TACACS(Terminal Access Controller Access Control System)は、1つまたは複数の中央サーバに より、ルータ、ネットワーク・アクセス・サーバ、および他のネットワーク・デバイスのアクセス 管理を行います。
TACACSは検証サービスを提供する外部認証スキームです。 TACACSを使用すると、VPN-1はリ
モート・ユーザの認証要求をTACACSサーバに転送します。 ユーザ・アカウント情報を保存する
TACACSサーバがユーザを認証します。このシステムは物理的なカード鍵デバイスまたはトークン・
カード、およびKerberos秘密鍵認証をサポートします。TACACSは、通信の安全性を確保するた めに、すべての認証要求のユーザ名、パスワード、認証サービス、およびアカウント情報を暗号化 します。
TACACSの設定の詳細については、91ページの「VPN-1ゲートウェイのTACACS+使用の設定」を
参照してください。.
Undefined
ユーザの認証スキームをundefined(未定義)と定義できます。未定義認証スキームを持つユーザが 何らかの形式の認証を使用するセキュリティ・ルールに一致した場合は、アクセスは常に拒否され ます。
認証方式
このセクションの構成
認証方式について
ファイアウォール管理者は、接続を単純に許可または拒否するセキュリティ・ルールを作成する代 わりに、クライアントが特定のネットワーク・リソースにアクセスしようとしたときに認証するよ うに要求できます。
認証方式としては、ユーザ認証、セッション認証、およびクライアント認証があります。これらの 認証方式では、提供するサービス、ログオン・メカニズム、および全体的なユーザ・エクスペリエ ンスが異なります。各認証方式は、VPN-1ゲートウェイにクライアントを接続して認証したあとで、
目的のリソースに接続を渡すように設定できます(このプロセスは非トランスペアレント認証と呼 ばれます)。または、クライアントを対象サーバに直接接続するように設定できます(このプロセス はトランスペアレント認証と呼ばれます)。
ここでは、ユーザが各認証方式を使用してどのように認証するかについて説明します。 認証方式の 設定の詳細については、71ページの「認証の設定」を参照してください。
ユーザ認証
ユーザ認証は、Telnet、FTP、HTTP、およびRLOGINサービスの認証機能を提供します。 ユーザ認 証はデフォルトでトランスペアレント認証です。ユーザは直接VPN-1ゲートウェイに接続せず、対 象となるサーバに接続します。
一般的なユーザ認証方式のワークフローを以下に示します。
1. VPN-1は、クライアントとサーバ間の通信を傍受します。
2. VPN-1はユーザ名とパスワードを要求します。
3. ユーザが正常に認証された場合、VPN-1は接続をリモート・ホストに渡します。 指定された 接続試行回数内に不正な認証情報が提供された場合は、接続が破棄されます。
認証方式について 62ページ
ユーザ認証 62ページ
セッション認証 65ページ
クライアント認証 66ページ
4. リモート・ホストは、ユーザ名とパスワードをユーザに要求します。
以下のセクションでは、ユーザ認証方式を使用したTelnetおよびFTP認証スキームの例を示します。
Telnet セッションの認証
以下は、「ユーザ認証」認証方式と「オペレーティング・システム・パスワード」認証スキームを 使用した、10.11.12.13へのTelnetセッションの認証例を示しています(RLOGINもほとんど同様)。
FTP セッション認証
「ユーザ認証」認証方式と「オペレーティング・システム・パスワード」認証スキームを使用して
10.11.12.13へのFTPセッションを認証するには、以下の手順に従います。
1. 10.11.12.13へのFTPセッションを開始します。
2. ユーザ名を以下の形式で入力します。
たとえば、
注:ユーザ・オブジェクトを設定するときに、ユーザがアクセスを許可される場所を設定で きます。しかし、これは、何らかの形式の認証を必要とするセキュリティ・ルールと競合す る可能性があります。詳細については、79ページの「アクセスの競合の解決」を参照して ください。
# telnet 10.11.12.13 Trying 10.11.12.13...
Connected to 10.11.12.13.
Escape character is ‘^]’.
Check Point FireWall-1 authenticated Telnet server running on tower
User: fbloggs
FireWall-1 password: *******
User fbloggs authenticated by FireWall-1 authentication Connected to 10.11.12.13
...
...
login:
# ftp 10.11.12.13
Connected to 10.11.12.13.
220 Check Point FireWall-1 Secure FTP server running on tower Name (10.11.12.13:fbloggs):
FTPユーザ@FireWall-1ユーザ@接続先ホスト
ftpuser@[email protected]
331 password: you can use password@password
3. 以下のように、FTPパスワードの後にチェック・ポイント・パスワードを入力します。
注: ユーザ名に「@」記号を使用するには、「@@」と入力します。 たとえば、FTPユーザ名が
user@domainの形式になっている場合、ユーザ名の形式は次のようになります。
user@@domain@FireWall-1 ユーザ@接続先ホスト
4. 以下のuserコマンドを使用してログインします。
HTTP のユーザ認証のタイムアウトに関する考慮事項
HTTPのユーザ認証では、Webブラウザが接続ごとにサーバに対してパスワードを自動的に提供す るので、HTTP用ユーザ認証でワン・タイム・パスワードを使用しているときは、セキュリティ上、
特別な注意が必要になります。
ワン・タイム・パスワードを使用するユーザに対して接続ごとに新しいパスワードを強制的に生成 させるのを避けるために、HTTPセキュリティ・サーバはパスワードの有効期限を、[Check Point Gateway]ウィンドウの[Authentication]ページの[User Authentication session timeout]
オプションで指定した時間だけ延長します。これにより、ワン・タイム・パスワードを使用する ユーザは、この時間内には各要求ごとに再認証を行う必要はありません。
セキュリティを強化するために、特定のタイプの要求に対してはユーザに再認証を要求できます。
たとえば、特定のHTTPサーバに対するすべての要求で新しいパスワードが必要になるように指定 したり、サーバの設定を変更する要求で新しいパスワードが必要になるように指定したりできます。
認証パラメータを設定するには、[Global Properties]>[FireWall]>[Security Server]ページ の[HTTP Server]定義の[Reauthentication]オプションを再定義します。
ユーザ認証の設定の詳細については、73ページの「ユーザ認証の設定」を参照してください。
Password: ftppass@xyz987
230-User fbloggs authenticated by FireWall-1 authentication 230-Connected to server. Logging in...
230-220 bigben ftp server (UNIX(r) System V Release 4.0) ready.
ftp>
ftp> user anonymous
331 Anonymous access allowed, send identity (e-mail name) as password.
Password: [email protected] 230 Anonymous user logged in.
ftp>
セッション認証
セッション認証は任意のサービスに使用できますが、ユーザの身元を確認するためにセッション認 証エージェントが必要です。セッション認証エージェントは通常、認証を行うクライアントにイン ストールされます。この場合、対象ホストへの接続を開始するユーザが認証クレデンシャルを提供
します。 セッション認証では接続ごとに認証手順が必要です。ただし、セッション認証エージェン
トは、対象のコンピュータまたはネットワーク内の他のコンピュータにインストールして、そのコン ピュータのユーザがユーザ名とパスワードを入力できるようにすることもできます。
図 2-1に[FireWall-1 Session Authentication]ウィンドウを示します。ユーザ名を入力すると、
別のプロンプトでパスワードが要求されます。
図 2-1[FireWall-1 Session Authentication]ウィンドウ
一般的なセッション認証のワークフローを以下に示します。
1. ユーザがサーバに直接、接続を開始します。
2. VPN-1がこの接続を傍受します。
3. セッション認証エージェントはユーザに認証データを要求し、VPN-1にこの情報を返します。
4. 認証に成功すると、VPN-1はこの接続がゲートウェイを通過して目的のサーバに接続するこ とを許可します。
セッション認証とセッション認証エージェントの設定の詳細については、74ページの「セッション 認証の設定」を参照してください。
注:ユーザ・オブジェクトを設定するときに、ユーザがアクセスを許可される場所を設定で きます。これは、何らかの形式の認証を必要とするセキュリティ・ルールと競合する可能性 があります。詳細については、79ページの「アクセスの競合の解決」を参照してください。
クライアント認証
このセクションの構成
クライアント認証とサインオンの概要
クライアント認証は、任意のサービスを認証するために使用できます。これは、特定のIPアドレス からのアクセスを無制限の数の接続に対して許可することができます。クライアント・ユーザが認 証プロセスを実行しますが、アクセスを許可されるのはクライアント・コンピュータです。クライ アント認証は、許可されたIPアドレスまたはホストからの複数のユーザによる接続のアクセスが許 可されるため、ユーザ認証よりも安全性が低くなります。認証はコンピュータごとに、初期ログイ ン手順のないサービスに対して行われます。 クライアント認証の利点は、認証が無限の数の接続お よびすべてのサービスにおいて使用可能であり、認証を任意の時間だけ有効にできることです。
クライアント認証とサインオンの概要 66ページ
Manual Sign On(手動サインオン) 67ページ
Waitモード 69ページ
Partially Automatic Sign On(半自動サインオン) 69ページ
Fully Automatic Sign On(全自動サインオン) 69ページ
Agent Automatic Sign On(エージェント自動サインオン) 70ページ
Single Sign On(シングル・サインオン) 70ページ
注: ユーザ・オブジェクトを設定するときに、ユーザがアクセスできる場所を設定できます。
しかし、これによって、何らかの形式の認証を必要とするセキュリティ・ルールとのあいだで 問題が発生する可能性があります。詳細については、79ページの「アクセスの競合の解決」を 参照してください。