概要
InterScan Web Security Suite Linux版 (以下、IWSS) および InterScan Web Security Virtual Appliance (以下、IWSVA) において、「配信前に検索」機能を使用しています。ファイルの検索完了後、Web ブラウザのセキュリティ警告画面に移行してしまいます。この事象を回避する方法を教えてください。
詳細
IWSS / IWSVA では、サイズの大きいファイルに対する ウイルス / 不正プログラム検索向けの特殊処理として、以下の2つを用意しています。管理画面の [HTTP] > [高度な脅威検索] > [ポリシー] からポリシーを選択し、当該ポリシーの[ウイルス/不正プログラム検索ルール]タブの"サイズの大きいファイルの処理"にて設定します。
「配信前に検索」:
ブラウザに検索進行状況を示す専用画面を表示させつつ、ファイル配信前に検索を完了させます。
「遅延検索」:
指定の割合のサイズまでファイルを先行配信しつつ、並行してファイル検索を行います。
例) Microsoft Edge の場合の警告メッセージ
このサイトは安全ではありません
だれかがユーザーを騙そうとしているか、サーバーに送信されたデータを盗みとろうとしている可能性があります。
このサイトをすぐに閉じてください。
例) Google Chrome の場合の警告メッセージ
この接続ではプライバシーが保護されません
<アクセス先サイト> では、悪意のあるユーザーによって、パスワード、メッセージ、クレジットカードなどの情報が盗まれる可能性があります。
本事象を回避するためには、以下の手順でリダイレクト先 URL の変更と、IWSS / IWSVA のサーバ証明書のインポートをお願いします。
「配信前に検索」:
ブラウザに検索進行状況を示す専用画面を表示させつつ、ファイル配信前に検索を完了させます。
「遅延検索」:
指定の割合のサイズまでファイルを先行配信しつつ、並行してファイル検索を行います。
「配信前に検索」を使用している場合、ファイルの検索完了後、Web ブラウザは IWSS / IWSVA サーバの TCP:9091 番ポートにリダイレクトされます。そして、IWSS / IWSVA サーバからファイルをダウンロードすることになります。この時、デフォルトではリダイレクト URL が "https:// <IWSS / IWSVA サーバの IP アドレス>:9091" となるため、IWSS / IWSVA のサーバ証明書の検証に失敗し Web ブラウザ側で以下のような警告画面が表示されることがあります。
例) Microsoft Edge の場合の警告メッセージ
このサイトは安全ではありません
だれかがユーザーを騙そうとしているか、サーバーに送信されたデータを盗みとろうとしている可能性があります。
このサイトをすぐに閉じてください。
例) Mozilla Firefox の場合の警告メッセージ
安全な接続ではありません
<アクセス先サイト> の所有者によるウェブサイトの設定が不適切です。
あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。
安全な接続ではありません
<アクセス先サイト> の所有者によるウェブサイトの設定が不適切です。
あなたの情報が盗まれることを防ぐため、このウェブサイトへの接続は確立されません。
例) Google Chrome の場合の警告メッセージ
この接続ではプライバシーが保護されません
<アクセス先サイト> では、悪意のあるユーザーによって、パスワード、メッセージ、クレジットカードなどの情報が盗まれる可能性があります。
本事象を回避するためには、以下の手順でリダイレクト先 URL の変更と、IWSS / IWSVA のサーバ証明書のインポートをお願いします。
リダイレクト先 URL の変更
以下の手順で、リダイレクト先を IWSS / IWSVA サーバの FQDN に変更します。
1. IWSS / IWSVA の Linux コンソールに root ユーザでログインします。
2. 設定ファイル /etc/iscan/intscan.ini をバックアップしたのちに vi で開きます。
3. scan_before_deliver_server の設定行を探し、以下のように変更します。
4. HTTP 検索サービスを再起動します。
2. 設定ファイル /etc/iscan/intscan.ini をバックアップしたのちに vi で開きます。
# cp /etc/iscan/intscan.ini /etc/iscan/intscan.ini.org
# vi /etc/iscan/intscan.ini
# vi /etc/iscan/intscan.ini
[対象行]
scan_before_deliver_server=9091
[変更後] FQDN が iws.example.test でTCP:9091に接続させる場合
scan_before_deliver_server=iws.example.test:9091
scan_before_deliver_server=9091
[変更後] FQDN が iws.example.test でTCP:9091に接続させる場合
scan_before_deliver_server=iws.example.test:9091
# /etc/iscan/S99ISproxy stop
# /etc/iscan/S99ISproxy start
# /etc/iscan/S99ISproxy start
IWSS / IWSVA のサーバ証明書のインポート
こちらの Q&A をご参照ください。ただし、インポートするサーバ証明書の CN 値または SAN 値には、上述の「リダイレクト先の URL の変更」で設定した FQDN が設定されている必要があります。