SPSを使用したHTTP接続
本稿ではSPSをプロキシサーバーとして使用してHTTP接続を行う手順を解説します。
構成としては下図のようになります。SPSをプロキシサーバーとしてブラウザに設定して、そこから接続することによってセキュアな通信を確保し、監査証跡を保存することが可能です。
本設定ではSPSをノントランスペアレントモードで動作させます。ノントランスペアレントモードについてはこちらの記事をご参照ください。
以下ポリシーの設定を解説します。
LDAPの設定
SPSはゲートウェイとして機能する際、SPS本体に登録したユーザー認証を行うか、連携したサーバーの認証方法を使用するのか選択することができます。ここではアクティブディレクトリ(以降ADと呼びます)との連携を使用して認証を行います。
ポリシー設定のメニューからLDAP Serversを選択していただき、IPアドレスを入力後、Active directryを選択してDN情報を入力します。この時、SPSでは対象グループやユーザーをADから探します。
まずGroup Base DNを入力し、アクセスさせたいユーザーのグループが存在するディレクトリを指定します。
次にUser Base DNを入力し、先ほど指定したグループに所属していて、アクセスを許可したいユーザーが存在するディレクトリを指定します。
最後にADに登録済みユーザーをバインドします。ここでは、Administratorを指定しています。
User Mapping Policy の設定
接続対象サーバーを使用する権限があるユーザー名を指定します。ここでは、特に指定しないので下図のように「*」を入れておきます。
HTTPポリシーの設定
ここでは、HTTP接続ポリシーを設定します。上記で設定した項目を反映します。
メニューからHTTP>Connectionと移動し、
下図のように接続対象①サーバーIP、②SPSのIP、③クライアントのIPを入力します。
HTTP接続ポリシー設定画面を下にスクロールしていきますと、
各種ポリシーを適用することが可能な個所になります。
先ほど設定した①LDAPポリシー、②User mapping policy を適用します。
設定した名前が付いたポリシーをボックスから選択して保存してください。
また、今回はHTTPの通信を許可する設定をしています。
クライアントPCのプロキシ設定手順
クライアントPCのブラウザにプロキシの設定を施します。
ここではGoogle Chromeを例としてご紹介します。
Windowsの機能で設定します。
ネットワークとインターネット>プロキシ>手動プロキシセットアップ
にてSPSのアドレスとポート番号を指定してください。
ブラウザでHTTP接続
上記の設定後にブラウザを介してHTTP接続を行います。
ここでは対象サーバーへのアクセスを試行します。ブラウザを起動させると共通して下図のようにゲートウェイ認証情報を聞かれますので、連携したLDAPサーバーで指定したグループ内のユーザーを認証情報として記載します。
ADの認証情報を入力後にブラウザが使用可能になるので、
対象ターゲットサーバーにアクセスしました。 
クライアント接続時の監査証跡
接続後にSPSでセッション状況について確認ができます。SPSのWeb GUI画面にて
Searchの項目を選択すると、接続履歴及び現在の情報を確認することができます。
監査証跡エクスポート
監査証跡をダウンロードしてトラフィックを解析することができます。
詳細を表示して右上のダウンロードを選択します。
その後、専用プレイヤーを起動させファイルを開き、左上のメニューからpcapファイルのエクスポートを行います。その際は空のフォルダにエクスポートするようにしてください。
データ確認
エクスポートしたデータを解析します。PCAPファイルをここではWiresharkを利用して表示しています。
HTTP通信の項目に対象接続サーバーへのアクセスがあったことが確認できるかと思います。
以上
ゲートウェイ認証でHTTP通信を行った際に監査証跡として記録する方法について説明しました。
現在”Safeguard for Privileged Sessions(SPS)が、6ヶ月間の評価ライセンス無料キャンペーンを実施中です。
期間中はライセンスを無制限で開放しています。是非この機会にお試し下さい。
お申込みは、こちら からご連絡下さい。
詳しくは製品紹介ページ・製品ガイドをご参照ください。
お問合わせ
購入前のSafeguard for Privileged Sessions (SPS)についてのお問合せは以下から承っております。詳細な説明や実機によるデモをご希望される場合も、あわせてお問合せください。
