Check Point FWの評価ガイド① パスワード認証

目的

Check Point FWの以下の認証をSingleIDで実施します。

  • 管理者の認証(パスワード認証)
  • リモートアクセスVPNの認証(パスワード認証)
  • 無線LANアクセスの認証(EAP-TTLS-PAP方式のパスワード認証)
  • user1は、Check Point FWへスーパー管理者としてログイン可能。user2、user3はログインできない。
  • user2は、Check Point FWへVPNでリモートアクセス可能。user1、user3は、アクセスできない。
  • user3は、Check Point FWの無線LANアクセスポイントを利用可能。user1、user2は、利用できない。

環境

グループの情報

グループ名グループの説明メンバー
システム管理者Check Point FWの「スーパー管理者」権限をもつユーザのグループuser1
リモートアクセスユーザ Check Point FW のリモートアクセスVPNを許可されたユーザのグループuser2
無線アクセスユーザ Check Point FWの無線LANアクセスポイントへのアクセスを許可されたユーザのグループuser3

RADIUSの情報

設定に必要な情報説明および情報取得の方法など
RADIUSサーバのホスト名SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「ホスト名」です。
RADIUSサーバのIPアドレス SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「IPアドレス」です。
RADIUSサーバのポート番号 SingleID 管理者ポータル>認証>RADIUS画面の基本情報タブの「RADIUSポート番号」です。デフォルトUDP1812です。
RADIUSクライアントのIPアドレスCheck Point FW側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
RADIUSクライアントのシークレット任意の文字列を設定します。ここでは、シークレットを「checkpoint」とします。

設定方法

SingleIDの設定

グループの作成

SingleIDの管理者ポータルへログインします。

製品ログイン一覧

ユーザポータルは、組織の一般ユーザが使用するポータルです。ユーザの登録情報、パスワード変更、ワンタイムパスワード設定を行うことができます 管理者ポータルは、組織…

SingleID 管理者ポータル>グループ一覧画面へ移動します。

「グループ追加」をクリックします。

グループ名を入力し、「登録」をクリックします。作成するグループは、環境/グループの情報を参照します。

3つのグループを登録します。

ユーザの作成

SingleID 管理者ポータル>ユーザ一覧画面へ移動します。

「登録」をクリックします。

ユーザ登録画面の「基本情報」を入力します。 作成するユーザは、環境/グループの情報を参照します。 「グループ」タブをクリックします。

user2およびuser3の「メールアドレス」は、実際にメールを受け取れるメールアドレスを入力してください。Check Point FWの評価ガイド②で、クライアント証明書をメールで受け取るために必要となります。

参加するグループを選択し、「登録」をクリックします。参加するグループについては、環境/グループの情報を参照します。

3人分のユーザを登録します。

RADIUSの設定(「簡易設定-CheckPoint」画面から設定した場合)

SingleID 管理者ポータル>認証>RADIUS画面へ移動します。「CheckPoint」タブへ移動します。

「登録」をクリックします。

RADIUSクライアントに関する以下の項目を入力します。

選択するサーバの番号により、RADIUSサーバのポート番号が異なります。
サーバが1の場合には、UDP1812です。

SingleID 管理者ポータル>認証>RADIUS>基本情報タブ画面の「RADIUSポート番号」にサーバの番号と通信ポート番号の対応が記載されています。

「VPNアクセスの認証」タブへ移動します。

許可グループの設定で「リモートアクセスユーザ」グループをダブルクリックし、許可へ移動させます。

「無線アクセスの認証」タブへ移動します。

許可グループの設定で「無線アクセスユーザ」グループをダブルクリックし、許可へ移動させます。

「管理アクセスの認証」タブへ移動します。

許可グループの設定で「システム管理者」グループをダブルクリックし、許可へ移動させます。「スーパー管理者」の権限を選択します。

「登録」をクリックします。

Check Point FWの設定

ローカル管理者でログイン

https://<Check PointのIP>:4434/ へアクセスします。

ローカル管理者ののユーザ名、パスワードを入力し、「ログイン」をクリックします。

RADIUSサーバの設定

Check Point FW GUI>デバイス>管理者画面へ移動します。

「RADIUSの設定」をクリックし、RADIUSサーバの設定を行います。環境/RADIUSの情報を参照しながら、入力し、「適用」をクリックします。

管理者の認証の設定

Check Point FW GUI>デバイス>管理者画面へ移動します。

「権限の編集」をクリックし、「管理者のRADIUS認証を有効にする」にチェックします。「RADIUSサーバで定義されたロールを使用」を選択し、「適用」をクリックします。

リモートアクセスユーザの認証の設定

Check Point FW GUI>VPN>認証サーバへ移動します。 「RADIUS ユーザの権限」をクリックします。

「RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にする」へチェックし、「適用」をクリックします。

無線LANアクセスユーザの認証の設定

Check Point FW GUI>デバイス>ワイヤレスへ移動します。

「設定の編集」をクリックします。

ワイヤレスセキュリティにおいて、「保護されているネットワーク(推奨)」を選択し、次のように設定し、「適用」をクリックします。

  • セキュリティタイプ:WPA2(最も安全)
  • 暗号化タイプ:CCMP-AES(最も安全)
  • 認証方式:RADIUSサーバ(エンタープライズモード)

動作確認方法

管理者の認証(パスワード認証)

https://<Check PointのIP>:4344/ へアクセスします。

SingleIDのユーザ(user1)でログインを試み、ログインが成功することを確認します。

リモートアクセスVPNの認証(パスワード認証)

リモートアクセスクライアントのインストール

Check Point FWのリモートアクセスクライアントである、 Check Point Remote Access VPN Clients をインストールしていない場合には、以下よりダウンロードしてインストールします。

https://supportcenter.checkpoint.com/supportcenter/portal?version=&os=&productTab=downloads&product=175&eventSubmit_doShowproductpage=

接続先の設定

Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、「Next」をクリックします。

「Server address or Name」に、Check Point FWのWANのIPアドレスを入力し、「Next」をクリックします。

「VPN Client (Default)」が選択されていることを確認し、「Next」をクリックします。

「Username and Password」を選択し、「Next」をクリックします。

「Site created successfully」が表示されたら、サイトが無事作成されました。「Finish」をクリックします。

VPN接続

「Connect」をクリックします。

「Site」に、作成した接続先を選択します。

SingleIDのユーザ(user2)でログインを試み、ログインが成功することを確認します。

「Details」をクリックすると、詳細が表示され、user2で、RADIUS認証が行われて、接続が成功したことが確認できます。

無線LANアクセスの認証(EAP-TTLS-PAP方式のパスワード認証)

Windows 10 の場合

Point FWの無線LANアクセスポイントへ接続

Check Point FWの無線LANアクセスポイントのSSIDを選択し、「接続」をクリックします。

SingleIDのユーザ(user3)の認証情報を入力し、「OK」をクリックします。

接続先が正しいかどうかの確認を要求されます。「証明書の詳しい内容の表示」でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。

  • 発行先:SingleID 管理者ポータル>認証>RADIUSの基本情報画面のホスト名
  • 発行元:R3

接続先が正しければ、「接続」をクリックします。

接続成功したことを確認します。

コメントを残す

メールアドレスが公開されることはありません。