ビジネスサポートポータルアカウントでログイン
InterScan Web Security SuiteおよびInterScan Web Security Virtual ApplianceのTCP 8443ポートと9091ポートでTLS 1.2のみを有効にする方法について  

InterScan Web Security SuiteおよびInterScan Web Security Virtual ApplianceのTCP 8443ポートと9091ポートでTLS 1.2のみを有効にする方法について

    • 更新日:
    • 4 Jun 2020
    • 製品/バージョン:
    • InterScan Web Security Suite 6.5
    • InterScan Web Security Virtual Appliance 6.5
    • OS:
    • Linux All
概要
InterScan Web Security Suite(以下、IWSS)およびInterScan Web Security Virtual Appliance(以下、IWSVA)のTCP 8443ポートと9091ポートでTLS 1.2のみを有効にしたいのですが、どのように設定すればよいでしょうか。
詳細
Public

概要

IWSS/IWSVAではTCP 8443ポートと9091ポートで、デフォルトでTLS 1.0,1.1,1.2が有効化されています。いくつかの設定ファイルを変更することでTLS 1.2のみに限定化することが可能ですが、以下の制限事項がございます。限定化を行う際は、制限事項にご注意のうえで設定をお願いいたします。
なお、本設定はTLS 1.2を有効化する設定ではございません。デフォルトでTLS 1.2は既に有効化されており、本設定は、意図的にTLSのバージョンを1.2に限定するための設定となります。

 

制限事項

TLS 1.2のみを有効化する設定を行うと、以下の機能が使用不可能となります。
以下の機能を使用される場合は、本設定は行わないようお願いいたします。
   
機能管理コンソールの設定項目備考
レポート[レポート]レポート作成を実行すると失敗します
設定の複製[管理] > [一般設定] > [複製の設定]以下のエラーで失敗します。

複製元に接続されていません。複製元のwebコンソールにアクセスできることを確認してください。
集中管理ログ/レポート[管理] > [一般設定]  > [集中管理ログ/レポート]以下のエラーで失敗します。

ログサーバに接続されていません。サーバのwebコンソールにアクセスできることを確認してください。
管理コンソールのアクセス制限[管理]  > [管理コンソール]  > [アクセス管理の設定]変更が自動で反映されなくなるため、設定変更後に以下いずれかを実施し、反映する必要があります。
  • SSHでrootログインし、以下のコマンドを実行
    # /etc/init.d/iptables restart
    
  • システム再起動の実施
※IWSVA 6.5のみ
管理コンソールのネットワーク設定
[管理]  > [管理コンソール] >  [ネットワーク設定]変更が反映されないため、ネットワーク設定を変更する際は以下より実施する必要があります。
  • [管理] > [配置ウィザード]

手順

1.IWSS/IWSVAサーバーのOSにログインします。

2.現在の設定ファイルserver.xmlをバックアップします。

# cd /var/iwss/AdminUI/tomcat/conf
# cp -p server.xml server.xml.bak

3.管理コンソールのサービスを停止します。

# /etc/iscan/S99IScanHttpd stop

4.server.xmlの Connector port = "8443".../ の "sslEnabledProtocols ="の値を変更します。
 
(変更前)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

 
(変更後)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA"

 
 
5. 次に Connector port = "9091".../の "sslEnabledProtocols ="の値を変更します。(IWSVAとIWSSで手順が異なります。)
 
IWSVAの場合
(変更前)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

(変更後)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,SSL_CK_DES_192_EDE3_CBC_WITH_MD5,TLS_RSA_WITH_NULL_SHA256,TLS_RSA_WITH_NULL_SHA"

 
IWSSの場合
(変更前)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

(変更後)

SSLEnabled="true" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2" 

 

6. 一つ上のディレクトリに戻り、ファイルtomcatct.shをバックアップします。

# cd /var/iwss/AdminUI 
# cp -p tomcatctl.sh tomcatctl.sh.bak 
 
 

 
7.tomcatctl.shのJAVA_OPTS=の部分を以下のように編集します。 (IWSVAとIWSSで手順が異なります。)
 
IWSVAの場合
(変更前)

#export JAVA_OPTS="$JAVA_OPTS -Dsolr.solr.home=/etc/iscan/commonlog_solr/solr"

(変更後)

export JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
#export JAVA_OPTS="$JAVA_OPTS -Dsolr.solr.home=/etc/iscan/commonlog_solr/solr"

 

 IWSSの場合

(変更前)

export JAVA_OPTS="$JAVA_OPTS"

 
(変更後)

export JAVA_OPTS="$JAVA_OPTS -Dhttps.protocols=TLSv1.2"
#export JAVA_OPTS="$JAVA_OPTS"


8.管理コンソールサービスを開始します。

# /etc/iscan/S99IScanHttpd start
 
Premium
Internal
Partner
評価:
カテゴリ:
機能/仕様; 操作方法/設定
Solution Id:
1122962
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド