このページのトピック
TLSトラフィックの検査
侵入防御モジュール の高度なTLSトラフィック検査を有効にできます。
高度なTLSトラフィック検査およびSSL検査は圧縮トラフィックをサポートしていないことに注意してください。
高度なTLSトラフィック監視を有効にする
従来のSSL検査実装に比べて、Advanced TLS Traffic Inspectionは以下の利点を提供します:
- これにより、TLS資格情報を手動で設定する必要がなくなります。
- PFS (Perfect Forward Secrecy) 暗号など、SSL検査よりも多くの暗号がサポートされています。詳細については、「 サポートされる暗号化スイート」を参照してください。
侵入防御モジュールを有効にすると、受信および送信トラフィックの両方に高度なTLSトラフィック検査が自動的に適用されます。
- インバウンドTLS/SSLトラフィックの検査は、インバウンドトラフィックに対してデフォルトで有効になっています。
- 送信TLS/SSLトラフィックの検査はデフォルトで送信トラフィックに対して有効になっており、Deep Security Agentバージョン20.0.1-12510(20 LTS Update 2024-06-19)以降でサポートされています。
これらの設定を確認または調整し、送信トラフィックの構成手順に関するガイダンスを得るには、ポリシー > 侵入防御 > 一般 > 高度なTLSトラフィック監視 に移動します。
高度なTLSトラフィック監視を使用
高度なTLSトラフィック検査は、WindowsおよびLinuxプラットフォームで受信および送信トラフィックに対して有効にして使用できます (プラットフォーム別サポート機能 を参照)。
Windowsでは、Advanced TLS Traffic InspectionはWindowsネイティブのTLS通信チャネル (Secure Channel を参照) を使用するトラフィックのみをサポートします。例えば、IIS、Microsoft Exchange、またはRemote Desktop Protocol (RDP) によって生成されるトラフィックです。Advanced TLS Traffic Inspectionが有効になると、必要な検査を実行するためにTMExtractorというコンポーネントがアクティブ化されます。DSAをアンインストールした後もTMExtractorファイルは残りますが、再起動後に自動的に削除されます。
Linuxでは、Advanced TLS Traffic Inspectionは、NGINX、Apache HTTP Server、HAProxy、およびApache Tomcatサーバなどの一般的なWebアプリケーションによるトラフィックのみをサポートします。Tomcatサーバは、Linux (64ビット) 上のOpenJDK 8のみをサポートし、コンテナなしで実行されることに注意してください。
高度なTLSトラフィック監視でサポートされていないTLSトラフィック、または他のオペレーティングシステムのTLSトラフィックを検査する必要がある場合は、代わりに 従来のSSL監視を設定 できます。
SSLインスペクションを設定する(レガシー)
保護対象のコンピュータの1つ以上のインタフェースで、特定の資格情報とポートのペアに対してSSLインスペクションを設定できます。
資格情報は、PKCS#12またはPEM形式でインポートできます。資格情報ファイルには、秘密鍵が含まれている必要があります。Windowsコンピュータでは、CryptoAPIを直接使用できます。
- Workload Securityコンソールで、設定するコンピュータを選択し、[ Details ] をクリックして Computer エディタを開きます。
- Computer エディタの左側のペインで、[ 侵入防御 ]→[詳細設定]→[SSL設定の表示 ] をクリックし、[ SSL設定の表示] をクリックして、 [SSLコンピュータの設定 ] を開きます。
- [ New ] をクリックして、[ SSL Configuration ] ウィザードを開きます。
- このコンピュータで設定を適用するインタフェースを指定します。
- このコンピュータのすべてのインタフェースに適用するには、[すべてのインタフェース] を選択します。
- 特定のインタフェースに適用するには、[特定のインタフェース] を選択します。
- Port または Ports List を選択してリストを選択し、 Nextをクリックします。
- [IP選択] 画面で、[すべてのIP] を選択するか、SSLインスペクションを実行する [特定のIP] を指定し、[次へ] をクリックします。
-
[ Credentials ] 画面で、認証情報の入力方法を選択します。
- 今すぐ資格情報をアップロードします
-
資格情報はコンピュータにあります
資格情報ファイルには、秘密鍵が含まれている必要があります。
-
今すぐ資格情報をアップロードするオプションを選択する場合、資格情報の種類、格納場所、および必要に応じてパスフレーズを入力します。
資格情報がコンピュータにある場合は、[資格情報の詳細] を入力します。- コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
- Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
-
この設定の名前と説明を入力します。
- 概要を確認し、 SSL設定 ウィザードを閉じます。設定操作の概要を確認し、[終了] をクリックしてウィザードを閉じます。
ポート設定を変更する
エージェント対応ポートのフィルタリングを適切な 侵入防御 を実行していることを保証するために、コンピュータのポート設定を変更します。加えた変更は、Agentコンピュータ上の特定のアプリケーションの種類 (Webサーバ共通など) に適用されます。この変更は、他のコンピュータ上のアプリケーションの種類には影響しません。
- コンピュータの [ 詳細 ] 画面で [ 侵入防御ルール ] に移動し、このコンピュータに適用されている侵入防御ルールのリストを表示します。
- ルールを アプリケーションの種類 で並べ替え、Web Server Commonアプリケーションの種類を見つけます。これらの変更は、類似のアプリケーションタイプに対しても実行できます。
- アプリケーションの種類のルールを右クリックし、[アプリケーションの種類プロパティ] をクリックします。
- 継承された HTTP ポートリストを上書きして、SSL設定のセットアップ時に定義したポートとポート80を追加します。ポートはカンマ区切りで入力します。たとえば、SSL設定でポート9090を使用する場合は、「9090, 80」と入力します。
- パフォーマンスを向上させるために、[設定] タブで、[継承] と [Webサーバからの応答を監視] の選択を解除します。
- [OK] をクリックして画面を閉じます。
トラフィックがPerfect Forward Secrecy (PFS)で暗号化されている場合に侵入防御を使用する
Perfect Forward Secrecy (PFS) を使用することで、仮に後でサーバの秘密鍵が侵害された場合に復号できない通信チャネルを作成できます。Perfect Forward Secrecyの目的はセッション終了後の復号化を防ぐことであるため、 侵入防御 モジュールがSSLインスペクションでトラフィックを確認することも防止します。
侵入防御モジュールは、高度なTLSトラフィック監視を使用して、追加の設定を行わなくても、PFS暗号で暗号化されたトラフィックを分析できます。
代わりにSSLインスペクションでPFS暗号を使用するには、次の手順を実行します。
- インターネットとロードバランサまたはリバースプロキシ間のTLSトラフィックにPerfect Forward Secrecyを使用します。
- ロードバランサまたはリバースプロキシでPerfect Forward Secrecyセッションを終了します。
- ロードバランサまたはリバースプロキシとWebサーバまたはアプリケーションサーバの間のトラフィックにPFS以外の暗号化スイート (SSLインスペクションは次の暗号化スイートをサポートを参照) を使用します。 TLSセッションを復号化して検査します。
- Perfect Forward Secrecyを使用しないアプリケーションサーバポートのトラフィックをWebサーバに制限します。
Diffie-Hellman暗号化の特別な注意事項
次の説明は、高度なTLSトラフィック検査の代わりにSSL検査を使用する場合にのみ適用されます。
Perfect Forward Secrecyは、Diffie-Hellman鍵交換アルゴリズムに依存しています。一部のWebサーバでは、Diffie-Hellmanが初期設定になっている場合があります。これは、SSL検査が正しく機能しないことを意味します。したがって、サーバの設定ファイルを確認し、Webサーバとロードバランサまたはリバースプロキシ間のTLSトラフィックに対してDiffie-Hellman暗号を無効にすることが重要です。たとえば、ApacheサーバでDiffie-Hellmanを無効にするには、次のコマンドを実行します。
- サーバの設定ファイルを開きます。 Webサーバ設定ファイルのファイル名と場所は、オペレーティングシステムとディストリビューションによって異なります。たとえば、パスは次のようになります。
- RHEL4での初期インストールの場合:
/etc/httpd/conf.d/ssl.conf - Red Hat Linux上のApache 2.2.2の場合:
/apache2/conf/extra/httpd-ssl.conf
- RHEL4での初期インストールの場合:
- 設定ファイルで、「
SSLCipherSuite」変数を探します。 - この文字列が表示されていない場合は、これらのフィールドに
!DH:!EDH:!ADH:を追加します (「!」は、Apacheにこの暗号を使用しないように指示します)。
たとえば、Apache設定ファイルの暗号スイートを次のように編集できます。
SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
詳細については、 SSLCipherSuiteディレクティブのApacheドキュメントを参照してください。
サポートされている暗号化スイート
|
16進値 |
OpenSSL名 |
IANA名 |
NSS名 |
高度なTLS検査 |
SSLインスペクション(レガシー) |
|---|---|---|---|---|---|
|
0x00,0x04 |
RC4-MD5 |
TLS_RSA_WITH_RC4_128_MD5 |
SSL_RSA_WITH_RC4_128_MD5 |
✔ |
✔ |
|
0x00,0x05 |
RC4-SHA |
TLS_RSA_WITH_RC4_128_SHA |
SSL_RSA_WITH_RC4_128_SHA |
✔ |
✔ |
|
0x00,0x09 |
DES-CBC-SHA |
TLS_RSA_WITH_DES_CBC_SHA |
SSL_RSA_WITH_DES_CBC_SHA |
✔ |
✔ |
|
0x00,0x0A |
DES-CBC3-SHA |
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
SSL_RSA_WITH_3DES_EDE_CBC_SHA |
✔ |
✔ |
|
0x00,0x2F |
AES128-SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
✔ |
✔ |
|
0x00,0x33 |
DHE-RSA-AES128-SHA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
✔ |
|
|
0x00,0x35 |
AES256-SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
✔ |
✔ |
|
0x00,0x39 |
DHE-RSA-AES256-SHA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
✔ |
|
|
0x00,0x3C |
AES128-SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
✔ |
✔ |
|
0x00,0x3D |
AES256-SHA256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
✔ |
✔ |
|
0x00,0x41 |
CAMELLIA128-SHA |
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA |
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA |
✔ |
✔ |
|
0x00,0x67 |
DHE-RSA-AES128-SHA256 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
✔ |
|
|
0x00,0x6b |
DHE-RSA-AES256-SHA256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
✔ |
|
|
0x00,0x84 |
CAMELLIA256-SHA |
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA |
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA |
✔ |
✔ |
|
0x00,0x9c |
AES128-GCM-SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
✔ |
✔ |
|
0x00,0x9d |
AES256-GCM-SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
✔ |
✔ |
|
0x00,0x9e |
DHE-RSA-AES128-GCM-SHA256 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
✔ |
|
|
0x00,0x9f |
DHE-RSA-AES256-GCM-SHA384 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
✔ |
|
|
0x00,0xBA |
CAMELLIA128-SHA256 |
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 |
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 |
✔ |
✔ |
|
0x00,0xC0 |
CAMELLIA256-SHA256 |
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 |
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 |
✔ |
✔ |
|
0xc0,0x09 |
ECDHE-ECDSA-AES128-SHA |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA |
✔ |
|
|
0xC0,0x0A |
ECDHE-ECDSA-AES256-SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA |
✔ |
|
|
0xc0,0x13 |
ECDHE-RSA-AES128-SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
✔ |
|
|
0xc0,0x14 |
ECDHE-RSA-AES256-SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
✔ |
|
|
0xc0,0x23 |
ECDHE-ECDSA-AES128-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 |
✔ |
|
|
0xc0,0x24 |
ECDHE-ECDSA-AES256-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 |
✔ |
|
|
0xc0,0x27 |
ECDHE-RSA-AES128-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
✔ |
|
|
0xc0,0x28 |
ECDHE-RSA-AES256-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
✔ |
|
|
0xc0,0x2b |
ECDHE-ECDSA-AES128-GCM-SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 |
✔ |
|
|
0xc0,0x2c |
ECDHE-ECDSA-AES256-GCM-SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 |
✔ |
|
|
0xc0,0x2f |
ECDHE-RSA-AES128-GCM-SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
✔ |
|
|
0xc0,0x30 |
ECDHE-RSA-AES256-GCM-SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
✔ |
|
|
0xC0,0x9C |
AES128-CCM |
TLS_RSA_WITH_AES_128_CCM |
TLS_RSA_WITH_AES_128_CCM |
✔ |
✔ |
|
0xC0,0x9D |
AES256-CCM |
TLS_RSA_WITH_AES_256_CCM |
TLS_RSA_WITH_AES_256_CCM |
✔ |
✔ |
|
0xC0,0xA0 |
AES128-CCM8 |
TLS_RSA_WITH_AES_128_CCM_8 |
TLS_RSA_WITH_AES_128_CCM_8 |
✔ |
✔ |
|
0xC0,0xA1 |
AES256-CCM8 |
TLS_RSA_WITH_AES_256_CCM_8 |
TLS_RSA_WITH_AES_256_CCM_8 |
✔ |
✔ |
|
0xcc,0xa8 |
ECDHE-RSA-CHACHA20-POLY1305 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
✔ |
|
|
0xcc,0xa9 |
ECDHE-ECDSA-CHACHA20-POLY1305 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 |
✔ |
|
|
0xcc,0xaa |
DHE-RSA-CHACHA20-POLY1305 |
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 |
✔ |
サポートされているプロトコル
次のプロトコルがサポートされます。
- TLS 1.0
- TLS 1.1
- TLS 1.2
- TLS 1.3 (Linuxのみ)
SSL 3.0検査はサポートされておらず、初期設定でブロックされています。