CLIでHSMによるHTTPSインスペクションのモニタ

セキュリティゲートウェイ / クラスタメンバ / Scalable Platform Security Group上で "cpstat https_inspection" コマンドを実行し、HTTPSインスペクション閉じた SSL(Secure Sockets Layer)プロトコルによって暗号化されたトラフィックにマルウェアや不審なパターンがないか検査するセキュリティゲートウェイの機能(同義語: SSLインスペクション、略語: HTTPSI、HTTPSi)。ステータスとHSMサーバへの接続ステータスを確認してください。

構文

  • セキュリティゲートウェイ/各クラスタメンバで、以下を実行します:

    cpstat -h

    cpstat https_inspection -f {default | hsm_status | all}

  • Scalable Platformセキュリティ グループで、次を実行します。

    cpstat -h

    g_all cpstat https_inspection -f {default | hsm_status | all}

このコマンドの詳細:R82 CLI Reference Guide> セキュリティゲートウェイコマンドの章 > セクション cpstat

[Expert@GW:0]# cpstat https_inspection -f default
 
HTTPS inspection status (On/Off):    On
HTTPS inspection status description: HTTPS Inspection is on
 
[Expert@GW:0]#
 
[Expert@GW:0]# cpstat https_inspection -f hsm_status
 
HSM enabled (Enabled/Disabled):                  Enabled
HSM enabled description:                         HSM is enabled for HTTPS inspection with Gemalto HSM
HSM partition access (Accessible/Not Accessible): Accessible
HSM partition access description:                 Gateway can access to HSM partition for HTTPS inspection
Outbound status (HSM on/HSM off/HSM error):      HSM on
Outbound status description:                     Outbound HTTPS inspection works with HSM
 
[Expert@GW:0]#
 
[Expert@GW:0]# cpstat https_inspection -f all
 
HTTPS inspection status (On/Off):                On
HTTPS inspection status description:             HTTPS Inspection is on
HSM enabled (Enabled/Disabled):                  Enabled
HSM enabled description:                         HSM is enabled for HTTPS inspection with Gemalto HSM
HSM partition access (Accessible/Not Accessible): Accessible
HSM partition access description:                 Gateway can access to HSM partition for HTTPS inspection
Outbound status (HSM on/HSM off/HSM error):      HSM on
Outbound status description:                     Outbound HTTPS inspection works with HSM
 
[Expert@GW:0]#

アイテム

返される可能性のある文字列

説明

HTTPS inspection status (On/Off)

On

HTTPSインスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。

Off

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにHTTPSインスペクション機能が設定されていません

アイテム

返される可能性のある文字列

説明

HTTPS inspection status description

HTTPS Inspection is on

HTTPSインスペクション機能は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに設定されています。

HTTPS Inspection is off

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにHTTPSインスペクション機能が設定されていません

アイテム

返される可能性のある文字列

説明

HSM enabled (Enabled/Disabled)

Enabled

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

Disabled

いずれかの方法を実行します。

  • HSMクライアントのソフトウェアパッケージが、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループにインストールされていません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループに $FWDIR/conf/hsm_configuration.Cファイルが存在しません

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"no" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled()ファイルで、$FWDIR/conf/hsm_configuration.C属性が破損しています。

重要 - このような場合、HSMサーバがなくても送信HTTPSインスペクションは機能し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

アイテム

返される可能性のある文字列

説明

HSM enabled description

HSM is enabled for HTTPS inspection with <HSM Vendor>

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  • <HSM Vendor>は、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:hsm_vendor_name ()ファイル内の "$FWDIR/conf/hsm_configuration.C" 属性の値です。

HSM is disabled for HTTPS inspection

いずれかの方法を実行します。

  • HSMクライアントソフトウェアパッケージがセキュリティゲートウェイ/クラスタメンバ/セキュリティグループにインストールされていません

  • セキュリティゲートウェイ / クラスタメンバ / セキュリティグループに $FWDIR/conf/hsm_configuration.Cファイルが存在しません。

  • HTTPSインスペクション デーモンwstlsdが、セキュリティゲートウェイ / クラスタメンバ / Security Group 上の $FWDIR/conf/hsm_configuration.Cファイル内の ":enabled()" 属性の値の読み取りに失敗しました。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの $FWDIR/conf/hsm_configuration.Cファイルで "":enabled() 属性が破損しています。

重要 - これらの場合、HSMサーバがなくても送信HTTPSインスペクションは機能し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

アイテム

返される可能性のある文字列

説明

HSM partition access (Accessible/Not Accessible)

N/A

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバー上のパーティションへのアクセスチェックに失敗しました。

Accessible

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションにアクセス。

Not Accessible

セキュリティゲートウェイ / クラスタメンバ / Security Group は、エラーのために HSM サーバ上のそのパーティションへのアクセスに失敗しました。

重要- この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

アイテム

返される可能性のある文字列

説明

HSM partition access description

HSM partition access cannot be checked

セキュリティゲートウェイ / クラスタメンバ / セキュリティグループは、HSMサーバ上のパーティションへのアクセスチェックに失敗しました。

おそらく、セキュリティゲートウェイ/クラスタメンバ/セキュリティグループでHSMの設定が無効になっているためでしょう。

Gateway can access HSM partition for HTTPS inspection

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションにアクセス。

Gateway cannot access HSM partition for HTTPS inspection: <Error Message>

セキュリティゲートウェイ/クラスタメンバ/セキュリティグループが、HSMサーバ上のパーティションへのアクセスに失敗しました。

満たされた条件:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  2. エラーが発生しました。

考えられるエラーメッセージ:

  • HSM configuration file is corrupted

  • Loading HSM library failed

  • There is no trust or no connectivity with HSM server

  • Login to HSM partition failed

重要- この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

アイテム

返される可能性のある文字列

説明

Outbound status (HSM on/HSM off/HSM error)

N / A

HTTPSインスペクションデーモンwstlsdが起動すると、実際のステータスを取得できるまで 1 分以内待つ必要があります。

HSM on

満たされた条件:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  2. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループがHSMサーバに接続されています。

HSM off

いずれかの方法を実行します。

  • HSMクライアントソフトウェアパッケージがセキュリティゲートウェイ/クラスタメンバ/セキュリティグループにインストールされていません

  • セキュリティゲートウェイ / クラスタメンバ / セキュリティグループに $FWDIR/conf/hsm_configuration.Cファイルが存在しません。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"no" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  • セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの $FWDIR/conf/hsm_configuration.Cファイルで "":enabled() 属性が破損しています。

重要 - これらの場合、アウトバウンドHTTPSインスペクションはHSMサーバなしで機能し、SSLキーはセキュリティゲートウェイ(クラスタメンバ)に保存されます。

HSM error

満たされた条件:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  2. エラーが発生しました。

重要- この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

- 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。例えば、 wstlsdデーモンが起動した時、または前回のポリシーインストール時にHSM設定が無効になっていたため、""とOutbound status (HSM on/HSM off/HSM error) = HSM off""が返りますHSM enabled (Enabled/Disabled) = Enabled

アイテム

返される可能性のある文字列

説明

Outbound status description

Cannot get HTTPS inspection outbound status. Process may be under initialization. Please try again in a minute.

HTTPSインスペクションデーモンwstlsdが起動すると、実際のステータスを取得できるようになるまで 1 分以内待つ必要があります。

 

Outbound HTTPS inspection works with HSM

満たされた条件:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  2. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループがHSMサーバに接続されています。

 

Outbound HTTPS inspection works without HSM

セキュリティゲートウェイ/クラスタメンバー/セキュリティグループの:enabled() ファイルで、"no" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されている、またはこのファイルが存在しない。

 

Outbound HTTPS inspection is off due to HSM error: <Error Message>

満たされた条件:

  1. セキュリティゲートウェイ/クラスタメンバ/セキュリティグループの:enabled() ファイルでは、"yes" 属性の値が$FWDIR/conf/hsm_configuration.C に設定されています。

  2. エラーが発生しました。

考えられるエラーメッセージ:

  • HSM configuration file is corrupted

  • Loading HSM library failed

  • There is no trust or no connectivity with HSM server

  • Login to HSM partition failed

  • Error importing CA certificate from HSM server

  • Error generating key pair on HSM server

重要- この場合、アウトバウンドHTTPSインスペクションは機能せず、HTTPSトラフィックは通過しません

- 返される文字列の条件は、HTTPS インスペクションデーモンwstlsdの開始時、またはポリシーのインストール時にセキュリティゲートウェイ/クラスタメンバ/セキュリティグループ上で計算されます。たとえば、"HSM enabled (Enabled/Disabled) = Enabled"および"Outbound status description = Outbound HTTPS inspection works without HSM"が返されることがあります。これは、wstlsd デーモンが起動したとき、または前回のポリシーインストール時に、HSM設定が無効になっていたためです。