OSE(Open Security Extension)デバイス

Open Security Extension(OSE)の機能を使用すると、サードパーティ製デバイスを Check Point SmartConsole で管理することができます。管理対象のデバイスは、ハードウェアとソフトウェアパケットの両方で、その数はライセンスに依存します。OSEデバイスには、一般的にルーティング用のハードウェアセキュリティデバイスや、専用のネットワークアドレス変換や認証アプライアンスが含まれます。セキュリティデバイスは、セキュリティポリシーの中でEmbedded Devicesとして管理されます。

Security Management Serverは、セキュリティポリシーからアクセスリストを生成し、選択したルータとオープンセキュリティデバイスにダウンロードします。Check Pointでは、次のデバイスをサポートしています。

OSEデバイス

サポートされているバージョン

Cisco Systems

9.x、10.x、11.x、12.x

Check Pointルールベースには、これらのオブジェクトを含めることはできません。もし含まれていると、Security Management Serverでアクセスリストが生成されません。

  • ドロップ(Actionカラム)

  • 暗号化(アクション)

  • アラート(アクション)

  • RPC(サービス)

  • ACE(サービス)

  • 認証ルール

  • セルの否定

OSEデバイスインタフェースの定義

OSEデバイスは、起動時にネットワークインタフェースとセットアップを報告します。各OSEデバイスは、その構成をリスト表示するためのコマンドが異なります。各デバイスに少なくとも1つのインタフェースを定義する必要があります。定義しないとポリシーのインストールが失敗します。

OSEデバイスを定義するには

  1. オブジェクト・エクスプローラーから、New >More をクリックする。

  2. ネットワークObject >More >OSE Device をクリックする。

  3. 一般的なプロパティを入力する (OSデバイスプロパティウィンドウ - 「一般」タブ)。

    また、OSデバイスを他のサーバのホストリストに追加することを推奨します:hosts (Linus)とlmhosts (Windows)。

  4. Topologyタブを開き、デバイスのインタフェースを追加します。

    デバイスの外部インタフェースでアンチスプーフィングを有効にできます。インタフェースをダブルクリックします。Interface Properties ウィンドウ >Topology タブで、ExternalPerform Anti-Spoofing を選択する。

  5. Setup タブを開き、OSデバイスとその管理者認証情報を定義してください。なりすまし防止パラメータとOSデバイスのセットアップ(シスコ))。

OSデバイスプロパティウィンドウ - 「一般」タブ

  • Name – OSEデバイスの名前。ここで指定する名前は、サーバのシステムデータベースに表示されます。

  • IP Address - デバイスのIPアドレス。

  • Get Address - このボタンをクリックすると、名前がアドレスに解決されます。

  • Comment - このオブジェクトが選択されたときに、Network Objectウィンドウの下部に表示されるテキスト。

  • Color - ドロップダウンリストから色を選択します。SmartConsoleでは、OSEデバイスが選択した色で表示され、追跡と管理が容易になります。

  • Type - サポートされているベンダーの一覧から選択します。

なりすまし防止パラメータとOSデバイスのセットアップ(シスコ)

Cisco(バージョン10.x以降)デバイスの場合、アンチスプーフィングパラメータから生成されるフィルタルールの方向を指定する必要があります。実施方向は、各ルータのSetupタブで指定します。

Ciscoルータの場合、Spoof Rules Interface Directionプロパティで実施方向が定義されます。

アクセスリスト番号 - 適用されているCiscoアクセスリストの数。Ciscoルータのバージョン 12x 以降では、101~200 のACL番号をサポートしています。Ciscoルータのバージョン12x以降では、101~200のACL番号範囲と、2000~2699のACL番号範囲をサポートしています。このACL番号範囲を入力することで、より多くのインタフェースをサポートできます。

各認証情報について、オプションを選択します。

  • None - 認証情報は必要ありません。

  • Known - 管理者が認証情報を入力する必要があります。

  • Prompt - 管理者は認証情報の入力を求められます。

Username - OSEデバイスにログオンするために必要な名前。

Password - ルータで定義されている管理者パスワード (読み取り専用)。

Enable Username - アクセスリストのインストールに必要なユーザ名。

Enable Password - アクセスリストをインストールするために必要なパスワード。

Version - Cisco OSEデバイスのバージョン(9.x、10.x、11.x、12.x)。

OSEデバイスインタフェース方向 - インストールされたルールは、すべてのインタフェースでこの方向に移動するデータパケットに適用されます。

Spoof Rules Interface Direction - すべてのインタフェースでこの方向に移動するデータパケットに、スプーフィング追跡ルールが適用されます。