ビジネスサポートポータルアカウントでログイン
Deep Security の SSL 復号化について  

Deep Security の SSL 復号化について

    • 更新日:
    • 18 Mar 2022
    • 製品/バージョン:
    • Cloud One - Endpoint and Workload Security
    • Cloud One - Endpoint and Workload Security All
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 20.0
    • Trend Micro Deep Security 9.6
    • Trend Micro Deep Security 9.6
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • Windows すべて
概要
Trend Micro Deep Security の SSL 復号の仕組みとサポートしているアルゴリズムを教えてください。
詳細
Public

SSL の対応について

Q. SSL パケットの検査はどのように行いますか?

A. SSL パケットのコピーを作成し、このパケットを復号して検査します。検査の結果、許可する場合のみ、オリジナルのパケットを送信します。復号した SSL パケットのコピーは、破棄されます。
詳細はヘルプセンター「SSLまたはTLSトラフィックの検査」をご参照ください。

証明書のサポートについて

Q. SSLインスペクションでサポートされる証明書の種類を教えてください。

A. 「ワイルドカード証明書」と「SAN証明書(マルチドメイン証明書)」に対応しています。
「SNI証明書」には、Deep Security Agent 20.0.0-1559以降で対応しています。

セッションテーブルについて

Q. セッションはどこに保存されていますか?RAM に保持されている場合、メモリキャッシング機能の一部で、ハードドライブに書かれることはありますか?(例えば、Windows ページファイル)

A. セッションテーブルは、non-paged されたカーネルメモリに保管されます。ページファイルには保存されません。

Q. 特にセッションキーの保存に使用される変数は、セッションの終了時に削除されますか?

A. セッションが閉じられた場合、セッションテーブルから関連したセッションキーが削除されます。また、セッションが残り続けないようにするため、一定時間 (デフォルト 24 時間) 経過した跡にセッションを削除します。

サポート対象の暗号化とデフォルトの優先順序について

Q. サポート対象の暗号化とデフォルトの優先順序を教えてください。

A. デフォルトの優先順序は、SSL Endpoint で決定されます。Trend Micro SSL decoding engine は、TLS/SSL Server - Client 間のネゴシエーションプロトコルと同様に暗号化ネゴシエーションを行っています。ネゴシエーションプロトコルが SSL decoding engine によってサポートされるものでない場合は以下の動作を行います。

 ・サポートされていない暗号のネゴシエーションをログに記録します。
 ・エンジンが検知モードのセッションの場合、更なる復号はせずにセッションを続けます。
 ・エンジンが防御モードのセッションの場合、サーバーとクライアントに RST パケットを送信し終了します。

サポートする暗号化方式 (プロトコル/暗号スイート) は以下のとおりです。サーバとクライアントは、SSL decoding engine で、以下を許可することができます。

TLS/SSL Protocol

SSL 3.0
TLS 1.0 (RFC2246)
TLS 1.1 (バージョン 9.5 Service Pack 1 以降)
TLS 1.2 (バージョン 9.5 Service Pack 1 以降)

TLS Extensions

SessionTicket (RFC5077) (バージョン 9.5 Service Pack 1 以降)

Key Exchange Methods

Deep Security 9.6以前のバージョンはこちらの管理者ガイドP137記載のサポートされる暗号の一覧をご参照ください。
Deep Security 10.0以降はヘルプセンター内の「SSLまたはTLSトラフィックの検査」より、「サポートされている暗号化スイート」をご参照ください。

  • DS 10.0~12.0 はこちら
    ※リンク先上部のプルダウンからバージョンを選択してください。
  • DS 20.0 はこちら
  • Cloud One - Workload Security はこちら

TLSのプロトコルネゴシエーションで使われる、NPNALPNはサポートされません。

Premium
Internal
Partner
評価:
カテゴリ:
SPEC
Solution Id:
1311086
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド