ビジネスサポートポータルアカウントでログイン
Deep Security の SSL 復号化について  

Deep Security の SSL 復号化について

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • Trend Micro Deep Security All.All
    • Trend Micro Deep Security as a Service All.All
    • OS:
    • Linux すべて
    • Solaris すべて
    • Windows すべて
概要
Trend Micro Deep Security の SSL 復号の仕組みとサポートしているアルゴリズムを教えてください。
詳細
Public

Deep Security 9.0 以降より、”Deep Packet Inspection”および”DPI” が"侵入防御" に名称変更されました。

SSL の対応について

Q.SSL パケットの検査はどのように行いますか?
A.SSL パケットのコピーを作成し、このパケットを復号して検査します。検査の結果、許可する場合のみ、オリジナルのパケットを送信します。復号した SSL パケットのコピーは、破棄されます。

セッションテーブルについて

Q.セッションはどこに保存されていますか?RAM に保持されている場合、メモリキャッシング機能の一部で、ハードドライブに書かれることはありますか?(例えば、Windows ページファイル)
A.セッションテーブルは、non-paged されたカーネルメモリに保管されます。ページファイルには保存されません。
Q.特にセッションキーの保存に使用される変数は、セッションの終了時に削除されますか?
A.セッションが閉じられた場合、セッションテーブルから関連したセッションキーが削除されます。また、セッションが残り続けないようにするため、一定時間 (デフォルト 24 時間) 経過した跡にセッションを削除します。

サポート対象の暗号化とデフォルトの優先順序について

Q.サポート対象の暗号化とデフォルトの優先順序を教えてください。
A.

デフォルトの優先順序は、SSL Endpoint で決定されます。Trend Micro SSL decoding engine は、TLS/SSL Server - Client 間のネゴシエーションプロトコルと同様に暗号化ネゴシエーションを行っています。ネゴシエーションプロトコルが SSL decoding engine によってサポートされるものでない場合は以下の動作を行います。

 ・サポートされていない暗号のネゴシエーションをログに記録します。
 ・エンジンが検知モードのセッションの場合、更なる復号はせずにセッションを続けます。
 ・エンジンが防御モードのセッションの場合、サーバーとクライアントに RST パケットを送信し終了します。

サポートする暗号化方式 (プロトコル/暗号スイート) は以下のとおりです。サーバとクライアントは、SSL decoding engine で、以下を許可することができます。

TLS/SSL Protocol

SSL 3.0
TLS 1.0 (RFC2246)
TLS 1.1 (バージョン 9.5 Service Pack 1 以降)
TLS 1.2 (バージョン 9.5 Service Pack 1 以降)

TLS Extensions

SessionTicket (RFC5077) (バージョン 9.5 Service Pack 1 以降)

Key Exchange Methods

TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_DES_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_RMD160
TLS_RSA_WITH_AES_256_CBC_RMD160
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_RMD160

バージョン 9.5 Service Pack 1 以降では、以下の Cipher Suite もサポートしています。

TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256

TLSのプロトコルネゴシエーションで使われる、NPNALPNはサポートされません。

Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1311086
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド