セキュアゲートウェイサーバーについて
この記事では、Patch Manager Plus オンプレミス版のオプションである「セキュアゲートウェイサーバー」について説明しています。
セキュアゲートウェイサーバーの利用方法
セキュアゲートウェイサーバーの概要
セキュアゲートウェイサーバーは、インターネット回線経由で遠隔拠点の端末(=支社や営業所などの「リモートオフィス」)、リモートワーク端末(=「ローミングユーザー」)等を管理する際に設置する、セキュリティを強化するためのサーバーです。
社外のコンピューターをインターネット回線経由で管理する場合、インターネット側からPatch Manager Plusサーバーへアクセス可能にする必要があります。そこで、Patch Manager Plusサーバーと各エージェント間の中継サーバーとして機能するセキュアゲートウェイサーバーをDMZに設置し、公開します。セキュアゲートウェイサーバーの利用により、Patch Manager Plusサーバーをインターネットに直接公開せずに済むため、セキュリティ上のリスクを大きく低減することが可能です。
セキュアゲートウェイサーバーのイメージ図は以下の通りです。
セキュアゲートウェイサーバーは、Patch Manager Plusサーバーへの通信を中継するリバースプロキシサーバーです。セキュアゲートウェイサーバーは、インターネットに接続された管理対象からの通信を受信できるよう、インターネット側に公開する必要があります。
(参考: What Is a Reverse Proxy Server? )
セキュアゲートウェイサーバーの動作
セキュアゲートウェイサーバーは、以下のように動作します。なお、Patch Manager Plusサーバーとの通信にはTCP 8383/TCP 8443ポートを使用します。
- Patch Manager Plusエージェントは、HTTPSを使用してセキュアゲートウェイサーバーとの通信を確立します。
- セキュアゲートウェイサーバーは、エージェントの代わりにHTTPSを使用してPatch Manager Plusサーバーとの通信を確立します。
- Patch Manager Plusサーバーは、セキュアゲートウェイサーバーへレスポンスを返します。
- セキュアゲートウェイサーバーは、Patch Manager Plusサーバーからのレスポンスをエージェントへ送信します。
無効なURLをもつ通信の遮断
セキュアゲートウェイサーバーは、有効なURLをもつリクエストのみを中継します。無効なURLによるリクエストに対しては404 Error Codeを返し、通信を遮断します。
リクエスト制限ポリシー
DDoS攻撃による影響を防ぐため、セキュアゲートウェイサーバーにはリクエスト制限ポリシーが設定されています。リクエスト制限ポリシーは受信トラフィックの制限とPatch Manager Plusサーバーへ中継されるのトラフィックの制御を行います。
TLSのバージョン
セキュアゲートウェイサーバーが受け取るSSL暗号スイートとTLSのバージョンは、Patch Manager PlusサーバーのSSL/TLS設定におけるものと同一です。この設定情報はセキュアゲートウェイサーバーの構成中にPatch Manager Plusサーバーから取得されます。
セキュアゲートウェイサーバーの最小システム要件
こちらをご覧ください。
セキュアゲートウェイサーバーの利用手順
セキュアゲートウェイサーバーを利用するためには、DMZ環境などを用意した上で、以下の手順が必要です。
- 1. 評価版セキュアゲートウェイサーバーライセンスの有効化/ライセンスのご購入
- 2. Patch Manager Plusの設定変更
- 3. セキュアゲートウェイサーバーのインストール・設定
1. 評価版セキュアゲートウェイサーバーライセンスの有効化/ライセンスのご購入
セキュアゲートウェイサーバーのご利用にはオプションライセンスが必要です。
Patch Manager Plus評価版をご利用中の場合: セキュアゲートウェイサーバーオプションが評価版に含まれています。そのまま設定画面にアクセス可能です。
セキュアゲートウェイオプションのない製品版をご利用中の場合: セキュアゲートウェイサーバー評価版をご利用いただくことで、セキュアゲートウェイサーバーが利用できます。管理タブ > セキュリティ設定 > セキュアゲートウェイサーバー を開き、右上の「こちらをクリックしてこの機能を試してください」をクリックすることで、30日間の評価が可能です(クリックと同時に評価期間が開始されますのでご注意ください。また、評価期間終了までにセキュアゲートウェイサーバーオプションを含むライセンスを適用できない場合、期間終了後はセキュアゲートウェイサーバーが無効化されます)。
Patch Manager Plusセキュアゲートウェイサーバーオプションライセンス: ライセンス価格について、詳細は製品ページの価格表をご覧ください。
- 年間ライセンス: 「セキュアゲートウェイオプション」
- 通常ライセンス: 「セキュアゲートウェイオプション」 (セキュアゲートウェイオプションには、保守サポート費用は発生しません)
2. Patch Manager Plusの設定変更
セキュアゲートウェイサーバーのグローバルIPアドレスで名前解決されるFQDNと同じFQDNを、Patch Manager Plusサーバーが設置されているネットワークの内部向けDNSにおいて、Patch Manager PlusサーバーのプライベートIPアドレスに名前解決されるように設定します。
(例)FQDNが patch.example.com の場合
- patch.example.com を社外DNSでセキュアゲートウェイサーバーのグローバルIPアドレスに名前解決されるように登録
- patch.example.com を社内DNSでPatch Manager PlusサーバーのローカルIPアドレスに名前解決されるように登録
この割り当てにより、ローミングユーザーのコンピューターにインストールされているWANエージェントはセキュアゲートウェイサーバー(インターネットを利用)を経由してPatch Manager Plusサーバーにアクセスできます。またLANネットワーク内のコンピューターにインストールされているLANエージェントは、Patch Manager Plusサーバーに直接アクセスできます。
- [管理]タブ > NAT設定 をクリックします。
- NATデバイスのパブリックFQDN にセキュアゲートウェイサーバーのFQDNを入力し、[保存]ボタンをクリックします。
- スタートメニュー > services.msc > ManageEngine Patch Manager Plus Server を選択し、サービスの再起動をクリックして実行します。
3. セキュアゲートウェイサーバーのインストール・設定
- DMZ上にあるコンピューターで、こちらにアクセスし、インストーラーをダウンロードします。
- ダウンロードされたexeファイル(PMPForwardingServer.exe)を実行します。 ※ForwardingServerは、セキュアゲートウェイサーバーの旧称です。
- [Install]をクリックします。
- Patch Manager PlusサーバーのFQDN、ポート番号を入力し、[Validate]をクリックします。
- Server Name: Patch Manager PlusサーバーのFQDN/IPアドレスを入力します。
- HTTP Port: セキュアゲートウェイサーバーが使用するHTTPSポートを入力します。
- HTTPS Port: セキュアゲートウェイサーバーが使用するHTTPSポートを入力します(Patch Manager Plusが使用するHTTPSポート番号と同一にすることを推奨します)。
- 証明書をコピーします。
- 自己署名証明書を使用する場合: <Patch Manager Plusサーバーフォルダー>\apache\conf 内に存在する server.crt と server.key ファイルを、セキュアゲートウェイサーバーがインストールされているコンピューターの<セキュアゲートウェイサーバーインストールフォルダー>\nginx\conf にコピーします。
- サードパーティの証明書を使用する場合: 証明書のファイル名を server.crt に、秘密鍵のファイル名を server.key に、中間証明書がある場合はファイル名を intermediate.crt に変更した上で、セキュアゲートウェイサーバーがインストールされているコンピューターの<セキュアゲートウェイサーバーインストールフォルダー>\nginx\conf にコピーします。また、中間証明書がある場合は<セキュアゲートウェイサーバーインストールフォルダー>\conf\websetting.confを開き、以下の内容を追記します。
intermediate.certificate=intermediate.crt
- [install]をクリックします。
セキュアゲートウェイサーバーのインストールが完了し、正常に通信できている場合、以下のような画面を確認できます。
- Patch Manager Plusがインストールされているコンピューターにログインします。
- ブラウザーを起動し、アドレスバーに以下URLを入力します。
https://<セキュアゲートウェイサーバーのプライベートIPアドレス>:8363/getstatus
ローミングユーザーの端末を管理する場合は、続いてリモートオフィスを設定し、管理対象へWANエージェントをインストールします。
セキュアゲートウェイサーバーのアップグレード
セキュアゲートウェイサーバーの新しいバージョンが不定期にリリースされており、セキュアゲートウェイサーバーの新バージョンリリース後にセキュアゲートウェイサーバーをアップグレードします(セキュアゲートウェイサーバーは、Desktop Centralサーバーのアップグレード時に合わせてアップグレードする必要はありません)。
セキュアゲートウェイサーバーのビルド番号の確認方法
以下の手順でセキュアゲートウェイサーバーのビルド番号を確認可能です。
- セキュアゲートウェイサーバーがインストールされたコンピューターにログインし、スタートメニュー > ManageEngine Secure Gateway Serverフォルダーを開きます。
- Aboutをクリックして実行します。
- 「バージョン情報」ボックスが表示されます。タイトル「Secure Gateway Server」の下に表示されている数字がビルド番号です。
セキュアゲートウェイサーバー(旧称:フォーワーディングサーバー)ビルド9.0.056以降をご利用の場合は、hotfixをダウンロードし、以下のアップグレード手順を実行します。なお、セキュアゲートウェイサーバー9.0.084はPatch Manager Plus 10.0.391以上のビルドに対応しています。
セキュアゲートウェイサーバーのリリースノート
セキュアゲートウェイサーバー ビルド9.0.080以降9.0.084までのリリースノート
- 不具合修正
- WebUIへのアクセスを無効にした場合でもWebUIにアクセスできてしまう問題を修正。
- Websocketポートを読み込まないUIの問題を修正。
- dllファイルの欠落によるサーバーの起動の不具合に関する問題を修正。
- その他の不具合を修正。
セキュアゲートウェイサーバーのアップグレード方法
前提条件
- セキュアゲートウェイサーバーのアップグレードは、セキュアゲートウェイサーバーの新しいビルドがリリースされた際に実行します。Patch Manager Plusサーバーのアップグレード時に実施する必要はありません。
- セキュアゲートウェイサーバーをアップグレードする際は、Patch Manager Plusサーバーが稼働中である必要があります。
- この手順はPatch Manager Plusビルド10.0.391以降においてのみ有効です。
インストール手順
セキュアゲートウェイサーバーをアップグレードする手順は以下の通りです。
- セキュアゲートウェイサーバーがインストールされたコンピューターにデフォルトの管理者としてログインし、スタート > ファイル名を指定して実行 > Services.msc > Secure Gatweway Server サービスを停止します。
- アップグレードプロセス中のデータ損失を回避するために、Secure Gateway Serverインストールフォルダー(C:\Program Files (x86)\ManageEngine\Forwarding_Server など)のバックアップを取ります。
- セキュアゲートウェイサーバーが、サードパーティ製ツールやスクリプト等によって監視されている場合は、アップグレードプロセスが完了するまで、監視サービスを無効にします。
- こちらにアクセスし、[Download Hotfix]をクリックして最新の.ppmファイルをダウンロードします。
- < セキュアゲートウェイサーバーインストールフォルダー >/bin にある UpdateManager.bat ファイルを実行します。
- [参照]をクリックして、ダウンロードした.ppmファイルを選択します。
- [インストール]をクリックして、修正プログラムをインストールします。(移行するデータの量によっては、数分かかる場合があります)
- 修正プログラムが完全にインストールされるまで待ちます。
- インストール完了後、スタート > ファイル名を指定して実行 > Services.msc から Secure Gatweway Server サービスを開始します。
以上で、セキュアゲートウェイサーバーのアップグレードが完了します。