Edge-SWG (formally Proxy-SG) encrypted-tapの設定、確認方法
Article ID: 381556
Updated On:
Products
Issue/Introduction
Encrypted-tap (etap)はEdge-SWG を流れる SSLデータを複合し、指定の I/Fへ流す仕組みです。これは外部のパケットキャプチャ装置、機構への平文パケット送信に使われるほか、デバッグ目的でも使用されます。
設定には Policyを使用します。確認は Edge-SWG上で PCAPを取得します。
Environment
Edge-SWG 7.3.x または 7.4.x
H/W アプライアンス、および バーチャルアプライアンス
HypervisorによってはHypervisor がetapパケットを外に出せない可能性があります。外部装置へ接続の際は十分に検証してください。
なお、動作確認済みの Hypervisorは Vmware ESXi 7.x, 8.x となり、Microsoft社Hyper-Vでは 外部へパケットが出せません。(11/11/2024 現在)
また 若干ですが制限があります。Tapping Decrypted Data with Encrypted Tap
Encrypted Tap does not support VLAN.
MTU is fixed at 1500 bytes.
SSL protocol headers/records/details are not preserved.
Encrypted Tap is supported for forward proxy for STunnel and HTTPS, and for reverse proxy for HTTPS.
Encrypted tap also taps WebSocket.
Cause
Resolution
Policy作成 Web Visual Policy Manager, または CPLで作成可能です
[Web Visual Policy Manager]
SSL Interceptが必須です。また SSL InterceptがSource/Destinationを規定されている場合(any/anyではない場合)、取得したいサイトが含まれるかを考慮してください
SSL Access Layer を追加します。 Actionから Enable Encrypted TAPを選択します
以下のように clientサイド、server サイドの両方、あるいは片方を任意の I/Fから送信できます。
[CPL]
<ssl>
client.connection.encrypted_tap(1:0) server.connection.encrypted_tap(2:0)
確認方法
Edge-SWG で Capture を取得します。その際に Policyで設定した I/Fを指定します
$ curl -k -x xx.xx.xx.xx:8080 https://www.example.com *実際のアクセス先は別なものとなります。
HTTP2による セッションが複合されて見えています。 I/F 1:0を指定したので clientサイド となります。
Feedback
