侵入防御モジュールの高度なTLSトラフィック検査を有効にできます。
高度なTLSトラフィック検査とSSL検査では、圧縮されたトラフィックはサポートされないことに注意してください。
高度なTLSトラフィック検査を有効にする
高度なTLSトラフィック検査には、従来のSSL検査の実装と比べて次のような利点があります。
- これにより、TLS資格情報を手動で設定する必要がなくなります。
- SSLインスペクションよりも多くの暗号をサポートしており、Perfect Forward Secrecy (PFS) 暗号も含まれます。詳細については、サポートされている暗号スイートを参照してください。
侵入防御モジュールを有効にすると、自動的に高度なTLSトラフィック検査が送信トラフィックと受信トラフィックの両方に適用されます:
- [受信TLS/SSLトラフィックの監視]は、受信トラフィックに対してデフォルトで有効になっています。
- [送信TLS/SSLトラフィックの監視]は送信トラフィックに対してデフォルトで有効になっており、Deep Security Agentバージョン20.0.1-12510 (20 LTS Update 2024-06-19) 以降でサポートされています。
これらの設定を確認または調整し、送信トラフィックの構成手順に関するガイダンスを得るには、 に移動します。
高度なTLSトラフィック監視を使用
高度なTLSトラフィック検査は、WindowsおよびLinuxプラットフォームで受信トラフィックおよび送信トラフィックに対して有効にして使用できます (プラットフォーム別のサポート機能を参照)。
Windowsでは、高度なTLSトラフィック検査は、WindowsネイティブのTLS通信チャネルを使用するトラフィックのみをサポートします (セキュアチャネル を参照)。たとえば、IIS、Microsoft Exchange、またはリモートデスクトッププロトコル (RDP) によって生成されるトラフィックです。
Linuxでは、Advanced TLSトラフィック検査は、NGINX、Apache HTTPサーバ、HAProxy、およびApache Tomcatサーバなどの一般的なWebアプリケーションによるトラフィックのみをサポートします。Tomcatサーバは、Linux
(64ビット) 上のOpenJDK 8のみをサポートし、コンテナなしで実行されることに注意してください。
高度なTLSトラフィック検査でサポートされていないTLSトラフィックや、他のオペレーティングシステム上のTLSトラフィックを検査する必要がある場合は、代わりに従来のSSL検査を構成することができます。
SSLインスペクションを設定する(レガシー)
保護対象のコンピュータの1つ以上のインタフェースで、特定の資格情報とポートのペアに対してSSLインスペクションを設定できます。
資格情報は、PKCS#12またはPEM形式でインポートできます。資格情報ファイルには、秘密鍵が含まれている必要があります。Windowsコンピュータでは、CryptoAPIを直接使用できます。
-
Workload Securityコンソールで、構成するコンピュータを選択し、[詳細]をクリックして[コンピュータ]エディタを開きます。
-
[コンピュータ]エディターの左ペインで、をクリックし、[SSL設定の表示]をクリックして[SSL設定]ウィンドウを開きます。
-
[新規]をクリックして[SSL設定]ウィザードを開きます。
-
このコンピュータで設定を適用するインタフェースを指定します。
- このコンピュータのすべてのインターフェースに適用するには、[すべてのインタフェース]を選択してください。
- 特定のインターフェースに適用するには、[特定のインタフェース]を選択します。
-
[ポート]または[ポートリスト]を選択し、リストを選択してから[次へ]をクリックしてください。
-
IP選択画面で、[すべてのIP]を選択するか、SSL検査を実行するための[特定のIP]を指定し、[次へ]をクリックしてください。
-
[資格情報]画面で、認証情報の提供方法を選択してください。
-
今すぐ資格情報をアップロードします
-
資格情報はコンピュータにあります資格情報ファイルには、秘密鍵が含まれている必要があります。
-
-
今すぐ資格情報をアップロードするオプションを選択した場合、資格情報の種類、場所、およびパスフレーズ (必要な場合) を入力してください。資格情報がコンピュータにある場合は、資格情報の詳細を提供してください。
- コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
- Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
-
この設定の名前と説明を入力します。
-
要約を確認し、[SSL設定]ウィザードを閉じます。構成操作の要約を読み、[完了]をクリックしてウィザードを閉じます。
ポート設定を変更する
エージェント対応ポートのフィルタリングを適切な 侵入防御 を実行していることを保証するために、コンピュータのポート設定を変更します。加えた変更は、Agentコンピュータ上の特定のアプリケーションの種類
(Webサーバ共通など) に適用されます。この変更は、他のコンピュータ上のアプリケーションの種類には影響しません。
- コンピュータの[詳細]ウィンドウで[IPSルール]に移動して、このコンピュータに適用されているIPSルールの一覧を確認してください。
- ルールを[アプリケーションの種類]で並べ替え、Webサーバ共通アプリケーションタイプを見つけます。同様のアプリケーションタイプにもこれらの変更を行うことができます。
- アプリケーションタイプのルールを右クリックし、[アプリケーションの種類プロパティ]をクリックします。
- 継承された[HTTP]ポートリストを上書きして、SSL設定のセットアップ時に定義したポートとポート80を含めます。ポートはカンマ区切りの値として入力してください。例えば、SSL設定でポート9090を使用する場合は、9090, 80と入力してください。
- パフォーマンスを向上させるために、[設定] タブで [継承] と [Webサーバからの応答を監視] の選択を解除してください。
- [OK]をクリックしてダイアログを閉じます。
トラフィックがPerfect Forward Secrecy (PFS)で暗号化されている場合に侵入防御を使用する
Perfect Forward Secrecy (PFS)は、後にサーバの秘密鍵が漏洩した場合でも復号できない通信チャネルを作成するために使用できます。Perfect Forward Secrecyの目的はセッション終了後の復号を防ぐことなので、SSL検査を通じて侵入防御モジュールがトラフィックを見ることも防ぎます。
[高度なTLSトラフィック監視]を使用すると、IPSモジュールは追加の設定なしでPFS暗号で暗号化されたトラフィックを分析できます。
代わりにSSLインスペクションでPFS暗号を使用するには、次の手順を実行します。
- インターネットとロードバランサまたはリバースプロキシ間のTLSトラフィックにPerfect Forward Secrecyを使用します。
- ロードバランサまたはリバースプロキシでPerfect Forward Secrecyセッションを終了します。
- ロードバランサーまたはリバースプロキシと、Webサーバまたはアプリケーションサーバ間のトラフィックには、非PFS暗号スイートを使用してください (SSLインスペクションがサポートする暗号スイートを参照)。これにより、サーバ上の侵入防御モジュールがTLSセッションを復号して検査することができます。
- Perfect Forward Secrecyを使用しないアプリケーションサーバポートのトラフィックをWebサーバに制限します。
Diffie-Hellman暗号化の特別な注意事項
次の説明は、高度なTLSトラフィック検査の代わりにSSL検査を使用する場合にのみ適用されます。
Perfect Forward Secrecyは、Diffie-Hellman鍵交換アルゴリズムに依存しています。一部のWebサーバでは、Diffie-Hellmanが初期設定になっている場合があります。これは、SSL検査が正しく機能しないことを意味します。したがって、サーバの設定ファイルを確認し、Webサーバとロードバランサまたはリバースプロキシ間のTLSトラフィックに対してDiffie-Hellman暗号を無効にすることが重要です。たとえば、ApacheサーバでDiffie-Hellmanを無効にするには、次のコマンドを実行します。
- サーバの設定ファイルを開きます。 Webサーバ設定ファイルのファイル名と場所は、オペレーティングシステムとディストリビューションによって異なります。たとえば、パスは次のようになります。
- RHEL4での初期インストールの場合:
/etc/httpd/conf.d/ssl.conf - Red Hat Linux上のApache 2.2.2の場合:
/apache2/conf/extra/httpd-ssl.conf
- RHEL4での初期インストールの場合:
- 設定ファイルで、"
SSLCipherSuite"変数を見つけてください。 - この文字列が既に表示されていない場合、これらのフィールドに
!DH:!EDH:!ADH:を追加します ("!"はApacheにこの暗号を使用しないように指示します)。
たとえば、Apache設定ファイルの暗号スイートを次のように編集できます。
SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
詳細については、SSLCipherSuite Directiveに関するApacheドキュメントを参照してください。
サポートされている暗号化スイート
|
16進値
|
OpenSSL名
|
IANA名
|
NSS名
|
高度なTLS検査
|
SSLインスペクション(レガシー)
|
|
0x00,0x04
|
RC4-MD5
|
TLS_RSA_WITH_RC4_128_MD5
|
SSL_RSA_WITH_RC4_128_MD5
|
✔
|
✔
|
|
0x00,0x05
|
RC4-SHA
|
TLS_RSA_WITH_RC4_128_SHA
|
SSL_RSA_WITH_RC4_128_SHA
|
✔
|
✔
|
|
0x00,0x09
|
DES-CBC-SHA
|
TLS_RSA_WITH_DES_CBC_SHA
|
SSL_RSA_WITH_DES_CBC_SHA
|
✔
|
✔
|
|
0x00,0x0A
|
DES-CBC3-SHA
|
TLS_RSA_WITH_3DES_EDE_CBC_SHA
|
SSL_RSA_WITH_3DES_EDE_CBC_SHA
|
✔
|
✔
|
|
0x00,0x2F
|
AES128-SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x33
|
DHE-RSA-AES128-SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0x00,0x35
|
AES256-SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x39
|
DHE-RSA-AES256-SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0x00,0x3C
|
AES128-SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x3D
|
AES256-SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x41
|
CAMELLIA128-SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x67
|
DHE-RSA-AES128-SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0x00,0x6b
|
DHE-RSA-AES256-SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
|
|
0x00,0x84
|
CAMELLIA256-SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x9c
|
AES128-GCM-SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
✔
|
|
0x00,0x9d
|
AES256-GCM-SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
✔
|
|
0x00,0x9e
|
DHE-RSA-AES128-GCM-SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0x00,0x9f
|
DHE-RSA-AES256-GCM-SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0x00,0xBA
|
CAMELLIA128-SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0xC0
|
CAMELLIA256-SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
✔
|
✔
|
|
0xc0,0x09
|
ECDHE-ECDSA-AES128-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xC0,0x0A
|
ECDHE-ECDSA-AES256-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x13
|
ECDHE-RSA-AES128-SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xc0,0x14
|
ECDHE-RSA-AES256-SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x23
|
ECDHE-ECDSA-AES128-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x24
|
ECDHE-ECDSA-AES256-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x27
|
ECDHE-RSA-AES128-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x28
|
ECDHE-RSA-AES256-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x2b
|
ECDHE-ECDSA-AES128-GCM-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x2c
|
ECDHE-ECDSA-AES256-GCM-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xc0,0x2f
|
ECDHE-RSA-AES128-GCM-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x30
|
ECDHE-RSA-AES256-GCM-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xC0,0x9C
|
AES128-CCM
|
TLS_RSA_WITH_AES_128_CCM
|
TLS_RSA_WITH_AES_128_CCM
|
✔
|
✔
|
|
0xC0,0x9D
|
AES256-CCM
|
TLS_RSA_WITH_AES_256_CCM
|
TLS_RSA_WITH_AES_256_CCM
|
✔
|
✔
|
|
0xC0,0xA0
|
AES128-CCM8
|
TLS_RSA_WITH_AES_128_CCM_8
|
TLS_RSA_WITH_AES_128_CCM_8
|
✔
|
✔
|
|
0xC0,0xA1
|
AES256-CCM8
|
TLS_RSA_WITH_AES_256_CCM_8
|
TLS_RSA_WITH_AES_256_CCM_8
|
✔
|
✔
|
|
0xcc,0xa8
|
ECDHE-RSA-CHACHA20-POLY1305
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xa9
|
ECDHE-ECDSA-CHACHA20-POLY1305
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xaa
|
DHE-RSA-CHACHA20-POLY1305
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
サポートされているプロトコル
次のプロトコルがサポートされます。
- TLS 1.0
- TLS 1.1
- TLS 1.2
- TLS 1.3 (Linuxのみ)
SSL 3.0検査はサポートされておらず、初期設定でブロックされています。