侵入防御モジュールの [高度なTLSトラフィック検査] を有効にできます。
 |
注意高度なTLSトラフィック検査とSSL検査では、圧縮トラフィックはサポートされません。
|
侵入防御モジュールの概要については、を参照してください。侵入防御を使用してエクスプロイトの試みをブロックする。
高度なTLSトラフィック検査を有効にする
高度なTLSトラフィックインスペクションには、従来のSSLインスペクションの実装に比べていくつかの利点があります。
- TLS認証情報を手動で設定する必要がなくなります
- Perfect Forward Secrecy (PFS) 暗号を含む、SSL検査よりも多くの暗号をサポート
参照サポートされている暗号化スイートサポートされている暗号の完全なリストについては、を参照してください。
高度なTLSトラフィック検査は、侵入防御モジュールを有効にすると、初期設定で有効になります。ポリシーのプロパティを表示して、機能のステータスを確認できます。 。
高度なTLSトラフィック検査を使用してトラフィックを検査する
高度なTLSトラフィック検査を機能させるための設定は必要ありません。現在サポートされているのは、WindowsおよびLinuxプラットフォームの受信トラフィックのみです。を参照してください。サポートされる機能 (プラットフォーム別)詳細については、トピックを参照してください。
Windowsでは、高度なTLSトラフィック検査は、WindowsネイティブのTLS通信チャネルを使用するトラフィックのみをサポートします (セキュアチャネル)。たとえば、次のアプリケーションによって生成されたトラフィックです。
- IIS
- Microsoft Exchange
- リモートデスクトッププロトコル (RDP)
Linuxでは、高度なTLSトラフィック検査は、一般的なWebアプリケーションであるNGINX、Apache HTTP Server、およびHAProxyによるトラフィックのみをサポートします。
|
注意高度なTLSトラフィック検査でサポートされていないTLSトラフィック、または他のオペレーティングシステムのTLSトラフィックを検査する必要がある場合は、従来のSSL検査の設定代わりに。
|
SSLインスペクションの設定 (レガシー)
保護されているコンピュータの1つ以上のインタフェース上の指定した資格情報とポートの組み合わせに対して、SSLインスペクションを設定できます。
資格情報は、PKCS#12またはPEM形式でインポートできます。資格情報ファイルには秘密鍵が含まれている必要があります。 WindowsコンピュータはCryptoAPIを直接使用できます。
-
Server & Workload Protection コンソールで、設定するコンピュータを選択し、 [詳細] をクリックしてコンピュータエディタを開きます。
-
コンピュータエディタの左側のペインで、をクリックし、 [SSL設定の表示] をクリックして [SSLコンピュータの設定] ウィンドウを開きます。
-
[新規] をクリックして、SSL設定ウィザードを開きます。
-
このコンピュータで設定を適用するインタフェースを指定します。
- このコンピュータのすべてのインタフェースに適用するには、 [すべてのインタフェース]を選択します。
- 特定のインタフェースに適用するには、 [特定のインタフェース]を選択します。
-
[ポート] または [ポートリスト] を選択してリストを選択し、 [次へ]をクリックします。
-
[IP Selection] 画面で、 [すべてのIP] を選択するか、SSL検査を実行する [特定のIP] を指定して、 [次へ]をクリックします。
-
[資格情報] 画面で、資格情報を指定する方法を選択します。
-
[今すぐ資格情報をアップロードします]
-
[資格情報はコンピュータにあります]
注意
資格情報ファイルには、秘密鍵が含まれている必要があります。
-
-
認証情報を今すぐアップロードするオプションを選択した場合は、資格情報の種類、場所、およびパスフレーズ (必要な場合) を入力します。認証情報がコンピュータにある場合は、[認証情報の詳細] を入力します。
- コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
- Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
-
この設定の名前と説明を入力します。
-
概要を確認し、SSL設定ウィザードを閉じます。設定操作の概要を確認し、 [完了] をクリックしてウィザードを閉じます。
ポート設定を変更する
コンピュータのポート設定を変更して、 エージェントがSSL対応ポートで適切な侵入防御フィルタを実行するようにします。変更内容は、エージェントコンピュータ上の特定のアプリケーションタイプ
(Webサーバ共通など) に適用されます。この変更は、他のコンピュータのアプリケーションの種類には影響しません。
- このコンピュータに適用されている侵入防御ルールのリストを表示するには、コンピュータの [詳細] 画面の [IPSルール] に移動します。
- ルールを [アプリケーションの種類] で並べ替え、「Webサーバ共通」アプリケーションタイプを見つけます。 (これらの変更は、類似のアプリケーションタイプに対しても実行できます)。
- アプリケーションの種類でルールを右クリックし、 [アプリケーションの種類プロパティ]をクリックします。
- 継承された「HTTP」ポートリストをオーバーライドして、SSL設定のセットアップ時に定義したポートとポート80を含めます。ポートはカンマ区切りで入力します。たとえば、SSL設定でポート9090を使用する場合は、「9090, 80」と入力します。
- パフォーマンスを向上させるには、 [構成] タブで [Webサーバからの継承および監視応答]の選択を解除します。
- [OK] をクリックしてダイアログを閉じます。
トラフィックがPerfect Forward Secrecy (PFS)で暗号化されている場合に侵入防御を使用する
PFS (Perfect Forward Secrecy)を使用して、後でサーバの秘密鍵が危険にさらされた場合に復号化できない通信チャネルを作成できます。 Perfect Forward Secrecyの目的は、セッション終了後の復号化を防止することであるため、侵入防御モジュールがSSLインスペクションを介してトラフィックを参照することも防止します。
|
注意高度なTLSトラフィック検査機能を使用すると、侵入防御モジュールで、追加の設定を行わなくても、PFS暗号で暗号化されたトラフィックを分析できます。
|
代わりにSSL検査でPFS暗号を使用するには、次の手順を実行します。
- インターネットとロードバランサ (またはリバースプロキシ) の間のTLSトラフィックにPerfect Forward Secrecyを使用します。
- ロードバランサ (またはリバースプロキシ) でPerfect Forward Secrecyセッションを終了します。
- ロードバランサ (またはリバースプロキシ) とWebサーバまたはアプリケーションサーバとの間のトラフィックには、PFS以外の暗号化スイートを使用し (「 SSL検査では、次の暗号化スイートをサポートを参照)、サーバ上の侵入防御モジュールがTLSセッションを復号して検査できるようにします。
- Perfect Forward Secrecyを使用しないアプリケーションサーバポートのトラフィックをWebサーバに制限します。
Diffie-Hellman暗号化の特別な注意事項
|
注意このセクションは、高度なTLSトラフィック検査の代わりにSSL検査を使用する場合にのみ適用されます。
|
Perfect Forward Secrecyは、Diffie-Hellman鍵交換アルゴリズムに依存しています。一部のWebサーバでは、Diffie-Hellmanが初期設定になっている場合があります。この場合、SSL検査が正しく機能しません。したがって、サーバの設定ファイルを確認し、Webサーバとロードバランサ
(またはリバースプロキシ) 間のTLSトラフィックに対してDiffie-Hellman暗号を無効にすることが重要です。たとえば、ApacheサーバでDiffie-Hellmanを無効にするには、次のコマンドを実行します。
- サーバの設定ファイルを開きます。 Webサーバ設定ファイルのファイル名と場所は、オペレーティングシステム (OS) およびディストリビューションによって異なります。たとえば、パスは次のようになります。
- [RHEL4での初期設定]:
/etc/httpd/conf.d/ssl.conf - [Red Hat Linux上のApache 2.2.2]:
/apache2/conf/extra/httpd-ssl.conf
- [RHEL4での初期設定]:
- 設定ファイルで、「
SSLCipherSuite"変数です。 - 追加
!DH:!EDH:!ADH:この文字列が表示されていない場合は、これらのフィールドに入力します。 ("!は、Apacheにこの暗号を「使用しない」ように指示します)。 - たとえば、Apache設定ファイルの暗号化スイートを次のように編集します。
SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL!DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
詳細については、Apacheのドキュメントを参照してください。 SSLCipherSuiteディレクティブ。
サポートされている暗号化スイート
|
16進値
|
OpenSSL名
|
IANA名
|
NSS名
|
高度なTLS検査
|
SSLインスペクション (レガシー)
|
|
0x00,0x04
|
RC4-MD5
|
TLS_RSA_WITH_RC4_128_MD5
|
SSL_RSA_WITH_RC4_128_MD5
|
✔
|
✔
|
|
0x00,0x05
|
RC4-SHA
|
TLS_RSA_WITH_RC4_128_SHA
|
SSL_RSA_WITH_RC4_128_SHA
|
✔
|
✔
|
|
0x00,0x09
|
DES-CBC-SHA
|
TLS_RSA_WITH_DES_CBC_SHA
|
SSL_RSA_WITH_DES_CBC_SHA
|
✔
|
✔
|
|
0x00,0x0A
|
DES-CBC3-SHA
|
TLS_RSA_WITH_3DES_EDE_CBC_SHA
|
SSL_RSA_WITH_3DES_EDE_CBC_SHA
|
✔
|
✔
|
|
0x00,0x2F
|
AES128-SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x33
|
DHE-RSA-AES128-SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0x00,0x35
|
AES256-SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x39
|
DHE-RSA-AES256-SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0x00,0x3C
|
AES128-SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x3D
|
AES256-SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x41
|
CAMELLIA128-SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x67
|
DHE-RSA-AES128-SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0x00,0x6b
|
DHE-RSA-AES256-SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
|
|
0x00,0x84
|
CAMELLIA256-SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x9c
|
AES128-GCM-SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
✔
|
|
0x00,0x9d
|
AES256-GCM-SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
✔
|
|
0x00,0x9e
|
DHE-RSA-AES128-GCM-SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0x00,0x9f
|
DHE-RSA-AES256-GCM-SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0x00,0xBA
|
CAMELLIA128-SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0xC0
|
カメリア256~SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
✔
|
✔
|
|
0xc0,0x09
|
ECDHE-ECDSA-AES128-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xC0,0x0A
|
ECDHE-ECDSA-AES256-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x13
|
ECDHE-RSA-AES128-SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xc0,0x14
|
ECDHE-RSA-AES256-SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x23
|
ECDHE-ECDSA-AES128-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x24
|
ECDHE-ECDSA-AES256-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x27
|
ECDHE-RSA-AES128-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x28
|
ECDHE-RSA-AES256-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x2b
|
ECDHE-ECDSA-AES128-GCM-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x2c
|
ECDHE-ECDSA-AES256-GCM-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xc0,0x2f
|
ECDHE-RSA-AES128-GCM-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x30
|
ECDHE-RSA-AES256-GCM-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xC0,0x9C
|
AES128-CCM
|
TLS_RSA_WITH_AES_128_CCM
|
TLS_RSA_WITH_AES_128_CCM
|
✔
|
✔
|
|
0xC0,0x9D
|
AES256-CCM
|
TLS_RSA_WITH_AES_256_CCM
|
TLS_RSA_WITH_AES_256_CCM
|
✔
|
✔
|
|
0xC0,0xA0
|
AES128-CCM8
|
TLS_RSA_WITH_AES_128_CCM_8
|
TLS_RSA_WITH_AES_128_CCM_8
|
✔
|
✔
|
|
0xC0,0xA1
|
AES256-CCM8
|
TLS_RSA_WITH_AES_256_CCM_8
|
TLS_RSA_WITH_AES_256_CCM_8
|
✔
|
✔
|
|
0xcc,0xa8
|
ECDHE-RSA-CHACHA20-POLY1305
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xa9
|
ECDHE-ECDSA-CHACHA20-POLY1305
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xaa
|
DHE-RSA-CHACHA20-POLY1305
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
サポートされるプロトコル
次のプロトコルがサポートされています。
- TLS 1.0
- TLS1.1
- TLS 1.2
SSL 3.0検査は [しない] に対応しており、初期設定ではブロックされます。