Check Point Security Gateway ピアへの IBM のポリシー・ベース VPN の接続

以下に、IBM ポリシーに準拠した VPN を Check Point Security Gateway ピアに接続する方法の例を示します。

1. 内部で管理されるセキュリティー・ゲートウェイを構成するには、以下の手順を実行します。

   • SmartConsole > ゲートウェイ & サービス に移動し、セキュリティー・ゲートウェイの名前をクリックして、セキュリティー・ゲートウェイの構成ページを開きます。
   • **「ネットワーク管理 (Network Management)」**ページに移動し、トポロジーを定義します。
   • ネットワーク管理 > VPN ドメイン ページに移動して、VPN ドメインを定義します。

2. Check Point SmartConsole で相互運用可能デバイスを作成するには、以下の手順を実行します。

   • オブジェクト・エクスプローラーに移動し、 「新規」>「詳細」>「ネットワーク・オブジェクト」>「詳細」>「相互運用可能デバイス」 をクリックして、新しい相互運用可能デバイス・ページを開きます。
   • **「一般プロパティー (General Properties)」**ページに移動し、IBM VPN ゲートウェイの名前とパブリック IP アドレスを入力します。
   • 「トポロジー (Topology)」ページに移動し、IBM VPN ゲートウェイのパブリック IP アドレスと IBM VPC サブネットを追加します。 IBM VPN パブリック IP アドレスを、ネットマスク 255.255.255.255を使用する外部ネットワークとして追加します。 IBM VPC サブネットを内部ネットワークとして追加します。

3. VPN コミュニティーを追加するには、以下の手順を実行します。

   これらの説明は Star Community タイプに基づいていますが、Meshed Community タイプもオプションです。

   • SmartConsole > セキュリティー・ポリシー > アクセス・ツール > VPN コミュニティーに移動し、Star Community をクリックして新しい VPN コミュニティー・ページを開きます。
   • 新規コミュニティー名を入力します。
   • ゲートウェイ > センター・ゲートウェイ ページに移動し、+ アイコンをクリックして、Check Point Security Gateway を追加します。
   • ゲートウェイ > Satellite ゲートウェイ ページに移動し、+ アイコンをクリックして、 IBM VPN ゲートウェイを追加します。
   • **「暗号化」**ページに移動し、デフォルトのEncryption MethodとEncryption Suiteを使用します。
   • **「トンネルの管理 (Tunnel Management)」**ページに移動し、One VPN tunnel per subnet pairを選択します。
   • **「共有秘密鍵 (Shared Secret)」**ページに移動し、事前共有鍵を設定します。
   • **「OK」**をクリックして、変更を公開します。

4. 「セキュリティー・ポリシー」ページで関連するアクセス・ルールを追加するには、以下の手順を実行します。

   • VPN 列にコミュニティーを追加し、サービス & アプリケーション列にサービスを追加し、必要なアクションと適切な追跡オプションを指定します。
   • アクセス制御ポリシーをインストールします。

IBM 経路ベース VPN の Check Point Security Gateway ピアへの接続

これらのステップ例については、「 CheckPoint Administration Guide 」を参照してください。

IBM 経路ベースの VPN を Check Point Security Gateway ピアに接続するには、以下の手順を実行します。

1. IPsec VPN を有効にするには、SmartConsole > ゲートウェイ & サービスを選択し、セキュリティー・ゲートウェイの名前をクリックしてセキュリティー・ゲートウェイ構成ページを開きます。 一般プロパティー タブ付きビューで、IPsec VPN をクリックします。

   

2. 経路ベースの VPN を有効にするには、以下の手順を実行します。

   • SmartConsole > ゲートウェイ & サービスを選択し、セキュリティー・ゲートウェイの名前をクリックして、セキュリティー・ゲートウェイ構成ページを開きます。
   • ネットワーク管理 > VPN ドメインをクリックします。
   • 「ユーザー定義」 を選択します。
   • [「...」] ボタンをクリックします。
   • 新規 > グループ > 単純グループ をクリックし、名前を入力します。
   • OK をクリックします。

   

3. IBM VPN ゲートウェイを相互運用可能なデバイスとして追加するには、「オブジェクト・エクスプローラー」に移動します。 次に、 「新規」>「詳細」>「ネットワーク・オブジェクト」>「詳細」>「相互運用可能デバイス」 をクリックして、新しい相互運用可能デバイス・ページを開きます。 IBM 経路ベース VPN ゲートウェイの小さなパブリック IP アドレスを IPv4 アドレス・フィールドに入力します。

   小規模パブリック IP について詳しくは、この 重要な通知を参照してください。

   

4. VPN コミュニティーを作成するには、SmartConsole > セキュリティー・ポリシー > アクセス・ツール > VPN コミュニティーを選択します。 次に、スター・コミュニティー をクリックして、新しい VPN コミュニティー・ページを開きます。 CheckPoint ゲートウェイと IBM 経路ベース VPN ゲートウェイを追加します。

   

5. 暗号化トラフィックを構成するには、VPN コミュニティーで 暗号化トラフィック をクリックし、すべての暗号化トラフィックを受け入れるを選択します。

   

6. IKE と IPsec の提案を構成するには、VPN コミュニティーで 暗号化 をクリックします。 次に、暗号化方式、スーツ、および Perfect Forward Secrecy を選択します。 これらの値は、IBM 経路ベースの VPN 構成と一致している必要があります。

   

7. トンネル管理を構成するには、VPN コミュニティーで トンネル管理 をクリックします。 次に、コミュニティー内のすべてのトンネル と ゲートウェイ・ペアごとに 1 つの VPN トンネルを選択します。

   

8. 事前共有鍵を構成するには、VPN コミュニティーで 共有秘密 をクリックします。 IBM VPN 経路ベース・ゲートウェイと同じ事前共有鍵を設定します。

   

9. 方向性の一致を有効にするには、 「メニュー」>「グローバル・プロパティー」>「VPN」>「拡張」 を選択し、 「VPN 列での VPN の方向の一致を有効にする」 をクリックします。

   

10. 方向マッチング VPN ルールを追加するには、SmartConsole > セキュリティー・ポリシー > アクセス制御 > ポリシーを選択してから、新しい VPN ルールを追加します。 方向性ルールには、以下の方向性マッチング条件が含まれている必要があります。

    • お客様の VPN コミュニティー > お客様の VPN コミュニティー
    • VPN コミュニティー > Internal_Clear
    • Internal_Clear > VPN コミュニティー

    

11. ポリシーをインストールするには、スマート・コンソール> セキュリティー・ポリシーを選択し、ポリシーのインストールをクリックします。

    

12. 仮想トンネル・インターフェース (VTI) を追加するには、Gaia ポータル > ネットワーク管理 > ネットワーク・インターフェースを選択して、追加 > VPN トンネルをクリックします。

    

13. 静的経路を追加するには、Gaia ポータル > ネットワーク管理 > IPv4 静的経路を選択し、追加をクリックします。 宛先 CIDR は IBM VPC サブネットです。

    

14. ネットワーク・トポロジーをリフレッシュするには、以下の手順を実行します。

    • SmartConsole > ゲートウェイ & サービスを選択し、セキュリティー・ゲートウェイの名前をクリックして、セキュリティー・ゲートウェイ構成ページを開きます。
    • ネットワーク管理を選択し、インターフェースの取得 > トポロジーを使用したインターフェースの取得をクリックします。

    

Check Point Security Gateway に対するカスタム IKE ポリシーの作成

デフォルトでは、Check Point Security Gateway は IKEv1 を使用するので、カスタム IKE ポリシーを作成して、VPC の VPN のデフォルトのポリシーを置き換える必要があります。 以下のポリシー例では、一致する IKE ポリシーと IPsec ポリシーを使用する必要があります。

VPN for VPC でカスタム IKE ポリシーを使用するために、以下のようにします。

1. IBM Cloud コンソールの「VPN for VPC」ページで、**「IKE ポリシー」**タブを選択します。
2. **「新規 IKE ポリシー」**をクリックし、以下の値を指定します。
   • **「IKE バージョン」**フィールドで 1 を選択します。
   • 認証 フィールドには、sha256 を選択します。
   • **「暗号化」**フィールドで aes256 を選択します。
   • DH グループ フィールドには、19 を選択します。
   • **「鍵ライフタイム」**フィールドで 86400 を指定します。
3. VPC で VPN 接続を作成するときに、このカスタム IKE ポリシーを選択します。

Check Point Security Gateway に対するカスタム IPsec ポリシーの作成

VPN for VPC でカスタム IPsec ポリシーを使用するには、以下のようにします。

1. IBM Cloud コンソールの「VPN for VPC」ページで、「**IPsec ポリシー **」タブを選択します。
2. **「新規 IPsec ポリシー (New IPsec policy)」**をクリックし、以下の値を指定します。
   • 認証 フィールドには、sha256 を選択します。
   • **「暗号化」**フィールドで aes256 を選択します。
   • **「鍵ライフタイム」**フィールドで 3600 を指定します。
3. VPC で VPN 接続を作成するときに、このカスタム IPsec ポリシーを選択します。

NAT-T が常にオンであることの確認

NAT-T 機能がオンプレミス VPN デバイスで有効になっていることを確認します。 以下のリストは、デフォルトの動作を示しています。

• NAT デバイスが検出されると、NAT-T が有効になります。
• offer_nat_t_initator は false に設定されます (イニシエーターが NAT-T トラフィックを送信します)。
• offer_nat_t_responder_for_known_gw は true に設定されます (レスポンダーが既知のゲートウェイからの NAT-T トラフィックを受け入れます)。
• force_nat_t は false に設定されます (NAT-T デバイスがない場合でも NAT-T が強制されます)。

デフォルト設定を以下のように変更することをお勧めします。

• NAT-T を有効にします。
• offer_nat_t_initator を true に設定する。
• 環境内に NAT デバイスがない場合は、force_nat_t を true に設定する。

GuiDBedit ツールを使用して、これらの変数を表示および変更できます。 これらのステップを確認するには、ご使用の特定のバージョンの Check Point の資料を参照してください。

1. 左上のペインで**「表 (TABLE)」>「ネットワーク・オブジェクト (Network Objects)」>「network_objects」**をクリックします。
2. 右上のペインで、該当するセキュリティー・ゲートウェイ・オブジェクトを選択します。
3. 下部のペインで、「VPN」セクションを確認します。
4. 変更内容を保存するには、**「ファイル」>「すべて保存 (Save All)」**をクリックします。
5. SmartConsole で、このセキュリティー・ゲートウェイ・オブジェクトにアクセス制御ポリシーをインストールします。

詳しくは、 NAT-T Compatibility With Check Point Devicesを参照してください。