Integrity Advanced Server Gateway Integration Guide

(1)

Integrity Advanced Server

(2)

Check Point、Application Intelligence、Check Point Express、Check Point ロゴ、ClusterXL、Cooperative Enforcement、

ConnectControl、Connectra、CoSa、Cooperative Security Alliance、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、IMsecure、INSPECT、INSPECT XL、Integrity、InterSpect、IQ Engine、Open Security Extension、OPSEC、Policy Lifecycle Management、Provider-1、Safe@Home、Safe@Office、SecureClient、SecureKnowledge、SecurePlatform、SecuRemote、 SecurServer、SecureUpdate、SecureXL、SiteManager-1、SmartCenter、SmartCenter Pro、Smarter Security、SmartDashboard、 SmartDefense、SmartDefense Advisor、SmartLSM、SmartMap、SmartUpdate、SmartView、SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SofaWare、SSL Network Extender、TrueVector、UAM、User-to-Address Mapping、 UserAuthority、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 VSX、Web Intelligence、ZoneAlarm、Zone Alarm Pro、Zone Labs、および Zone Labs ロゴは、Check Point Software Technologies Ltd. またはその提携会社の商標または登録商標です。ここで言及されている他のすべての製品名は、各所有者の商標または登録商標です。本文書に記載されている製品は、U.S. Patent No. 5,606,668、5,835,726、および 6,496,935 で保護されており、米国のその他の特許またはその他の国の特許で保護されている場合や、特許を出願中のアプリケーションの場合が

(3)

1 章

ゲートウェイインテグレーションの概要

イントロダクション

...1

前提条件

...1

システム要件

...1

2 章

Nortel Contivity VPN スイッチインテグレーション

はじめに

...2

Nortel Contivity VPN スイッチの設定

...2 トンネルフィルタとトンネル管理フィルタの有効化...3 Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成...4 SRS Builder ユーティリティプラグインの使用...4 新規 Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成...6 Integrity クライアントソフトウェア定義の既存の TunnelGuard 規則への追加...9 Integrity サーバサンドボックスへの Nortel 制限付きアクセストンネルフィルタの作成...11 Integrity サーバサンドボックス用のアクセス規則の作成11 Integrity サーバサンドボックスアクセス規則を使用した制限付きアクセス Tunnel Filter の作成...12 制限付きアクセストンネルフィルタと Integrity クライアント TunnelGuard 規則の設定...13

Integrity クライアントの設定

...14 baynet.tbk ファイルの設定...15 iextranet.exe へのショートカットの設定...16

3 章

Check Point インテグレーション

はじめに

...18 SecureClient と SCV を使用した協調施行...18 協調施行の作業フロー...18 SecureClient/Integrity クライアント統合インストーラーの理解19 システム要件...19

SecureClient と Integrity クライアントの統合

...19 既存の SecureClient との統合...20 既存の Integrity クライアントとの統合...20

(4)

パッケージの使用...21 カスタム統合インストールパッケージの使用...23 ローカライズされた統合インストールパッケージの作成..24 VPN-1 インストールの設定...24 SecureClient インストールの設定...28 コンピュータが安全に設定されているかの確認...29 SecureClient インストール後の Integrity クライアントのインストール...29

Integrity Client インストール後の SecureClient のインストール...29 接続のチェック...30 SCV ポリシーの設定...30 SCVEditor...31 Check Point SCV ポリシーパラメータ...32 設定済み SCV ポリシーのサンプル...32 ポリシーサーバ上での SCV ポリシーのインストール...34 Check Point SCV 設定のトラブルシューティング...35 SecureClient の使用に必要な Integrity クライアントの設定...36 必要な規則の要約...36 SecureClient プログラムの Integrity サーバ使用の確認...37 エンタープライズポリシーの設定...38 ポリシーファイルのパッケージ化...39

4 章

Cisco VPN 3000 シリーズコンセントレータインテグレーション

イントロダクション

...41

要件

...41 システム要件...41

Cisco VPN 3000 シリーズコンセントレータの

Integrity との統合

...42 Cisco コンセントレータの設定...42 ファイアウォールの設定...42 クライアント施行の設定...43

Integrity クライアントの設定

...44 クライアント通信の概要...44 エンタープライズポリシーの設定...45 Cisco コンセントレータアクセスゾーンの追加...46 ローカルホストアクセスゾーンの追加...46 LAN アクセスゾーンの追加...47 プログラム規則の追加...47 ポリシー調停のオフ切り替え...48

Integrity Flex または Agent のポリシーファイルの

パッケージ化

...48

(5)

トラブルシューティング

...49

Integrity サーバとの接続チェック...50

ログファイルのチェック...50

SSL 証明書の交換のチェック...51

SSL 証明書の有効性のチェック...51

新しい Secure Socket Layer 証明書の作成...51

暗号タイプのチェック...52 ポート設定のチェック...52

5 章

InterSpect ゲートウェイインテグレーション

InterSpect インテグレーションのメリット

...53

要件

...53 システム要件...53

InterSpect ゲートウェイの設定

...54 ゲートウェイのブリッジモード設定の確認...54 Integrity サーバのイントラネットワークゾーンの作成.55 ブリッジ構成のセットアップ...55

Integrity Advanced Server の全般プロパティのセットアップ55 ゾーンへの接続の設定...57

ゾーンからの接続の設定...58

ゲートウェイ通信への設定の適用...58

Integrity Advanced Server の設定

...59

6 章

ネットワークアクセスサーバインテグレーション

はじめに

...60

協調施行アーキテクチャの理解

...60

設定概要

...62 始める前に...62 協調施行の設定...62

RADIUS サーバの設定

...63 NAS の RADIUS クライアントとしての設定...63 Integrity の RADIUS クライアントとしての設定...64 RADIUS サーバへの Integrity アクセスの設定...65

Integrity Advanced Server の設定

...67

802.1x 通信の有効化...68 ゲートウェイのカタログの作成...68 ポリシーのゲートウェイカタログへの割り当て...68

NAS の設定

...68

エンドポイントコンピュータの設定

...69 ワイヤレスアクセスポイントを使用するエンドポイントの設定...69

(6)

認証プロパティの設定...72 有線接続を使用するエンドポイントの設定...74

サポートされている施行動作

...77

インストールのトラブルシューティング

...77 全般...78 インターネット認証サービス...78

Integrity Advanced Server...78

Integrity クライアント...78 ネットワークアクセスサーバ...78

7 章

Cisco Aironet 1100 シリーズワイヤレスアクセスポイントの設定

はじめに

...80

要件

...80 サーバ要件...80 クライアント要件...80

Cisco Aironet 1100 Series Wireless Access Point の設定

...81

協調施行 SSID の作成...81

Wired Equivalent Privacy (WEP) キーの定義...82

Integrity を NAS 上の RADIUS サーバとして定義...82

再認証間隔の設定...83

エンドポイントコンピュータの設定

...83

トラブルシューティング

...84 状況 : 非準拠のユーザが接続を確立できない。...84 回避策...84

8 章

Cisco Catalyst 2950 G の設定

はじめに

...86

要件

Cisco Catalyst 2950 G スイッチの設定

...87

エンドポイントコンピュータの設定

...88

トラブルシューティング

...89 状況 : ログオフ後に、ユーザが VLAN に制限される。...89 回避策...89

9 章

Enterasys RoamAbout R2 の設定

はじめに

...90

要件

...90

(7)

Enterasys RoamAbout R2 の設定

...91

Wired Equivalent Privacy (WEP) キーの定義...91

エンドポイントコンピュータの設定

...93

10 章

Check Point Safe@Office 425W の設定

はじめに

...94

要件

Safe@Office 425W の設定

...95 ワイヤレス設定...95

索引

インデックス

...98

(8)

ゲートウェイインテグレーションの概要

イントロダクション

本書では、Virtual Private Network ゲートウェイデバイスを Integrity Advanced Server に統合するのに必要な手順について説明します。ゲートウェイを Integrity Advanced Server に統合することで、Cooperative EnforcementTM_{( 協調施行 ) 機能をリモートアクセスの保護に利用} することができます。

前提条件

本書は、各ゲートウェイデバイに固有の統合手順のみを説明しています。『Integrity Advanced Server 管理者ガイド』の説明に従って、協調施行機能を設定する手順にも従う必 要があります。ネットワークの概念についての一般的な理解も必要になります。本書で説明している作業を開始する前に、ネットワーク上にゲートウェイを設定し、その設定が正しいかどうかテストしておくことをお勧めします。

システム要件

サポートされているゲートウェイのすべてのシステム要件およびバージョン情報については、Integrity Advanced Server システム要件のドキュメントを参照してください。

(9)

Nortel Contivity VPN スイッチインテグレーション

はじめに

この章では、Nortel ContivityTM_{VPN スイッチおよびNortel Contivity クライアントで協調施行}

機能を有効にする設定方法について説明します。

ここに示す情報は、すでに Nortel Contivity VPN スイッチおよびクライアントが、Contivity TunnelGuard Manager および Agent とともにインストールされて設定済みであることを前提としています。詳細については、『Nortel Contivity インストールガイド』を参照してください。

Contivity および TunnelGuard のインストールが完了したら、この章の説明に従って、スイッチが Integrity クライアントを実行するエンドポイントコンピュータと連携動作し、VPN クライアントとして動作するように設定します。バンドルされている Java for TunnelGuard を使用してください。

Nortel Contivity VPN スイッチと Integrity Advanced Server を統合するには：

1. Nortel Contivity VPN スイッチを設定します。 (2 ページを参照) 2. Integrity クライアントを設定します。 (14 ページを参照 )

Nortel Contivity VPN スイッチの設定

Nortel Contivity VPN スイッチを設定するには：

1. フィルタを有効にします。 3 ページの「トンネルフィルタとトンネル管理フィルタの有効化」を参照してください。 2. ソフトウェア定義と TunnelGuard 規則を作成します。 4 ページの「Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成」を参照してください。 3. Integrity サーバサンドボックスに対するトンネルフィルタを作成します。 11 ページの「Integrity サーバサンドボックスへの Nortel 制限付きアクセストンネルフィルタの作成」を参照してください。

この章では、『Integrity Advanced Server 管理者ガイド』に記載されている協調施行設定の 手順をすでに完了していることを前提としています。

(10)

4. トンネルフィルタと TunnelGuard 規則を設定します。 13 ページの「制限付きアクセストンネルフィルタと Integrity クライアント TunnelGuard 規則の設定」を参照してください。

トンネルフィルタとトンネル管理フィルタの有効化

エンドポイントコンピュータが Integrity クライアントの実行に必要な TunnelGuard フィルタ規則を作成する前に、Contivity トンネルフィルタと Contivity トンネル管理フィルタを有効にします。

トンネルフィルタおよびトンネル管理フィルタを有効にするには：

1. Nortel Contivity スイッチ管理ポータルにログインします。 「Contivity スイッチ管理ポータルにようこそ」ページが表示されます。 2. 左側のナビゲーションペインで、[Services ( サービス )] - [Firewall/NAT ( ファイアウォー ル /NAT)] を選択します。 [Firewall/NAT ( ファイアウォール / NAT)] ウィンドウが表示されます。 3. 2 個の [Contivity (Contivity)] チェックボックスが表示されるまで下にスクロールします。 a [Contivity Tunnel Filter (Contivity トンネルフィルタ )] チェックボックスをオンにします。

b [Contivity Tunnel Management Filter (Contivity トンネル管理フィルタ )] チェックボッ

クスをオンにします。

(11)

c [OK] をクリックします。 d [OK] をクリックします。 引き続き次のセクションの手順に従ってゲートウェイにフィルタを設定し、Integrity クライアントを実行するエンドポイントコンピュータが VPN 接続を確立し、リソースにアクセスできるようにします。

Integrity クライアントソフトウェア定義と TunnelGuard 規則の作

成

前のセクションの手順で Contivity トンネルフィルタおよびトンネル管理フィルタを有効にしたら、以下の手順に従って Integrity クライアントソフトウェア定義および TunnelGuard 規則を作成します。

ソフトウェア定義と TunnelGuard 規則を作成するには：

1. SRS Builder ユーティリティプラグインを開きます。 4 ページの「SRS Builder ユーティリティプラグインの使用」を参照してください。 2. 新しいソフトウェア定義と TunnelGuard 規則を作成します。 6 ページの「新規 Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成」を参照してください。 3. ソフトウェア定義を TunnelGuard 規則に追加します。 Integrity クライアントソフトウェア定義の既存の TunnelGuard 規則への追加を参照してください。

SRS Builder ユーティリティプラグインの使用

SRS Builder ユーティリティプラグインは、ソフトウェア定義および TunnelGuard 規則を作成するための Java アプレットです。

(12)

SRS Builder ユーティリティプラグインを開くには：

1. [Firewall/NAT ( ファイアウォール / NAT)] ウィンドウを開き、[Contivity VPN Rule Configuration (Contivity VPN 規則設定 )] 領域が表示されるまで下にスクロールして、 [Contivity VPN Manage Policies (Contivity VPN 管理ポリシー )] をクリックします。

Java による Nortel Contivity スイッチ管理ポータルのダウンロードおよび承認ダイアログソックス初めて Contivity VPN SRS Builder ユーティリティプラグインを使用するときには、インターネットからプラグインをダウンロードしてインストールすることを求めるプロンプトが表示されます。Nortel の指示に従います。 2. Java サーブレットのダイアログボックスで、アプレットの Contivity VPN セキュリティ証 明書を許可するには [Yes ( はい )] を選択し、この通知を再度表示させないようにするに は [Always ( 常時 )] を選択します。 Contivity VPN SRS Builder ユーティリティプラグインのロードには、多少の時間がかかります。SRS の更新が完了すると、Nortel Networks の [TunnelGuard Software and Rule

(13)

Definition Tool (TunnelGuard ソフトウェアおよび規則定義ツール )] ウィンドウが表示されます。

新規 Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成

協調施行でエンドポイントコンピュータのセキュリティを確立するために使用される Integrity クライアントソフトウェア定義と TunnelGuard 規則を作成します。

Integrity Flex および Integrity Agent クライアントを Windows 9x システムで使用している場合には、追加のソフトウェア定義を作成して TunnelGuard 規則に追加する必要があります。

Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成

Integrity Agent および Integrity Flex クライアントを Windows NT、2000、または XP で使用して、Windows 9x では使用していない場合に必要なのは、このセクションの手順だけです。Windows 9x で稼動しているクライアントもある場合には、それらのクライアント用のソフトウェア定義を作成して TunnelGuard 規則に追加する必要があります。

Integrity クライアントソフトウェア定義と TunnelGuard 規則を追加するには：

1. SRS Builder ユーティリティプラグインを開きます。[Firewall/NAT ( ファイアウォール / NAT)] - [Rule Configuration ( 規則設定 )] で、[Manage Policies ( ポリシーの管理 )] をク

リックします。

SRS ポリシーが、ローカルマシン上で Nortel Contivity VPN スイッチによりアップデート されます。SRS がアップデートされた後で、[Nortel Networks TunnelGuard Software and

Rule Definition Tool (Nortel Networks TunnelGuard ソフトウェアおよび規則定義ツール )]

ウィンドウが表示されます。

(14)

2. [Software Definition ( ソフトウェア定義 )] タブで、[Software Definition ( ソフトウェア定

義 )] - [Auto Generate TunnelGuard Rule ( 自動生成 TunnelGuard 規則 )] を選択します。 自動生成 TunnelGuard 規則が選択された状態になります。

3. [New Software Definition ( 新規ソフトウェア定義 )] ボタンをクリックします。

[SRS Name (SRS 名 )] ダイアログボックスが表示されます。 4. [SRS Name (SRS 名 )] ダイアログボックスに、新しい規則の名前 ( 例 : Integrity クライア ント ) を入力し、続いて [OK] をクリックします。 ソフトウェア定義がリストに追加され、同じ名前の新しい TunnelGuard 規則が自動的に作成されます。 5. Integrity クライアントプログラムファイル (vspubapi.dll) をプログラムファイルリスト に追加します。ソフトウェア定義リストで、手順 1 で作成したソフトウェア定義を選択します。

a プログラムファイルリスト領域の一番下にある [Add OnDisk File as Entry (OnDisk ファイル

をエントリとして追加 )] ( 一番左の ) ボタンをクリックします。

[Open file ( ファイルを開く )] ダイアログボックスが表示されます。

b [Open ( 開く )] ダイアログボックスで、Integrity クライアント vspubapi.dll を表示し、

続いて [Open ( 開く )] をクリックします。

たとえば、Integrity クライアントがインストールされているコンピュータでは

c:\WINNT\system32\vspubapi.dll を探して、[Open ( 開く )] をクリックします。 vspubapi.dll がプログラムファイルの Integrity クライアントリストに追加されます。

6. 新しい規則が作成されたことを確認します。[TunnelGuard Rule Definition (TunnelGuard

規則定義 )] タブに、手順 1 で作成したソフトウェア定義と同じ名前 ( 例 : Integrity クライ アント ) の規則がリストに表示されます。

7. ソフトウェア定義と規則を保存します。[File ( ファイル )] - [Save ( 保存 )] を選択します。

各エンドポイントが Windows NT、Windows 2000、Windows XP など、NT 系のオペレーティングシステムのみを使用している場合は、これで Integrity クライアント用の TunnelGuard 規則の作成は完了です。9 ページの「Integrity クライアントソフトウェア定義の既存の TunnelGuard 規則への追加」に進みます。たとえばドライブやオペレーティングシステムの構成が異なるエンドポイントコンピュータの場合は、 Windows の環境変数を使用して Integrity クライアントプログラムファイルへのパスを再定義します。 a ファイルリスト領域で、追加した Integrity クライアントプログラムファイルを選択します。 b [Custom Path ( カスタムパス )] ボタンをクリックします。 [Custom Path ( カスタムパス )] ダイアログボックスが開きます。

c [Use Environment Variable ( 環境変数を使用 )] ラジオボタンを選択して、パス %WINDIR%\system32\vspubapi.dllを入力します。

d [OK] をクリックします。

(15)

Windows 98 が稼働しているエンドポイントがある場合には、次のセクションに進みます。

Windows 9x エンドポイント用 Integrity クライアントソフトウェア定義の作成と Integrity

クライアント TunnelGuard 規則への追加 Windows 9x で稼働しているクライアントがある場合には、Windows 9x クライアント用のソフトウェア定義を作成して TunnelGuard 規則に追加する必要があります。

Windows 9x エンドポイント用の Integrity クライアントソフトウェア定義を追

加するには：

1. SRS Builder ユーティリティプラグインを開きます。[Firewall/NAT ( ファイアウォール / NAT)] - [Rule Configuration ( 規則設定 )] で、[Manage Policies ( ポリシーの管理 )] をク

リックします。

SRS ポリシーが、ローカルマシン上で Nortel Contivity VPN スイッチによりアップデート されます。SRS がアップデートされた後で、[Nortel Networks TunnelGuard Software and

Rule Definition Tool (Nortel Networks TunnelGuard ソフトウェアおよび規則定義ツール )]

ウィンドウが表示されます。

2. [Software Definition ( ソフトウェア定義 )] タブで、[Software Definition ( ソフトウェア定

義 )] - [Auto Generate TunnelGuard Rule ( 自動生成 TunnelGuard 規則 )] の選択を解除しま す。自動生成 TunnelGuard 規則の選択が解除された状態になります。 3. [New ( 新規 )] ボタンをクリックします。 [SRS Name (SRS 名 )] ダイアログボックスが表示されます。 4. [SRS Name (SRS 名 )] ダイアログボックスに、新しい規則の名前 ( 例 : ZL- 9x) を入力し、 続いて [OK] をクリックします。 ソフトウェア定義がリストに追加され、同じ名前の新しい TunnelGuard 規則が自動的に作成されます。 5. Integrity クライアントプログラムファイル (vspubapi.dll) をプログラムファイルリスト に追加します。ソフトウェア定義リストで、手順 1 で作成したソフトウェア定義を選択します。

a プログラムファイルリスト領域の一番下にある [Add OnDisk File as Entry (OnDisk ファイル

をエントリとして追加 )] ( 一番左の ) ボタンをクリックします。

[Open file ( ファイルを開く )] ダイアログボックスが表示されます。

b [Open ( 開く )] ダイアログボックスで、Integrity クライアント vspubapi.dll を表示し、

続いて [Open ( 開く )] をクリックします。

たとえば、Integrity クライアントがインストールされているコンピュータでは

c:\Windows\system\vspubapi.dll を探して、[Open ( 開く )] をクリックします。

(16)

6. Integrity クライアントプログラムファイル用の API を有効にします。プログラムファイ

ルのリストの一番下で、[Add/Remove Vendor API Call Check ( ベンダ API の呼び出し チェックを追加 / 削除 )] ボタンをクリックします。

定義の API 列のボックスが選択されます。

7. [TunnelGuard Rule Definition (TunnelGuard 規則定義 )] タブに移動して、使用できる式の

リストから、前のセクションとこのセクションで作成した規則を選択します。両方の規則が、[Group ( グループ )] リストボックスに移動します。

8. [OR Expression (OR 式 )] を選択して、続いて [Form TunnelGuard Rule Expression (TunnelGuard 規則式を作成 )] をクリックします。

規則が新しい式 ( 例：ZL-Integrity client or ZL-Integrity client 9x) に結合され、[Available Expressions ( 使用できる式 )] ボックスに表示されます。

9. [TunnelGuard Rule Name (TunnelGuard 規則の名前 )] 列で、Integrity クライアント TunnelGuard 規則

を選択します。

10.TunnelGuard 規則の式で、手順 8 で作成した式 (ZL-Integrity client or ZL-Integrity client

9x) を選択します。 11.[File ( ファイル )] - [Save ( 保存 )] を選択します。 これで、Integrity クライアント用の TunnelGuard 規則の作成が完了しました。次のセクションに進んで、Nortel Contivity スイッチを設定します。

Integrity クライアントソフトウェア定義の既存の TunnelGuard 規則への追

加

Integrity クライアントソフトウェア定義が作成されたら、既存の規則に追加することができます。各グループにつき、1 個の TunnelGuard 規則だけが設定できます。複数の異なるプログラムが必要な場合は、すべてのソフトウェア定義が同じ TunnelGuard 規則内になければなりません。

Integrity クライアントソフトウェア定義を既存の規則に追加するには：

1. [TunnelGuard Rule Definition (TunnelGuard 規則定義 )] タブで、規則内に含めるすべての

ソフトウェア定義を含む式を作成します。

a 使用できる式のボックスで Integrity クライアントソフトウェア定義を選択し、続いて右矢印ボタンをクリックして [Rule Expression Constructor] ボックスに移動します。

例 :Integrity クライアントは、[Rule Expression Constructor ( 規則式のコンストラクタ )] ボックスに移動します。

Nortel Contivity VPN スイッチ上のグループで、すでに既存の規則が設定されている場合があります。設定済みの規則に Integrity クライアントソフトウェア定義を追加すると、自動的に Integrity クライアントの要件が適用されます。

(17)

b 他のソフトウェア定義または既存の式 ( もしくはその両方 ) を選択し、右矢印ボタンを

クリックします。

すべての式の一覧が [Rule Expression Constructor (Rule Expression Constructor)] ボックス に表示されます。

c リストが使用しているグループで、[And Expression ( 式の追加 )] を選択し、[Form TunnelGuard Expression (TunnelGuard 式から )] をクリックします。

新しい TunnelGuard 式が、使用できる式の一覧に表示されます。 ( 例：Integrity クライア ント AND 他の式 AND 他の式)

2. 規則の [TunnelGuard Expression (TunnelGuard 式 )] ドロップダウンリストで、手順 1 で

作成した式を選択します。 ( 例：Integrity クライアント AND 他の式 AND 他の式 ) Windows 9x 用の式を作成した場合には、式「ZL-Integrity Client or ZL-Integrity Client 9x」を選択して、適用するその他の条件に追加します。

(18)

3. 規則の変更を保存します。[File ( ファイル )] - [Save ( 保存 )] を選択します。

TunnelGuard 規則が Nortel Contivity VPN スイッチに追加されます。

4. SRS Builder ユーティリティプラグインを閉じます。

Integrity サーバサンドボックスへの Nortel 制限付きアクセストン

ネルフィルタの作成

このセクションでは、Integrity サーバサンドボックスにアクセスするための規則に従っていないエンドポイントコンピュータで、規則に準拠するのに必要なデータをダウンロードできるようにする制限付きアクセストンネルフィルタを作成する方法について説明します。以下の手順に従って、Integrity サンドボックスへのアクセスを可能にします。

Integrity サーバサンドボックスへのアクセスを許可するには：

1. Integrity サーバサンドボックス用のアクセス規則の作成 . 11 ページの「Integrity サーバサンドボックス用のアクセス規則の作成」を参照してください。

2. Integrity サーバサンドボックスアクセス規則を使用した制限付きアクセス Tunnel Filter

の作成。 12 ページの「Integrity サーバサンドボックスアクセス規則を使用した制限付きアクセス Tunnel Filter の作成」を参照してください。

Integrity サーバサンドボックス用のアクセス規則の作成

Integrity サーバサンドボックス用の受信および送信アクセス規則は、制限付きアクセストンネルフィルタを作成するのに使用されます。

Integrity サーバサンドボックスの受信および送信規則を作成するには：

1. Nortel Contivity スイッチ管理ポータルにログインし、[Profiles ( プロファイル )] - [Filters (

フィルタ )] を選択します。

[Filter ( フィルタ )] ダイアログボックスが表示されます。

2. [Current Contivity Tunnel Filters ( 現在の Contivity フィルタ )] ボックスで [Manage Rules (

規則の管理 )] を選択します。

[Tunnel Filters ->Manage Rules ( トンネルフィルタ -> 規則の管理 )] ウィンドウが表示されます。

3. [Create ( 作成 )] をクリックします。

[New Rule ( 新規規則 )] ウィンドウが表示されます。

以下のセクションでは、このセクションで作成された制限付きアクセストンネルフィルタが適用されます。

(19)

4. 以下の表に従って新規規則を作成します。 5. [OK] をクリックします。 [Current Rules ( 現在の規則 )] リストに、その新規規則が表示されます。 6. 手順 4 ～ 5 を繰り返して、Integrity サーバの受信側および送信側両方の規則を作成しま す。 7. [Close ( 閉じる )] をクリックすると、ユーティリティが終了します。

Integrity サーバサンドボックスアクセス規則を使用した制限付きアクセス

Tunnel Filter の作成

Nortel 制限付きアクセストンネルフィルタは、規則のセットです。このフィルタを作成する前に、受信側および送信側の Integrity サーバサンドボックス規則を作成する必要があります。

Integrity サーバサンドボックスへの Nortel 制限付きアクセストンネルフィル

タを作成するには：

1. サンドボックスの新しいフィルタを作成します。現在の Contivity トンネルフィルタで、 フィルタの名前を入力して [Create ( 作成 )] をクリックします。 ( 例：ZL-Integrity サーバ サンドボックス )

[Tunnel Filter Set ( トンネルフィルタ設定 )] ウィンドウが表示されます。

2. [Available Rules ( 利用可能規則 )] リストで、Integrity サーバの受信側および送信側のアク

セス規則を選択し、左矢印ボタンをクリックします。選択された規則がセットの [Rules ( 規則 )] に表示されます。フィールド _操作規則名規則の名前を入力します ( 例 : 受信規則には IN_IntegritySandbox、送信規則には OUT_IntegritySandbox)。フィルタ操作 _{[Permit ( 許可 )]}を選択します。方向 _{[Inbound ( 受信 )]}_または_{[Outbound ( 送信 )]}を選択します。 2 つの規則 ( 受信トラフィック用に 1 つ、送信トラフィック用に 1 つ ) を作成します。アドレス _{Integrity サーバの IP アドレス}を選択します。サーバがリストにない場合には、[Modify ( 変更 )] をクリックして Integrity サーバを追加します。プロトコル [TCP (TCP)] を選択します。発信元ポート _{[GT or Equals ( 以上 )]}および任意、0 を選択します。送信先ポート _{[GT or Equals ( 以上 )]}および [any ( 任意 )] 、0 を選択します。 TCP 接続 [Don’t Care ( 使用しない )] を選択します。

(20)

3. [OK] をクリックして、トンネルフィルタセットを保存します。 制限付きアクセストンネルフィルタが現在の Contivity トンネルフィルタに表示されます。

制限付きアクセストンネルフィルタと Integrity クライアント TunnelGuard

規則の設定

このセクションでは、”Integrity クライアントソフトウェア定義と TunnelGuard 規則の作成 ” のセクションで作成した Integrity クライアント TunnelGuard 規則と、”Integrity サーバサンドボックスへの Nortel 制限付きアクセストンネルフィルタの作成 ” のセクションで作成した Integrity サーバサンドボックス制限付きトンネルフィルタをグループに対して設定する方法について説明します。

Nortel Contivity VPN スイッチの接続を設定するには：

1. Nortel Contivity スイッチ管理ポータルにログインします。 「ようこそ」ウィンドウが表示されます。

2. グループを選択します。Nortel Contivity VPN スイッチの [Welcome ( ようこそ )] ウィンド

ウで、

[Profiles ( プロファイル )] | [Groups ( グループ )] を選択します。

[Groups ( グループ )] ダイアログボックスが表示されます。

3. Integrity クライアント TunnelGuard 規則を適用したいグループを編集します。[Groups (

グループ )] ダイアログボックスで、グループの横にある [Edit ( 編集 )] をクリックしま す。

ノート : 新規グループを作成するには、[Add ( 追加 )] をクリックし、グループの名前 を入力してから、[OK] をクリックします。新しいグループの作成時に、親グループか ら引き継ぎたくない属性がある場合は、それらの属性をすべて再設定してください。

4. 次に、TunnelGuard 設定を変更します。[Connectivity ( 接続 )] ボックスで、[Configure ( 設

定 )] を選択します。

(21)

b グループがこれらの設定を引き継ぐように設定されている場合には、上記のようにド

ロップダウンリストを有効にするために [Configure ( 設定 )] をクリックする必要があ ります。

以下の表は、Nortel Contivity VPN スイッチでのみ Integrity サーバおよび Integrity クライ アントについて設定する必要のある項目を示しています。 さらに、Integrity クライアントのコピーを Integrity サーバサンドボックス内に配置し、 TunnelGuard ポリシーに準拠していないエンドポイントコンピュータのユーザがコン ピュータをアップデートして接続を確立できるようにします。 c 残りの TunnelGuard 設定で、使用中のネットワークに最適な設定を選択します。詳細 については、ネットワーク管理者にお問い合わせください。 d [OK] をクリックして変更を保存します。 設定が保存され、そのグループと TunnelGuard 属性を継承するように設定されているす べての子グループに適用されます。

5. [Logoff ( ログオフ )] をクリックして、Nortel Contivity 管理ポータルを閉じます。

Integrity サーバが Nortel Contivity VPN スイッチ上に設定されます。協調施行機能を終了するには、14 ページの「Integrity クライアントの設定」に進みます。

Integrity クライアントの設定

Nortel Contivity VPN スイッチ、Contivity TunnelGuard Manager および Contivity VPN クライアントは、Integrity クライアントをエンドポイントコンピュータ上にインストールする前

にインストールする必要があります。Nortel 製品のインストールについては、『Nortel Contivity インストールガイド』を参照してください。

Integrity Agent または Integrity Flex をエンドポイントユーザに配布するには、クライアントのインストールパッケージを Integrity サーバで作成し、そのパッケージへのリンクを配布フィールド操作 TunnelGuard ドロップダウンリストから [Enable ( 有効 )] を選択します。 Contivity VPN TunnelGuard: Restricted Filter ( 制限付き フィルタ )

Check Point は、前のセクションで作成した Integrity

サーバサンドボックス規則 ( 例 : Integrity サーバサンドボックス ) をドロップダウンリストから選択することをお勧めしています。 TunnelGuard ポリシー 前のセクションで作成した Integrity クライアント TunnelGuard 規則を選択します。 TunnelGuard:Initial Policy Failure Action ( 初期ポリ シー失敗時のアクション ) [Leave Restricted ( 制限を継続 )] を選択します。

(22)

します。詳細については、Integrity インストールおよびコンフィギュレーションガイドを参照してください。

Integrity クライアントを設定するには：

1. baynet.tbk ファイルを設定します。 15 ページの「baynet.tbk ファイルの設定」を参照してください。 2. iextranet.exe へのショートカットを設定します。 16 ページの「iextranet.exe へのショートカットの設定」を参照してください。

baynet.tbk ファイルの設定

Integrity サーバと Nortel Contivity を統合するには、baynet.tbk ファイルを修正する必要があります。ファイルを修正後、修正した baynet.tbk ファイルを必ず VPN パッケージとともにエンドポイントコンピュータに配備してください。修正した baynet.tbk ファイルをエンドポイントコンピュータに配備しないと、Integrity Advanced Server の IP アドレスを入力するように求めるメッセージがエンドユーザに表示されます。baynet.tbk ファイルを配備すると、エンドユーザエラーは発生しなくなります。

baynet.tbk ファイルを設定するには：

1.baynet.tbk ファイルを開きます。

2.Server をゲートウェイのホスト名かパブリック IP アドレスに設定します。

3.IntegrityServer に Integrity Advanced Server の IP アドレスおよびポート番号 (1.1.1.1:443) を設定します。例 : [172.18.22.15] Description= Dialup=(None) Username=newone Integrity クライアントを配布するためのインストールパッケージを作成するときには、 Contivity VPN スイッチの IP アドレスをデフォルトポリシーのトラストゾーンに追加してください。これによって、Integrity クライアントからスイッチへの接続が自動的にブロックされることがなくなります。 IP アドレスか DNS/ ホスト名を使用してサーバを指定することができますが、これは Integrity Advanced Server を設定するときにゲートウェイにつけた Nortel パブリックホス ト名と同じフォーマットになっている必要があります。詳細については、『Integirity

(23)

UseTokens=0 TokenType=0 UsePAPGroup=0 GroupName= SavePassword=1 Server=172.18.22.15 primaryDNS= secondaryDNS= primaryWINS= secondaryWINS= domainName= DisableKeepalive=0 EnableSilentKeepalive=0 IntegrityServer=172.18.1.31:443 4.baynet.tbk ファイルを保存します。

iextranet.exe へのショートカットの設定

Integrity Flex または Integrity Agent のインストーラが実行されると、エンドポイントコンピュータ上の Nortel Contivity クライアントが検出され、自動的に

iextranet.exe がインストールされます。iextranet.exe は Integrity クライアントと

Nortel Contivity クライアントのラッパーとして機能し、強調施行が可能になりま す。iextranet.exe のショートカットが、「Integrity Nortel VPN Client」という名前 でデスクトップに配置されます。

協調施行で Nortel VPN に接続するには、エンドポイントユーザはこのショートカットを使 用して iextranet.exe を起動する必要があります。

Integrity クライアントをインストールしても、Contivity クライアントの既存のショートカットは自動的に削除されません。 Contivity クライアントのショートカットは、外観が Integrity Nortel VPN クライアントのショートカットと似ています。ユーザが Contivity クライアントのショートカットから VPN クライアントを起動してしまうと、協調施行が正しく機能しません。こうした混乱を避けるため、Contivity クライアントのショートカットは削除することをお勧めします。または、extranet.exe の名前を変更し、新しい名前で独自の実行可能属性を設定することもできます。詳細は、17 ページの「カスタム属性の設定」を参照してください。

(24)

オプション : デスクトップショートカットなし iextranet.exe のショートカットがデスクトップに作成されないようにするには、インストー ラのコマンドラインに以下のコマンドラインスイッチのいずれかを含めます。 バージョン 4.5 のクライアント： /nortel_noicon バージョン 5.0 以降のクライアント： NORTELICON= NO 上記のように設定した場合も、Iextranet.exe と協調施行に必要な他のすべてのファイルはインストールされます。カスタム属性の設定ユーザが extranet.exe を直接起動して協調施行を避けることがないように、エンドポイントコンピュータ上の extranet.exe の名前を変更して、独自の実行可能属性を tbk ファイルに設定します。

カスタム属性を設定するには：

1. extranet.exe を < 独自の名前 >.exe に変更します。 2. baynet.tbk ファイルを開き、以下の属性を設定します。

CustomExecutable=“C:\program files\nortel\< カスタム名 >.exe”

カスタムの実行可能ファイルを定義しない場合には、iextranet.exe は extranet.exe をデフォルトで使用します。

(25)

Check Point インテグレーション

はじめに

この章では、Check Point Integrity クライアント (Agent または Flex) を Check Point Software Technologies の VPN-1 SecureClient に統合する方法について説明します。統合によって、Integrity クライアントと SecureClient をエンドポイントコンピュータ上に共存させ、協調施行できるようになります。

SecureClient と SCV を使用した協調施行

協調施行の Check Status モデルを使用して、SecureClient を使用してネットワークにログインしているすべてのエンドポイントコンピュータが、セキュリティポリシーに準拠するようにさせることができます。詳細については、『Integrity Advanced Server 管理者ガイド』の「協調施行」の章を参照してください。 SecureClient は、SCV チェックを使用してコンピュータの全体的なセキュリティ設定を決定します。これらのセキュリティチェックは一定の間隔で行われ、安全に設定されたシステムのみが企業 VPN ゲートウェイへの接続を許可されることを保証します。各 SCV チェックでは、セキュリティ要件が満たされているかどうかが報告されます。いずれかの要件が満たされていない場合には、そのエンドポイントコンピュータは切断されるか制限を受け、エンドユーザにはエラーメッセージが表示されます。 SVC ポリシーに設定できる要件の詳細については、30 ページの「SCV ポリシーの設定」を参照してください。

協調施行の作業フロー

以下に、SecureClient を使用した協調施行の手順について説明します。 1. SecureClient が VPN-1 ゲートウェイに接続します。 SecureClient が使用しているシステムへの接続を初期化します。

2. SecureClient が Check Point ポリシーサーバに接続し、local.scv を受信します。

local.scv ファイル (Secure Configuration Verification) には、スキャンについて設定したパラメータが格納されています。詳細は、30 ページの「SCV ポリシーの設定」を参照してください。 3. パラメータが Zlscv.dll に渡されます。 local.scv ファイルに格納されているパラメータは、SecureClient によって Zlscv.dll に渡されます。ここで説明する内容は、FireWall-1 および VPN-1 がすでにインストールされていることを前提としています。 VPN-1 または FireWall- 1 のインストールの詳細については、Check Point Firewall-1 のマニュアルを参照してください。

またこの章では、『Integrity Advanced Server 管理者ガイド』に記載されている協調施行設定の手順をすでに完了していることを前提としています。

(26)

4. Zlscv.dll は、設定した間隔でチェックします。 ZLscv.dll は、local.scv ファイル内のすべてのパラメータと Integrity セキュリティポリシーへの準拠をチェックします。local.scv ファイルで設定した頻度で違反がないかをチェックし、その結果に従ってグローバルステータスを更新します。準拠のチェックに失敗した場合には、ユーザに対して失敗のメッセージが示され、イベントが記録されてゲートウェイに通知されます。 5. SecureClient がグローバルステータスをチェックします。 SecureClient は、チェックポイントゲートウェイで設定された頻度でグローバルステータスをチェックして、その結果に従ってアクセスを許可、制限、または拒否します。デフォルトの頻度は 15 秒間です。

SecureClient/Integrity クライアント統合インストーラーの理解

統合インストーラーによって、SecureClient と Integrity クライアントを必要なポリシーに同時にインストールすることができます。21 ページの「Integrity SecureClient の使用」を参照してください。

システム要件

Integrity Advanced Server の通常のシステム要件に加えて、以下の要件を満たす必要があります。システム要件の詳細については、Integrity システム要件のドキュメントを参照してください。

Check Point Æ VPN-1 NG with Application Intelligence R55W

Check Point VPN-1Æ SecureClient・NG with Application Intelligence R56

A Check Point Integrity クライアントバージョン 6.0 以降

Check Point Integrity Server バージョン 6.0 以降

Windows XP hotfix version Q329623 ( 統合インストーラーのみ )

SecureClient と Integrity クライアントの統合

以下の方法で Integrity クライアントを SecureClient と統合することができます。既存の SecureClient と統合する。20 ページの「既存の SecureClient との統合」を参照してください。既存の Integrity と統合する。20 ページの「既存の Integrity クライアントとの統合」を参照してください。すべての Check Point ソフトウェアには、ホットフィックスを含む最新のパッチがインストールされている必要があります。

(27)

Integrity SecureClient を利用する。この製品の組み合わせでは、Integrity クライアントと SecureClient が 1 つのインストールファイルからインストールされます。エンドポイントコンピュータに SecureClient も Integrity クライアントも存在していない場合には、このオプションを使用します。21 ページの「Integrity SecureClient の使用」を参照してください。

既存の SecureClient との統合

設定済みの Check Point SecureClient がすでにエンドポイントコンピュータ上に存在する場合にはこの統合方法を使用し、Integrity クライアントをインストールします。

既存の SecureClient と統合するには：

1. インストールされている VPN-1 の設定を変更します。24 ページの「VPN-1 インストール の設定」を参照してください。 2. SecureClient を設定します。28 ページの「SecureClient インストールの設定」を参照し てください。 3. コンピュータが安全に設定されていることを確認します。29 ページの「コンピュータが 安全に設定されているかの確認」を参照してください。 4. Integrity クライアントを既存の SecureClient でインストールします。29 ページの 「SecureClient インストール後の Integrity クライアントのインストール」を参照してください。 5. 接続を確認します。30 ページの「接続のチェック」を参照してください。 6. SCV ポリシーを設定します。30 ページの「SCV ポリシーの設定」を参照してください。 7. 新しい SCV ポリシーをインストールします。34 ページの「ポリシーサーバ上での SCV ポリシーのインストール」を参照してください。 8. SecureClient を使用できるように Integrity クライアントを設定します。35 ページの 「SecureClient の使用に必要な Integrity クライアントの設定」を参照してください。 a SecureClient プログラムが Integrity サーバを使用していることを確認します。 b エンタープライズポリシーを設定します。 9. インストールパッケージを作成します。38 ページの「ポリシーファイルのパッケージ 化」を参照してください。

既存の Integrity クライアントとの統合

Integrity クライアントがすでにエンドポイントコンピュータ上に存在する場合にはこの統合方法を使用し、Check Point SecureClient をインストールします。

既存の Integrity と統合するには：

1. インストールされている VPN-1 の設定を変更します。24 ページの「VPN-1 インストール

(28)

2. Check Point SecureClient をインストールします。29 ページの「Integrity Client インス トール後の SecureClient のインストール」を参照してください。 3. SecureClient を設定します。28 ページの「SecureClient インストールの設定」を参照し てください。 4. コンピュータが安全に設定されていることを確認します。29 ページの「コンピュータが 安全に設定されているかの確認」を参照してください。 5. 接続を確認します。30 ページの「接続のチェック」を参照してください。 6. SCV ポリシーを設定します。30 ページの「SCV ポリシーの設定」を参照してください。 7. 新しい SCV ポリシーをインストールします。34 ページの「ポリシーサーバ上での SCV ポリシーのインストール」を参照してください。 8. SecureClient を使用できるように Integrity クライアントを設定します。35 ページの 「SecureClient の使用に必要な Integrity クライアントの設定」を参照してください。 a SecureClient プログラムが Integrity サーバを使用していることを確認します。 b エンタープライズポリシーを設定します。 9. エンタープライズポリシーを配備します。 エンタープライズポリシーの配備の詳細については、『Integrity 管理者ガイド』の第 2 章「ポリシースタジオ概要」を参照してください。

Integrity SecureClient の使用

Integrity クライアントも SecureClient もエンドポイントコンピュータにインストールされていないときには、Integrity SecureClient を使用します。この組み合わせ製品のインストールパッケージでは、両方のクライアントをインストールします。以下のオプションのいずれかを使用できます。事前にパッケージ化された Integrity SecureClient パッケージ ( 推奨 ) 21 ページの「事前にパッケージ化された Integrity SecureClient パッケージの使用」を参照してください。カスタム統合インストールパッケージ 23 ページの「カスタム統合インストールパッケージの使用」を参照してください。

事前にパッケージ化された Integrity SecureClient パッケージの使用

事前にパッケージ化された Integrity SecureClient パッケージは、Check Point Web ページで提供されます。事前にパッケージ化された Integrity SecureClient パッケージを使用すると、クライアントをともに動作するように設定しなくても、標準のインストールが可能です。

(29)

事前にパッケージ化された Integrity SecureClient パッケージを使用するには :

1. Check Point Web サイトから IntegritySecureClient_X_X_XXX_< 言語 >.zip ファイルを入手

して展開します。

zip ファイルには、以下のファイルが含まれています。

sc_iflex_client.exe － SecureClient と Integrity Flex のパッケージファイル

sc_ia_client.exe － SecureClient と Integrity Agent のパッケージファイル

hostconfig.bat － Integrity Advanced Server の IP アドレスの指定が可能な設定用バッチファイル

hostconfig.vbs －いくつかのパラメータの指定が可能な設定スクリプト

hostconfig_readme.txt －設定スクリプトの readme

2. 設定スクリプトを使用して、設定ファイルを作成します。

hostconfig.bat ( 推奨 ) または hostconfig.vbs を使用できます。 Integrity Advanced Server の IP アドレスだけを指定したい場合は、hostconfig.bat を使用してください。その他のパラメータの指定には、hostconfig.vbs を使用します。

hostconifg.bat を使用するには :

コマンドスクリプトウィンドウを開き、次のように入力して、ホストを指定します。 hostconfig.bat < ホスト >

hostconifg.vbs を使用するには :

コマンドスクリプトウィンドウを開き、該当する引数を使用して、次のように入力します。引数種類説明

<host:443/cm> 必須 Integrity Advanced Server の IP アドレス

hostconfig.vbs ファイルは、hostconfig.bat と同じディレクトリ内におく必要があります。

NT ドメインを通して接続するエンドポイントユーザが、NT ドメインカタログを使用するように Integrity Advanced Server を設定するときのみ hostconfig.bat を使用してください。その他のカタログ、例えばカスタム、ゲートウェイ、IP カタログ、LDAP、RADIUS などを使用すると、エンドポイントには、割り当てられたエンタープライズポリシーではなく、デフォルトポリシーが設定されます。

(30)

cscript //nologo hostconfig.vbs -h < ホスト > -p < ポート > -t < トリガ > -n < 名前 > -d < 遅延時間 > 3. 適切な実行可能ファイルをエンドポイントコンピュータに配布するには、サードパー ティアプリケーションを使用します。これで、Integrity SecureClient がエンドポイントコンピュータにインストールされます。この章の残りの部分は不要です。

カスタム統合インストールパッケージの使用

クライアントを設定する必要がある場合には、カスタム統合パッケージを作成する必要があります。

カスタム統合インストールパッケージを使用して統合するには :

1. インストールされている VPN-1 の設定を変更します。24 ページの「VPN-1 インストール の設定」を参照してください。 2. SCV ポリシーを設定します。30 ページの「SCV ポリシーの設定」を参照してください。 3. 新しい SCV ポリシーをインストールします。34 ページの「ポリシーサーバ上での SCV ポリシーのインストール」を参照してください。 4. SecureClient を使用できるように Integrity クライアントを設定します。35 ページの 「SecureClient の使用に必要な Integrity クライアントの設定」を参照してください。 a SecureClient プログラムが Integrity サーバを使用していることを確認します。 b エンタープライズポリシーを設定します。 5. 統合インストールパッケージを作成します。38 ページの「ポリシーファイルのパッ ケージ化」を参照してください。引数種類説明

-h < ホスト > 必須 Integrity Advanced Server の IP アドレス -p < ポート > オプション Integrity Advanced Server のポート番号 ( デ

フォルトは「5054」) -t < トリガ > オプショントリガメカニズム ( デフォルトは [Always ( 常に )]) -n < 名前 > オプション接続の名前 ( デフォルトは「Integrity Server」) -d < 遅延時間 > オプション接続の遅延時間 ( デフォルトは「-1」)

(31)

ローカライズされた統合インストールパッケージの作成

英語以外の言語の統合インストールパッケージを作成するには、次の手順に従います。

ローカライズされた統合インストールパッケージを作成するには :

1. ローカライズされた SecureClient 実行可能ファイルを入手します。 ローカライズされた SecureClient 実行可能ファイルを入手する方法の詳細については、 Check Point のドキュメントを参照してください。 2. 38 ページの「ポリシーファイルのパッケージ化」の手順に従って、統合インストール パッケージを作成します。

a [Product Information ( 製品情報 )] 領域に、ローカライズされた SecureClient 実行可能ファイルを含めます。

b [Product Information ( 製品情報 )] 領域に、ローカライズされた Integrity クライアント

の実行可能ファイルを含めます。

VPN-1 インストールの設定

以下の手順に従って、システムにインストールされている VPN-1 の設定を変更し、Check Point Integrity クライアントと連携して動作できるようにします。

Integrity SecureClient は Integrity クライアントのバージョン 5.0 以降を使用します。 Integrity SecureClient のインストール後に Integrity クライアント部分を旧バージョンに戻すことはできません。旧バージョンに戻すと、SecureClient にエラーが発生します。

(32)

インストールされている VPN-1 の設定を変更するには：

1. [Check Point SmartDashboard] ウィンドウで [Network Objects ( ネットワークオブジェク

ト )] - [Check Point] を選択し、使用しているファイアウォールを右クリックして [Edit ( 編集 )] を選択します。

[General Properties ( 全般プロパティ )] ウィンドウが表示されます。

2. [SecureClient Policy Server (SecureClient ポリシーサーバ )] チェックボックスをオンに

します。これによって、VPN-1 ゲートウェイ上の SecureClient ポリシーサーバが有効になります。 3. Check Point の各種ドキュメントを参照して、ファイアウォールを設定します。 この手順には以下の作業が含まれます。トポロジの定義認証の定義ポリシーサーバユーザの定義

(33)

ユーザグループファイアウォールアクセス権の設定

デスクトップセキュリティ規則の定義

ポリシーの定義

4. [Policy ( ポリシー )] - [Global Properties ( グローバルプロパティ )] - [VPN] を選択します。

[Global Properties VPN ( グローバルプロパティ VPN)] ウィンドウが表示されます。

5. [Simplified mode to all new Security Policies ( すべての新規セキュリティポリシーを簡易

(34)

6. [Remote Access ( リモートアクセス )] - [Secure Configuration Verification (SCV)] を選択し

ます。

[Secure Configuration Verification (SCV)] ウィンドウが表示されます。

7. [Apply Secure Configuration Verifications on Simplified mode Security Policies ( 簡易モード

のセキュリティポリシーにセキュリティ設定検証を適用 )] チェックボックスをオンにします。

8. SCV に失敗したときに新しい接続を制限する場合は、[Block client’s connection ( クライ

アントの接続をブロック )] チェックボックスをオンにします。 SCV に失敗したときに新 しい接続を許可する場合は、[Accept and log client’s connection ( クライアントの接続を 承認して記録 )] チェックボックスをオンにします。

9. サービスを設定します。

手順 8 で [Block client’s connection ( クライアントの接続をブロック )] を選択した場合、 SCV を使用しない HTTP、SCV サービスを使用しない HTTPS、およびゾーンセキュリティプロトコル 2 の各サービスが、SCV チェックを回避できるように設定する必要があります。

a [Services ( サービス )] を選択して、[Other ( その他 )] を右クリックします。

(35)

c SCV サービスを使用しない HTTP の [Name ( 名前 )] および [Description ( 説明 )] を入 力します。 d [IP Protocol] を 6 に設定します。 e [Advanced ( 詳細設定 )] をクリックします。 f [Match ( 一致 )] フィールドで、サービスが実行される送信先ポートに dport を設定し、 確認しないように SCV を設定します。

dport=<destination port>, r_scvres=SCV_DONT_VERIFY g [OK] をクリックします。 h [OK] をクリックします。 i SCV サービスを使用しない HTTPS およびゾーンセキュリティプロトコル 2 に対して手順 a ～ g を繰り返します。 ゾーンセキュリティプロトコル 2 に対しては、IP プロトコルを 17 に、dport を 6054 に設定します。

10.手順 8 で [Block client’s connection ( クライアントの接続をブロック )] を選択した場合

は、手順 9 で定義したサービスのファイアウォール規則を作成する必要があります。 Integrity クライアントが Integrity サーバと通信できるようにするには、それらのサービスを許可するファイアウォール規則を作成する必要があります。例 :

ファイアウォール規則の作成の詳細については、Check Point のマニュアルを参照してください。

11.[Policy ( ポリシー )] - [Install ( インストール )] を選択して、[OK] をクリックします。

ポリシーが配備されます。

SecureClient インストールの設定

Check Point の各種ドキュメントを参照して SecureClient を設定します。

Integrity サーバがゲートウェイの背後にある場合は、VPN アドレスに NAT 形式を使用することはできません。

(36)

コンピュータが安全に設定されているかの確認

コンピュータが安全に設定されていることを確認するには：

1. [SecureClient Diagnostics] を起動します。

[Check Point VPN-1 SecureClient Diagnostics] ウィンドウが表示されます。

2. [Machine is Securely Configured check ( マシンが安全に設定されているかチェック )] が緑

になっていることを確認します。 3. [SecureClient Diagnostics] を閉じます。

SecureClient インストール後の Integrity クライアントのインス

トール

Integrity クライアントインストーラを実行して画面の指示に従い Integrity クライアントをインストールします。

Integrity Client インストール後の SecureClient のインストール

Check Point SecureClient がインストールされていないコンピュータ上に Integrity クライアントをインストールする場合、Integrity クライアントインストーラは後の統合で必要なすべてのファイルをインストールしますが、SVC チェック用に Integrity クライアントを設定しません。Check Point SecureClien をインストールした後、Zone Labs SCV プラグインイン

[Check Point VPN-1 SecureClient Diagnostics] ウィンドウ

コンピュータが安全に設定されていない場合、Check Point の各種ドキュメントを参照して問題を解決してください。

Integrity クライアントのインストールプログラムによって SecureClient が再起動されます。このため、VPN 接続が切れることに注意してください。インストールの後、認証情報を再入力する必要があります。

Integrity Advanced Server Gateway Integration Guide