概要
InterScan Web Security Virtual Appliance 6.5 Service Pack 2 (以下、IWSVA)および InterScan Web Security Suite 6.5 Linux 版(以下、IWSS)でリバースプロキシモードを利用していますが、SSL暗号化(HTTPS)のWebサイトがHTTPに切り替わります。何故でしょうか。
※IWSVA 6.5 Service Pack 3では、本ページに記載の回避策はデフォルトで実装済みです。アップグレードパッケージでService Pack 3にアップグレードした場合も、本回避策がデフォルトで追加設定されます。
IWSS 6.5 Patch 3につきましては、新規インストール(RedHat Enterprise Linux 8向け)の場合は本ページに記載の回避策がデフォルトで実装済みです。アップグレードパッケージによってPatch 3にアップグレードした場合は、以前の設定がそのまま引き継がれます。
※IWSVA 6.5 Service Pack 3では、本ページに記載の回避策はデフォルトで実装済みです。アップグレードパッケージでService Pack 3にアップグレードした場合も、本回避策がデフォルトで追加設定されます。
IWSS 6.5 Patch 3につきましては、新規インストール(RedHat Enterprise Linux 8向け)の場合は本ページに記載の回避策がデフォルトで実装済みです。アップグレードパッケージによってPatch 3にアップグレードした場合は、以前の設定がそのまま引き継がれます。
詳細
説明
IWSS / IWSVA のリバースプロキシにおける暗号化通信は、クライアントPCとIWSS / IWSVA 間の保護を目的として実装されています。
そのため、リバースプロキシでは、クライアントPCと IWSS / IWSVA 間の通信がHTTPS(SSL)で暗号化される一方で、IWSS / IWSVA とWebサーバ間の通信は常にHTTPのままとなります。
上述の観点より、リバースプロキシを利用するにあたっては、IWSS / IWSVAとWebサーバ間の通信がHTTPであることを前提に、保護対象のWebサーバ側を調整する必要があります。
そのため、リバースプロキシでは、クライアントPCと IWSS / IWSVA 間の通信がHTTPS(SSL)で暗号化される一方で、IWSS / IWSVA とWebサーバ間の通信は常にHTTPのままとなります。
上述の観点より、リバースプロキシを利用するにあたっては、IWSS / IWSVAとWebサーバ間の通信がHTTPであることを前提に、保護対象のWebサーバ側を調整する必要があります。
仮にクライアントPCとIWSS / IWSVA間がHTTPS(SSL)の通信を確立していたとしても、Webサーバ(HTTP)が"Location"ヘッダーでHTTPのURL(例:http://xxxx.xx.xx/)を返した場合は、クライアントPCが該当のURL(http://xxxx.xx.xx/)にアクセスを試みるため、通信プロトコルがHTTPSからHTTPへ切り替わる場合があります。
以下の設定変更によりHTTPの通信をHTTPSへリダレクトすることで、HTTPSの通信が維持される場合がありますが、Webサーバ側が正しく動作しない可能性があるため、Webサーバ側の"Location"ヘッダーを再度見直していただくことを強く推奨いたします。
回避策
- 設定ファイル編集後に再度配置ウィザードを実施すると、設定内容が上書きされます。その場合は、再度以下の手順を実施してください。
- IWSVAでは、[設定の復元]で[完全復元]を選択した場合も、設定内容が上書きされます。
- IWSVA 6.5 Service Pack 3では、本設定がデフォルト設定として組み込まれています。
- IWSS 6.5 Patch 3では、新規インストール(RedHat Enterprise Linux 8向け)の場合は本設定がデフォルト設定として組み込まれています。アップグレードパッケージによってPatch 3にアップグレードした場合は、以前の設定がそのまま引き継がれます。
- IWSS / IWSVA サーバの Linux コンソールに root ユーザでログインします。
- https.conf をバックアップします。
# cp -p /var/iwss/reverse_proxy/conf/service_conf/https.conf /var/iwss/reverse_proxy/conf/service_conf/https.conf.bak
- https.conf を vi で開きます。
# vi /var/iwss/reverse_proxy/conf/service_conf/https.conf
- proxy_set_header 行の下に "proxy_redirect http:// https://;" を追加します。Webサーバに8080ポートを割り当てている場合は、"proxy_redirect http://$host:8080/ https://$host/;"と記載します。
[編集前]
--------------------------------------------------
server {
...
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header real-host $host;
--------------------------------------------------[編集後]
--------------------------------------------------
server {
...
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header real-host $host;
proxy_redirect http:// https://;
--------------------------------------------------
- 設定ファイルを保存し、最後にリバースプロキシのサービスを再起動します。
# /etc/iscan/S99ISreverseproxy restart
