SSLデータストリーム
侵入防御モジュールは、SSLトラフィックのフィルタをサポートしています。ユーザは、[SSL] 画面を使用して、1つ以上のインタフェース上で指定された資格情報とポートが対になっているSSL設定を作成できます。資格情報はPKCS#12またはPEM形式でインポートでき、Windowsのコンピュータでは直接CryptoAPIを使用するオプションが用意されています。
コンピュータにSSLデータストリームのフィルタを設定する
SSL設定ウィザードを開始する
設定するコンピュータの [詳細] 画面を開き、[侵入防御]→[詳細]→[SSL設定] に進み、[SSL設定の表示] をクリックして [SSL設定] 画面を表示します。[新規...] をクリックして、SSL設定ウィザードの最初の画面を開きます。
1. インタフェースを選択する
この設定をコンピュータ上のすべてのインタフェースに適用するのか、それとも1つのインタフェースのみに適用するのかを指定します。
2. ポートを選択する
この設定の適用先のポートをカンマで区切って入力するか、ポートリストを選択します。
3. IP選択
SSLの侵入防御分析をこのコンピュータのすべてのIPアドレスで実行するのか、それとも1つのIPアドレスでのみ実行するのかを指定します(この機能は、1つのコンピュータに複数の仮想マシンを設定する場合に使用できます)。
4. 資格情報の入手元を指定する
資格情報ファイルを自分で用意するのか、それともコンピュータにすでに資格情報があるのかを指定します。
5. 資格情報の種類を指定する
今自分で資格情報を用意することを選択した場合、資格情報の種類、格納場所、および必要に応じてパスフレーズを入力します。
資格情報がすでにコンピュータにあると指定した場合は、検索する資格情報の種類を指定します。
6. 資格情報の詳細を入力する
コンピュータに格納されているPEMまたはPKCS#12資格情報形式を使用する場合は、その資格情報ファイルの格納場所と必要に応じてファイルのパスフレーズを入力します。
Windows CryptoAPI資格情報を使用する場合は、コンピュータで見つかった資格情報のリストから対象の資格情報を選択します。
以下は、サポートされる暗号の一覧です。
| 16進値 | OpenSSL名 | IANA名 | NSS名 | Deep Security Agentバージョン |
|---|---|---|---|---|
| 0x00,0x04 | RC4-MD5 | TLS_RSA_WITH_RC4_128_MD5 | SSL_RSA_WITH_RC4_128_MD5 | 4.5以上 |
| 0x00,0x05 | RC4-SHA | TLS_RSA_WITH_RC4_128_SHA | SSL_RSA_WITH_RC4_128_SHA | 4.5以上 |
| 0x00,0x09 | DES-CBC-SHA | TLS_RSA_WITH_DES_CBC_SHA | SSL_RSA_WITH_DES_CBC_SHA | 4.5以上 |
| 0x00,0x0A | DES-CBC3-SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 4.5以上 |
| 0x00,0x2F | AES128-SHA | TLS_RSA_WITH_AES_128_CBC_SHA | TLS_RSA_WITH_AES_128_CBC_SHA | 4.5以上 |
| 0x00,0x35 | AES256-SHA | TLS_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | 4.5以上 |
| 0x00,0x3C | AES128-SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | 9.5 SP1以上 |
| 0x00,0x3D | AES256-SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | 9.5 SP1以上 |
| 0x00,0x41 | CAMELLIA128-SHA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | 9.5 SP1以上 |
| 0x00,0x84 | CAMELLIA256-SHA | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | 9.5 SP1以上 |
| 0x00,0xBA | なし | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 | なし | 9.5 SP1以上 |
| 0x00,0xC0 | DES-CBC3-MD5 | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 | なし | 9.5 SP1以上 |
| 0x00,0x7C | なし | TLS_RSA_WITH_3DES_EDE_CBC_RMD160 | なし | 4.5以上 |
| 0x00,0x7D | なし | TLS_RSA_WITH_AES_128_CBC_RMD160 | なし | 4.5以上 |
| 0x00,0x7E | なし | TLS_RSA_WITH_AES_256_CBC_RMD160 | なし | 4.5以上 |
以下は、サポートされるプロトコルの一覧です。
| プロトコル | Deep Security Agentバージョン |
|---|---|
| SSL 3.0 | 4.5以上 |
| TLS 1.0 | 4.5以上 |
| TLS 1.1 | 9.5 SP1以上 |
| TLS 1.2 | 9.5 SP1以上 |
7. この設定に名前を付けて説明を追加する
このSSL設定の名前と説明を入力します。
8. 概要を確認して、SSL設定ウィザードを閉じる
設定操作の概要を読んで、[完了] をクリックしてウィザードを閉じます。
コンピュータの [詳細] 画面で、SSLポートを監視するようにポート設定を変更する
最後に、Agentが、SSL対応ポートで適切な侵入防御フィルタを実行していることを確認する必要があります。コンピュータの [詳細] 画面の [侵入防御ルール] へ進み、このコンピュータに適用されている侵入防御ルールのリストを参照します。ルールをアプリケーションの種類別にソートします。リストをスクロールダウンして、このコンピュータで実行されているアプリケーションの種類を見つけます (この例では、[Web Server Common])。
アプリケーションの種類「Web Server Common」のヘッダを右クリックし、[アプリケーションの種類プロパティ] を選択します ([アプリケーションの種類プロパティ (グローバル)] ではありません)。これにより、[アプリケーションの種類のプロパティ] 画面が (ローカル編集モードで) 表示されます。
継承した「HTTP」ポートリストを使用するのではなく、オーバーライドしてSSLの設定時に定義したポート (ここではポート9090) およびポート80をこのポートリストに追加します。ポート9090と80をカンマ区切り値として入力し、[OK] をクリックして画面を閉じます([アプリケーションの種類プロパティ] を選択したので、加えた変更はこのコンピュータにのみ適用されます。他のコンピュータの [Web Server Common] アプリケーションの種類は変更されません)。
このコンピュータは、SSL暗号化データストリームをフィルタするよう設定されました。