Checkpoint Firewall 認証の設定

- 「Scans」->「Authentication」を選択します。

- ホストの Checkpoint Firewall レコードを作成します。「New」->「Network and Security」->「Checkpoint Firewall」を選択します。

1）認証で使用するユーザアカウントには、すべてのチェックを実行できるよう Checkpoint デバイスに対する管理者レベルの権限が付与されている必要があります。また、次のコマンドが実行できる必要があります。

ver
expert（expert モードへの切り替え）
cpstat os

2）スキャン対象の TCP ポート 22 が ssh 認証用にオープンになっている必要があります。

3）使用するパスワードに空白を含めることはできません。

対象となるホストでの“ expert ”コマンドの実行にパスワードが必要な場合は、レコードに expert パスワードも入力する必要があります（注記: “ expert ”コマンドの実行にパスワードが必要で、そのパスワードが指定されている場合、プールされた資格情報を使用する機能はサポートされません）。

このオプションを選択すると、強力なパスワード暗号化をサポートしていないサービスへの接続時に平文でユーザアカウントのパスワードを送信できます。平文パスワードの詳細

スキャンエンジンは、Unix/Cisco/Checkpoint Firewall ホストの認証を正常に行い、コンプライアンス評価を実行するために、ログインサービスを検出する必要があります。デフォルトでは、well-known ポートである次のポートがスキャンされます: 22（ssh）、23（telnet）、513（rlogin）。これらのサービスはいずれも認証に使用できます。スキャン対象のホストの well-known ポートでサービス（ssh、telnet、rlogin）が実行されていない場合、カスタムポートリストを定義する必要があります。

注記 - 実際にスキャンされるポートも、スキャン時に使用されているコンプライアンスオプションプロファイルの「Ports」の設定によって異なります。

スキャン対象ポートの詳細スキャン対象ポートの詳細

認証対象のホスト（IP）を選択します。このレコードに追加する IP は、Unix レコードまたは Cisco レコードには追加できません。

Checkpoint Firewall では、複数のサードパーティのパスワード Vault との統合がサポートされています。「Scans」->「Authentication」->「Vaults」を選択して、使用する Vault システムを設定します。次に、レコードの認証 Vault を選択し、Vault 名を選択して、Vault 設定を行います。スキャン時には、レコードにあるアカウント名と Vault で見つかったパスワードを使用してホストへの認証が行われます。

レコードを編集する場合、ユニットマネージャにはパーミッションを持っているレコードの IP のみが表示されます。ユニットマネージャによってレコードの設定が変更されると、すべてのホストがそのユーザのビジネスユニットに所属しているかどうかにかかわらず、変更内容がレコードに定義されているすべてのホストに適用されます。レコードには、ユニットマネージャに表示されない IP が含まれている場合があります。