Check Point のセキュリティー・ゲートウェイのピアへの接続
IBM Cloud VPN for VPC を使用すると、VPN トンネルを介して VPC をオンプレミス・ネットワークに安全に接続できます。 このトピックでは、Check Point のセキュリティー・ゲートウェイを、VPN for VPC に接続するように構成する方法について説明します。
この手順は、Check Point Security Gateway のソフトウェア・リリースに基づいています。 [R81.10]. 以前のバージョンの Check Point ソフトウェアはサポートされていません。
オンプレミスのピアに接続を続ける前に、 VPNゲートウェイの既知の 問題をお読みください。
Check Point のセキュリティー・ゲートウェイは、デフォルトでは IKEv1 を使用するので、IKE および IPsec のカスタム・ポリシーを作成して、VPC の VPN のデフォルトのオートネゴシエーション・ポリシーを置き換える必要があります。
これらの機能をサポートするために、以下の一般的な構成手順を Check Point のセキュリティー・ゲートウェイで実行する必要があります。
Check Point Security Gateway ピアへの IBM のポリシー・ベース VPN の接続
以下に、IBM ポリシーに準拠した VPN を Check Point Security Gateway ピアに接続する方法の例を示します。
-
内部で管理されるセキュリティー・ゲートウェイを構成するには、以下の手順を実行します。
- SmartConsole > ゲートウェイ & サービス に移動し、セキュリティー・ゲートウェイの名前をクリックして、セキュリティー・ゲートウェイの構成ページを開きます。
- **「ネットワーク管理 (Network Management)」**ページに移動し、トポロジーを定義します。
- ネットワーク管理 > VPN ドメイン ページに移動して、VPN ドメインを定義します。
-
Check Point SmartConsole で相互運用可能デバイスを作成するには、以下の手順を実行します。
- オブジェクト・エクスプローラーを開き、「 新規」 > 「その他」 > 「ネットワーク・オブジェクト」 > 「その他」 > 「相互運用可能デバイス」の順にクリックして、新しい相互運用可能デバイスのページを開きます。
- **「一般プロパティー (General Properties)」**ページに移動し、IBM VPN ゲートウェイの名前とパブリック IP アドレスを入力します。
- 「トポロジー (Topology)」ページに移動し、IBM VPN ゲートウェイのパブリック IP アドレスと IBM VPC サブネットを追加します。 IBM VPN パブリック IP アドレスを、ネットマスク
255.255.255.255
を使用する外部ネットワークとして追加します。 IBM VPC サブネットを内部ネットワークとして追加します。
-
VPN コミュニティーを追加するには、以下の手順を実行します。
これらの説明は
Star Community
タイプに基づいていますが、Meshed Community
タイプもオプションです。- SmartConsole > セキュリティー・ポリシー > アクセス・ツール > VPN コミュニティーに移動し、
Star Community
をクリックして新しい VPN コミュニティー・ページを開きます。 - 新規コミュニティー名を入力します。
- ゲートウェイ > センター・ゲートウェイ ページに移動し、
+
アイコンをクリックして、Check Point Security Gateway を追加します。 - ゲートウェイ > Satellite ゲートウェイ ページに移動し、
+
アイコンをクリックして、 IBM VPN ゲートウェイを追加します。 - **「暗号化」**ページに移動し、デフォルトの
Encryption Method
とEncryption Suite
を使用します。 - **「トンネルの管理 (Tunnel Management)」**ページに移動し、
One VPN tunnel per subnet pair
を選択します。 - **「共有秘密鍵 (Shared Secret)」**ページに移動し、事前共有鍵を設定します。
- **「OK」**をクリックして、変更を公開します。
- SmartConsole > セキュリティー・ポリシー > アクセス・ツール > VPN コミュニティーに移動し、
-
「セキュリティー・ポリシー」ページで関連するアクセス・ルールを追加するには、以下の手順を実行します。
- VPN 列にコミュニティーを追加し、サービス & アプリケーション列にサービスを追加し、必要なアクションと適切な追跡オプションを指定します。
- アクセス制御ポリシーをインストールします。
IBM 経路ベース VPN の Check Point Security Gateway ピアへの接続
これらのステップ例については、「 CheckPoint Administration Guide 」を参照してください。
IBM 経路ベースの VPN を Check Point Security Gateway ピアに接続するには、以下の手順を実行します。
-
IPsec VPN を有効にするには、SmartConsole > ゲートウェイ & サービスを選択し、セキュリティー・ゲートウェイの名前をクリックしてセキュリティー・ゲートウェイ構成ページを開きます。 一般プロパティー タブ付きビューで、IPsec VPN をクリックします。
図 1: CheckPoint connection enable IPsec -
経路ベースの VPN を有効にするには、以下の手順を実行します。
- SmartConsole > ゲートウェイ & サービスを選択し、セキュリティー・ゲートウェイの名前をクリックして、セキュリティー・ゲートウェイ構成ページを開きます。
- ネットワーク管理 > VPN ドメインをクリックします。
- 「ユーザー定義」 を選択します。
- [「...」] ボタンをクリックします。
- 新規 > グループ > 単純グループ をクリックし、名前を入力します。
- OK をクリックします。
図 2: CheckPoint connection enable IPsec -
IBM VPN ゲートウェイを相互運用可能なデバイスとして追加するには、「オブジェクト・エクスプローラー」に移動します。 次に、[ New] > [More] > [Network Object] > [More] > [Interoperable Device] をクリックし、新しい相互運用デバイスのページを開きます。 IBM 経路ベース VPN ゲートウェイの小さなパブリック IP アドレスを IPv4 アドレス・フィールドに入力します。
小規模パブリック IP について詳しくは、この 重要な通知を参照してください。
図 3: CheckPoint connection add interoperable device -
VPN コミュニティーを作成するには、SmartConsole > セキュリティー・ポリシー > アクセス・ツール > VPN コミュニティーを選択します。 次に、スター・コミュニティー をクリックして、新しい VPN コミュニティー・ページを開きます。 CheckPoint ゲートウェイと IBM 経路ベース VPN ゲートウェイを追加します。
図 4: CheckPoint 接続で VPN コミュニティーを作成します -
暗号化トラフィックを構成するには、VPN コミュニティーで 暗号化トラフィック をクリックし、すべての暗号化トラフィックを受け入れるを選択します。
図 5: CheckPoint 接続による暗号化トラフィックの構成 -
IKE と IPsec の提案を構成するには、VPN コミュニティーで 暗号化 をクリックします。 次に、暗号化方式、スーツ、および Perfect Forward Secrecy を選択します。 これらの値は、IBM 経路ベースの VPN 構成と一致している必要があります。
CheckPoint -
トンネル管理を構成するには、VPN コミュニティーで トンネル管理 をクリックします。 次に、コミュニティー内のすべてのトンネル と ゲートウェイ・ペアごとに 1 つの VPN トンネルを選択します。
図 7: CheckPoint connection configure tunnel management -
事前共有鍵を構成するには、VPN コミュニティーで 共有秘密 をクリックします。 IBM VPN 経路ベース・ゲートウェイと同じ事前共有鍵を設定します。
図 8: CheckPoint connection configure pre-shared key -
方向一致を有効にするには、 [メニュー]>[グローバルプロパティ]>[VPN]>[詳細設定 ]を選択し、[ VPN列]の[VPN方向一致を有効にする ]をクリックします。
図 9: CheckPoint connection enable directional match -
方向マッチング VPN ルールを追加するには、SmartConsole > セキュリティー・ポリシー > アクセス制御 > ポリシーを選択してから、新しい VPN ルールを追加します。 方向性ルールには、以下の方向性マッチング条件が含まれている必要があります。
- お客様の VPN コミュニティー > お客様の VPN コミュニティー
- VPN コミュニティー > Internal_Clear
- Internal_Clear > VPN コミュニティー
図 10: CheckPoint connection add directional matching VPN rules -
ポリシーをインストールするには、スマート・コンソール> セキュリティー・ポリシーを選択し、ポリシーのインストールをクリックします。
図 11: CheckPoint 接続インストール・ポリシー -
仮想トンネル・インターフェース (VTI) を追加するには、Gaia ポータル > ネットワーク管理 > ネットワーク・インターフェースを選択して、追加 > VPN トンネルをクリックします。
図 12: CheckPoint 接続の VPN トンネルの追加 -
静的経路を追加するには、Gaia ポータル > ネットワーク管理 > IPv4 静的経路を選択し、追加をクリックします。 宛先 CIDR は IBM VPC サブネットです。
図 13: CheckPoint 接続の静的経路の追加 -
ネットワーク・トポロジーをリフレッシュするには、以下の手順を実行します。
- SmartConsole > ゲートウェイ & サービスを選択し、セキュリティー・ゲートウェイの名前をクリックして、セキュリティー・ゲートウェイ構成ページを開きます。
- ネットワーク管理を選択し、インターフェースの取得 > トポロジーを使用したインターフェースの取得をクリックします。
図 14: CheckPoint 接続リフレッシュ・ネットワーク・トポロジー
Check Point Security Gateway に対するカスタム IKE ポリシーの作成
デフォルトでは、Check Point Security Gateway は IKEv1 を使用するので、カスタム IKE ポリシーを作成して、VPC の VPN のデフォルトのポリシーを置き換える必要があります。 以下のポリシー例では、一致する IKE ポリシーと IPsec ポリシーを使用する必要があります。
VPN for VPC でカスタム IKE ポリシーを使用するために、以下のようにします。
- IBM Cloud コンソールの「VPN for VPC」ページで、**「IKE ポリシー」**タブを選択します。
- **「新規 IKE ポリシー」**をクリックし、以下の値を指定します。
- **「IKE バージョン」**フィールドで 1 を選択します。
- 認証 フィールドには、sha256 を選択します。
- **「暗号化」**フィールドで aes256 を選択します。
- DH グループ フィールドには、19 を選択します。
- **「鍵ライフタイム」**フィールドで 86400 を指定します。
- VPC で VPN 接続を作成するときに、このカスタム IKE ポリシーを選択します。
Check Point Security Gateway に対するカスタム IPsec ポリシーの作成
VPN for VPC でカスタム IPsec ポリシーを使用するには、以下のようにします。
- IBM Cloud コンソールの「VPN for VPC」ページで、「**IPsec ポリシー **」タブを選択します。
- **「新規 IPsec ポリシー (New IPsec policy)」**をクリックし、以下の値を指定します。
- 認証 フィールドには、sha256 を選択します。
- **「暗号化」**フィールドで aes256 を選択します。
- **「鍵ライフタイム」**フィールドで 3600 を指定します。
- VPC で VPN 接続を作成するときに、このカスタム IPsec ポリシーを選択します。
NAT-T が常にオンであることの確認
NAT-T 機能がオンプレミス VPN デバイスで有効になっていることを確認します。 以下のリストは、デフォルトの動作を示しています。
- NAT デバイスが検出されると、NAT-T が有効になります。
- offer_nat_t_initator は
false
に設定されます (イニシエーターが NAT-T トラフィックを送信します)。 - offer_nat_t_responder_for_known_gw は
true
に設定されます (レスポンダーが既知のゲートウェイからの NAT-T トラフィックを受け入れます)。 - force_nat_t は
false
に設定されます (NAT-T デバイスがない場合でも NAT-T が強制されます)。
デフォルト設定を以下のように変更することをお勧めします。
- NAT-T を有効にします。
- offer_nat_t_initator を
true
に設定する。 - 環境内に NAT デバイスがない場合は、force_nat_t を
true
に設定する。
GuiDBedit ツールを使用して、これらの変数を表示および変更できます。 これらのステップを確認するには、ご使用の特定のバージョンの Check Point の資料を参照してください。
- 左上のペインで**「表 (TABLE)」>「ネットワーク・オブジェクト (Network Objects)」>「network_objects」**をクリックします。
- 右上のペインで、該当するセキュリティー・ゲートウェイ・オブジェクトを選択します。
- 下部のペインで、「VPN」セクションを確認します。
- 変更内容を保存するには、**「ファイル」>「すべて保存 (Save All)」**をクリックします。
- SmartConsole で、このセキュリティー・ゲートウェイ・オブジェクトにアクセス制御ポリシーをインストールします。
詳細については、「 チェック・ポイント製デバイスとNAT-Tの互換性 」を参照してください。