SSL/TLS インスペクションルール

XG Firewall で SSL/TLS インスペクションルールを使用すると、TCP を経由する SSL および TLS 接続をインターセプトして復号化し、クライアントと Web サーバー間で安全な接続を行うことができます。

SSL/TLS インスペクションでは、暗号化された接続に含まれるマルウェアを防止できます。

SSL/TLS の双方向のトラフィックに対して、トラフィックやリスクのレベルに応じて、ポリシーベースの接続および復号化を適用することができます。

SSL/TLS インスペクションルールは、Web プロキシによるトラフィックの復号化には影響しません。ファイアウォールルールに、Web フィルタリングの方法 (Web プロキシまたは DPI エンジン) を指定してください。XG Firewall はデフォルトでは DPI エンジンを使用し、ファイアウォールルールの条件に一致するトラフィックに SSL/TLS インスペクションルールを適用します。

新規インストールの場合、SSL/TLS インスペクションルールはデフォルトで有効になっています。SFOS 17.5 以前のバージョンから移行した場合は、デフォルトで無効になっています。有効/無効は手動で切り替えられます。
注意 無効になっている SSL/TLS インスペクションルールは、接続に適用されません。コントロールセンターとログビューアにも、SSL/TLS 接続と復号化の詳細は表示されません。
警告 Android デバイスは SSL/TLS 証明書エラーを生成することで知られており、復号化に失敗することがあります。すべての Android デバイスに対して、SSL/TLS 除外リストを作成することをお勧めします。

ルールテーブルでの操作

  • ルールは、送信元、宛先、ルール ID でフィルタリングできます。
  • ルールフィルタをリセットするには、フィルタのリセットを選択します。

詳細オプション (「オプションをもっと表示」ボタン) をクリックして、次の操作を行えます。

  • ルールを編集または削除するには、該当する操作を選択します。
  • 既存のルールの次にルールを複製または追加するには、該当する操作を選択します。
  • ルールの有効/無効をスイッチで切り替えます。

ルールの位置を変更するには、ルールハンドル (「ルールハンドル」ボタン) をドラッグ&ドロップします。XG Firewall では、一致するルールが見つかるまで、上から下に向かってルールが評価されます。パケットがルールに一致すると、その後のルールは評価されません。そのため、できるだけ具体的なルールを上位に配置するようにしてください。

SSL/TLS インスペクションルール

SSL/TLS インスペクションは、任意の TCP ポートで SSL/TLS トラフィックを検出します。検出された SSL/TLS 接続にはインスペクションルールが適用されます。送信元、宛先、ユーザーとグループ、サービス、Web サイト、および Web カテゴリに基づいてトラフィックを復号化するルールを指定できます。指定した条件のすべてに一致した場合に、復号化が適用されます。

ルールごとに復号化プロファイルを選択し、問題のあるトラフィックに対するアクションを指定する必要があります (安全でないプロトコルバージョン、SSL 圧縮、識別できない暗号スイート、ブロック対象の暗号化アルゴリズム、証明書エラー、ファイアウォールの復号化能力を超える接続など)。トラフィックを復号化・検査した後、XG Firewall は指定された再署名認証局を使用してトラフィックを再び暗号化します。

SSL/TLS インスペクションルールは、次のような目的で使用できます。

  • ポリシーベースの復号化を実装し、コンプライアンス要件を満たす。
  • 暗号化されたトラフィックに含まれるマルウェアを防止する。
  • 暗号化されたトラフィックに Web コンテンツポリシーを適用して、一般的な閲覧を許可しながら、不要なアップロードやダウンロードを防止する。

SSL/TLS インスペクションルールの除外

XG Firewall では、デフォルトの除外ルールWeb サイトまたはカテゴリに基づき除外が提供されており、特定の Web サイトへの接続が復号化されないようになっています。このルールでは、アクションが復号化しないに、復号化プロファイルが可能な限り復号化に設定されています。

このルールは、SSL/TLS インスペクションルールテーブルの一番上に配置されており、位置を変更することはできません。SSL/TLS インスペクションルールは、ルールテーブルの上から下に向かって評価されます。

除外ルールには、次のデフォルトの除外リストが含まれています。

  • ローカル TLS 除外リスト: デフォルトでは、リストは空です。コントロールセンターまたはログビューアでトラブルシューティングを行って、このリストに Web サイトを追加することができます。 このリストを編集するには、Web > URL グループにアクセスします。

    SSL/TLS インスペクションが有効になっていると、証明書ピン留めを使用する Web サイトやブラウザで、リクエストされたページの全体または一部がブロックされます。エラーメッセージが表示されても、具体的な理由が示されていないことがあります。このような場合は、ローカル TLS 除外リストを使ってドメインをホワイトリストに登録し、SSL/TLS インスペクションをバイパスすることができます。

  • 管理対象 TLS 除外リスト : このリストには、SSL/TLS インスペクションと互換性がないことがわかっている Web サイトが含まれています。このリストは、ファームウェアのアップデートに伴って更新されます。
ヒント 除外ルールに Web サイトを追加したり、除外ルールを削除したりするには、除外ルールを編集して、Web カテゴリや URL グループを追加または削除してください。または、Web > URL グループに移動し、ローカル TLS 除外リストグループを編集することもできます。

独自の除外ルールを作成し、デフォルトのルールのすぐ下に配置することができます。除外ルールには、Web カテゴリ、URL グループ、ユーザー、送信元 IP アドレス、宛先 IP アドレス、ネットワークを指定できます。除外ルールには、他の SSL/TLS インスペクションルールによって復号化したくない接続のみを追加してください。

SSL/TLS インスペクションルールは、ファイアウォールルールとは独立して適用されます。ファイアウォールルールで Web ポリシーを選択していない場合でも、インスペクションルールによって除外が適用されます。

接続に対して復号化を適用したくない場合は、Web 例外および SSL/TLS 除外ルールを使用できます。HTTPS 復号化の例外との違いについては、次の表を参照してください。

SSL/TLS 除外リスト

Web 例外

除外できるプロセス

HTTPS 復号化

HTTPS 証明書およびプロトコルの適用

HTTPS 復号化

HTTPS 証明書の検証

マルウェアスキャンとコンテンツスキャン

Sandstorm

Web ポリシーチェック

このモードで適用されます

DPI モード

DPI モード

プロキシモード

このトラフィックに適用されます

任意のポートでの SSL/TLS 接続。

DPI モード: 任意のポートでの SSL/TLS 接続。

プロキシモード: ポート 443 での SSL/TLS 接続。

一致条件

Web サイト (ドメイン名) のリストをプレーンテキストで定義した URL グループ。これらのドメインのサブドメインも含まれます。

URL パターンは正規表現を使用して照合されます。

Web カテゴリ

送信元ゾーン、宛先ゾーン、ネットワーク、および IP アドレス

サービス

ユーザーとグループ

Web カテゴリ

送信元および宛先の IP アドレスおよび IP 範囲

例外を追加する場所

コントロールセンターまたはログビューアでトラブルシューティングを行って、ローカル TLS 除外リストにドメインおよびサブドメインを追加します。

Web > URL グループにアクセスして、除外ルールが使用する URL グループに Web サイトを追加します。

SSL/TLS インスペクションルール の作成または編集。

Web > 例外に追加します。

SSL/TLS インスペクションの設定

この設定は、すべての SSL/TLS インスペクションルールに適用されます。再署名認証局 (CA)、復号化されないトラフィックに対するアクション、および TLS ダウングレードに関する設定を行えます。また、エラーをトラブルシューティングする際に、SSL/TLS インスペクションを無効にすることもできます。

注意 トラブルシューティングが終わったら、再び有効に戻すことを推奨します。

インスペクションルールに追加した復号化プロファイルは、インスペクションの設定よりも優先されます。

ファイアウォールルールと Web プロキシ

XG Firewall では、最初にファイアウォールルールを適用し、次に SSL/TLS インスペクションルールを適用します。ファイアウォールルールでの Web プロキシの選択に基づき、インスペクションルールが透過モードで適用されます。

透過モード: ファイアウォールルールにおいて Web プロキシによる復号化およびスキャンを選択した場合、ポート 80 および 443 を経由するトラフィックは Web プロキシによって復号化されます。SSL/TLS インスペクションルールは、他のポートを経由する Web トラフィックに対してのみ適用されます。

明示的モード: Web プロキシによって復号化およびスキャンが実行されます。
Web プロキシでは、Web > 全般設定で指定した証明書が使用されます。

SSL/TLS インスペクションでは、SSL/TLS インスペクションの設定および復号化のプロファイルで指定した証明書が使用されます。

トラブルシューティング

SSL/TLS 接続が復号化の上限を超えているかどうかを確認するには、コントロールセンターに移動してSSL/TLS 接続ウィジェットを選択します。

SSL/TLS エラーのトラブルシューティングを行うには、コントロールセンターに移動し、SSL/TLS 接続ウィジェットを選択して、右上のエラーの修正を選択します。

コントロールセンターまたはログビューアに接続および復号化の詳細が表示されない場合は、次の項目がオンになっているかどうかを確認してください:
  • SSL/TLS インスペクションルール: ルールとポリシー > SSL/TLS インスペクションルールにアクセスし、SSL/TLS インスペクションスイッチをオンにします。
  • SSL/TLS エンジン: ルールとポリシー > SSL/TLS インスペクションルール > SSL/TLS インスペクションの設定の順にアクセスします。詳細設定 > SSL/TLS エンジンで、有効を選択します。