ビュー:

HTTPSなどのSSL通信に対して侵入防御ルールを適用するには、以下の2つの手順が必要です。

Deep Securityでは、Diffie-Hellman鍵交換アルゴリズムを利用したSSL通信を解読できません。最近のWebサーバおよびブラウザの初期設定ではDiffie-Hellmanを優先利用するようになっていますので、多くの場合、暗号化スイートの設定を変更しないと「サポートされていない暗号化」イベントが発生して全てのSSL通信がブロックされます。詳しくは以下の製品Q&Aを参照してください。

また、SSL資格情報のインポート後に発生しがちな侵入防御イベントおよびその対処方法については、以下の製品Q&Aを参照してください。

SSL通信の複合化に必要なファイルは「プライベートキー」のみです。中間証明書、root証明書、サーバ証明書、公開鍵などは含めずに、PEM形式のファイルには「プライベートキー」のみインポートしてください。
また、制限事項として「プライベートキー」のパスフレーズを設定する場合には、"{" と "}" の文字は使用せずに設定をしてください。

Step 1 資格情報のインポート

  1. [コンピュータ]タブから監視対象コンピュータをダブルクリックします。

  2. [侵入防御]-[詳細]タブの[SSL設定の表示..]をクリックします。

  3. SSL設定画面の左上にある[新規]をクリックします。「SSL設定ウィザード」ウィンドウが表示されます。

    すべてのインタフェースもしくは特定のインタフェースを選択し、[次へ]をクリックします。

  4. [ポート]を選択して監視対象のSSLポートを手動で入力するか、[ポートリスト]を選択して事前定義されている(もしくは新規作成した)ポートリストを選択します。

    ヒント

    事前定義されているポートリスト"SSL"に、初期設定でポート443が割り当てられています。

  5. IP選択画面に移行します。監視対象コンピュータが複数のIPを保持しており、特定のIPのみを監視対象としたい場合、「特定のIP」を選択して監視対象IPを入力します。

  6. 資格情報のインポート画面に移行します。以下のいずれかを選択します。

    • [今すぐ資格情報をアップロードします]:Deep Security Managerの管理コンソール経由で秘密鍵をインポートしたい場合に選択します。
    • [資格情報はコンピュータにあります]:監視対象コンピュータのローカルに保存されている秘密鍵を直接インポートしたい場合に選択します。
    • [Deep Security Manager内蔵のSSL資格情報を使用します]:監視対象コンピュータがDeep Security Manager(DSM)で、監視対象SSLサイトがDSM管理コンソールの場合のみ、このオプションを選択します。

    注意:

    一般的には、SSL通信を行うためにWebサーバのローカルフォルダには必ず秘密鍵が存在しますので、[資格情報はコンピュータにあります]を選択します。次項は該当オプションを選択した場合の画面推移になります。

  7. 監視対象コンピュータが保持している資格情報の種類を選択します。

  8. 監視対象コンピュータ上の秘密鍵ファイルのフルパスと、秘密鍵にパスフレーズが設定されている場合にはパスフレーズを入力します。

    ヒント:

    通信方向が[Agent/Applianceから開始]に指定されている場合、以下のような警告メッセージが表示されます。

    Agentとの通信が無効です。

    この警告メッセージは、次回のハートビートによって秘密鍵ファイルの取得ができる事を意味しておりますので、そのまま次の手順へ進んで頂き、手順11のようにSSL設定が正しく登録されていれば問題ありません。

  9. SSL設定の名前および説明(オプション)を入力します。

  10. [完了]をクリックしてウィザードを終了します。

  11. SSL設定が正しく登録された事を確認し、「SSL設定」ウィンドウを閉じます。

Step 2 監視対象ポートの設定

SSL通信に対して適用したい侵入防御ルールに、上記手順で設定したポートを割り当てます。
  1. [コンピュータ]タブから監視対象コンピュータをダブルクリックするか、[ポリシー]タブから監視対象コンピュータに割り当てられているポリシーをダブルクリックします。

ポリシー単位で侵入防御ルールのポート設定を変更した場合、同一ポリシーを適用した全てのコンピュータで該当の侵入防御ルールの監視対象ポートが変更されますので、全てのコンピュータが利用しているSSLポートを指定する必要があります。

  1. [侵入防御]-[一般]タブから、「現在割り当てられている侵入防御ルール」欄の[割り当て/割り当て解除...]をクリックします。

  2. 右上の検索窓から、SSL通信に適用したい侵入防御ルールのキーワードを入力して対象侵入防御ルールを表示させ、対象の侵入防御ルールを右クリックして「アプリケーションの種類プロパティ」を選択します。

    注意:

    この操作により、同一の「アプリケーションの種類」に紐付いた全ての侵入防御ルールへポートの設定が反映されます。

    また、検索窓の下にある「アプリケーションの種類」ボタンをクリックした場合や、右クリックメニューから「アプリケーションの種類プロパティ(グローバル)」を選択した場合、ポートの設定変更ができませんのでご注意ください。(「アプリケーションの種類」の設定変更は、ポリシーまたはコンピュータ単位でのみ可能です。)

  3. [継承]のチェックを外し、[ポート]を選択して監視対象のSSLポートを手動で入力するか、[ポートリスト]を選択して事前定義されている(もしくは新規作成した)ポートリストを選択します。

    注意:

    • [任意]を選択した場合、全てのポートが対象となって予期せぬ通信がブロックされる可能性がありますので、推奨できません。
    • 事前定義されているポートリストを編集した場合、同一のポートリストを利用する全ての「アプリケーションの種類」で対象ポートが変更されます。[ポート]による手動のポート設定は、ポリシーまたはコンピュータ単位でのみ編集されるのに対し、ポートリストの編集は管理下の全てのコンピュータに影響しますので、他のコンピュータへの影響も考慮して慎重に行ってください。
  4. [OK]をクリックして編集を完了します。
キーワード: Deep Security,DS_Index‐侵入防御(DPI)-SSL