強力な暗号化スイートを有効にすることで、Deep Securityコンポーネントとのすべての通信を安全に行えるようになります。悪意のあるユーザーが、弱い暗号化スイートを使用した通信チャネルを介してシステムへの接続を作成できると、その暗号化スイートの既知の脆弱性を悪用して、システムや情報の安全性を脅かすことになります。
このページでは、TLS 1.2の強力な暗号化スイートを使用するように、Deep Security Manager、Deep Security Agent、およびDeep
Security Relayをアップデートする方法について説明します。これらの暗号スイートには+ (A+) の詳細評価があり、このページの表にリストされています。
手順1: 環境を確認する
手順4: スクリプトの動作を確認する
環境を確認する
強力な暗号スイートを有効にせず、代わりにDeep SecurityでTLS 1.2を使用するべき状況があります。
-
FIPSモードを使用している場合。
-
環境内のコンピュータのいずれかがWindows Server 2012 R2以前を実行している場合、強力な暗号スイートをサポートしていません。それらのコンピュータを強力な暗号スイートをサポートするWindows Server 2016にアップグレードすることを検討してください。
-
すべてのDeep Securityコンポーネントを12.0以降にアップグレードできない場合。たとえば、12.0エージェントを使用できないOSを使用している場合です。
Deep Securityコンポーネントの更新
次の順序で全てのコンポーネントを更新してください。そうしないと、エージェントがリレーおよびマネージャと通信できなくなります。
-
すべてのマネージャインスタンスを12.0またはそれ以降のアップデートに更新してください。アップグレード手順については、Deep Security Manager AMIのアップグレード。
-
すべてのRelayを12.0以降にアップデートします。Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。
-
Managerに最新のRelayソフトウェアを手動または自動でインポートします。詳細については、インポートエージェントソフトウェアを参照してください。
-
リレーをアップグレードします。 Deep Security Relayのアップグレードを参照してください。
-
-
すべてのAgentを12.0以降にアップデートします。Agentをアップグレードするには
-
Managerに最新のエージェントソフトウェアを手動または自動でインポートします。詳細については、インポートエージェントソフトウェア を参照してください。
-
Deep Security Agentをアップグレードしてください。Deep Security Agentのアップグレードを参照してください。
-
TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する
-
https://github.com/deep-security/ops-tools/tree/master/deepsecurity/managerにある
EnableStrongCiphers12.script
ファイルを以下の場所にコピーします。-
Windowsの場合:
<Manager_root>\Scripts
-
Linuxの場合:
<Manager_root>/Scripts
この場合、<Manager_root>
は、Managerのインストールディレクトリのパスに置き換えます。初期設定では次のようになっています。-
C:\Program Files\Trend Micro\Deep Security Manager
(Windows) -
/opt/dsm/
(Linux)
注意
\Scripts
ディレクトリが表示されない場合は、作成してください。 -
-
Managerにログインします。
-
上部の[管理]をクリックします。
-
左側で[予約タスク]をクリックします。
-
メイン画面で、[新規]をクリックします。
-
[新規予約タスクウィザード]が表示されます。
-
[種類]ドロップダウンリストから[スクリプトの実行]を選択します。[1回のみ]を選択します。[次へ]をクリックします。
-
日付、時刻、およびタイムゾーンのデフォルトを受け入れ、[次へ]をクリックします。
-
[スクリプト]については、[EnableStrongCiphers.script]を選択してください。[次へ]をクリックします。
-
[名前] には、スクリプトの名前 (たとえば、
Enable Strong Cipher Suites
) を入力します。[タスクの有効化] が選択されていることを確認します。[完了] でタスクを実行] をクリックします。[完了] をクリックします。スクリプトが実行されます。 -
Deep Security Managerサービスを再起動します。Agent、Relay、およびManagerは、TLS 1.2の強力な暗号化スイートのみを使用して相互に通信を行うようになりました。
スクリプトの動作を確認する
スクリプトの動作と、TLS 1.2の強力な暗号化スイートのみが許可されていることを確認するには、一連のnmapコマンドを実行する必要があります。
nmapを使用してManagerを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4119 <Manager_FQDN>
出力は次のようになります。強力な暗号化スイートは中段付近で確認できます。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:51 EST
Nmapスキャンレポート for <DSM FQDN> (X.X.X.X)
Host is up (0.0049s latency).
PORT STATE SERVICE
4119/tcp open assuria-slm
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256k1) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 6.82 seconds
nmapを使用してRelayを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4122 <Relay_FQDN>
出力は次のようになります。強力な暗号化スイートは中段付近に記述されています。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:49 EST
<DSR FQDN> (X.X.X.X) のNmapスキャンレポート
Host is up (0.0045s latency).
PORT STATE SERVICE
4122/tcp open unknown
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 31.02 seconds
nmapを使用してAgentを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4118 <Agent_FQDN>
出力は次のようになります。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:50 EST
Nmapスキャンレポート:<DSA FQDN> (X.X.X.X)
Host is up (0.0048s latency).
PORT STATE SERVICE
4118/tcp open netscript
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 2.72 seconds
TLS 1.2の強力な暗号化スイートの無効化
すべてのAgent、Relay、およびManagerをアップグレードする前に誤ってスクリプトを実行してしまった場合には、次の手順に従って以前の状態に戻すことができます。
-
<Manager_root>
にあるconfiguration.properties
ファイルを開き、ciphers
で始まる行を削除します。次のような行です。ciphers=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
-
protocols
フィールドに値TLSv1
とTLSv1.1
を追加します。プロパティは最終的には次のようになります。protocols = TLSv1, TLSv1.1, TLSv1.2
-
ファイルを保存して、閉じます。
-
<Manager_root>\jre\lib\security\
にあるjava.security
ファイルを開き、jdk.tls.disabledAlgorithms
から次の2つのプロトコルを削除します。TLSv1, TLSv1.1
-
Deep Security Managerで、次の
dsm_c
コマンドを実行します。dsm_c –action changesetting –name settings.configuration.restrictRelayMinimumTLSProtocol –value TLSv1
dsm_c –action changesetting –name settings.configuration.enableStrongCiphers –value false
システムが再度通信できるようになります。TLS 1.2の強力な暗号化スイートを有効にする必要がある場合は、すべてのコンポーネントをアップグレードしてからスクリプトを実行するようにしてください。
Deep Security Managerとの通信に問題が引き続き発生する場合は、次の追加の
dsm_c
コマンドを実行してください。dsm_c –action changesetting –name settings.configuration.MinimumTLSProtocolNewNode
–value TLSv1