侵入防御モジュールの高度なTLSトラフィック検査を有効にできます。
高度なTLSトラフィック検査およびSSL検査は、圧縮されたトラフィックをサポートしていないことに注意してください。
このページの情報:
高度なTLSトラフィック検査を有効にする
高度なTLSトラフィック検査には、従来のSSL検査の実装と比べて次のような利点があります。
-
これにより、TLS資格情報を手動で設定する必要がなくなります。
-
SSLインスペクションよりも多くの暗号をサポートしており、Perfect Forward Secrecy (PFS) 暗号も含まれます。詳細については、サポートされている暗号スイートを参照してください。
侵入防御モジュールが有効になっている場合、高度なTLSトラフィック検査はデフォルトで受信トラフィックと送信トラフィックの両方に適用されます。
-
[受信TLS/SSLトラフィックの監視]は受信トラフィックに対してデフォルトで有効になっています。
-
[送信TLS/SSLトラフィックの監視]は送信トラフィックに対してデフォルトで有効になっており、Deep Security Agentリリース20.0.1-12510 (20 LTS Update 2024-06-19) 以降でサポートされています。
これらの設定を確認または調整し、送信トラフィックの構成手順に関するガイダンスを取得するには、[ポリシー]→ [侵入防御]→ [一般]→ [高度なTLSトラフィック監視]に移動してください。
受信トラフィックおよび送信トラフィックに対して高度なTLSトラフィック検査を使用する
高度なTLSトラフィック検査を有効にして、WindowsおよびLinuxプラットフォームの受信トラフィックと送信トラフィックに使用できます (プラットフォームごとにサポートされる機能を参照)。
Windowsでは、Advanced TLS Traffic InspectionはWindowsネイティブのTLS通信チャネル (Secure Channelを参照) を使用するトラフィックのみをサポートします。例えば、IIS、Microsoft Exchange、およびリモートデスクトッププロトコル (RDP) によって生成されるトラフィックが検査されます。
Linuxでは、Advanced TLS Traffic Inspectionは、NGINX、Apache HTTP Server、HAProxy、およびTomcatサーバなどの一般的なWebアプリケーションによるトラフィックのみをサポートします。TomcatサーバはLinux
(64ビット) 上でOpenJDK 8のみをサポートし、コンテナなしで実行されることに注意してください。
高度なTLSトラフィック検査でサポートされていないTLSトラフィックや、他のオペレーティングシステム上のTLSトラフィックを検査する必要がある場合は、代わりに従来のSSL検査を構成できます。
SSLインスペクションを設定する(レガシー)
保護対象のコンピュータの1つ以上のインタフェースで、特定の資格情報とポートのペアに対してSSLインスペクションを設定できます。
資格情報は、PKCS#12またはPEM形式でインポートできます。資格情報ファイルには、秘密鍵が含まれている必要があります。Windowsコンピュータでは、CryptoAPIを直接使用できます。
-
Deep Security Managerで、設定するコンピュータを選択し、[詳細]をクリックしてコンピュータエディタを開きます。
-
コンピュータエディタの左ペインで[侵入防御]→ [詳細]→ [SSL設定]をクリックし、[SSL設定]をクリックしてSSLコンピュータ構成ウィンドウを開きます。
-
[新規] をクリックして、SSL設定ウィザードを開きます。
-
このコンピュータで設定を適用するインタフェースを指定します。
-
このコンピュータのすべてのインタフェースに適用するには、[すべてのインタフェース] を選択します。
-
特定のインタフェースに適用するには、[特定のインタフェース] を選択します。
-
-
[ポート]または[ポートリスト]を選択し、リストを選択してから[次へ]をクリックしてください。
-
[IP選択] 画面で、[すべてのIP] を選択するか、SSLインスペクションを実行する [特定のIP] を指定し、[次へ] をクリックします。
-
[資格情報] 画面で、資格情報を指定する方法を選択します。
-
今すぐ資格情報をアップロードします
-
資格情報はコンピュータにあります
注意
資格情報ファイルには、秘密鍵が含まれている必要があります。 -
-
今すぐ資格情報をアップロードするオプションを選択する場合、資格情報の種類、格納場所、および必要に応じてパスフレーズを入力します。資格情報がコンピュータにある場合、資格情報の詳細を指定します:
-
コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
-
Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
-
-
この設定の名前と説明を入力します。
-
概要を確認して、SSL設定ウィザードを閉じます。設定操作の概要を読んで、[完了] をクリックしてウィザードを閉じます。
ポート設定を変更する
エージェント対応ポートのフィルタリングを適切な 侵入防御 を実行していることを保証するために、コンピュータのポート設定を変更します。加えた変更は、Agentコンピュータ上の特定のアプリケーションの種類
(Webサーバ共通など) に適用されます。この変更は、他のコンピュータ上のアプリケーションの種類には影響しません。
-
コンピュータの [詳細] 画面の [IPSルール] へ進み、このコンピュータに適用されている侵入防御ルールのリストを参照します。
-
ルールを [アプリケーションの種類] 別にソートし、「Webサーバ共通」のアプリケーションの種類を探します (同様のアプリケーションの種類に対しても、これらの変更を加えることができます)
-
アプリケーションタイプのルールを右クリックし、[アプリケーションの種類プロパティ]をクリックします。
-
継承された「HTTP」ポートリストをオーバーライドして、SSLの設定時に定義したポートとポート80をこのポートリストに追加します。ポートはカンマ区切りの値として入力します。たとえば、SSLの設定でポート9090を使用する場合は、「9090, 80」と入力します。
-
パフォーマンスを向上させるには、[設定]タブで[Webサーバから継承されたモニタ応答]の選択を解除します。
-
[OK] をクリックして、ダイアログを閉じます。
トラフィックがPerfect Forward Secrecy (PFS)で暗号化されている場合に侵入防御を使用する
Perfect Forward Secrecy (PFS) を使用することで、仮に後でサーバの秘密鍵が侵害された場合に復号できない通信チャネルを作成できます。Perfect Forward Secrecyの目的はセッション終了後の復号化を防ぐことであるため、侵入防御モジュールがSSLインスペクションでトラフィックを確認することも防止します。
|
注意高度なTLSトラフィック検査を使用することで、侵入防御モジュールは追加の設定なしでPFS暗号で暗号化されたトラフィックを分析できます。
|
代わりにSSLインスペクションでPFS暗号を使用するには、次の手順を実行します。
-
インターネットとロードバランサまたはリバースプロキシ間のTLSトラフィックにPerfect Forward Secrecyを使用します。
-
ロードバランサまたはリバースプロキシでPerfect Forward Secrecyセッションを終了します。
-
ロードバランサ (またはリバースプロキシ) とWebサーバまたはアプリケーションサーバの間のトラフィックには、非PFS暗号化スイート (サポートされている暗号化スイートを参照) を使用して、サーバ上の侵入防御モジュールがTLSセッションを復号して検査できるようにします。
-
Perfect Forward Secrecyを使用しないアプリケーションサーバポートのトラフィックをWebサーバに制限します。
SSLインスペクションを使用する際のDiffie-Hellman暗号に関する特別な考慮事項
Perfect Forward Secrecyは、Diffie-Hellman鍵交換アルゴリズムに依存しています。初期設定でDiffie-Hellmanが使用されるWebサーバでは、SSLインスペクションが正常に動作しない場足があります。そのため、サーバの設定ファイルを確認して、Webサーバとロードバランサ
(またはリバースプロキシ) の間のTLSトラフィックに対してDiffie-Hellman暗号化を無効にすることが重要です。ApacheサーバでDiffie-Hellmanを無効にするには、次の手順を実行します。
-
サーバの設定ファイルを開きます。Webサーバ設定ファイルのファイル名と場所は、OSおよびディストリビューションによって異なります。たとえば、次のようなパスになります。
-
RHELの初期インストールの場合::
/etc/httpd/conf.d/ssl.conf -
Red Hat Linux上のApache 2.2.2::
/apache2/conf/extra/httpd-ssl.conf
-
-
ファイル内で「
SSLCipherSuite」変数を見つけます。 -
「
!DH:!EDH:!ADH:」をこれらのフィールドに追加します (この文字列がまだ表示されていない場合)。(「!」: この暗号化をApacheで「使用しない」ように指定するものです) -
たとえば、Apache設定ファイルの暗号化スイートを次のように編集します。
SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL前述の情報は、Advanced TLS Traffic InspectionではなくSSL Inspectionを使用する場合にのみ適用されます。
詳細については、Apacheドキュメント
SSLCipherSuite: http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuiteを参照してください。サポートされている暗号化スイート
|
16進値
|
OpenSSL名
|
IANA名
|
NSS名
|
高度なTLS検査
|
SSLインスペクション(レガシー)
|
|
0x00,0x04
|
RC4-MD5
|
TLS_RSA_WITH_RC4_128_MD5
|
SSL_RSA_WITH_RC4_128_MD5
|
✔
|
✔
|
|
0x00,0x05
|
RC4-SHA
|
TLS_RSA_WITH_RC4_128_SHA
|
SSL_RSA_WITH_RC4_128_SHA
|
✔
|
✔
|
|
0x00,0x09
|
DES-CBC-SHA
|
TLS_RSA_WITH_DES_CBC_SHA
|
SSL_RSA_WITH_DES_CBC_SHA
|
✔
|
✔
|
|
0x00,0x0A
|
DES-CBC3-SHA
|
TLS_RSA_WITH_3DES_EDE_CBC_SHA
|
SSL_RSA_WITH_3DES_EDE_CBC_SHA
|
✔
|
|
|
0x00,0x2F
|
AES128-SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x33
|
DHE-RSA-AES128-SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0x00,0x35
|
AES256-SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x39
|
DHE-RSA-AES256-SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0x00,0x3C
|
AES128-SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x3D
|
AES256-SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x41
|
CAMELLIA128-SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x67
|
DHE-RSA-AES128-SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0x00,0x6b
|
DHE-RSA-AES256-SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
|
|
0x00,0x84
|
CAMELLIA256-SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x9c
|
AES128-GCM-SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
✔
|
|
0x00,0x9d
|
AES256-GCM-SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
✔
|
|
0x00,0x9e
|
DHE-RSA-AES128-GCM-SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0x00,0x9f
|
DHE-RSA-AES256-GCM-SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0x00,0xBA
|
CAMELLIA128-SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0xC0
|
CAMELLIA256-SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
✔
|
✔
|
|
0xc0,0x09
|
ECDHE-ECDSA-AES128-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xC0,0x0A
|
ECDHE-ECDSA-AES256-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x13
|
ECDHE-RSA-AES128-SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xc0,0x14
|
ECDHE-RSA-AES256-SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x23
|
ECDHE-ECDSA-AES128-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x24
|
ECDHE-ECDSA-AES256-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x27
|
ECDHE-RSA-AES128-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x28
|
ECDHE-RSA-AES256-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x2b
|
ECDHE-ECDSA-AES128-GCM-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x2c
|
ECDHE-ECDSA-AES256-GCM-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xc0,0x2f
|
ECDHE-RSA-AES128-GCM-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x30
|
ECDHE-RSA-AES256-GCM-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xC0,0x9C
|
AES128-CCM
|
TLS_RSA_WITH_AES_128_CCM
|
TLS_RSA_WITH_AES_128_CCM
|
✔
|
✔
|
|
0xC0,0x9D
|
AES256-CCM
|
TLS_RSA_WITH_AES_256_CCM
|
TLS_RSA_WITH_AES_256_CCM
|
✔
|
✔
|
|
0xC0,0xA0
|
AES128-CCM8
|
TLS_RSA_WITH_AES_128_CCM_8
|
TLS_RSA_WITH_AES_128_CCM_8
|
✔
|
✔
|
|
0xC0,0xA1
|
AES256-CCM8
|
TLS_RSA_WITH_AES_256_CCM_8
|
TLS_RSA_WITH_AES_256_CCM_8
|
✔
|
✔
|
|
0xcc,0xa8
|
ECDHE-RSA-CHACHA20-POLY1305
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xa9
|
ECDHE-ECDSA-CHACHA20-POLY1305
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xaa
|
DHE-RSA-CHACHA20-POLY1305
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
サポートされるプロトコル
次のプロトコルがサポートされます。
-
TLS 1.0
-
TLS 1.1
-
TLS 1.2
-
TLS 1.3 (Linuxのみ)
SSL 3.0の検査は[サポートされておらず]、デフォルトでブロックされます。