HSMによるHTTPSインスペクションの監視（SNMP経由

"HTTPS検査状況"

HTTPS インスペクションの状態を取得するには、この SNMP オブジェクトに問い合わせを行います。

SNMP OID	返送された文字列	説明
`httpsInspectionStatus` .1.3.6.1.4.1.2620.1.54.1	`On`	HTTPS インスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。
`Off`	Security Gateway / クラスタメンバ / Security Group に HTTPS Inspection 機能が設定されていない。

SNMP OID

返送された文字列

説明

httpsInspectionStatus

.1.3.6.1.4.1.2620.1.54.1

On

HTTPS インスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。

Off

Security Gateway / クラスタメンバ / Security Group に HTTPS Inspection 機能が設定されていない。

"HTTPSインスペクションステータスの説明"

HTTPS インスペクションステータスの説明を取得するには、この SNMP オブジェクトをクエリします。

SNMP OID	返送された文字列	説明
`httpsInspectionStatusDescription` .1.3.6.1.4.1.2620.1.54.2	`HTTPS Inspection is on`	HTTPS インスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。
`HTTPS Inspection is off`	Security Gateway / クラスタメンバ / Security Group に HTTPS Inspection 機能が設定されていない。

SNMP OID

返送された文字列

説明

httpsInspectionStatusDescription

.1.3.6.1.4.1.2620.1.54.2

HTTPS Inspection is on

HTTPS インスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。

HTTPS Inspection is off

Security Gateway / クラスタメンバ / Security Group に HTTPS Inspection 機能が設定されていない。

"HSMの構成状態"

HSMの設定状態を取得するには、このSNMPオブジェクトに問い合わせを行います。

SNMP OID

返送された文字列

説明

hsmStatus.hsmEnabled

.1.3.6.1.4.1.2620.1.54.3.1

Enabled

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"yes" に設定されます。

Disabled

いずれかの方法を実行します。

HSMクライアントソフトウェアパッケージがSecurity Gateway / クラスタメンバ / Security Groupにインストールされていない。
Security Gateway / クラスタメンバ / Security Groupに$FWDIR/conf/hsm_configuration.C ファイルが存在しない。
Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"no" に設定されます。
Security Gateway / クラスタメンバ / Security Group の$FWDIR/conf/hsm_configuration.C ファイルで ":enabled()" 属性が破損しています。

重要- これらの場合、アウトバウンドのHTTPS検査はHSMサーバなしで動作し、SSLキーはセキュリティゲートウェイ/クラスタメンバ/セキュリティグループに保存されます。

"HSM configuration status description"

HSMのコンフィギュレーションステータスの説明を取得するには、このSNMPオブジェクトにクエリーを送信します。

SNMP OID

返送された文字列

説明

hsmStatus.hsmEnabledDescription

.1.3.6.1.4.1.2620.1.54.3.2

HSM is enabled for HTTPS inspection with <HSM Vendor>

"yes" Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに:enabled() という属性値が設定されます。
<HSM Vendor> は、Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルにある ":hsm_vendor_name ()" 属性の値です。

HSM is disabled for HTTPS inspection

いずれかの方法を実行します。

HSMクライアントソフトウェアパッケージがSecurity Gateway / クラスタメンバ / Security Groupにインストールされていない。
Security Gateway / クラスタメンバ / Security Groupに$FWDIR/conf/hsm_configuration.C ファイルが存在しない。
HTTPS Inspectionデーモンwstlsdが、Security Gateway / クラスタメンバ / Security Group上の$FWDIR/conf/hsm_configuration.C ファイルにある ":enabled()" 属性の値を読み取ることに失敗しました。
Security Gateway / クラスタメンバ / Security Group の$FWDIR/conf/hsm_configuration.C ファイルで ":enabled()" 属性が破損しています。

重要- これらの場合、アウトバウンドのHTTPS検査はHSMサーバなしで動作し、SSLキーはセキュリティゲートウェイ/クラスタメンバ/セキュリティグループに保存されます。

"HSMパーティションアクセス状況"

HSMパーティションのアクセス状況を取得するには、このSNMPオブジェクトにクエリーを実行します。

SNMP OID	返送された文字列	説明
`hsmStatus.hsmPartitionAccess` .1.3.6.1.4.1.2620.1.54.3.3	`N/A`	セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。 Security Gateway / クラスタメンバ / Security GroupでHSMの設定が無効になっているためと思われます。
`Accessible`	セキュリティゲートウェイ／クラスタメンバ／セキュリティグループが、HSMサーバ上のパーティションにアクセスした。
`Not Accessible`	セキュリティゲートウェイ／クラスタメンバ／セキュリティグループは、エラーのためHSMサーバ上のパーティションへのアクセスに失敗しました。

SNMP OID

返送された文字列

説明

hsmStatus.hsmPartitionAccess

.1.3.6.1.4.1.2620.1.54.3.3

N/A

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

Security Gateway / クラスタメンバ / Security GroupでHSMの設定が無効になっているためと思われます。

Accessible

セキュリティゲートウェイ／クラスタメンバ／セキュリティグループが、HSMサーバ上のパーティションにアクセスした。

Not Accessible

セキュリティゲートウェイ／クラスタメンバ／セキュリティグループは、エラーのためHSMサーバ上のパーティションへのアクセスに失敗しました。

"HSMパーティションアクセスステータスの説明"

HSMパーティションアクセスステータスの説明を取得するには、このSNMPオブジェクトをクエリします。

SNMP OID	返送された文字列	説明
`hsmStatus.hsmPartitionAccessDescription` .1.3.6.1.4.1.2620.1.54.3.4	`HSM partition access cannot be checked`	セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。
`Gateway can access HSM partition for HTTPS inspection`	セキュリティゲートウェイ／クラスタメンバ／セキュリティグループが、HSMサーバ上のパーティションにアクセスした。
`Gateway cannot access HSM partition for HTTPS inspection: <Error Message>`	セキュリティゲートウェイ／クラスタメンバ／セキュリティグループは、エラーのためHSMサーバ上のパーティションへのアクセスに失敗しました。考えられるエラーメッセージは以下の通りです。 `HSM configuration file is corrupted` `Loading HSM library failed` `There is no trust or no connectivity with HSM server` `Login to HSM partition failed`

SNMP OID

返送された文字列

説明

hsmStatus.hsmPartitionAccessDescription

.1.3.6.1.4.1.2620.1.54.3.4

HSM partition access cannot be checked

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

Gateway can access HSM partition for HTTPS inspection

セキュリティゲートウェイ／クラスタメンバ／セキュリティグループが、HSMサーバ上のパーティションにアクセスした。

Gateway cannot access HSM partition for HTTPS inspection: <Error Message>

セキュリティゲートウェイ／クラスタメンバ／セキュリティグループは、エラーのためHSMサーバ上のパーティションへのアクセスに失敗しました。

考えられるエラーメッセージは以下の通りです。

HSM configuration file is corrupted
Loading HSM library failed
There is no trust or no connectivity with HSM server
Login to HSM partition failed

"送信 HTTPS 検査の状態"

Outbound HTTPS Inspectionのステータスを取得するには、このSNMPオブジェクトに問い合わせます。

SNMP OID

返送された文字列

説明

hsmStatus.outboundStatus

.1.3.6.1.4.1.2620.1.54.3.5

N / A

HTTPS 検査デーモンwstlsdが起動したら、実際の状態を取得できるまで、1 分以内は待つ必要がある。

HSM on

これらの条件はすべて満たされていた。

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"yes" に設定されます。
HSMサーバに接続されているセキュリティゲートウェイ／クラスタメンバ／セキュリティグループ Active/Activeクラスタ機能を提供するセキュリティアプライアンス（Maestro）/セキュリティゲートウェイモジュール（Scalable Chassis）の論理グループです。セキュリティグループには、1つまたは複数のセキュリティアプライアンス/セキュリティゲートウェイモジュールを含めることができます。セキュリティグループは、互いに別々に独立して機能します。本番ネットワークには、セキュリティグループが1つのセキュリティゲートウェイとして表示されます。Maestroでは、各Security Groupには、以下のものが含まれます。(A) 本番ネットワークが接続されているアップリンクポート、(B) セキュリティアプライアンス（ダウンリンクポートは Quantum Maestro Orchestrator が自動的に決定）、(C) Check Point Management Server が接続されている管理用ポート。。

HSM off

いずれかの方法を実行します。

HSMクライアントソフトウェアパッケージがSecurity Gateway / クラスタメンバ / Security Groupにインストールされていない。
Security Gateway / クラスタメンバ / Security Groupに$FWDIR/conf/hsm_configuration.C ファイルが存在しない。
Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"no" に設定されます。
Security Gateway / クラスタメンバ / Security Group の$FWDIR/conf/hsm_configuration.C ファイルで ":enabled()" 属性が破損しています。

重要- これらの場合、アウトバウンドのHTTPS検査はHSMサーバなしで動作し、SSLキーはセキュリティゲートウェイ/クラスタメンバ/セキュリティグループに保存されます。

HSM error

これらの条件はすべて満たされていた。

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"yes" に設定されます。
エラーが発生しました。

重要- この場合、アウトバウンドのHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません。

注 - 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。例えば、"hsmStatus.hsmEnabled = HSM enabled" と "hsmStatus.outboundStatus = HSM off" が表示されることがありますが、これはwstlsd デーモンの起動時、または前回のポリシーインストール時に HSM 構成が無効になっていたためです。

"アウトバウンド HTTPS 検査の状態の説明"

Outbound HTTPS Inspection statusの説明を取得するには、このSNMPオブジェクトに問い合わせを行います。

SNMP OID

返送された文字列

説明

hsmStatus.outboundStatusDescription

.1.3.6.1.4.1.2620.1.54.3.6

Cannot get HTTPS inspection outbound status. Process may be under initialization. Please try again in a minute.

HTTPS 検査デーモンwstlsdが起動したら、実際の状態を取得できるまで、1 分以内は待つ必要がある。

Outbound HTTPS inspection works with HSM

これらの条件はすべて満たされていた。

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"yes" に設定されます。
HSMアプライアンスサーバに接続されているセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ。

Outbound HTTPS inspection works without HSM

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルで ":enabled()" 属性の値が"no" に設定されているか、このファイルが存在しない。

Outbound HTTPS inspection is off due to HSM error: <Error Message>

これらの条件はすべて満たされていた。

Security Gateway / クラスタメンバ / Security Group 上の$FWDIR/conf/hsm_configuration.C ファイルに ":enabled()" 属性の値が"yes" に設定されます。
エラーが発生しました。

重要- この場合、アウトバウンドのHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません。

考えられるエラーメッセージは以下の通りです。

HSM configuration file is corrupted
Loading HSM library failed
There is no trust or no connectivity with HSM server
Login to HSM partition failed
Error importing CA certificate from HSM server
Error generating key pair on HSM server

注 - 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。例えば、"hsmStatus.hsmEnabledDescription = HSM is enabled for HTTPS inspection with <HSM Vendor>" と "hsmStatus.outboundStatusDescription = Outbound HTTPS inspection works without HSM" が表示されることがありますが、これはwstlsd デーモンの起動時、または前回のポリシーインストール時に HSM 構成が無効になっていたためです。

例

# snmpwalk -m $CPDIR/lib/snmp/chkpnt.mib -On -v 2c -c public localhost 1.3.6.1.4.1.2620.1.54

.1.3.6.1.4.1.2620.1.54.1.0 = STRING: On

.1.3.6.1.4.1.2620.1.54.2.0 = STRING: HTTPS Inspection is on

.1.3.6.1.4.1.2620.1.54.3.1.0 = STRING: Enabled

.1.3.6.1.4.1.2620.1.54.3.2.0 = STRING: HSM is enabled for HTTPS inspection with Gemalto HSM

.1.3.6.1.4.1.2620.1.54.3.3.0 = STRING: Accessible

.1.3.6.1.4.1.2620.1.54.3.4.0 = STRING: Gateway can access HSM partition for HTTPS inspection

.1.3.6.1.4.1.2620.1.54.3.5.0 = STRING: HSM on

.1.3.6.1.4.1.2620.1.54.3.6.0 = STRING: Outbound HTTPS inspection works with HSM

# snmpwalk -m $CPDIR/lib/snmp/chkpnt.mib -Oa -v 2c -c public localhost 1.3.6.1.4.1.2620.1.54

CHECKPOINT-MIB::httpsInspectionStatus.0 = STRING: On

CHECKPOINT-MIB::httpsInspectionStatusDescription.0 = STRING: HTTPS Inspection is on

CHECKPOINT-MIB::hsmEnabled.0 = STRING: Enabled

CHECKPOINT-MIB::hsmEnabledDescription.0 = STRING: HSM is enabled for HTTPS inspection with Gemalto HSM

CHECKPOINT-MIB::hsmPartitionAccess.0 = STRING: Accessible

CHECKPOINT-MIB::hsmPartitionAccessDescription.0 = STRING: Gateway can access HSM partition for HTTPS inspection

CHECKPOINT-MIB::outboundStatus.0 = STRING: HSM on

CHECKPOINT-MIB::outboundStatusDescription.0 = STRING: Outbound HTTPS inspection works with HSM