TDR Host Sensor Enforcement を構成する

このトピックでは、TDR Host Sensor Enforcement を構成する方法についてご説明します。この機能の仕組みの詳細については、TDR Host Sensor Enforcement について を参照してください。

開始する前に

TDR Host Sensor Enforcement を構成する前に、以下を行う必要があります。

  1. オペレーティング システムの互換性を確認する
    TDR Host Sensor Enforcement では、Fireware リリース ノートオペレーティング システム互換性マトリックス セクションに記載されている Windows と macOS オペレーティング システムがサポートされています。
  1. TDR アカウントを構成する
    Firebox にアクティブな TDR 登録が備わっている必要があります。TDR の構成方法については、クイック起動 — TDR を設定する を参照してください。
  1. TDR Host Sensor をインストールする
    Host Sensor Enforcement を Mobile VPN デバイスに適用するには、そのデバイスに TDR Host Sensor アプリケーションをインストールする必要があります。TDR Host Sensor は手動でも自動でもインストールすることができます。TDR Host Sensor インストールの詳細については、TDR ホストおよび Host Sensor を管理する を参照してください。
  1. Mobile VPN を少なくとも 1 つ構成する
    Firebox では、すべての Mobile VPN タイプの Host Sensor Enforcement がサポートされています。Mobile VPN の詳細については、Mobile VPN トンネル を参照してください。
  1. Mobile VPN ユーザー グループを構成する
    Android または iOS モバイル ユーザーが存在するネットワークで Windows または macOS モバイル ユーザーを対象として Host Sensor Enforcement を有効化するには、個別の Mobile VPN ユーザー グループを作成する必要があります。例:
  • Windows & macOS ユーザー というユーザー グループを作成します。
  • Android & iOS ユーザー というユーザー グループを作成します。

このトピックの Mobile VPN セクションでは、Host Sensor Enforcement をユーザー グループに適用する方法についてご説明します。

TDR Host Sensor Enforcement を構成する

複数の場所で TDR Host Sensor Enforcement を有効化する必要があります。

  • TDR — Host Sensor 設定
  • Firebox
    • Host Sensor Enforcement 設定
    • Mobile VPN 設定

TDR の Host Sensor Enforcement を構成する

まず、TDR アカウントで Host Sensor Enforcement を有効化して、認証キーを生成します。

  1. TDR にログインする.
  2. 構成 > Threat Detection の順に選択します。
  3. Host Sensor セクションで、設定 を選択します。
  4. Firebox VPN 検証 セクションで、Host Sensor 強制を オン に設定します。
  5. TDR 認証キーを手動で指定します。または、生成 をクリックして、ランダムな認証キーを生成します。

Screen shot of the Host Sensor Enforcement settings in the TDR Web UI

Firebox で Host Sensor Enforcement を構成する

次に、Firebox で Host Sensor Enforcement を構成します。

  1. 登録サービス > Threat Detection の順に選択します。

Screen shot of the TDR settings in Fireware Web UI

  1. Host Sensor Enforcement を有効化する を選択します。
  2. プライマリ アカウント UUID の TDR 認証キー を指定します。
  3. (任意) 他の TDR アカウントを追加する (最大 4 つ) には、追加 をクリックします。
    アカウントを追加する ダイアログ ボックスが表示されます。
    1. アカウント UUID を入力します。
    2. TDR 認証キー を入力します。
    3. OK をクリックします。
  4. (任意) オペレーティング システムの最小バージョン セクションで、WindowsmacOS、またはその両方の要件を選択します。
    1. Windows ドロップダウン リストから、Windows 8.1Windows 10、または 任意 を選択します。
    2. macOS ドロップダウン リストから、High Sierra 10.13Mojave 10.14Catalina 10.15、または 任意 を選択します。
      任意 を選択すると、WatchGuard でサポートされている任意の Windows または macOS オペレーティング システムをホストで実行することができます。サポートされているオペレーティング システムのリストについては、Fireware リリース ノートオペレーティング システム互換性マトリックス を参照してください。

    オペレーティング システム強制は、Windows Server オペレーティング システムには適用されません。ユーザーが、サポートされている Windows Server オペレーティング システムから Mobile VPN に接続する場合、Windows Server システムが他すべての TDR Host Sensor Enforcement 要件を満たしていれば、Firebox ではオペレーティング システムの強制設定に関係なく接続が許可されます。

    Screen shot of the Host Sensor Enforcement settings in Fireware Web UI

  5. 保存 をクリックします。
  1. 登録サービス > Threat Detection の順に選択します。
  2. Host Sensor Enforcement を有効化する を選択します。
  3. プライマリ アカウント UUID の TDR 認証キー を指定します。
  4. (任意) 他の TDR アカウントを追加する (最大 4 つ) には、追加 をクリックします。
    アカウントを追加する ダイアログ ボックスが開きます。
    1. アカウント UUID テキスト ボックスに、アカウント UUID を入力します。
    2. TDR 認証キー テキスト ボックスに、TDR 認証キーを入力します。
    3. OK をクリックします。
  5. (任意) オペレーティング システムの最小バージョン ドロップダウン リストから、Windows、macOS、またはその両方の要件を選択します。
    1. Windows ドロップダウン リストから、Windows 8.1Windows 10、または 任意 を選択します。
    2. macOS ドロップダウン リストから、High Sierra 10.13Mojave 10.14Catalina 10.15、または 任意 を選択します。
      任意 を選択すると、WatchGuard でサポートされている任意の Windows または macOS オペレーティング システムをホストで実行することができます。サポートされているオペレーティング システムのリストについては、Fireware リリース ノートオペレーティング システム互換性マトリックス を参照してください。

    オペレーティング システム強制は、Windows Server オペレーティング システムには適用されません。ユーザーが、サポートされている Windows Server オペレーティング システムから Mobile VPN に接続する場合、Windows Server システムが他すべての TDR Host Sensor Enforcement 要件を満たしていれば、Firebox ではオペレーティング システムの強制設定に関係なく接続が許可されます。

    Screen shot of the TDR settings in Policy Manager

  6. 保存 をクリックします。

Mobile VPN で Host Sensor Enforcement を構成する

次に、1 つまたは複数の Mobile VPN グループで Host Sensor Enforcement を有効化します。個々の Mobile VPN ユーザーで Host Sensor Enforcement を有効化することはできません。

Android または iOS モバイル ユーザーのネットワークの Windows と macOS モバイル ユーザーで Host Sensor Enforcement を有効化する場合は、Host Sensor Enforcement を個別の Mobile VPN ユーザー グループに適用します。

例:

  • Windows & macOS ユーザー — このグループの Host Sensor Enforcement を有効化します。
  • Android & iOS ユーザー — このグループでは、Host Sensor Enforcement を無効のままにします。
  • IKEv2 ユーザー — この既定 VPN グループでは、Host Sensor Enforcement を無効のままにします。

グループの 選択 チェックボックスを選択すると、Firebox でそのグループが既定グループ (IKEv2 ユーザーSSLVPN ユーザーL2TP ユーザー、または IPSec ユーザー) に追加されます。既定グループに属している一部のグループのみで Host Sensor Enforcement を有効化する場合は、既定グループの強制は無効のままにします。

複数の Mobile VPN グループに属するユーザーの場合は、以下の条件をすべて満たす場合にそのユーザーに強制が適用されます。

  • Mobile VPN グループがすべて同じ Mobile VPN 構成に属している。
  • これらのグループの一部に対してのみ、Host Sensor Enforcement を有効化する。

たとえば、ユーザーが 2 つの Mobile VPN with IKEv2 に属している場合で、そのグループの片方にのみ強制を有効化した場合は、強制がそのユーザーに適用されます。

異なる Mobile VPN 構成の一部である複数のグループにユーザーが属している場合は、それらの一部のグループで Host Sensor Enforcement が有効になっていると、特定のタイプの Mobile VPN 接続においてのみ、そのユーザーに強制が適用されます。例:

  • ユーザーが IKEv2 ユーザー および SSLVPN ユーザー グループに属しており、IKEv2 ユーザー のみで強制が有効化されている場合は、Mobile VPN with IKEv2 接続の場合にのみそのユーザーに強制が適用されます。
  • Mobile VPN with SSL 接続の場合は、そのユーザーには強制は適用されません。

Mobile VPN with IKEv2:

  1. VPN > Mobile VPN の順に選択します。
  2. IKEv2 セクションで、構成 をクリックします。
  3. 認証 を選択します。
  4. そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。

Screen shot of the Host Sensor Enforcement settings

  1. VPN > Mobile VPN > IKEv2 の順に選択します。
  2. 認証 を選択します。
  3. 左側の列で、グループの横にあるチェックボックスを選択します。
    これで、Host Sensor Enforcement 設定を変更できるようになりました。
  4. そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。

Screen shot of the Host Sensor Enforcement settingss

Mobile VPN with L2TP:

  1. VPN > Mobile VPN の順に選択します。
  2. L2TP セクションで、構成 をクリックします。
  3. 認証 を選択します。
  4. そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。

Screen shot of the Users and Groups settings in Fireware Web UI

  1. VPN > Mobile VPN > L2TP の順に選択します。
  2. 認証 を選択します。
  3. 左側の列で、グループの横にあるチェックボックスを選択します。
    これで、Host Sensor Enforcement 設定を変更できるようになりました。
  4. グループの横にある Host Sensor Enforcement チェックボックスを選択します。

Screen shot of the Host Sensor Enforcement setting in Policy Manager

Mobile VPN with SSL:

  1. VPN > Mobile VPN の順に選択します。
  2. SSL セクションで、構成 をクリックします。
  3. 認証 を選択します。
  4. そのグループの横の Host Sensor Enforcement ドロップダウン リストから、はい を選択します。

Screen shot of the Host Sensor Enforcement setting in Fireware Web UI

  1. VPN > Mobile VPN > SSL の順に選択します。
  2. 認証 を選択します。
  3. 左側の列で、グループの横にあるチェックボックスを選択します。
    これで、Host Sensor Enforcement 設定を変更できるようになりました。
  4. グループの横にある Host Sensor Enforcement チェックボックスを選択します。

Screen shot of the Host Sensor Enforcement settings in Policy Manager

Mobile VPN with IPSec:

  1. Firebox-DB ユーザーの Host Sensor Enforcement を有効化するには、認証 > サーバー > Firebox-DB の順に選択します。
  2. サードパーティの認証サーバーのユーザーで Host Sensor Enforcement を有効化するには、認証 > ユーザー&グループ の順に選択します。
  3. グループを選択して、編集 をクリックします。
    Firebox-DB ユーザーの場合は、Firebox グループ認証の設定 ダイアログ ボックスが開きます。サードパーティの認証サーバーのユーザーの場合は、ユーザーまたはグループを編集する ダイアログ ボックスが開きます。
  4. Host Sensor Enforcement を有効化する を選択します。

Screen shot of the Edit User or Group settings in Fireware Web UI

  1. Firebox-DB ユーザーの Host Sensor Enforcement を有効化するには、セットアップ > 認証 > 認証サーバー > Firebox-DB の順に選択します。
  2. サードパーティの認証サーバーのユーザーで Host Sensor Enforcement を有効化するには、認証 > ユーザー&グループ の順に選択します。
  3. グループを選択して、編集 をクリックします。
    Firebox-DB ユーザーの場合は、Firebox グループ認証の設定 ダイアログ ボックスが開きます。サードパーティの認証サーバーのユーザーの場合は、ユーザーまたはグループを編集する ダイアログ ボックスが開きます。
  4. Host Sensor Enforcement を有効化する を選択します。

Screen shot of the Firebox Group dialog box

関連情報:

TDR Host Sensor Enforcement をトラブルシューティングする

TDR Host Sensor Enforcement について

TDR について

クイック起動 — TDR を設定する

Firebox で TDR を有効化する