Proxy from Internet Explorer Settings］を選択します。


598

以前のバージョンでは、プロキシは手動で定義する必要がありました。

2. プロキシ認証用のユーザ名とパスワードを入力します。この情報は後に、「connect」コマン

ドによってプロキシ・サーバに転送されます。

図 29-7 Internet Explorer でのプロキシ設定

SecureClientでは図 29-7で示す設定をすべて読み取れるようになりましたが、それは以下の条件を

満たしている場合のみです。

• SecureClientがLANまたはWLAN（ダイヤルアップでない）に接続されている。

• Secure Domain Logon（SDL）が有効になっていない。

注：ビジター・モードでは、認証を行わずにプロキシ・サーバに接続しようとします。プロ

キシによってユーザ名とパスワードが要求される場合は、「proxy requires authentication」というエラー・メッセージが表示されます。



Windows でのプロキシの置換

SecureClientがLANまたはWLAN上にあり、LAN上でプロキシ・サーバが設定されている場合、

SecureClientではプロキシの設定を置換します。これにより、新しい接続はプロキシを経由して

VPNドメインに送信されず、LANまたはWLANのゲートウェイへ直接送信されます。この機能は、

ビジター・モードであるかどうかに関わらず機能します。 SecureClientがWANまたはWLAN上に

あり、ダイヤルアップ接続を使用していないことが条件となります。

SecureClientがプロキシ・ファイルを置換すると、VPNドメインの IPの範囲全体およびDNS名

（「DIRECT」として返されます）を含む、プロキシ・ファイルに類似したスクリプトであるPACファイルが生成されます。 Windows OSではこの情報をプレーン・テキストのスクリプトのPACファイルとして受信する必要があるため、このファイルはローカルに保存されます。このファイル

は、以下のように Internet Explorerで定義した自動設定スクリプトを置換します。

Windows でのプロキシ置換に特別な考慮事項

サイトの IPアドレスおよびDNS設定に関する機密情報は、SecureClientのuserc.Cファイルに入っ

ています。このため、このファイルは実際の内容を秘密にする（ただし暗号化はしない）アルゴリ

ズムによって解読が困難な形式にされています。プロキシ置換機能を使用すると、同じ情報がプ

レーン・テキストのPACファイルに書き込まれます。そのため管理者は、Windowsのプロキシ置換

機能ではサイトの IPアドレスとDNS設定がすべてのエンド・ユーザが参照できるプレーン・テキ

ストのPACファイルに Java Scriptコードとして書き込まれ、VPNドメインが公開されてしまうと

いうことに注意する必要があります。


600

Windows でのプロキシ置換の設定

Windowsでのプロキシ置換は、ゲートウェイでもSecureClientクライアントでも設定できます。

ゲートウェイでの設定

1. ［Global Properties］>［SmartDashboard Customization］を選択します。

2. ［Configure］をクリックします。

［Advanced Configuration］ウィンドウが開きます。


• ie_proxy_replacement。このオプションを選択すると、ビジター・モードが有効でなく

ても、Windowsでのプロキシ置換が常に実行されます。

• ie_proxy_replacement_limit_to_tcpt。このオプションを選択すると、ビジター・モード

が有効な場合のみプロキシ置換が実行されます。

SecureClientが更新を行うと、Windowsでのプロキシ置換に関するポリシーがダウンロードされて

実行されます。

SecureClient での設定

リモート・クライアントのuserc.cファイルで以下の2つのプロパティを設定する方法もあります。

:ie_proxy_replacement (true):ie_proxy_replacement_limit_to_tcpt (true)

601

第章30クライアントレス VPN

この章の構成

クライアントレスVPNの必要性 602ページ

クライアントレスVPNのためのチェック・ポイント・ソリューション 603ページ

クライアントレスVPNの特別な考慮事項 606ページ

クライアントレスVPNの設定 608ページ

クライアントレス VPN の必要性

602

クライアントレス VPN の必要性VPNとSecuRemoteのテクノロジはデータの保護の問題に対する包括的なソリューションですが、

場合によって、VPN用に設定されていないクライアント・コンピュータと安全な通信ができるよう

に管理者が設定する必要があります。たとえば、ある従業員が突然インターネット・カフェから会

社のメール・サーバにログインする必要が生じたとします。従業員はブラウザにソフトウェアをイ

ンストールすることも設定することもできませんが、会社のメール・サーバへの接続は安全に行う

必要があるため、何らかの方法で認証を行う必要があります。

あるソフトウェア会社が、Webサーバ経由でバグ追跡ソフトウェアにアクセスするベータ・サイト

を提供したいと考えているとします。ベータ・ピアではVPNテクノロジを採用しません。しかし、

安全に接続して、ベータ・サイトのユーザが認証する必要があります。

別のシナリオとして、インターネット経由の攻撃に悩んでいるe-コマース企業があるとします。この企業では受信するパケットに有害なコンテンツが含まれていないかどうかを監視する必要があ

りますが、クライアントとサーバの間を直接通過する標準SSLベースの接続のパケットは暗号化さ

れます。管理者はこの接続を保護すると同時に、パケットを監視できるようにする必要もあります。

これらのシナリオに共通する要素は、クライアント側でVPNテクノロジが使用できない状況で安全

な接続を確立する必要があることです。ソリューションに必要な機能は、以下のとおりです。

• 安全な接続をサポートする

• クライアント側へのソフトウェアのインストールや設定を含まない

• ユーザの認証が可能

• ゲートウェイによるパケットの検査が可能

クライアントレス VPN のためのチェック・ポイント・ソリューション

第 30 章クライアントレス VPN 603


クライアントがVPNテクノロジを使用できない（また、クライアント側でソフトウェアをインス

トールも設定もできない）場合の接続の保護は、クライアントレスVPNを使用することによって実

現されます。クライアントレスVPNは、HTTPSをサポートするサーバとクライアントの間でのSSLベースの安全な通信を提供します。また、以下のような利点があります。

• クライアントから提案されたVPNでサポートされる任意の暗号化方式をゲートウェイが受理

する

• 3DESなどの強力な暗号化をゲートウェイが実施できる

• クライアントレスVPNでユーザ認証をサポートする

機能の仕組み

クライアントレスVPN接続は、以下の2つの明確なフェーズに分割されます。

• 安全なチャネルの確立

• 通信フェーズ

安全なチャネルの確立

安全な接続は、以下の方法で確立されます。

1. クライアントのブラウザがWebサーバにHTTPS要求を送信します。

2. 要求がVPN-1 Powerゲートウェイに到達します。

3. VPN-1 Powerゲートウェイがセキュリティ・ポリシーをチェックして、接続がHTTPSのルー

ルに一致するかどうかを確認します。

4. ルールに一致してゲートウェイでクライアントレスVPNが有効になっていると、ゲートウェイ

はクライアントレスVPNセキュリティ・サーバへ接続を転送します。

クライアントレスVPNはゲートウェイ上の特別なセキュリティ・サーバを利用します。クライ

アントレスVPNセキュリティ・サーバは、クライアントレスVPN接続を処理するゲートウェ

イによって呼び出されるデーモン処理です。呼び出されると、クライアントレスVPNセキュリ

ティ・サーバはバックグラウンド・プロセスとして実行を続けます。

5. クライアントとVPN-1 Powerゲートウェイの間でSSLネゴシエーションが実行され、ゲート

ウェイがクライアントに対して自身を認証します。このときゲートウェイは、クライアント

が信頼する認証局によって署名された証明書を使用します。

6. VPN-1 Powerゲートウェイとクライアントの間で、安全なチャネルが確立されます。


604

通信フェーズ

図 30-1では、VPNセキュリティ・サーバがWebサーバへの接続を開くところを示しています。ク

ライアントはVPN-1 Powerゲートウェイ経由でサーバに接続します。その後、クライアントから

VPN-1 Powerゲートウェイへの接続はすべて暗号化されます。すべてのパケットは暗号化されて

ゲートウェイへ送信されます。ゲートウェイはパケットを復号化し、そのパケットを「暗号化しな

い」でWebサーバへ転送します。クライアントからはクライアントとWebサーバが直接通信して

いるように見えますが、実際のSSLセキュア・チャネルの終点はゲートウェイです。

図 30-1 通信フェーズ

クライアントレス VPN でのコンテンツのセキュリティ

VPN-1 Powerゲートウェイではパケットがクリア・テキストで読み取れるため、パケットのコンテ

ンツを調査して、コンテンツのセキュリティが必要かどうかを確認できます。

ユーザ認証ユーザは必要に応じて認証を行うことができます。ここでは、従業員がインターネット・カフェか

ら会社の電子メールを読む必要が生じた例について説明します。一般的には、以下の手順で操作し

ます。

1. ユーザ側にユーザ名とパスワードを要求するポップアップ・ウィンドウが表示されます。

2. ユーザはログイン情報を入力します。

3. ゲートウェイはユーザ名を検証し、パスワードを認証します。

別の方法として、証明書を使用して認証することもできます。



ユーザの証明書

クライアントレスVPNでは、証明書を使用したユーザの認証をサポートしています。クライアント

の証明書は、SSLフェーズ中に検証されます。また、証明書からクライアントの身元情報詳細が抽

出され、ユーザ認証フェーズ中に処理されます。この方法では、ユーザがユーザ名やパスワードを

入力したり、接続を行うたびに認証を行う必要はありません。認証は証明書を通じて処理されます。

クライアントレス VPN の特別な考慮事項

606

クライアントレス VPN の特別な考慮事項クライアントレスVPNについては、以下のような考慮事項があります。

• ゲートウェイがどの証明書を提示しているか

• セキュリティ・サーバをいくつ実行する必要があるか

• どの程度の暗号化レベルが必要か

ゲートウェイによって提示される証明書

この項では、SSLネゴシエーション中にゲートウェイが認証のためにクライアントに提示する証明

書について説明します。クライアント側でのも簡単なオプションは、クライアントがデフォルト

で信頼するように設定されているCAが署名した証明書（Verisignから提供された証明書など）を

クライアントに提示することです。この場合、クライアント側で必要な設定はありません。しかし

会社のポリシーとしてさらに高いレベルのセキュリティが要求される場合は、会社自体が所有する

CAから発行された証明書を使用することをお勧めします。

内部CA（信頼されている既知のもの）から発行された証明書の使用を管理者が決定した場合、ク

ライアントおよび証明書を信頼するように設定されたクライアントへ、CAの証明書を提供する必

要があります。管理者が外部認証局を使用して処理を行うことを決定した場合は、以下の作業を実

行する必要があります。

1. CA証明書を取得します。

2. このCAを信頼するようにSmartCenter Serverを設定します。

3. ゲートウェイの証明書を取得して設定します。

4. CA証明書をクライアントに提供します。

管理者はユーザに、このCAを信頼するようクライアントを設定するように指示する必要があり

ます。

実行するセキュリティ・サーバの数

多数のクライアントレスVPN接続が存在する場合の負荷を分散するため、管理者は実行するセキュ

リティ・サーバの数を決定する必要があります。同じゲートウェイで実行できるセキュリティ・サー

バは10台までです。チェック・ポイントでは、アクティブなユーザ150人ごとに1台のVPNセキュ

リティ・サーバを実行することをお勧めします。アクティブなユーザと登録されたすべてのユーザを

混同しないように注意してください。たとえば、データベースには700人のクライアントレスVPNユーザが登録されていても、同時にクライアントレスVPN接続を行うユーザの数が平均で70人し

かいない場合は、セキュリティ・サーバを1台のみ実行します。

クライアントレス VPN の特別な考慮事項


暗号化のレベル

ゲートウェイを3DESなどの強力な暗号化を実施するように設定できますが、3DESを使用すると

ゲートウェイ・マシンの性能が影響を受ける場合があります。クライアントのブラウザでも3DESを

サポートする必要があります。

クライアントレス VPN の設定

608

クライアントレス VPN の設定クライアントレスVPNの大部分はゲートウェイ上で設定します。ただし、以下の場合は例外です。

• ゲートウェイが、クライアントのデフォルトの証明書でない証明書を使用して、クライアン

トに対してゲートウェイ自身の認証を行う場合

• ユーザ認証が必要で、証明書を使用して認証が行われる場合

いずれの場合も、適切な証明書をクライアントおよびその証明書を処理するように設定されている

クライアントに、ネットワークを使用せずに提供する必要があります。

ゲートウェイの設定

一般的な概要

クライアントレスVPN用にゲートウェイを設定するには、以下の手順に従います。

• ゲートウェイの証明書を取得します。この証明書は、初の接続中にゲートウェイがクライ

アントに対してそのゲートウェイ自身を認証する際に使用する証明書です。

• ゲートウェイ・オブジェクトの［Clientless VPN］ページで、クライアントレスVPN用の

ゲートウェイを設定します。

• ユーザおよびユーザ認証スキームを定義します。

• セキュリティ・ポリシー・ルール・ベースで適切なルールを作成します。

実装方法

ゲートウェイの証明書の取得

内部CAが発行した証明書の代わりに外部の認証局が発行した証明書を使用することにした場合

は、以下の手順に従います。

• このCAを信頼するようにVPN Proを設定する

• ゲートウェイの証明書を取得して設定する

詳細については、「PKI（Public Key Infrastructure）」を参照してください。



ゲートウェイ・オブジェクトでのクライアントレス VPN の設定

ゲートウェイ・オブジェクトのプロパティ・ウィンドウの［Clientless VPN］ページで、以下の手

順を実行します。

1. ［Support Clientless VPN］を選択します。

2. ［Certificate for gateway authentication］を選択します。

3. ［Client authentication］で、以下のいずれかのオプションを選択します。

• ユーザの認証が必要で、証明書を使用して認証が行われる場合は、［Require the client to present a certificate］を選択します。

• ユーザの認証が必要であるが、クライアントレスVPNユーザの一部が証明書を所有せず、

別の方法で認証するものがあることがわかっている場合は、［Ask the client to present a certificate］を選択します。

• 証明書によるユーザ認証が必要でないか、他の方法で認証が実行される場合は、［Do not ask the client to present a certificate］を選択します。

4. ［Number of concurrent servers/processes］に、実行するVPNセキュリティ・サーバの

数が示されます。負荷の状況によって、管理者は2つ以上のセキュリティ・サーバを実行で

きます。

606ページの「実行するセキュリティ・サーバの数」のセクションを参照してください。

5. 強力な暗号化を実施する必要がある場合は、［Accept 3DES for Clientless VPN connections］を選択します。

ユーザの定義

ユーザの認証が必要な場合は、以下の手順に従います。

1. 内部データベースまたは外部LDAPサーバでユーザを定義します。

詳細については、『SmartCenter』を参照してください。

2. 以下の方法で認証方式を有効にします。

• 必要な認証方式をサポートするようにゲートウェイを設定する

• ユーザに対する適切な認証方式、たとえばユーザ名とパスワードや、証明書の使用など

を設定する

証明書を使用してユーザの認証を行う場合は、適切なCAから証明書を取得し、その証明

書をユーザに提供します。証明書が内部CAによって発行されるものである場合、証明書

の発行方法については「リモート・アクセス用 VPN の考慮事項」を参照してください。

• 認証サーバを採用する場合は、RADIUSなどの認証サーバを設定します。

『ファイアウォールとSmartDefense』の「認証」を参照してください。


610

セキュリティ・ポリシー・ルール・ベースでの適切なルールの作成

クライアントレスVPNを実装するには、各接続にセキュリティ・サーバを採用する必要があります。

このことは、クライアントレスVPNを許可するルールをセキュリティ・ポリシー・ルール・ベース

で作成する方法に影響します。

ユーザ認証を行わない場合

ユーザ認証が不要な場合は、URIリソースを実装するルールを定義する必要があります。以下に例を

示します。

このルールは、どのような接続元からWebサーバへHTTPS接続が実行されても、その接続が承認

されることを示しています。すべての接続でセキュリティ・サーバの使用を強制するには、「URIResource」が必要となります。これはクライアントレスVPNでURIリソースを必要とする場合と

同様です。

URIリソースの定義の詳細については、『ファイアウォールとSmartDefense』の「コンテンツ・セ

キュリティ」を参照してください。

ユーザ認証を行う場合

セキュリティ・ポリシー・ルール・ベースで、［Client authentication］と［User authentication］の

いずれかに以下のようなルールを定義します。

このルールは、どのような接続元がHTTPSを使用してWebサーバへ接続しようとしても、ユーザ

認証が実行されることを示しています。ユーザを認証する必要はあるが、受信パケットでコンテンツ

のセキュリティを実行する必要がない場合は、アクションとしてユーザ認証を選択します。

表 30-1

SOURCE DESTINATION SERVICE アクション

Any Web_server HTTPS - URI Resource Accept

表 30-2

発信元宛先サービスアクション

Any Web server HTTPS User Auth



または、以下の手順に従います。

このルールは、どのような接続元がHTTPSを使用してWebサーバへ接続しようとしても、クライ

アントの認証が実行されることを示しています。ユーザを認証し、受信パケットのコンテンツを検

査する必要がある場合は、アクションとしてクライアント認証を選択します。

クライアントの設定

以下のいずれかの条件に当てはまる場合には、以下のような操作が必要です。

• セキュリティ・サーバがクライアントのデフォルトの証明書でない証明書を使用して、クラ

イアントに対してセキュリティ・サーバ自身の認証を行う場合

• ユーザの認証が必要で、証明書を使用して認証が行われる場合

その証明書を、クライアントにネットワークを使用せずに提供する必要があります。また、クライ

アント側ブラウザではその証明書を利用できるように設定する必要があります。これ以外の場合

は、クライアント側で必要な設定はありません。

クライアントのブラウザの設定

クライアントのブラウザに証明書をインストールする方法は2通りあります。

1. クライアントがフロッピー・ディスクで証明書を受け取る

2. クライアントで証明書を右クリックして［Install Certificate］を選択する

または、以下の手順に従います。

1. クライアントに証明書の入ったフロッピー・ディスクを挿入します。

2. ブラウザを開きます。

3. ［ツール］>［インターネットオプション］>［コンテンツ］タブを選択します。

4. ［証明書］をクリックします。

5. ［インポート］をクリックします。

［証明書のインポートウィザード］が開きます。

6. フロッピー・ディスクから証明書をインポートします。

表 30-3

発信元宛先サービスアクション

Any Web server HTTPS - URI resource Client Auth


612

付録

615

付録 AVPN コマンドライン・インタフェース

この章の構成

VPNコマンド 616ページ

SecureClientのコマンド 618ページ

デスクトップ・ポリシーのコマンド 620ページ

616

VPN コマンド以下のコマンドラインはVPNに関連しており、『Command Line Interface』でも述べられています。

表 A-1 VPN コマンドライン・インタフェース

コマンド説明

VPN このコマンドおよびサブコマンドは、VPNのさまざまな機能を操作す

るために使用します。コマンドラインで実行されたVPN コマンドは

VPNプロセスに関するステータス情報を生成します。またこのコマン

ドを使用して、特定のVPNサービスを停止および開始することもでき

ます。 vpn accel VPN-1 Powerのアクセラレータ・カード（暗号化のみのカードで、完

全なSecureXL カードではない）およびVPNx の操作を実行します。

VPNxは、複数のCPUを利用してVPNの操作を高速化するソフトウェ

ア・モジュールです。

vpn compreset 圧縮や解凍の統計データをゼロにリセットします。

vpn compstat 圧縮や解凍の統計データを表示します。

vpn crl_zap このコマンドを使用して、すべての証明書失効リスト（CRL）をキャッ

シュから消去します。

vpn crlview 証明書失効リスト（CRL）を配布ポイントから取得し、ユーザに表示し

ます。

vpn debug VPN-1 Powerのログ・ファイルにデバッグ・メッセージを書き込むよ

うにVPNデーモンに命令します。ログ・ファイルは$FWDIR/log/vpnd.elgにあります。

vpn drv VPN-1 Powerのカーネル（vpnk）をインストールしてVPN-1 Powerのカーネル（fwk）に接続します。

vpn export_p12 ネットワーク・オブジェクト・データベースに含まれる情報をエクス

ポートし、p12の拡張子の付いたファイルにPKCS#12形式で書き込み

ます。

vpn macutil このコマンドは特にオフィス・モードのリモート・アクセスVPNに関

連しており、リモート・ユーザごとにMACアドレスを生成します。このコマンドはDHCP経由で IPアドレスを割り当てる場合のみ使用でき

ます。

vpn mep_refresh このコマンドを実行すると、、バックアップの維持性が設定されている

場合は、すべてのMEPトンネルが使用可能かつ適なゲートウェイに

フェイルバックされます。

vpn nssm_toplogy トポロジ（NSSM形式）を生成し、Nokiaクライアントが使用するNokiaNSSMサーバにアップロードします。

付録 A VPN コマンドライン・インタフェース 617

vpn overlap_encdom 重複するすべてのVPNドメインを表示します。一部の IPアドレスが2つ以上のVPNドメインに属している場合があります。このコマンドを実

行すると、以下の条件の一方または両方に当てはまる場合に、暗号化ド

メインが重複していることを示す警告が表示されます。

• 同じVPNドメインが両方のゲートウェイで定義されている

• ゲートウェイに複数のインタフェースがあり、1つまたは複数の

インタフェースに同じ IPアドレスとネットマスクが設定されて

いる

vpn sw_topology SofaWare Gatewayのトポロジをダウンロードします。

vpn ver VPNのメジャー・バージョン番号とビルド番号を表示します。

vpn tu VPNトンネルの制御に使用するTunnelUtilツールを起動します。

表 A-1 VPN コマンドライン・インタフェース（続き）

コマンド説明

618

SecureClient のコマンド以下のコマンドはSecureClientに関連するものです。

表 A-2 SecureClient コマンドライン・インタフェース

コマンド説明

SCC SecureClient上で実行されるVPNコマンドを使用して、ステータス情報

を生成したり、サービスを停止および開始したり、特定のユーザ・プロ

ファイルを使用して定義されたサイトに接続したりします。 scc connect 指定したプロファイルを使用してサイトに接続し、接続が確立されるま

で待機します。言い換えれば、OSはこのコマンドをバックグラウンド

で実行せず、キュー内の次のコマンドを実行します。

scc connectnowait 指定したプロファイルを使用してサイトに非同期的に接続します。すなわち、OSはキュー内の次のコマンドへ移動し、このコマンドは

バックグラウンドで実行されます。

scc disconnect 指定したプロファイルを使用してサイトから切断します。

scc erasecreds 認証クレデンシャルを消去します。

scc listprofiles すべてのプロファイルの一覧を表示します。

scc numprofiles プロファイルの数を表示します。

scc restartsc SecureClientサービスを再起動します。

scc passcert 証明書を使用して認証を行う際のユーザの認証クレデンシャルを設定

します。

scc setmode <mode> SecuRemote/SecureClientモードを切り替えます。

コマンド説明

scc setpolicy 現在のデフォルトのセキュリティ・ポリシーを有効または無効にします。

scc sp 現在のデフォルトのセキュリティ・ポリシーを表示します。

scc startsc SecureClientサービスを起動します。

scc status 接続のステータスを表示します。

scc stopsc SecureClientサービスを停止します。

scc suppressdialogs ダイアログのポップアップを表示または抑制します。デフォルトでは、

suppressdialogsはオフになっています。

scc userpass ユーザの認証クレデンシャル（ユーザ名とパスワード）を設定します。

付録 A VPN コマンドライン・インタフェース 619

scc ver 現在のSecureClientのバージョンを表示します。

scc icacertenroll 内部CAによって証明書を登録し、現在は4つのパラメータ（サイト、

レジストレーション・キー、ファイル名およびパスワード）を受け取り

ます。現在このコマンドではp12ファイルの作成のみがサポートされて

います。

scc sethotspotreg このコマンドライン・インタフェースでは、ホットスポットやホテルで

の登録をサポートするようになりました。

表 A-2 SecureClient コマンドライン・インタフェース（続き）

620

デスクトップ・ポリシーのコマンド以下のコマンドラインは、デスクトップ・ポリシーに関連するものです。

表 A-3 デスクトップ・ポリシーのコマンドライン・インタフェース

コマンド説明

dtps ver ポリシー・サーバのバージョンを表示します。

dtps debug [on|off] デバッグの$FWDIR/log/dtps.elgへの出力を開

始または停止します。

fwm psload <デスクトップ・ポリシー・

ファイルへのパス> <ターゲット>デスクトップ・ポリシーをモジュールにロード

します。ターゲットはデスクトップ・ポリシー

がロードされるモジュールの名前であり、

SmartDashboard に表示されるとおりに入力

する必要があります。このコマンドは、管理機

能から実行する必要があります。例： fwm psload $FWDIR/conf/Standard.S Server_1

fwm sdsload <SDSオブジェクト・

ファイルへのパス> <ターゲット>SDSデータベースをモジュールにロードしま

す。ターゲットはSDSオブジェクト・ファイ

ルがロードされるモジュールの名前であり、

SmartDashboard に表示されるとおりに入力

する必要があります。このコマンドは、管理機

能から実行する必要があります。

例： fwm sdsload $FWDIR/conf/SDS_objects.C Server_1

621

付録 B旧来のポリシーからコミュニティ・ベースのポリシーへの変換

この章の構成

シンプルVPNモードへの変換の概要 622ページ

トラディショナルVPNモードとシンプルVPNモードの相違点 623ページ

トラディショナル・モードでの暗号化ルールの動作 624ページ

シンプル・モードへの変換の原理 626ページ

コミュニティ内へのゲートウェイの配置 627ページ

暗号化ルールの変換 628ページ

変換されたルール・ベースの制限が強すぎる場合 629ページ

クライアント暗号化ルールの変換 630ページ

認証および暗号化ルールの変換 630ページ

変換ウィザードによる無効なルールの処理 631ページ

ウィザードの実行後 631ページ

622

シンプル VPN モードへの変換の概要シンプル・モードを使用したVPNの構築には、数多くの利点があります。シンプル・モードにより、

より単純で、そのためエラーの発生しにくい安全なVPNを作成および維持することが可能です。

シンプル・モードでは、VPNの定義はアクセス制御セキュリティ・ポリシーから切り離されます。

これにより、組織のVPNトポロジや、誰と誰が安全に交信できるかが理解しやすくなります。また、

VPNルーティングなどのVPN-1 Powerの機能は、シンプル・モードのセキュリティ・ポリシーを

使用する場合のみサポートされます。

統一された方法で既存のポリシーをすべて管理し、VPN-1 Powerの新機能を利用するためには、

トラディショナル・モードのセキュリティ・ポリシーをシンプル・モードに変換することをお勧め

します。新しいポリシーについては、シンプル・モードを使用することをお勧めします。シンプ

ル・モードは新バージョンのVPN-1 Powerのデフォルト設定です。

トラディショナル・モードで設定されたVPN-1 Powerのポリシーは、Security Policy Converterウィ

ザードを使用してシンプルVPNモードに変換できます。

変換ウィザードを使用すると、ルールやグループ・ルールをまとめて移動することによって、多数

のVPN-1 Powerポリシーを大幅に簡素化できます。

処理は簡単です。ここでは自動と手動の両方の変更について詳しく説明します。その目的は、ユー

ザが確実にトラディショナル・モードのVPNポリシーをシンプルVPNモードに移行できるように

することです。

変換ウィザードを開始するには、ポリシーを保存し、SmartDashboard のメイン・メニューから

［Policy］>［Convert to］>［Simplified VPN…］を選択します。

付録 B 旧来のポリシーからコミュニティ・ベースのポリシーへの変換 623

トラディショナル VPN モードとシンプル VPNモードの相違点

トラディショナル・モードのセキュリティ・ポリシーは、シンプル・モードのポリシーと以下の点

で異なっています。

トラディショナルVPNモードでは、1つのルールが暗号化ルールの動作によって、アクセス制御と

暗号化の両方を処理します。VPNプロパティはゲートウェイごとに定義されます。

シンプルVPNモードでは、セキュリティ・ルール・ベースはアクセス制御のみを処理します。言い

換えれば、ルール・ベースでは許可される動作のみが決定されます。一方、VPNプロパティはVPNコミュニティごとに処理されます。

VPNコミュニティはゲートウェイのグループです。コミュニティは、VPNの暗号化の方法を定義し

ます。コミュニティ・メンバ間のすべての通信は暗号化され、その他すべての通信は暗号化されま

せん。

シンプルVPNモードとコミュニティについては、第4章「リモート・アクセスサイト間VPN」で

説明しています。

管理者はシンプルVPNポリシーによって、より簡単にVPNを設定できます。しかし、トラディショ

ナル・ポリシーの方がシンプル・ポリシーよりもより詳細にVPNを作成できます。その理由は以下

のとおりです。

• 暗号化するかどうかをルール（宛先、発信元およびサービス）ごとに定義できます。

• シンプル・ポリシーでは、2つのゲートウェイの間のすべての接続を、コミュニティの定義を

使用して同じ方式で暗号化する必要があります。

このため、ウィザードを実行した後で、ルール・ベースを一部手動で適化する必要があります。

注：「VPN ドメイン」と「暗号化ドメイン」という用語は同じものを意味しています。

通常、「VPN ドメイン」はシンプル・ポリシーのコンテキストで、「暗号化ドメイン」は

トラディショナル・ポリシーのコンテキストで使用されます。

624

トラディショナル・モードでの暗号化ルールの動作

トラディショナル・ポリシーをシンプル・ポリシーに変換すると、暗号化ルールがコミュニティを

使用するルールに変換されます。変換を理解するためには、暗号化ルールの動作を理解することが

重要です。

変換および変換処理の制限事項について理解するには、図B-1を参照してください。この図では、

ゲートウェイの間のVPNおよび各ゲートウェイの暗号化ドメインを示しています。Net_AとNet_Bはゲートウェイ1の暗号化ドメインで、Net_Dはゲートウェイ2の暗号化ドメインです。

図 B-1 ゲートウェイの間の VPN および各ゲートウェイの暗号化（VPN）ドメイン

表 B-1では、暗号化ルールにVPNが実装されている様子を示しています。

表 B-1 トラディショナル・ルール・ベースの暗号化ルールのサンプル

発信元宛先サービス ACTIOIN TRACK INSTALL ON

X Y My_Services Encrypt Log Policy Targets


暗号化ルールに一致する接続は、ポリシーを適用するゲートウェイによって、暗号化（または復号化）

されて転送されます。ただし、例外が2つあります。

1. 発信元または宛先がVPN-1 Powerゲートウェイの内側にあり、ゲートウェイのVPNドメイン

に含まれていない場合、接続は破棄されます。

図B-1と表 B-1を参照してください。たとえば、送信元XがNet_Cにあり、送信先YがNet_Dにある場合、ゲートウェイ1によって接続が破棄されます。これは、アクションが暗号化を要

求しても、発信元がゲートウェイ1の暗号化ドメインに含まれていないために、接続の暗号化

ができないからです。

2. 発信元と宛先が同じゲートウェイの暗号化ドメインにある場合、接続は暗号化されずに確立さ

れます。

図B-1と表 B-1を参照してください。たとえば、送信元XがNet_Aにあり、送信先YがNet_Bにある場合、Xから送信された接続要求がゲートウェイに到達し、このゲートウェイによって

応答メッセージがYに転送されます。この場合、接続の復号化を実行できるゲートウェイがY側にないため、この接続は暗号化されません。SmartView Trackerログには、「Both endpointsare in the Encryption Domain」というメッセージが記録されます。

626

シンプル・モードへの変換の原理変換ウィザードでは以下の原理によって、接続性とセキュリティの適なバランスを維持しようと

します。

• トラディショナル・モードで拒否されるすべてのトラフィックを拒否します。これは、トラ

ディショナル・ルール・ベースで許可される一部の接続が破棄されることを意味します。

• 低でも、トラディショナル・ポリシーで暗号化されるトラフィックをすべて暗号化します。これは、変換されたポリシーによって、元のポリシーよりも多数の接続が暗号化できること

を意味します。

このことが意味するのは、トラディショナル・ポリシーのうち、セキュリティ・ルール・ベースで

指定したポリシーを完全に保持する方法では変換できないものがあるということです。シンプル

VPNで変換されたルールはある一定の環境で、トラディショナルVPNの暗号化ルール（624ペー

ジの「トラディショナル・モードでの暗号化ルールの動作」で説明）と若干異なる動作をします。

変換ウィザードは、2つか3つの簡単な手順で実行できます。ウィザードを実行した後は、セキュ

リティ・ルール・ベースを確認して、必要な機能が維持されていることを確認し、必要に応じて機

能を適化する必要があります。


コミュニティ内へのゲートウェイの配置トラディショナルVPNをシンプルVPNに変換する初の手順は、組織のトポロジを説明するVPNコミュニティを作成することです。変換ウィザードでは、管理者がゲートウェイをコミュニティに

配置する必要があります。ゲートウェイの間でどのコミュニティを定義するかをトラディショナ

ル・ポリシーから導き出すことが非常に困難であるため、ゲートウェイの配置を自動的に行うこと

はできません。

ウィザードでは、コミュニティを定義したり、コミュニティにゲートウェイをドラッグアンドド

ロップしたりすることが可能です。図B-1では、管理者はゲートウェイ1とゲートウェイ2のオブ

ジェクトを同じサイト間コミュニティのオブジェクトにドラッグして、両方のゲートウェイを同じ

コミュニティのメンバにする必要があります。

異なる暗号化プロパティを持つ複数のコミュニティを作成して、トラディショナルVPNポリシーの

動作を反映した方がよい場合があります。

以前に1つもコミュニティが定義されていない場合は、空のコミュニティ・オブジェクトがあらか

じめデフォルトで2つ定義されています。1つはサイト間VPN「イントラネット」コミュニティ

（メッシュ・コミュニティ）で、もう1つはリモート・アクセス・コミュニティです。この2つのコ

ミュニティしか存在しない場合、すべてのゲートウェイをサイト間のコミュニティに単純に配置す

るか、すべてのリモート・アクセス・ゲートウェイをリモート・アクセス・コミュニティに配置す

るかという選択肢がウィザードに表示されます。

628

暗号化ルールの変換ゲートウェイがコミュニティに配置された後に、暗号化ルールが変換されます。変換されたルール・

ベースでは、シンプルVPNモードの暗号化ルールの動作が可能なかぎり保持されます。

変換ウィザードでは、変換ルールが以下の2つのルールに変換されます。

1つ目のルールは、任意のサイト間のコミュニティ内で、接続がXで発生して宛先がYである場合

に、一致して許可されることを意味します。

2つ目のルールは、接続がXで発生して宛先がYであるが、サイト間のコミュニティでは暗号化（ま

たは復号化）されない場合に、接続が破棄されることを意味します。

2つ目のルール（破棄ルール）は、発信元と宛先のいずれかがVPNドメインに存在しない場合に必

要となります。トラディショナル・ポリシーでは、暗号化ルールによってこの接続が破棄されます。

シンプル・ポリシーに破棄ルールが存在しない場合は、ルール・ベース内のさらに詳細なルールに

よって接続が一致して許可されます。

表 B-2 シンプル・ルール・ベース内の変換済みルール

SOURCE DESTINATION VPN サービス ACTIOIN TRACK INSTALL ON

X Y All_GW_to_GW

My_Services Accept Log Policy Targets

X Y Any My_Services Drop Log Poliy Targets


変換されたルール・ベースの制限が強すぎる場合

暗号化ルールから2つのシンプル・モードのルールへの変換の制限は、低でも元のルールと同じ

強さです。しかし、表 B-2で示す変換済みのルール・ベースでは、元のルール（表 B-1）に一致し

て許可された接続の一部が破棄されることがあります。これは、同じゲートウェイの暗号化ドメイ

ンに属する2つのホストの間の接続で発生します。たとえば図B-1では、Net_AのノードからNet_Bのノードへの接続が、変換されたルール・ベースによって破棄されます。これは、コミュニティ・

ルールによってVPNドメイン間のトラフィックが定義されるが、そのルールがVPNドメイン内の

トラフィックに関連していないことが原因です。

変換されたルール・ベースでこれらの接続を可能にするには、ユーザが明示的に許可する必要があ

ります。許可するには、1つ目のルールと2つ目のルールの間にルールを1つ追加して、各ポリシー・

ターゲットが「INSTALL ON」フィールドに表示されるようにします。たとえば、表 B-2の2つの

ルールは、表 B-3で示す3つのルールになります。

ほとんどの場合、これらのルールを追加する必要はありません。追加するのは、暗号化ドメイン内

の接続が暗号化ルールに一致する場合のみです。このことは、SmartView Trackerの「Both endpointare in the Encryption Domain」というログで表示されます。

表 B-3 変換済みの暗号化ルール・ベースに手動で追加されたルール

SOURCE DESTINATION VPN サービス ACTIOIN TRACK INSTALL ON

X Y All_GW_to_GW

My_Services Accept Log Policy Targets

Net_A Net_B Any My_Services Accept Log Gateway 1

X Y Any My_Services Drop Log Policy Targets

630

クライアント暗号化ルールの変換

クライアント暗号化ルールはそれぞれ、クライアント暗号化ルールの動作を保持する単一のルールに

変換されます。たとえば、表 B-4で示すトラディショナル・モードのルールでは、リモート・アク

セス・ユーザによるNet_Dへのアクセスを許可しています。

変換されたルールを表 B-5で示します。リモート・アクセス・コミュニティはVPNフィールドに入

れられ、ルールの動作は許可となります。

認証および暗号化ルールの変換

トラディショナル・モードのポリシーでは、認証および暗号化ルールはユーザ、クライアントまた

はセッションの認証に関するルールで、ルールのアクションで「Add Encryption」が選択されて

います。

認証および暗号化ルールについて、表 B-6でクライアント認証の場合を示しています。「SOURCE」では発信元の場所に関する制限および許可されたユーザの両方が指定されます。ルールに一致す

るすべての接続を認証および暗号化する必要があります。暗号化が不可能な場合、接続は破棄され

ます。

ユーザの識別は認証ルールでのみ可能で、破棄ルールでは不可能なため、暗号化されなかった接続

を破棄するルールを定義することはできません。

コミュニティ内で暗号化すべきでないサービスを、［Excluded Services］リストに追加します。たとえば、トラディショナル・ポリシーで暗黙的なルールを明示的に定義したと仮定します。106ペー

ジの「VPNコミュニティでのファイアウォール制御接続の認証方法」を参照してください。

表 B-4 トラディショナル・モードでのリモート・アクセス・ルール

発信元宛先サービス ACTIOIN TRACK

All_Users@alaska Net_D My_Services Client Encrypt Log

表 B-5 シンプル・モードでの変換済みリモート・アクセス・ルール

発信元 DESTINATION

VPN サービス ACTIOIN TRACK

All_Users@alaska Net_D Remote Access Community

My_Services Accept Log

表 B-6 トラディショナル・モードでの認証および暗号化ルール

発信元宛先サービス ACTIOIN TRACK

All_Users@alaska Net_D My_Services Client Auth Log


これにより、変換されたルール・ベースの制限が低でも元のルールと同じ強さになる方法では、

認証および暗号化ルールは自動的に変換できません。代わりに、変換ウィザードが認証および暗号

化ルールを単一のルールに変換します。表 B-7で示すように、破棄ルールは追加されません。この

ことはセキュリティ上問題となります。それは、発信元の場所に一致する接続で、ユーザが正しく

認証したのに暗号化されなかった場合、後に何らかのルールによって同じ発信元に対して「Accept」を指定すると、この接続が変換済みのルール・ベースで許可される可能性があるためです。

変換中に認証および暗号化ルールが検出されると、そのようなルールは自動的に変換できないこと

を示すエラーが表示されて管理者に警告されます。このような場合は、セキュリティの侵害を防止

するため、変換済みルール・ベースを確認してからインストールすることが重要です。場合によっ

ては、元のルール・ベースによって以前に破棄されたすべてのトラフィックが変換済みルール・

ベースでも破棄されるようにルールを追加する必要があります。

変換ウィザードによる無効なルールの処理

トラディショナルVPNルール・ベースでルールを無効にすると、シンプル・ルール・ベースで変換

されたルールも無効になります。

ウィザードの実行後

ウィザードを実行した後はルール・ベースを調べて、必要な機能が保持されているかどうかを確認

し、必要に応じてルール・ベースの適化や以下のようなその他の変更を行います。これらの問題

については前にも説明していますが、便宜上ここでも簡単に説明します。

不要な破棄ルールの除外

場合によっては、暗号化ルールの変換によって生成された2つ目の破棄ルールがいずれの接続にも

一致せず、1つ目のルールで充分であるとき、2つ目の破棄ルールを削除することができます。これ

は、ルールが以下の条件を満たしている場合に可能です。

• ルールの「INSTALL ON」カラムに表示されるゲートウェイの暗号化ドメインに、発信元と宛

先が入っている。

• コミュニティが、発信元のアドレスを保護するすべてのゲートウェイと、宛先のアドレスを

保護するゲートウェイの両方をリンクしている。

暗号化ルールの変換によって生成された2つ目の破棄ルールを削除できるもう1つのケースは、1つ目のルールに一致しない接続が、その後のルール・ベースに表示されるルールによって破棄される

場合です。場合によって、複数の暗号化ルールの変換によって生成された複数の破棄ルールを、単一

の破棄ルールにグループ化することが可能です。

表 B-7 シンプル・モードでの安全でない変換済みの認証および暗号化ルール

発信元 DESTINATION VPN サービス ACTIOIN TRACK

All_Users@alaska Net_D All_GwToGw My_Services Client Auth Log

632

VPN ドメイン内の接続を許可するルールの追加

両方のエンドポイントが同じゲートウェイの暗号化ドメイン内に存在する暗号化ルールに一致す

る接続は、トラディショナル・ルール・ベースが適用されます。VPN-1 Powerのシンプル・ルー

ル・ベースで同じ効果を得るには、ゲートウェイの暗号化ドメイン内のトラフィックを許可する

ルールを手動で追加する必要があります。ほとんどの場合、これらのルールを追加する必要はあり

ません。追加するのは、「Both endpoint are in the Encryption Domain」というSmartView Trackerログが表示された場合です。

認証および暗号化ルール

認証および暗号化ルールは、自動的に変換されません。ルール・ベース内にそのようなルールが表

示される場合は、変換済みルール・ベースを確認して、これらのルールのセキュリティが保持され

ていることを確認します。

633

付録 CVPN シェル

634

VPN シェルを使用した仮想インタフェースの設定

仮想VPNトンネル・インタフェースの作成に使用するVPNシェルは、メニューとコマンドで構成

されています。シェルはインタラクティブに使用することも、単一のコマンドラインとして使用する

ことも可能です。ほかの引数なしでコマンド vpn shellを呼び出すと、インタラクティブ・シェル

が起動します。 vpn shellの後に引数を追加すると、直接コマンドと解釈されて実行されます。

VPN shell ― インタラクティブ・モードを起動します

vpn shellの構文と意味を表 C-1に示します。

• コマンドの基本的なフォーマットは [パス /パス /パス引数 ]です。たとえば、interface/addとすると、ナンバード・インタフェースを追加するメニューへ直接移動します。

• VPNシェルでは、コマンドラインの補完が有効です。たとえばi/a/nは補完されて

interface/add/numberedとなり、同じ文字で始まるコマンドが2つ存在していなければその

まま実行されます。

• VPNシェルを終了して行末を指定するには、Ctrl-Dキーを使用します（VPNシェルのコマン

ドをスクリプトに含める場合）。

表 C-1 VPN シェルのコマンドと引数

式意味

? 有効なコマンドを表示する

/ メイン・メニューのトップへ戻る

.. （ドット2つ） 1つ上のメニュー階層へ移動する

/quit VPNシェルを終了する

show/interface/summary すべてのインタフェースまたは特定のインタ

フェースのサマリを表示する

show/interface/detailed すべてのインタフェースまたは特定のインタ

フェースのサマリをより詳細に表示する

interface/add/numbered ナンバード・インタフェースを追加する（ロー

カル IP、リモート IP、ピア名およびインタ

フェース名が必要）

interface/add/unnumbered アンナンバード・インタフェースを追加する

（ピア名およびインタフェース名が必要）

interface/modify/peer/mtu インタフェースのMTUをピア名によって変更

する

interface/modify/peer/netmask インタフェースのネットマスクをピア名に

よって変更する

付録 C VPN シェル 635

interface/modify/ifname/mtu インタフェースのMTUを所定のインタフェー

ス名によって変更する

interface/modify/ifname/netmask インタフェースのネットマスクを所定のイン

タフェース名によって変更する

interface/delete/peer インタフェースを所定のピア名によって削除

する

interface/delete/ifname インタフェースを所定のインタフェース名に

よって削除する

interface/show/summary すべてのインタフェースまたは特定のインタ

フェースのサマリを表示する

interface/show/detailed すべてのインタフェースまたは特定のインタ

フェースのサマリをより詳細に表示する

tunnels/show/IKE/all すべての有効なSAを表示する

tunnels/show/IKE/peer 特定のピアの有効なSA を表示する（ゲート

ウェイの IPアドレスが必要）

tunnels/show/IPSec/all すべての IPSecトンネルを表示する

tunnels/show/IPSec/peer 特定のピアの IPSecトンネルを表示する

tunnels/delete/IKE/peer 特定のピアの有効なSA を削除する（ゲート

ウェイの IPアドレスが必要）

tunnels/delete/IKE/user 特定のユーザの有効なSAを削除する（内部 IPアドレスとユーザ名が必要）

tunnels/delete/IKE/all すべての有効なSAを削除する

tunnels/delete/IPSec/peer 特定のピアの IPSecトンネルを削除する

（ゲートウェイの IPアドレスが必要）

tunnels/delete/IPSec/user 特定のユーザの IPSecトンネルを削除する

（内部 IPアドレスとユーザ名が必要）

tunnels/delete/IPSec/all すべての IPSecトンネルを削除する

tunnels/delete/all すべてのSAと IPSecトンネルを削除する

表 C-1 VPN シェルのコマンドと引数（続き）

式意味

637

サード・パーティの商標および著作権

Entrust は、米国およびその他の国における Entrust Technologies, Inc. の登録商標です。 Entrust のロゴ、Entrust の製品およびサービスの

名称も Entrust Technologies, Inc. の登録商標です。Entrust Technologies Limited は、Entrust Technologies, Inc. の完全所有子会社です。

FireWall-1 および SecuRemote には、Entrust の証明書管理技術が採用されています。

Verisign は Verisign Inc. の商標です。

下記は、ソフトウェアのうちミシガン大学が著作権を所有する部分に関する記述です。 Portions of the software copyright 1992-1996 Regents of the University of Michigan. All rights reserved. Redistribution and use in source and binary forms are permitted provided that this notice is preserved and that due credit is given to the University of Michigan at Ann Arbor. The name of the University may not be used to endorse or promote products derived from this software without specific prior written permission. This software is provided “as is” without express or implied warranty. Copyright Sax Software (terminal emulation only).

下記は、ソフトウェアのうちカーネギー・メロン大学が著作権を所有する部分に関する記述です。

Copyright 1997 by Carnegie Mellon University. All Rights Reserved.

Permission to use, copy, modify, and distribute this software and its documentation for any purpose and without fee is hereby granted, provided that the above copyright notice appear in all copies and that both that copyright notice and this permission notice appear in supporting documentation, and that the name of CMU not be used in advertising or publicity pertaining to distribution of the software without specific, written prior permission.CMU DISCLAIMS ALL WARRANTIES WITH REGARD TO THIS SOFTWARE, INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS, IN NO EVENT SHALL CMU BE LIABLE FOR ANY SPECIAL, INDIRECT OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR PERFORMANCE OF THIS SOFTWARE.

下記は、ソフトウェアのうち The Open Group が著作権を所有する部分に関する記述です。

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE OPEN GROUP BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

下記は、ソフトウェアのうち OpenSSL Project が著作権を所有する部分に関する記述です。 This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit (http://www.openssl.org/).

THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT ``AS IS'' AND ANY * EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE OpenSSL PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

下記は、ソフトウェアのうち Eric Young が著作権を所有する部分に関する記述です。 THIS SOFTWARE IS PROVIDED BY ERIC YOUNG ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE AUTHOR OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. Copyright 1998 The Open Group.

638

下記は、ソフトウェアのうち Jean-loup Gailly および Mark Adler が著作権を所有する部分に関する記述です。Copyright (C) 1995-2002 Jean-loup Gailly and Mark Adler. This software is provided 'as-is', without any express or implied warranty. In no event will the authors be held liable for any damages arising from the use of this software. Permission is granted to anyone to use this software for any purpose, including commercial applications, and to alter it and redistribute it freely, subject to the following restrictions:

1. The origin of this software must not be misrepresented; you must not claim that you wrote the original software. If you use this software in a product, an acknowledgment in the product documentation would be appreciated but is not required.

2. Altered source versions must be plainly marked as such, and must not be misrepresented as being the original software.

3. This notice may not be removed or altered from any source distribution.

下記は、ソフトウェアのうち Gnu Public License が著作権を所有する部分に関する記述です。 This program is free software; you can redistribute it and/or modify it under the terms of the GNU General Public License as published by the Free Software Foundation; either version 2 of the License, or (at your option) any later version. This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for more details.You should have received a copy of the GNU General Public License along with this program; if not, write to the Free Software Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.

下記は、ソフトウェアのうち Thai Open Source Software Center Ltd および Clark Cooper が著作権を所有する部分に関する記述です。Copyright (c) 2001, 2002 Expat maintainers. Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions: The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.GDChart is free for use in your applications and for chart generation. YOU MAY NOT re-distribute or represent the code as your own. Any re-distributions of the code MUST reference the author, and include any and all original documentation. Copyright. Bruce Verderaime. 1998, 1999, 2000, 2001. Portions copyright 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Cold Spring Harbor Laboratory. Funded under Grant P41-RR02188 by the National Institutes of Health. Portions copyright 1996, 1997, 1998, 1999, 2000, 2001, 2002 by Boutell.Com, Inc. Portions relating to GD2 format copyright 1999, 2000, 2001, 2002 Philip Warner. Portions relating to PNG copyright 1999, 2000, 2001, 2002 Greg Roelofs. Portions relating to gdttf.c copyright 1999, 2000, 2001, 2002 John Ellson ([email protected]). Portions relating to gdft.c copyright 2001, 2002 John Ellson ([email protected]). Portions relating to JPEG and to color quantization copyright 2000, 2001, 2002, Doug Becker and copyright (C) 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002, Thomas G. Lane. This software is based in part on the work of the Independent JPEG Group. See the file README-JPEG.TXT for more information. Portions relating to WBMP copyright 2000, 2001, 2002 Maurice Szmurlo and Johan Van den Brande. Permission has been granted to copy, distribute and modify gd in any context without fee, including a commercial application, provided that this notice is present in user-accessible supporting documentation. This does not affect your ownership of the derived work itself, and the intent is to assure proper credit for the authors of gd, not to interfere with your productive use of gd. If you have questions, ask. "Derived works" includes all programs that utilize the library. Credit must be given in user-accessible documentation. This software is provided "AS IS." The copyright holders disclaim all warranties, either express or implied, including but not limited to implied warranties of merchantability and fitness for a particular purpose, with respect to this code and accompanying documentation. Although their code does not appear in gd 2.0.4, the authors wish to thank David Koblas, David Rowley, and Hutchison Avenue Software Corporation for their prior contributions.

Licensed under the Apache License, Version 2.0 (the "License"); you may not use this file except in compliance with the License. You may obtain a copy of the License at http://www.apache.org/licenses/LICENSE-2.0

The curl license

COPYRIGHT AND PERMISSION NOTICE

Copyright (c) 1996 - 2004, Daniel Stenberg, <[email protected]>.All rights reserved.

Permission to use, copy, modify, and distribute this software for any purpose

with or without fee is hereby granted, provided that the above copyright

notice and this permission notice appear in all copies.

639

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Except as contained in this notice, the name of a copyright holder shall not be used in advertising or otherwise to promote the sale, use or other dealings in this Software without prior written authorization of the copyright holder.

The PHP License, version 3.0

Copyright (c) 1999 - 2004 The PHP Group. All rights reserved.

Redistribution and use in source and binary forms, with or without modification, is permitted provided that the following conditions are met:

1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

3. The name "PHP" must not be used to endorse or promote products derived from this software without prior written permission. For written permission, please contact [email protected].

4. Products derived from this software may not be called "PHP", nor may "PHP" appear in their name, without prior written permission from [email protected]. You may indicate that your software works in conjunction with PHP by saying "Foo for PHP" instead of calling it "PHP Foo" or "phpfoo"

5. The PHP Group may publish revised and/or new versions of the license from time to time. Each version will be given a distinguishing version number. Once covered code has been published under a particular version of the license, you may always continue to use it under the terms of that version. You may also choose to use such covered code under the terms of any subsequent version of the license published by the PHP Group. No one other than the PHP Group has the right to modify the terms applicable to covered code created under this License.

6. Redistributions of any form whatsoever must retain the following acknowledgment:

"This product includes PHP, freely available from <http://www.php.net/>".

THIS SOFTWARE IS PROVIDED BY THE PHP DEVELOPMENT TEAM ``AS IS'' AND ANY EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE PHP DEVELOPMENT TEAM OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

This software consists of voluntary contributions made by many individuals on behalf of the PHP Group. The PHP Group can be contacted via Email at [email protected].

For more information on the PHP Group and the PHP project, please see <http://www.php.net>. This product includes the Zend Engine, freely available at <http://www.zend.com>.

This product includes software written by Tim Hudson ([email protected]).

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS

INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

640

Copyright (c) 1998, 1999, 2000 Thai Open Source Software Center Ltd

Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so, subject to the following conditions:The above copyright notice and this permission notice shall be included in all copies or substantial portions of the Software.

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

Copyright 2003, 2004 NextHop Technologies, Inc. All rights reserved.

Confidential Copyright Notice

Except as stated herein, none of the material provided as a part of this document may be copied, reproduced, distrib-uted, republished, downloaded, displayed, posted or transmitted in any form or by any means, including, but not lim-ited to, electronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of NextHop Technologies, Inc. Permission is granted to display, copy, distribute and download the materials in this doc-ument for personal, non-commercial use only, provided you do not modify the materials and that you retain all copy-right and other proprietary notices contained in the materials unless otherwise stated. No material contained in this document may be "mirrored" on any server without written permission of NextHop. Any unauthorized use of any material contained in this document may violate copyright laws, trademark laws, the laws of privacy and publicity, and communications regulations and statutes. Permission terminates automatically if any of these terms or condi-tions are breached. Upon termination, any downloaded and printed materials must be immediately destroyed.

Trademark Notice

The trademarks, service marks, and logos (the "Trademarks") used and displayed in this document are registered and unregistered Trademarks of NextHop in the US and/or other countries. The names of actual companies and products mentioned herein may be Trademarks of their respective owners. Nothing in this document should be construed as granting, by implication, estoppel, or otherwise, any license or right to use any Trademark displayed in the document. The owners aggressively enforce their intellectual property rights to the fullest extent of the law. The Trademarks may not be used in any way, including in advertising or publicity pertaining to distribution of, or access to, materials in

this document, including use, without prior, written permission. Use of Trademarks as a "hot" link to any website is prohibited unless establishment of such a link is approved in advance in writing. Any questions concerning the use of these Trademarks should be referred to NextHop at U.S. +1 734 222 1600.

U.S. Government Restricted Rights

The material in document is provided with "RESTRICTED RIGHTS." Software and accompanying documentation are provided to the U.S. government ("Government") in a transaction subject to the Federal Acquisition Regulations with Restricted Rights. The Government's rights to use, modify, reproduce, release, perform, display or disclose are

restricted by paragraph (b)(3) of the Rights in Noncommercial Computer Software and Noncommercial Computer Soft-ware Documentation clause at DFAR 252.227-7014 (Jun 1995), and the other restrictions and terms in paragraph (g)(3)(i) of Rights in Data-General clause at FAR 52.227-14, Alternative III (Jun 87) and paragraph (c)(2) of the Commer-cial

Computer Software-Restricted Rights clause at FAR 52.227-19 (Jun 1987).

Use of the material in this document by the Government constitutes acknowledgment of NextHop's proprietary rights in them, or that of the original creator. The Contractor/Licensor is NextHop located at 1911 Landings Drive, Mountain View, California 94043. Use, duplication, or disclosure by the Government is subject to restrictions as set forth in applicable laws and regulations.

Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty Disclaimer Warranty

THE MATERIAL IN THIS DOCUMENT IS PROVIDED "AS IS" WITHOUT WARRANTIES OF ANY KIND EITHER EXPRESS OR IMPLIED. TO THE FULLEST EXTENT POSSIBLE PURSUANT TO THE APPLICABLE LAW, NEXTHOP DISCLAIMS ALL WARRANTIES,

641

EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, IMPLIED WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE, NON INFRINGEMENT OR OTHER VIOLATION OF RIGHTS. NEITHER NEXTHOP NOR ANY OTHER PROVIDER OR DEVELOPER OF MATERIAL CONTAINED IN THIS DOCUMENT WARRANTS OR MAKES ANY REPRESEN-TATIONS REGARDING THE USE, VALIDITY, ACCURACY, OR RELIABILITY OF, OR THE RESULTS OF THE USE OF, OR OTHERWISE RESPECTING, THE MATERIAL IN THIS DOCUMENT.

Limitation of Liability

UNDER NO CIRCUMSTANCES SHALL NEXTHOP BE LIABLE FOR ANY DIRECT, INDIRECT, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING, BUT NOT LIMITED TO, LOSS OF DATA OR PROFIT, ARISING OUT OF THE USE, OR THE INABILITY TO USE, THE MATERIAL IN THIS DOCUMENT, EVEN IF NEXTHOP OR A NEXTHOP AUTHORIZED REPRESENTATIVE HAS ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. IF YOUR USE OF MATERIAL FROM THIS DOCUMENT RESULTS IN THE NEED FOR SERVICING, REPAIR OR CORRECTION OF EQUIPMENT OR DATA, YOU ASSUME ANY COSTS THEREOF. SOME STATES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO THE ABOVE LIMITATION OR EXCLUSION MAY NOT FULLY APPLY TO YOU.

Copyright ComponentOne, LLC 1991-2002. All Rights Reserved.

BIND: ISC Bind (Copyright (c) 2004 by Internet Systems Consortium, Inc. ("ISC"))

Copyright 1997-2001, Theo de Raadt: the OpenBSD 2.9 Release

PCRE LICENCE

PCRE is a library of functions to support regular expressions whose syntax and semantics are as close as possible to those of the Perl 5 language. Release 5 of PCRE is distributed under the terms of the "BSD" licence, as specified below. The documentation for PCRE, supplied in the "doc" directory, is distributed under the same terms as the software itself.

Written by: Philip Hazel <[email protected]>

University of Cambridge Computing Service, Cambridge, England. Phone:

+44 1223 334714.

Copyright (c) 1997-2004 University of Cambridge All rights reserved.

Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met:

* Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer.

* Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution.

* Neither the name of the University of Cambridge nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission.

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

Eventia Reporter には、MySQL AB が著作権を所有している、またはライセンスを許諾しているソフトウェアが含まれています。

2007 年 3 月 643

索引

数字3DES 361, 371

Aactive_resolver 524ActiveSync 338, 343, 350, 352,

369, 372, 374allow_clear_in_enc_domain 518

Bblock_conns_on_erase_

passwords 518

CCAB パッケージ 350, 351, 383

アップグレード 351アンインストール 352

CAB ファイル 346CAPI 262CRL 64

キャッシュの使用 76事前取得キャッシュの

変更 77猶予期間の設定 77

Ddefault_ps 518DHCP サーバ 285, 288, 289,

293, 296, 303Diffie-Hellman 42, 45, 278

disable_stateful_dhcp 518DNS 解決 197DNS サーバ 500

Eenable_automatic_policy_

update 519enable_kill 527encrypt_db 525

IIKE 259

Diffie Hellman グループ 45DoS 攻撃に対する防御 51暗号化と完全性チェックの

方式 45概要 42設定 56ピアのペアごとの

一意の SA 49フェーズ I 42フェーズ II（クイック

モード）43モード 46ライフタイムに基づく再ネ

ゴシエーション 47IPSec 37, 41, 43, 44, 45, 47, 48,

81, 259, 286, 296, 320, 412, 413, 583, 587, 588, 590

IP 圧縮 48IP 設定 386IP プール NAT 232

設定 237

Kkeep_alive 525keep_alive_interval 525

LL2TP 320, 412

設定 420認証方式 416

LMHOSTS 493

Mmacutil 293manual_slan_control 518Meshed Community 97MSI パッケージ 350, 352

Upgrade 353アンインストール 353インストール 352

MSI パッケージング・

ツール 392, 396

NNAT

オフィス・モード 488no_clear_tables 526

Oobjects_5_0.c 47objects_5_0.C フ

ァイル 489, 490

644

ODL（オンデマンド・

リンク）206設定 215

OSCP（Online Certificate Status Protocol）65

OTP 491

PPerfect Forward Secrecy 47PKCS#12 262Product.ini ファイル 395, 517pwd_erase_on_time_

change 521

RRADIUS サーバ 263, 266, 289,

304, 305, 403RC4 361, 371RDP プロービング 198, 200Remote Access Community 354,

356, 357resolver_session_interval 524resolver_ttl (10) 524RFC 1981 500

Sscc connect 618scc connectnowait 618scc listprofiles 618scc numprofiles 618scc passcert 618scc setmode 618scc sp 618scc startsc 618scc status 618scc stopsc 618scc suppressdialogs 618scc userpass 618scc ver 619

SCV（Secure Configuration Verification）427

local.scv セット 441NG 以前の

クライアント 435SCV チェック 432概要 429設定 436属性 449ポリシーの検証 431ポリシーの

ダウンロード 431SCV（Secure Configuration

Verification）トラバーサル 339

SDL 492設定 494

SecureClientアンインストールの後処理

スクリプト 395インストールの後処理

スクリプト 395SecuRemote DNS サーバ 500SecuRemote/SecureClient

NAT トラバーサル・

トンネリング機能 320VPN コミュニティの

SCV 詳細度 312事前にパッケージされた

ポリシー 317設定 324選択的ルーティング 314デスクトップ・セキュリ

ティ・ポリシー 317ログの有効化 319

SecurID 259, 360, 491silent_policy_update 519SSL Network Extender

概要 534設定 542特別な考慮事項 539

SSL Network Extender の設定 542

SSL Network Extenderモード 334

SSL トンネル（ビジター・

モード）341startup.C 363

Ttopology_over_IKE 525TTM（変換テンプレート・

ファイル）376

Uuse_cert 520use_entelligence 520use_ext_auth_msg 527use_ext_logo_bitmap 527userc.C ファイル

パラメータの説明 518

Vvpn accel 616vpn compreset 616vpn compstat 616vpn crl_zap 616vpn crlview 616vpn debug 616vpn drv 616vpn export_p12 616vpn macutil 293, 616vpn nssm_toplogy 616vpn overlap_encdom 617vpn sw_topology 617vpn tu 617vpn ver 617VPN コミュニティ 38, 82, 84,

87, 91, 95, 96, 97, 106, 125, 157, 188, 191, 275, 627

SCV 詳細度 312, 324明示的 MEP 234ワイヤ・モード 182, 185

645

VPN シェル 128, 633VPN トンネル・

インタフェース 123アンナンバード VTI 126クラスタ環境 131ナンバード VTI 125, 128

VPN トンネル共有 156設定 163

WWINS 492, 493

え永続的トンネル 154, 174, 175

MEP 環境 155設定 159停止 163

エラー・メッセージ 386

おオフィス・モード 284, 341,

359, 473, 500ipassignment.conf

ファイル 294, 301NAT 488サイトごと 307ユーザごとの IP 296

か解決メカニズム 210

設定 216, 482管理パッチ 348

くクライアント証明書

インポート 563クライアントレス VPN 602

暗号化のレベル 607機能の仕組み 603ゲートウェイによって提示

される証明書 606セキュリティ・サーバ 606設定 608チェック・ポイント・

ソリューション 603特別な考慮事項 606ユーザ認証 604

クリア・トラフィックを許可 338

けゲートウェイ履歴 338

こコネクト・モード 409, 490, 500

トポロジの自動更新 497コマンドライン・

インタフェース（CLI）616

さサービスの除外 93

し遮断されるソフトウェアの

種類 537集中管理モード 334証明書 361証明書の取り消し 75

証明書の復旧と更新 75自動接続 336自動登録 63, 70, 71, 73, 74

すスター・コミュニティ 38, 83,

85, 97, 99, 101, 103, 105, 114, 115, 116, 117, 119, 174, 223, 225, 229, 230, 234, 472

スプリット DNS 500

せセキュリティ・

ポリシー 354, 363切断時のアンインストール 570

た対称判定機能 358タイムアウト

認証 491

ちチェック・ポイント以外の

ファイアウォール 498チェック・ポイント以外の

ファイアウォールの背後のSecuRemote/SecureClient 498

てデジタル証明書 262デスクトップ・セキュリティ・

ポリシー 317, 402, 406

646

とトポロジ

更新 363トポロジの自動更新

プロパティ 497トラディショナル・モード 240

外部管理ゲートウェイ 249設定 246内部管理

ゲートウェイ 247, 248トンネル・テスト 156トンネルの構築 79

VPN トンネル確立の

確認 98アクセス制御 91暗号化の問題 86完全性 80外部管理ゲートウェイ 89機能の仕組み 81機密性 80スター 84設定 95特別な考慮事項 94トポロジ 84トポロジの選択 85認証 80メッシュ 84リモート・アクセス・

コミュニティ 83ドメイン・ベース VPN 90, 111

概要 112設定 114

な内部 CA 証明書 362内部認証局（ICA）58, 62, 75,

245, 259, 262, 265, 416, 424

に認証

スキーム 363設定 360

認証局（CA）58, 71, 248, 249認証タイムアウト 491

はハイブリッド・モード 46, 262,

263, 274, 523ハブ・モード 318, 357, 373,

468, 470, 471, 472, 473パスワードのキャッシュ 491

ひビジター・モード 258, 260,

261, 357, 507, 583, 590, 591, 592, 596, 598, 600

ビジター・モード（SSL トンネル）341

ふ負荷共有クラスタの

サポート 358複数エントリ・ポイント（サイト間）217

RIM 232暗黙的 MEP 228概要 218設定 234選択方式 221特別な考慮事項 233返信パケットの

ルーティング 232明示的 MEP 220

複数エントリ・ポイント（リモート・アクセス）504

IP プール NAT 507MEP の無効化 508設定 509返信パケットの

ルーティング 507プライマリ・

インタフェース 477

ほポリシー・サーバ 404

む無線ホット・スポット 520

めメッシュ・コミュニティ 38, 84,

85, 96, 97, 101, 105, 117, 175, 191, 627

もモジュール・パッチ 349

ゆユーザの再認証 360

りリモート・アクセス・

コミュニティ 260リモート・アクセスの接続性の

解決 582IKE Over TCP 585IKE Over TCP の設定 594

647

IPSec パス大転送

単位 587MEP 環境でのビジター・

モード 592NAT 関連の問題 584NAT トラバーサル 587NAT トラバーサル（UDP カ

プセル化）の設定 595SecurePlatform/Nokia 592UDP カプセル化 587アクティブ IPSec

PMTU 588カスタム・ポートの

割り当て 591小さい IKE フェーズ II

プロポーザル 586小さい IKE フェーズ II プロ

ポーザルの設定 595パッシブ IPSec PMTU 589ビジター・モードの

設定 596プロキシ・サーバ 591プロキシ・サーバで作業

するリモート・クライアントの設定 597

リンク選択（サイト間）概要 196シナリオ 203設定 211プライマリ・アドレス 199リモート・ピアによる

IP 選択 197リンク選択と ISP の冗長性 207リンク選択（リモート・

アクセス）概要 476シナリオ 478設定 481プライマリ・アドレス 477リモート・ピアによる

IP 選択 476

るルーティング

詳細な設定 116設定 114

ルーティング・テーブル 386ルート・インジェクション・

メカニズム（RIM）165tnlmon.conf ファイル 171カスタム・スクリプト 169概要 166自動 RIM 167設定 174トラッキング・

オプション 176ルート・ベース VPN 91

Cisco GRE との相互

運用 138VPN トンネル・インタ

フェース（VTI）123アンチスプーフィング 142概要 122ダイナミック・ルーティン

グ・プロトコル 127, 138マルチキャスト・パケット

のルーティング 150

わワイヤ・モード 177

シナリオ 180設定 185特別な考慮事項 184

ワイヤレス・ホットスポット 318, 326, 619

ワン・タイム・パスワード 491

バーチャル・プライベート・ ネットワーク...目次 7 第11 章 リンク選択...

Documents

バーチャル・プライベート・ネットワーク...目次 7 第11 章リンク選択...