目次

TLSトラフィックの検査

侵入防御モジュール] に対して [高度な TLS トラフィック監視] を有効にすることができます。

[高度なTLSトラフィック監視] および [SSL監視] では、圧縮トラフィックはサポートされません。

高度なTLSトラフィック検査を有効にする

[高度なTLSトラフィック監視] には、従来のSSL監視の実装と比べて次のような利点があります。

  • これにより、TLS資格情報を手動で設定する必要がなくなります。
  • PFS (Perfect Forward Secrecy) 暗号など、SSL検査よりも多くの暗号がサポートされています。詳細については、「 サポートされる暗号化スイート」を参照してください。

侵入防御モジュールが有効な場合、高度なTLSトラフィック監視 は初期設定で有効になります。機能のステータスを確認するには、[ポリシー]→[侵入防御]→[一般]→[高度なTLSトラフィック監視] の順に選択します。

高度なTLSトラフィック検査を使用してトラフィックを検査する

[高度なTLSトラフィック監視] を有効にして、WindowsおよびLinuxプラットフォームの受信トラフィックと送信トラフィックに使用できます (「プラットフォーム](../supported-features-by-platform)でサポートされる機能」を参照してください)。

Windowsでは、 高度なTLSトラフィック監視は、WindowsネイティブのTLS通信チャネルを使用するトラフィックのみをサポートします ([セキュアチャネル] (https://docs.microsoft.com/en-us/windows/win32/secauthn/secure-channel) を参照)。たとえば、IIS、Microsoft Exchange、またはリモートデスクトッププロトコル (RDP) によって生成されるトラフィックです。

Linuxでは、 高度なTLSトラフィック監視 は、一般的なWebアプリケーションであるNGINX、Apache HTTP Server、およびHAProxyによるトラフィックのみをサポートします。

高度なTLSトラフィック監視でサポートされていないTLSトラフィック、または他のオペレーティングシステムのTLSトラフィックを検査する必要がある場合は、代わりに 従来のSSL監視を設定 できます。

SSLインスペクションを設定する(レガシー)

保護対象のコンピュータの1つ以上のインタフェースで、特定の資格情報とポートのペアに対してSSLインスペクションを設定できます。

資格情報は、PKCS#12またはPEM形式でインポートできます。資格情報ファイルには、秘密鍵が含まれている必要があります。Windowsコンピュータでは、CryptoAPIを直接使用できます。

  1. Workload Security コンソールで、設定するコンピュータを選択し、[ 詳細 ]をクリックしてコンピュータエディタを開きます。
  2. コンピュータエディタの左側の画面で、[侵入防御]→[詳細]→[SSL設定の表示] の順にクリックし、[SSL設定の表示] をクリックして [SSL設定] 画面を開きます。
  3. [新規] をクリックして、SSL設定ウィザードを開きます。
  4. このコンピュータで設定を適用するインタフェースを指定します。
    • このコンピュータのすべてのインタフェースに適用するには、[すべてのインタフェース] を選択します。
    • 特定のインタフェースに適用するには、[特定のインタフェース] を選択します。
  5. Port または Ports List を選択してリストを選択し、 Nextをクリックします。
  6. [IP選択] 画面で、[すべてのIP] を選択するか、SSLインスペクションを実行する [特定のIP] を指定し、[次へ] をクリックします。
  7. [資格情報] 画面で、資格情報を指定する方法を選択します。

    • 今すぐ資格情報をアップロードします
    • 資格情報はコンピュータにあります

      資格情報ファイルには、秘密鍵が含まれている必要があります。

  8. 今すぐ資格情報をアップロードするオプションを選択する場合、資格情報の種類、格納場所、および必要に応じてパスフレーズを入力します。
    資格情報がコンピュータにある場合は、[資格情報の詳細] を入力します。

    • コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
    • Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
  9. この設定の名前と説明を入力します。

  10. 概要を確認して、SSL設定ウィザードを閉じます。設定操作の概要を読み、[ Finish ]をクリックしてウィザードを閉じます。

ポート設定を変更する

エージェント対応ポートのフィルタリングを適切な 侵入防御 を実行していることを保証するために、コンピュータのポート設定を変更します。加えた変更は、Agentコンピュータ上の特定のアプリケーションの種類 (Webサーバ共通など) に適用されます。この変更は、他のコンピュータ上のアプリケーションの種類には影響しません。

  1. このコンピュータに適用されている侵入防御ルールのリストを表示するには、コンピュータの[詳細]画面で 侵入防御ルール に移動します。
  2. ルールを アプリケーションの種類 で並べ替え、Web Server Commonアプリケーションの種類を見つけます。これらの変更は、類似のアプリケーションタイプに対しても実行できます。
  3. アプリケーションの種類のルールを右クリックし、[アプリケーションの種類プロパティ] をクリックします。
  4. 継承された HTTP ポートリストを上書きして、SSL設定のセットアップ時に定義したポートとポート80を追加します。ポートはカンマ区切りで入力します。たとえば、SSL設定でポート9090を使用する場合は、「9090, 80」と入力します。
  5. パフォーマンスを向上させるために、[設定] タブで、[継承] と [Webサーバからの応答を監視] の選択を解除します。
  6. [OK] をクリックして画面を閉じます。

トラフィックがPerfect Forward Secrecy (PFS)で暗号化されている場合に侵入防御を使用する

Perfect Forward Secrecy (PFS) を使用することで、仮に後でサーバの秘密鍵が侵害された場合に復号できない通信チャネルを作成できます。Perfect Forward Secrecyの目的はセッション終了後の復号化を防ぐことであるため、 侵入防御 モジュールがSSLインスペクションでトラフィックを確認することも防止します。

侵入防御モジュールは、高度なTLSトラフィック監視を使用して、追加の設定を行わなくても、PFS暗号で暗号化されたトラフィックを分析できます。

代わりにSSLインスペクションでPFS暗号を使用するには、次の手順を実行します。

  1. インターネットとロードバランサまたはリバースプロキシ間のTLSトラフィックにPerfect Forward Secrecyを使用します。
  2. ロードバランサまたはリバースプロキシでPerfect Forward Secrecyセッションを終了します。
  3. ロードバランサまたはリバースプロキシとWebサーバまたはアプリケーションサーバの間のトラフィックにPFS以外の暗号化スイート (SSLインスペクションは次の暗号化スイートをサポートを参照) を使用します。 TLSセッションを復号化して検査します。
  4. Perfect Forward Secrecyを使用しないアプリケーションサーバポートのトラフィックをWebサーバに制限します。

Diffie-Hellman暗号化の特別な注意事項

このセクションは、高度なTLSトラフィック検査ではなくSSL検査を使用する場合にのみ適用されます。

Perfect Forward Secrecyは、Diffie-Hellman鍵交換アルゴリズムに依存しています。一部のWebサーバでは、Diffie-Hellmanが初期設定になっている場合があります。これは、SSL検査が正しく機能しないことを意味します。したがって、サーバの設定ファイルを確認し、Webサーバとロードバランサまたはリバースプロキシ間のTLSトラフィックに対してDiffie-Hellman暗号を無効にすることが重要です。たとえば、ApacheサーバでDiffie-Hellmanを無効にするには、次のコマンドを実行します。

  1. サーバの設定ファイルを開きます。 Webサーバ設定ファイルのファイル名と場所は、オペレーティングシステムとディストリビューションによって異なります。たとえば、パスは次のようになります。
    • RHEL4での初期インストールの場合: /etc/httpd/conf.d/ssl.conf
    • Red Hat Linux上のApache 2.2.2の場合: /apache2/conf/extra/httpd-ssl.conf
  2. 設定ファイルで、「SSLCipherSuite」変数を探します。
  3. この文字列が表示されていない場合は、これらのフィールドに !DH:!EDH:!ADH: を追加します (「!」は、Apacheにこの暗号を使用しないように指示します)。

たとえば、Apache設定ファイルの暗号スイートを次のように編集できます。

SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL

詳細については、 SSLCipherSuiteディレクティブのApacheドキュメントを参照してください。

サポートされている暗号化スイート

16進値

OpenSSL名

IANA名

NSS名

高度なTLS検査

SSLインスペクション(レガシー)

0x00,0x04

RC4-MD5

TLS_RSA_WITH_RC4_128_MD5

SSL_RSA_WITH_RC4_128_MD5

0x00,0x05

RC4-SHA

TLS_RSA_WITH_RC4_128_SHA

SSL_RSA_WITH_RC4_128_SHA

0x00,0x09

DES-CBC-SHA

TLS_RSA_WITH_DES_CBC_SHA

SSL_RSA_WITH_DES_CBC_SHA

0x00,0x0A

DES-CBC3-SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

SSL_RSA_WITH_3DES_EDE_CBC_SHA

0x00,0x2F

AES128-SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

0x00,0x33

DHE-RSA-AES128-SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

TLS_DHE_RSA_WITH_AES_128_CBC_SHA

0x00,0x35

AES256-SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

0x00,0x39

DHE-RSA-AES256-SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

TLS_DHE_RSA_WITH_AES_256_CBC_SHA

0x00,0x3C

AES128-SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

TLS_RSA_WITH_AES_128_CBC_SHA256

0x00,0x3D

AES256-SHA256

TLS_RSA_WITH_AES_256_CBC_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA256

0x00,0x41

CAMELLIA128-SHA

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA

0x00,0x67

DHE-RSA-AES128-SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

0x00,0x6b

DHE-RSA-AES256-SHA256

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

0x00,0x84

CAMELLIA256-SHA

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA

0x00,0x9c

AES128-GCM-SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_128_GCM_SHA256

0x00,0x9d

AES256-GCM-SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_256_GCM_SHA384

0x00,0x9e

DHE-RSA-AES128-GCM-SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

0x00,0x9f

DHE-RSA-AES256-GCM-SHA384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

0x00,0xBA

CAMELLIA128-SHA256

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256

TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256

0x00,0xC0

CAMELLIA256-SHA256

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256

TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256

0xc0,0x09

ECDHE-ECDSA-AES128-SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

0xC0,0x0A

ECDHE-ECDSA-AES256-SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

0xc0,0x13

ECDHE-RSA-AES128-SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

0xc0,0x14

ECDHE-RSA-AES256-SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

0xc0,0x23

ECDHE-ECDSA-AES128-SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

0xc0,0x24

ECDHE-ECDSA-AES256-SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

0xc0,0x27

ECDHE-RSA-AES128-SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

0xc0,0x28

ECDHE-RSA-AES256-SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

0xc0,0x2b

ECDHE-ECDSA-AES128-GCM-SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

0xc0,0x2c

ECDHE-ECDSA-AES256-GCM-SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

0xc0,0x2f

ECDHE-RSA-AES128-GCM-SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

0xc0,0x30

ECDHE-RSA-AES256-GCM-SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

0xC0,0x9C

AES128-CCM

TLS_RSA_WITH_AES_128_CCM

TLS_RSA_WITH_AES_128_CCM

0xC0,0x9D

AES256-CCM

TLS_RSA_WITH_AES_256_CCM

TLS_RSA_WITH_AES_256_CCM

0xC0,0xA0

AES128-CCM8

TLS_RSA_WITH_AES_128_CCM_8

TLS_RSA_WITH_AES_128_CCM_8

0xC0,0xA1

AES256-CCM8

TLS_RSA_WITH_AES_256_CCM_8

TLS_RSA_WITH_AES_256_CCM_8

0xcc,0xa8

ECDHE-RSA-CHACHA20-POLY1305

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

0xcc,0xa9

ECDHE-ECDSA-CHACHA20-POLY1305

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

0xcc,0xaa

DHE-RSA-CHACHA20-POLY1305

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

サポートされているプロトコル

次のプロトコルがサポートされます。

  • TLS 1.0
  • TLS 1.1
  • TLS 1.2

SSL 3.0検査:ないサポートされており、初期設定でブロックされます。