SSL 証明書の有効性をチェックするには:
1. Integrity コンフィギュレーション エリアで、 [Use Integrity Server (Integrity サーバを使用 )]
を選択します。
Integrity サーバ コンフィギュレーション ダイアログ ボックスが表示されます。
2. [Name (名前)] に、Integrity Advanced Server ホスト名を入力します。
3. [IP Address (IP アドレス)] に、Integrity Advanced Server の IP アドレスを入力します。
4. [Communication (通信)] をクリックしてアクティべーション キーを設定します。
[Communication (通信)] ダイアログ ボックスが表示されます。
a [Activation Key (アクティベーション キー)] に、InterSpect ゲートウェイと Integrity Advanced Server 間の通信を保護するのに使用する認証コードを入力します。
対応するゲートウェイ カタログを Integrity Advanced Server に作成する際に、この名前
を SIC オブジェクト名として使用する必要があるので、この名前を書き留めておいてく
ださい。
対応するゲートウェイ カタログを Integrity Advanced Server に作成する際に、この キーを [SIC Activation Key (SIC アクティベーション キー)] フィールドに入力する 必要があるので、このキーを書き留めておいてください。
b [Confirm Activation Key (アクティべーション キーの確認)] にキーを再入力します。
c [Initialize (初期化)] をクリックして、変更を保存します。
[Trust State (信頼状態)] フィールドに、「Initialized but trust not established (初期化され たが信頼は確立されていない)」というメッセージが表示されます。 (これは予想され ることです。 対応するゲートウェイ カタログを Integrity Advanced Server に設定した後 でのみ、信頼は確立されます。)
d [Close (閉じる)] をクリックします。
5. [OK] をクリックして変更を保存し、[Segmentation (セグメンテーション)] ウィンドウに
戻ります。
ゾーン
への接続の設定
ゲートウェイを経由して Integrity の保護されているゾーンに接続している通信を処理する 方法を決定します。
ゾーンへの接続を設定するには :
1.[Connections To Zone (ゾーンへの接続)] エリアで、[Authorize using Integrity Server
(Integrity サーバを使用して承認)] を選択します。
2. [Configure (設定)] をクリックして、さまざまな通信状態に対するゲートウェイ アクショ
ンを設定します。
[Integrity Server Action Properties (Integrity サーバのアクション プロパティ)] ウィンドウ が表示されます。
a さまざまな状態に対して、適切なアクション (調査、回避、ブロック、隔離) およびトラッキング レ ベル (なし、ログ、警告、メール、SNMP トラップ、ユーザ定義) を選択します。 (これらのアクショ ンおよびトラッキング オプションについては、Check Point InterSpect のユーザ マニュアルを参照 してください。
例えば、認証を拒否されたホストや Integrity クライアントを持たないホストを隔離し たり、Integrity が応答を送信しなかったときや接続されていないときに接続をブロック したりするように、管理者が InterSpect を設定することができます。
b [OK] をクリックします。
3.以下の手順に従って、クライアントが IP アドレスを取得できるようにします。
クライアントが Integrity Advanced Server と通信するためには、クライアントに IP アド レスが割り当てられている必要があります。
a [Connections To Zone (ゾーンへの接続)] エリアで、[Exceptions (例外)] をクリックします。
[Exceptions to Zone Settings (ゾーン設定の例外)] ダイアログ ボックスが表示されます。
b ポート 53 (DNS)、67 (DHCP)、および 68 (DHCP) のエントリを例外のリストに追加し
ます。 各エントリについて、以下のようにします。
Å [Add (追加)] をクリックします。
Å ポート番号を入力します。
Å プロトコル、アクション、およびトラックのオプションを適宜設定します。
Å [OK] をクリックします。
ゾーン
からの接続の設定
承認済みのコンピュータがゲートウェイ経由でネットワークの外部への通信を送信しないよ うにするために、Integrity Advanced Server を使用して外部への通信も保護します。
ゾーンからの接続を設定するには :
1. [Connections from Zone (ゾーンからの接続)] エリアで、[Authorize using Integrity Server
(Integrity サーバを使用して承認)] を選択します。
2. [Configure (設定)] をクリックして、さまざまな通信状態に対するゲートウェイ アクショ
ンを設定します。
[Integrity Server Action Properties (Integrity サーバのアクション プロパティ)] ウィンドウ が表示されます。
a さまざまな状態に対して、適切なアクション (調査、回避、ブロック、隔離) およびトラッキング レ ベル (なし、ログ、警告、メール、SNMP トラップ、ユーザ定義) を選択します。 (これらのアクショ ンおよびトラッキング オプションについては、Check Point InterSpect のユーザ マニュアルを参照 してください。
例えば、認証を拒否されたホストや Integrity クライアントを持たないホストを隔離し たり、Integrity が応答を送信しなかったときや接続されていないときに接続をブロック したりするように、管理者が InterSpect を設定することができます。
b [OK] をクリックします。
3.以下の手順に従って、クライアントが IP アドレスを取得できるようにします。
クライアントが Integrity Advanced Server と通信するためには、クライアントに IP アド レスが割り当てられている必要があります。
a [Connections To Zone (ゾーンへの接続)] エリアで、[Exceptions (例外)] をクリックします。
[Exceptions to Zone Settings (ゾーン設定の例外)] ダイアログ ボックスが表示されます。
b ポート 53 (DNS)、67 (DHCP)、および 68 (DHCP) のエントリを例外のリストに追加し
ます。 各エントリについて、以下のようにします。
Å [Add (追加)] をクリックします。
Å ポート番号を入力します。
Å プロトコル、アクション、およびトラックのオプションを適宜設定します。
Å [OK] をクリックします。
ゲートウェイ通信への設定の適用
ゲートウェイを経由してくる通信に対してこの設定を施行するには、以下のようにします。
°ツールバーで、[Activate Settings (設定を有効化)] をクリックします。 [Yes (はい)] - [Close
(閉じる)] をクリックします。
Integrity Advanced Server の設定
Integrity Advanced Server で、以下のようにします。
Inspect ゲートウェイのゲートウェイ カタログを設定します。
ゲートウェイに監視させるすべてのエンドポイント コンピュータ (Integrity クライアント
を含む) の IP アドレスを含む IP カタログを設定します。
ゲートウェイが監視するエンドポイントに割り当てるポリシーを作成します。 InterSpect ゲートウェイ上で確立されているゾーンのミラーになるアクセス ゾーンがポリシーに含 まれている必要があります。 エンドポイント、ゲートウェイ、および Integrity Advanced Server をトラスト ゾーンに追加することを推奨します。
ポリシーを新しい IP カタログに適用します。
上記のタスクの詳細については、『Integrity Advanced Server 管理者ガイド』を参照してく ださい。
ネットワーク アクセス サーバ インテグレーション
はじめに
この章では、802.1x と互換性のあるネットワーク アクセス サーバ (NAS) 用に、Integrity Advanced Server の協調施行機能をセットアップする方法について説明します。 協調施行を 有効にするには、以下を設定する必要があります。
RADIUS サーバ
Integrity Advanced Server
802.1x と互換性のある NAS
エンドポイント コンピュータ
この章では、RADIUS サーバ、Integrity Advanced Server およびエンドポイント コンピュー タの設定について説明します。 NAS の設定の詳細については、該当するベンダごとの章を 参照してください。 (ベンダごとの章は、68ページの「NAS の設定」に記載しています。) 以下のトピックについて説明します。
60ページの「協調施行アーキテクチャの理解」
62ページの「設定概要」
63ページの「RADIUS サーバの設定」
67ページの「Integrity Advanced Server の設定」
68ページの「NAS の設定」
69ページの「エンドポイント コンピュータの設定」
77ページの「サポートされている施行動作」
77ページの「インストールのトラブルシューティング」
この章の説明は、サポートされている NAS およびサポートされている RADIUS サーバをす でにインストールし、初期設定していることを前提としています。
協調施行アーキテクチャの理解
協調施行システム アーキテクチャは、さまざまな設定を考慮しています。 このセクション では、協調施行のためにコンポーネントがどのように連携するかについて説明します。
1.ユーザが NAS への接続を開きます。
2.NAS は Integrity Advanced Server に接続を指示します。
3.Integrity Advanced Server は、認証要求を RADIUS サーバに転送します。
4.認証に
a 成功すると、Integrity Advanced Server はエンドポイント コンピュータと通信できま す。
b 失敗すると、接続は終了します。
5.Integrity Advanced Server は、エンドポイント コンピュータの準拠をチェックします。 ク
ライアントが
a 準拠していると、クライアントは企業ネットワークへのアクセスを許可されます。
b 準拠していないと、クライアントが隔離された仮想ローカル エリア ネットワーク (VLAN) またはサンドボックスに制限されるか、または通信が特定の送信先の IP アド レス、ポート、およびプロトコルに制限されます。 非準拠のエンドポイントがワイヤ