CLIでのHSMによるHTTPSインスペクションの監視

Security Gateway / クラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。メンバ / Scalable Platform Security Group で "cpstat https_inspection" コマンドを実行し、HTTPS Inspection の状態と HSM サーバへの接続状態を確認することができます。

構文

  • Security Gateway /各クラスタメンバ:

    cpstat -h

    cpstat https_inspection -f {default | hsm_status | all}

  • スケーラブル プラットフォーム セキュリティ グループ:

    cpstat -h

    g_all cpstat https_inspection -f {default | hsm_status | all}

このコマンドの詳細については、R81.10 CLI Reference Guide > 章Security Gateway Commands > 節cpstat を参照してください。

[Expert@GW:0]# cpstat https_inspection -f default
 
HTTPS inspection status (On/Off):    On
HTTPS inspection status description: HTTPS Inspection is on
 
[Expert@GW:0]#
 
[Expert@GW:0]# cpstat https_inspection -f hsm_status
 
HSM enabled (Enabled/Disabled):                  Enabled
HSM enabled description:                         HSM is enabled for HTTPS inspection with Gemalto HSM
HSM partition access (Accessible/Not Accessible): Accessible
HSM partition access description:                 Gateway can access to HSM partition for HTTPS inspection
Outbound status (HSM on/HSM off/HSM error):      HSM on
Outbound status description:                     Outbound HTTPS inspection works with HSM
 
[Expert@GW:0]#
 
[Expert@GW:0]# cpstat https_inspection -f all
 
HTTPS inspection status (On/Off):                On
HTTPS inspection status description:             HTTPS Inspection is on
HSM enabled (Enabled/Disabled):                  Enabled
HSM enabled description:                         HSM is enabled for HTTPS inspection with Gemalto HSM
HSM partition access (Accessible/Not Accessible): Accessible
HSM partition access description:                 Gateway can access to HSM partition for HTTPS inspection
Outbound status (HSM on/HSM off/HSM error):      HSM on
Outbound status description:                     Outbound HTTPS inspection works with HSM
 
[Expert@GW:0]#

項目

返される可能性のある文字列

説明

HTTPS inspection status (On/Off)

On

HTTPS インスペクション機能は、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。/クラスタメンバ/セキュリティグループに設定されています。

Off

Security Gateway / クラスタメンバ / Security Group に HTTPS Inspection 機能が設定されていない

項目

返される可能性のある文字列

説明

HTTPS inspection status description

HTTPS Inspection is on

HTTPS インスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。

HTTPS Inspection is off

Security Gateway / クラスタメンバ / Security Group に HTTPS Inspection 機能が設定されていない

項目

返される可能性のある文字列

説明

HSM enabled (Enabled/Disabled)

Enabled

"yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

Disabled

いずれかの方法を実行します。

  • HSMクライアントソフトウェアパッケージがSecurity Gateway / クラスタメンバ / Security Groupにインストールされていない

  • Security Gateway / クラスタメンバ / Security Groupに$FWDIR/conf/hsm_configuration.C ファイルが存在しない

  • "no" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  • Security Gateway / クラスタメンバ / Security Group の$FWDIR/conf/hsm_configuration.C ファイルで:enabled() 属性が破損しています。

重要- これらの場合、アウトバウンドのHTTPS検査はHSMサーバなしで動作し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

項目

返される可能性のある文字列

説明

HSM enabled description

HSM is enabled for HTTPS inspection with <HSM Vendor>

  • "yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  • <HSM Vendor> は、Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルにある ":hsm_vendor_name ()" 属性の値です。

HSM is disabled for HTTPS inspection

いずれかの方法を実行します。

  • HSMクライアントソフトウェアパッケージがSecurity Gateway / クラスタメンバ / Security Groupにインストールされていない

  • Security Gateway / クラスタメンバ / Security Groupに$FWDIR/conf/hsm_configuration.C ファイルが存在しない

  • HTTPS Inspectionデーモンwstlsdが、Security Gateway / クラスタメンバ / Security Group上の$FWDIR/conf/hsm_configuration.C ファイルにある ":enabled()" 属性の値を読み取ることに失敗しました。

  • Security Gateway / クラスタメンバ / Security Group の$FWDIR/conf/hsm_configuration.C ファイルで ":enabled()" 属性が破損しています。

重要- これらの場合、アウトバウンドのHTTPS検査はHSMサーバなしで動作し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

項目

返される可能性のある文字列

説明

HSM partition access (Accessible/Not Accessible)

N/A

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

Accessible

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションにアクセスした。

Not Accessible

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは、エラーのためHSMサーバ上のパーティションへのアクセスに失敗しました。

重要- この場合、アウトバウンドのHTTPSインスペクション閉じた Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。は機能せず、HTTPSトラフィックは通過しません

項目

返される可能性のある文字列

説明

HSM partition access description

HSM partition access cannot be checked

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

Security Gateway / クラスタメンバ / Security GroupでHSMの設定が無効になっているためと思われます。

Gateway can access HSM partition for HTTPS inspection

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションにアクセスした。

Gateway cannot access HSM partition for HTTPS inspection: <Error Message>

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループは、エラーのためHSMサーバ上のパーティションへのアクセスに失敗しました。

これらの条件はすべて満たされていた。

  1. "yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  2. エラーが発生しました。

考えられるエラーメッセージは以下の通りです。

  • HSM configuration file is corrupted

  • Loading HSM library failed

  • There is no trust or no connectivity with HSM server

  • Login to HSM partition failed

重要- この場合、アウトバウンドのHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

項目

返される可能性のある文字列

説明

Outbound status (HSM on/HSM off/HSM error)

N / A

HTTPS 検査デーモンwstlsdが起動したら、実際の状態を取得できるまで、1 分以内は待つ必要がある。

HSM on

これらの条件はすべて満たされていた。

  1. "yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  2. HSMサーバに接続されているセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ閉じた Active/Activeクラスタ機能を提供するセキュリティアプライアンス(Maestro)/セキュリティゲートウェイモジュール(Scalable Chassis)の論理グループです。セキュリティグループには、1つまたは複数のセキュリティアプライアンス/セキュリティゲートウェイモジュールを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。Maestroでは、各Security Groupには、以下のものが含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス(ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定)、(C) Check Point Management Server が接続されている管理用ポート。

HSM off

いずれかの方法を実行します。

  • HSMクライアントソフトウェアパッケージがSecurity Gateway / クラスタメンバ / Security Groupにインストールされていない

  • Security Gateway / クラスタメンバ / Security Groupに$FWDIR/conf/hsm_configuration.C ファイルが存在しない

  • "no" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  • Security Gateway / クラスタメンバ / Security Group の$FWDIR/conf/hsm_configuration.C ファイルで ":enabled()" 属性が破損しています。

重要- これらの場合、アウトバウンドのHTTPS検査はHSMサーバなしで動作し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

HSM error

これらの条件はすべて満たされていた。

  1. "yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  2. エラーが発生しました。

重要- この場合、アウトバウンドのHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

- 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。例えば、"HSM enabled (Enabled/Disabled) = Enabled" と "Outbound status (HSM on/HSM off/HSM error) = HSM off" が表示されることがありますが、これはwstlsd デーモンの起動時、または前回のポリシーインストール時に HSM 構成が無効になっていたためです。

項目

返される可能性のある文字列

説明

Outbound status description

Cannot get HTTPS inspection outbound status. Process may be under initialization. Please try again in a minute.

HTTPS 検査デーモンwstlsdが起動したら、実際の状態を取得できるまで、1 分以内は待つ必要がある。

 

Outbound HTTPS inspection works with HSM

これらの条件はすべて満たされていた。

  1. "yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  2. HSMサーバに接続されているセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ。

 

Outbound HTTPS inspection works without HSM

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルで:enabled() 属性の値が"no" に設定されているか、このファイルが存在しない

 

Outbound HTTPS inspection is off due to HSM error: <Error Message>

これらの条件はすべて満たされていた。

  1. "yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。

  2. エラーが発生しました。

考えられるエラーメッセージは以下の通りです。

  • HSM configuration file is corrupted

  • Loading HSM library failed

  • There is no trust or no connectivity with HSM server

  • Login to HSM partition failed

  • Error importing CA certificate from HSM server

  • Error generating key pair on HSM server

重要- この場合、アウトバウンドのHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

- 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。例えば、"HSM enabled (Enabled/Disabled) = Enabled" と "Outbound status description = Outbound HTTPS inspection works without HSM" が表示されることがありますが、これはwstlsd デーモンの起動時、または前回のポリシーインストール時に HSM 構成が無効になっていたためです。