リモートアクセスVPN(IPsec) 2要素認証機能の設定手順
UTXのリモートアクセスVPN(IPsec)機能で、SMSを利用した2要素認証機能を設定するための手順になります。
2要素認証機能を利用すると、「ユーザー名/パスワード」のみの認証と比較して、認証のセキュリティーを強化することができます。
- 動作環境
- ご利用イメージ
- 2要素認証機能の設定
- 動作確認
- 補足1 - リモートアクセスVPN設定後に2要素認証を有効にする
- 補足2 - 2要素認証を有効した状態でEndpoint Securityにサイトを作成する
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.40 (992002701) のキャプチャーになります。
※ リモートアクセスVPN(IPsec)の設定手順は「リモートアクセスVPN(IPsec)の設定手順」をご確認ください。
1-1. 対応VPNクライアント
2要素認証機能を使用するためには、Check Point社製のVPNクライアントソフトを使用する必要があります。対応OSとVPNクライアントソフトは以下になります。
| OS | VPNクライアントソフト |
| Windows / macOS | Check Point Endpoint Security VPNクライアント |
| iOS | Check Point Capsule Connect |
| Android | Check Point Capsule VPN |
1-2. 制限事項
2要素認証機能には以下の制限事項があります。
- L2TP接続には対応していません
- Windows 10向けCapsule VPNプラグインでの接続(SSTP:Secure Socket Tunneling Protocol)には対応していません
- 2要素認証機能はすべてのVPNユーザーに対して設定が有効となります(特定のユーザーに対しての例外設定はできません)
- Eメールを使用した2要素認証機能には対応していません
- SMSで送信されるメッセージは英語表記のみに対応しています
例)
- 認証コードは海外のサーバーから送信されるため、携帯キャリアの設定では国際SMSを許可する必要があります
- デフォルト設定以外の外部のSMSサービスプロバイダとの動作は未サポートとなります
2-1. Windows / macOS
- Check Point Endpoint Security VPNクライアントでVPN接続し、IDとパスワードでログインします
- VPNユーザーに登録した電話番号にSMSが届きます
- SMSに記載された認証コードを入力すると、接続が完了します
2-2. iOS / Android
- Check Point Capsule Connect、またはCapsule VPNでVPN接続し、IDとパスワードでログインします
- VPNユーザーに登録した電話番号にSMSが届きます
- SMSに記載された認証コードを入力すると、接続が完了します
3-1. リモートアクセスユーザーの設定
- Webブラウザーを起動します
※推奨:Google Chrome, Mozilla Firefox
- URL欄に次のアドレスを入力します
https://(UTXのIPアドレス):4434
- 【詳細設定】をクリックします
- 「*.*.*.*にアクセスする(安全ではありません)」をクリックします
※実際の画面ではUTXのIPアドレスが表示されます
- 【ユーザ名】と【パスワード】を入力してログインします
- Web GUIの左のメニューから【VPN】タブ > 【リモートアクセス】 > 【リモートアクセスユーザ】とメニューを開きます
- 【新規】をクリックし、「新規ローカルユーザ」画面に情報を入力します
| ユーザ名 | 任意 |
| パスワード | 任意(4〜100文字) |
| 確認 | パスワードを再入力 |
| Eメール | 空欄 |
| 電話番号 | ユーザーの電話番号
※ 電話番号はハイフン無しで入力してください(例:09012345678) |
| コメント | 任意(空欄でも可) |
- 「リモートアクセス権限」にチェックが入っていることを確認します
- 完了後、【適用】をクリックします
- 入力したユーザーが一覧に追加されたことを確認します
※リモートアクセスVPN機能の設定全般に関しては「リモートアクセスVPN(IPsec)の設定手順」をご確認ください
3-2. 2要素認証機能の有効化
- Web GUIの左のメニューから【VPN】タブ > 【リモートアクセス】 >【ブレードコントロール】とメニューを開きます
- 「2ファクタ認証を使用したID確認をユーザに求める」の右にある「設定」をクリックし、「2ファクタ認証の設定」を開きます
- 「SMS」にチェックを入れます
- 「SMSプロバイダサービスを使用する」を選択します
※ 「外部SMSプロバイダを使用する」は未サポートとなります
※ 「メッセージ」欄で、届くメッセージの変更が可能です(英語のみ対応)
- 【詳細】タブに移動します
- 必要に応じて「ワンタイムパスワード」の設定をします
※ 推奨設定はデフォルトのままです
| ワンタイムパスワードの長さ | SMSで届くワンタイムパスワードの長さを指定できます
(デフォルト 6文字, 最少1文字, 上限数なし) |
| ワンタイムパスワードの有効期限 | ワンタイムパスワード発行後の認証有効期限 (デフォルト: 5分) |
| 最大パスワード入力試行回数 | ワンタイムパスワードを入力可能な回数 (デフォルト: 3回)
※ 入力試行回数の上限に達すると、再度VPNユーザのID/パスワードを使ったログインが必要となります |
- 国コードの設定で、日本の国コードである「81」と入力します
※ 正しい国コードが入力されていない場合、SMSの発信ができません
- 上記設定完了後、【適用】をクリックして設定を反映します
- ブレードコントロールのメニューに戻り、「2ファクタ認証を使用したID確認をユーザに求める」にチェックを入れます
- 2ファクタ認証の有効化に際する注意ダイアログが表示されるため、確認後に【OK】をクリックします
- 画面下部の【適用】ボタンをクリックし、設定を反映します
※ 2要素認証機能を無効にする場合は、チェックを外して設定を反映します
2要素認証が無効の状態でEndpoint Securityにサイトを作成し、あとでUTXの2要素認証を有効にする場合は、「5. 補足1 - リモートアクセスVPN設定後に2要素認証を有効にする」の手順も参考にしてください。
2-1. Windows / macOS (Check Point Endpoint Security VPN) での接続確認
- 「3-1. リモートアクセスユーザーの設定」で設定したユーザ名とパスワードを入力し、【接続】をクリックします
- 追加の認証画面が表示されるため、SMSで受け取ったワンタイムパスワードを入力します
- 「接続中」の状態でしばらくお待ちいただくと、【接続成功】のメッセージが表示されます
4-2. iOS / Android (Capsule Connect / Capsule VPN) での接続確認
- 「3-1. リモートアクセスユーザーの設定」で設定したユーザ名とパスワードを入力し、【接続】をクリックします
- 追加の認証画面が表示されるため、SMSで受け取ったワンタイムパスワードを入力します
- 正常にログインが完了すると、「接続」のメッセージが表示されます
すでにリモートアクセスVPNを使用中の状態で、新たに2要素認証を有効にする場合が該当します。
5-1. Windowsでの利用
以下のようなエラーが表示されます。初回接続時のみ「ここをクリックしてログイン オプションを設定」をクリックします。
プロパティの[認証]タブで「Local/AD User」を選択してください。
5-2. iOSでの利用
以下のようなエラーが表示されますので、【OK】をタップした後、「Local/AD User」を選択してください。
5-3. Androidでの利用
以下のようなエラーが表示されますので【OK】をタップします。
認証方式の選択画面が表示されますので、「Local/AD User」を選択してください。
2要素認証を有効にして運用している状態で、新たな端末にリモートアクセスVPNの設定をする場合が該当します。
6-1. Windowsでの利用
「リモートアクセスVPN(IPsec)の設定手順」の手順に沿ってVPNクライアントソフトをインストールする際、「2-3. 接続サイトの作成」の7番目「ログインオプションの選択」画面で「Local/AD User」を選択してください。
[EOF]