SonicOS 7 DPI-SSL
DPI SSL のカスタマイズ
NetExtender SSL VPN ゲートウェイを DPI SSL IP アドレス除外リストに追加してください。NetExtender トラフィックは PPP によってカプセル化されており、このようなトラフィックを SSL VPN によって復号化しても意味のある結果は得られません。
一般には、装置を通過するありとあらゆるトラフィックを保護することが DPI-SSL のポリシーです。この点がセキュリティのニーズに合わせて、DPI-SSL では処理の対象をカスタマイズすることができます。
DPI-SSL には、DPI の処理から除外される組み込み (既定) ドメインのリスト (データベース) が付随します。このリストへの追加はいつでも行うことができ、追加したエントリはどれでも削除できます。また、DPI 処理の対象としての組み込みエントリの除外と包含を切り替えることもできます。DPI-SSL では、コモンネームまたは種別 (バンキング、医療など) によってドメインを除外したり含めたりすることもできます。
ただし、コモンネームと種別のどちらによるものかに関係なく、除外されたサイトは、装置を回避してクライアント マシンにダウンロードされるエクスプロイト キットや、無防備なクライアントに偽りのサイト/証明書を提示する中間者の乗っ取りによって今後悪用されうるセキュリティ上のリスクになる可能性があります。こうしたリスクを回避するために、DPI-SSL では除外されるサイトを除外前に認証することができます。
ネットワーク内での HTTPS 接続の割合が増え、新しい https サイトが現れてくるので、最新バージョンの SonicOS であっても、組み込み/既定除外の完全なリストを用意することはまず不可能です。新しいクライアント アプリケーションに特有の実装やサーバ実装が原因で DPI-SSL によるインターセプトが発生した場合、一部の HTTPS 接続はエラーになるので、シームレスなユーザ エクスペリエンスを実現するためには、装置上でのこうしたサイトの除外が必要になる場合があります。SonicOS は、このような失敗した接続のログを保持しています。こうした接続エラーは、トラブルシューティングを行ったり、信頼できるエンティティを除外リストに追加したりするために使用できます。
サイトの除外/包含に加えて、DPI-SSL では、グローバルな認証ポリシーとグローバルなポリシーに対するきめ細かな除外ポリシーの両方を用意しています。例えば、接続の認証を行うためのグローバル ポリシーでは、信頼できる新しい CA 証明書や、安全性の高いプライベート (または企業にとってローカルな配備の) クラウド ソリューションの自己署名サーバ証明書など、基本的に安全な接続が遮断される可能性があります。管理者は、きめ細かいオプションを使用して、グローバル認証ポリシーから個々のドメインを除外できます。
同じサーバ (証明書) でサポートされるドメインのリストに含まれているドメインに対して除外を設定できます。つまり、サーバ証明書によっては複数のドメイン名が含まれているものがありますが、1 つのサーバ証明書が対象としているすべてのドメインを除外することなく、これらのドメインのうち 1 つだけを除外したい場合があります。例えば、youtube.com を除外して、他のすべてのドメイン (google.com など) を除外せずに済ませることができます。*.google.com は、youtube.com がサブジェクト代替名拡張の下での代替ドメインとしてリストされているサーバ証明書のコモンネームであるにもかかわらずです。
Was This Article Helpful?
Help us to improve our support portal