SSL/TLS インスペクションルール
SSL/TLS インスペクションルールを使用すると、TCP の SSL および TLS 接続を捉えて復号化し、クライアントおよび Web サーバー間の接続を確実に保護できます。
SSL/TLS インスペクションにより、暗号化された接続を介して送信されるマルウェアを防止できます。
トラフィックおよびリスクレベルに基づいて、SSL/TLS トラフィックに対してポリシーベースの接続および復号化を強制できます。
SSL/TLS インスペクションルールは、Web プロキシによって処理されるトラフィックの復号化には影響しません。ファイアウォールルールで Web フィルタリングの方法 (Web プロキシまたは DPI エンジン) を指定します。Sophos Firewall では、デフォルトで DPI エンジンを使用し、ファイアウォールルールに一致するトラフィックに SSL/TLS インスペクションルールを適用します。
新規インストールの場合、SSL/TLS インスペクションルールはデフォルトでオンになっています。SFOS 17.5 以前から移行した場合は、デフォルトでオフになっています。オン/オフは手動で切り替えられます。
警告
SSL/TLS インスペクションルールがオフになっている場合、接続にルールは適用されません。コントロールセンターおよびログビューアには、SSL/TLS 接続と復号化の詳細は表示されません。
警告
Android デバイスは SSL/TLS 証明書エラーを生成することがわかっているため、復号化に失敗します。すべての Android デバイスに対して SSL/TLS 除外リストを作成することをお勧めします。
自己署名証明書と、信頼できる CA 証明書の違い
Sophos Firewall では、TLS 接続を許可するときに、TLS サーバー証明書の信頼レベルを維持します。これにより、ファイアウォールの内側にあるエンドポイントが、ファイアウォールによって信頼されていないサーバー証明書を信頼してしまうことを回避できます。
自己署名証明書
サーバーによっては、CA によって署名された証明書ではなく、自己署名証明書を使用している場合があります。自己署名証明書は、エンドツーエンドの暗号化に対応しますが、Web サイトの出所を保証するものではありません。Sophos Firewall では、このような接続の証明書の鍵を、復号化・検査済みのコンテンツを再暗号化するための鍵と置き換え、その鍵で証明書に署名します。CA としてこの証明書に再署名はしません。したがって、クライアント (例: ブラウザ) は引き続き、この証明書を自己署名証明書と見なします。
ブラウザには、Web サイトの証明書が信頼できる CA に発行されていないという警告が表示されます。これによって、ユーザーは、元の証明書が自己署名された、信頼できないものであることがわかります。
「HTTPSの復号化とスキャンに関するFAQ」を参照してください。
信頼できる CA によって署名された証明書
Sophos Firewall は、コンテンツを復号化・検査した後、CA として証明書に署名し、元の証明機関が信頼できる CA であること、ならびに、SSL/TLS インスペクションが実行されたことをユーザーに示します。
ある接続の信頼チェーンが、ファイアウォールによって信頼されている CA につながっていない場合、Sophos Firewall はローカル CA を使用してその証明書に再署名しません。完全な信頼チェーンがない証明書は、システムが生成した証明書によって署名されます。この証明書の CN には、問題の説明が含まれます。
ルールテーブルのアクション
- ルールは、送信元、宛先、およびルール ID でフィルタリングできます。
- ルールフィルタをリセットするには、「フィルタのリセット」を選択します。
「その他のオプション」 をクリックして、以下の操作を行えます。
- ルールを編集または削除するには、該当するボタンを選択します。
- 既存のルールの横にルールを複製または追加するには、アクションを選択します。
- ルールをオンまたはオフにするには、スイッチを選択します。
ルールの位置を変更するには、ルールハンドル () をクリックしてドラッグします。Sophos Firewall は、一致するルールが見つかるまで、上から下に向かってルールを評価します。パケットの一致が見つかると、後続のルールは評価されません。特定のルールを、より具体的でないルールよりも上に配置します。
SSL/TLS インスペクションルール
SSL/TLS インスペクションは、任意の TCP ポートの SSL/TLS トラフィックを検出します。検出された SSL/TLS 接続には、インスペクションルールが適用されます。インスペクションルールでは、送信元、宛先、ユーザーとグループ、サービス、Web サイト、Web カテゴリを指定して、トラフィックを復号化できます。指定したすべての条件に一致するトラフィックに、ルールが適用されます。
ルールごとに復号化プロファイルを選択して、セキュリティ保護されていないプロトコルバージョン、SSL 圧縮、識別できない暗号化スイート、ブロックする暗号アルゴリズム、証明書エラー、ファイアウォールの復号化機能を超える接続など、問題のあるトラフィックに対するアクションを指定する必要があります。トラフィックを復号化および検査した後、Sophos Firewall は指定された再署名認証機関を使用してトラフィックを再暗号化します。
SSL/TLS インスペクションルールは、次の場合に使用できます。
- ポリシードリブンの復号化を実装し、コンプライアンス要件を満たします。
- 暗号化されたトラフィックによるマルウェアの送信を防止します
- 暗号化されたトラフィックに Web コンテンツポリシーを適用して、一般的な閲覧を妨げることなく、不要なアップロードやダウンロードを防止します。
SSL/TLS インスペクションルールにおける除外
Sophos Firewall は、特定の Web サイトへの接続が復号化されないようにするデフォルトの除外ルール「Web サイトまたはカテゴリに基づき除外」を提供します。このルールでは、アクションが「復号化しない」に設定され、復号化のプロファイルが「可能な限り復号化」に設定されています。
このルールは、SSL/TLS インスペクションルールテーブルの一番上に永続的に配置されます。SSL/TLS インスペクションルールは、ルールテーブルで上から下に向かって評価されます。
除外ルールには、次のデフォルトの除外リストが含まれています。
-
ローカル TLS 除外リスト: デフォルトでは、リストは空です。「コントロールセンター」または「ログビューア」でトラブルシューティングを行って、このリストに Web サイトを追加できます。このリストを編集するには、「Web > URL グループ」に移動します。
証明書ピン接続を使用する Web サイトおよびブラウザは、SSL/TLS 検査がオンになっている場合、要求されたページを完全または部分的にブロックします。エラーメッセージが表示された場合、特定可能な理由が表示されないことがあります。SSL/TLS インスペクションを省略するには、ローカル TLS 除外リストを使ってドメインを許可します。
-
管理対象 TLS 除外リスト: このリストには、SSL/TLS インスペクションと互換性がないことがわかっている Web サイトが含まれており、ファームウェアのアップデートによってアップデートされます。
ヒント
除外ルールに Web サイトを追加したり、除外ルールを削除したりするには、ルールを編集し、 Web カテゴリまたは URL グループを追加または削除します。または、「Web > URL グループ」に移動し、「ローカル TLS 除外リスト」のグループを編集します。
独自の除外ルールを作成し、デフォルトルールのすぐ下に配置することで、Web カテゴリ、URL グループ、ユーーザ、送信元および宛先 IP アドレス、およびネットワークを除外できます。他の SSL/TLS インスペクションルールで復号化しない接続のみを除外ルールに追加します。
SSL/TLS インスペクションルールは、ファイアウォールルールとは独立して適用されます。ファイアウォールルールで Web ポリシーを選択していない場合でも、インスペクションルールは指定された除外を適用し続けます。
接続を復号化の対象外にするには、Web 例外ルールまたは SSL/TLS 除外ルールを使用できます。HTTPS の復号化関連の例外を適用する最の違いの詳細は、次の表を参照してください。
SSL/TLS 除外リスト | Web の例外 | |
---|---|---|
除外できるプロセス | HTTPS 復号化 HTTPS 証明書およびプロトコルの適用 | HTTPS 復号化 HTTPS 証明書検証 マルウェアスキャンとコンテンツスキャン ゼロデイ対策 Web ポリシーチェック |
このモードで適用 | DPI モード | DPI モード プロキシモード |
このトラフィックに適用 | 任意のポートでの SSL/TLS 接続。 | DPI モード: 任意のポートでの SSL/TLS 接続。 プロキシモード: ポート 443 での SSL/TLS 接続。 |
一致条件 | プレーンテキストの Web サイト (ドメイン名) のリストを含む URL グループ。これらのドメインのサブドメインを含めます。 | URL パターンは正規表現を使用して照合されます。 |
一致条件 | Web カテゴリ 送信元および宛先のゾーン、ネットワーク、IP アドレス サービス ユーザーとグループ | Web カテゴリ 送信元および宛先の IP アドレスおよび IP 範囲 |
例外を追加する場所 | コントロールセンターまたはログビューアでトラブルシューティングを行い、ローカル TLS 除外リストにドメインおよびサブドメインを追加します。 「Web > URL グループ」に移動して、除外ルールで使用する URL グループに Web サイトを追加します。 SSL / TLS インスペクションルールを作成または編集します。 | 「Web > 例外」で追加します。 |
SSL/TLS インスペクションの設定
これらの設定は、すべての SSL/TLS インスペクションルールに適用されます。再署名証明機関 (CA)、復号化しないトラフィックに対するアクション、および TLS ダウングレード設定を指定できます。トラブルシューティングを実行するために、インスペクション設定で SSL/TLS インスペクションをオフにすることもできます。
警告
トラブルシューティングが終わったら、インスペクションを再びオンに戻してください。
インスペクションルールに追加した復号化プロファイルは、インスペクション設定よりも優先されます。
ファイアウォールルールと Web プロキシ
Sophos Firewall は、まずファイアウォールルールを適用し、その後 SSL/TLS インスペクションルールを適用します。ファイアウォールルールで選択した Web プロキシに基づいて、透過モードでインスペクションルールが適用されます。
透過モード: ファイアウォールルールで、 Web プロキシによる復号化とスキャンを選択した場合、ポート 80 および 443 を経由するトラフィックは Web プロキシによって復号化されます。SSL/TLS インスペクションルールは、他のポートを経由する Web トラフィックに対してのみ実装されます。
明示モード: 復号化およびスキャンは、Web プロキシによって実行されます。
注
Web プロキシでは、「Web > 全般設定」で指定した証明書が使用されます。
SSL/TLS インスペクションでは、「SSL/TLS インスペクションの設定」および「復号化のプロファイル」で指定された証明書が使用されます。
トラブルシューティング
SSL/TLS 接続が復号化制限を超えているかどうかを確認するには、「コントロールセンター」に移動して、「SSL/TLS 接続」ウィジェットを選択します。
SSL/TLS エラーのトラブルシューティングを行うには、「コントロールセンター」に移動し、「SSL/TLS 接続」ウィジェットを選択して、右上隅の「エラーの修正」を選択します。
コントロールセンターまたはログビューアに接続および復号化の詳細が表示されない場合は、次の項目がオンになっていることを確認します。
- SSL/TLS インスペクションルール: 「ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「SSL/TLS インスペクション」をオンにします。
- SSL/TLS エンジン: 「ルールとポリシー > SSL/TLS インスペクションルール > SSL/TLS インスペクションの設定」に移動します。「詳細設定 > SSL/TLS エンジン」で、「有効」を選択します。
その他のリソース