SMA 1000: Secure Network Detection の設定

SMA 1000: Secure Network Detection (以下SND)の設定について説明します。

ここではバージョン12.4の設定について説明します。

なお、12.4から以前のConnect Tunnel Client は Legacy Connect Tunnel Client、Connect Tunnel Client for Device Guard はConnect Tunnel Client となり旧Connect Tunnel Client for Device Guard が標準のConnect Tunnel Client(以下、DGCT)となっております。Legacy CTとDGCTでは方式が異なりますのでご注意ください。

内容

Connect Tunnel Client(旧Connect Tunnel Client for Device Guard) の場合

1. Secure Networkの判定方法

2. Always on VPN との関連

Legacy Connect Tunnel Client の場合

1. Secure Network の判定基準

2. Always on VPNとの関連

3. その他注意事項

Connect Tunnel Client(旧Connect Tunnel Client for Device Guard) の場合

1. Secure Network の判定方法

DGCTの場合、特定の指定したホストの証明書をチェックすることにより、Secure Networkかどうかの判定を行います。証明書のハッシュ値もしくはハッシュ値が指定されていない場合は、証明書の発行CAが信頼できるかで判定を行います。（指定のホストが存在しないなどで）証明書の確認が行えない場合、ハッシュ値が異なる場合、信頼できるCAが発行した証明書でない場合は、Secure Networkではないと判定し、VPN接続を行います。

尚この方法は、バージョン12.3(2020年1月もしくはそれ以降のホットフィックスが適用されていること）、12.4、もしくは 12.4以降で有効です。以前のバージョンの場合は、Legacy Connect Tunnel を使用してください。

ホストの指定はCEM(Configuration Extensions Mechanism)を使用し以下のいずれかのフォーマットで指定します。

1. SECURE_NETWORK_DETECTION=Host1;Host2 (Host1もしくはHost2のいずれかが有効な証明書(信頼されたCAより発行された証明書）を持っているか判定します。)
2. SECURE_NETWORK_DETECTION=Host1=<Hash>;Host2=<Hash> (Host1もしくはHost2の証明書のSHA_256のハッシュ値が一致するか判定します)
3. SECURE_NETWORK_DETECTION=Host1=<Hash>,<HashAlg>;Host2=<Hash>,<HashAlg> (Host1もしくはHost2の証明書の <HashAlg> で指定したハッシュ値が一致するか判定します)
4.  {CommunityID}_SECURE_NETWORK_DETECTION=Host1=<Hash>,<HashAlg>;Host2=<Hash>,<HashAlg>(Community毎に異なるホストをチェックしたい場合この形式を使用します）

HOSTの指定はIPアドレスもしくはFQDN(ただしクライアントが名前解決できること）で、HOST1のみでも可能です。また、ポートはTCP:443を使用しますが、Hostの指定に:で区切りポート番号を指定することにより、任意のTCPポートでの証明書確認が可能です。例：10.1.1.1:8443-SMA1000アプライアンスのインターナルインターフェースの管理GUIのポートで証明書を検査することによりSMA1000の内部ネットワークにいることを確認する。

CEMの設定方法：

1. AMCにログイン
2. 左側のナビゲーションメニューより Maintenance をクリック
3. WebブラウザーのURLバーのURLの末尾に"?advanced=1" を付け足してリターンキーを押します。
4. Configuration extensions セクションの Configure をクリックします。
5. Newをクリックし上記のいずれかのフォーマットで指定します。
6. OK をクリックします。
7. Saveをクリックします。
8. 変更を適用します。

2. Always VPN との関連

DGCTでは以前のバージョンと同様のAlways on VPN ではなく、DeviceVPN機能を利用してください。

Legacy Connect Tunnel Client の場合

1. Secure Network の判定基準:

Legacy CT ClientはPCのネットワーク設定とSMAアプライアンスのSystem Configuration > Network Settings の Name Resolutionの設定を比較します。

両方の項目が一致する必要があります。各項目内では部分一致でも可能です。

PCのipconfig /all

SMAのName Resolutionの画面

2. Always on VPNとの関連

Always on VPNが有効な場合でも、Secure Network 内ではAlways on VPNが抑止されVPN接続は行われません。

3. その他注意事項：

1. SNDではSecure Networkかどうか確認するため、SMAアプライアンスと通信を行います。Secure Network 内からもTCP:443でSMA アプライアンスにアクセスできるようにしてください。VPN接続は行われませんのでライセンスは消費しません。

2. 該当の接続時に使用されるDevice Zoneの設定内の Advenced の設定項目で Allow user to resume session from multiple IP addresses を必ず有効にしてください。

User Access > End Point Control > ZONES AND PROFILES > Zones