• SonicOS 7
• DPI-SSL について
  • DPI-SSL の使用
    • サポートされる機能
    • ローカル CRL のサポート
    • TLS 証明書状況要求拡張機能
    • SSH X11 転送の遮断
    • ECDSA 関連暗号のサポート
    • 独立して動作する DPI-SSL および CFS HTTPS コンテンツ フィルタ
    • 復号化されたパケットに保持される元のポート番号
    • セキュリティ サービス
  • 配備方針
  • プロキシ配備
  • DPI SSL のカスタマイズ
  • 装置モデル別の接続
• DPI-SSL/TLS クライアントの設定
  • 復号化サービス > DPI-SSL/TLS クライアント
  • DPI-SSL 状況の表示
  • DPI-SSL/TLS クライアントの配備
    • 一般設定の構成
      • SSL クライアント検査を有効にする
      • ゾーンの DPI-SSL クライアントを有効にする
      • ゾーンの DPI-SSL サーバを有効にする
    • 再署名認証局の選択
      • ブラウザへの信頼の追加
    • 除外と包含の設定
      • オブジェクト/グループの除外/包含
      • コモンネームによる除外/包含
        • DPI SSL 既定の除外の状況の表示
        • コモンネームの除外/包含
        • 個別コモンネームの削除
        • 接続エラーの表示
        • 既定の除外を手動で更新する
      • CFS 種別基準の除外/包含の指定
      • クライアント DPI-SSL の例
        • コンテンツ フィルタ
        • アプリケーション ルール
• DPI-SSL/TLS サーバの設定
  • 復号化サービス > DPI-SSL/TLS サーバ
  • DPI-SSL/TLS サーバ設定について
    • DPI-SSL/TLS サーバの一般設定
    • 除外と包含の設定
    • サーバと証明書のペアリングの設定

SSL クライアント検査を有効にする

SSL クライアント検査を有効にするには、以下の手順に従います。

1. 「ポリシー | DPI-SSL > クライアント SSL」に移動します。

2. 「一般」を選択します。

   

3. 「SSL クライアント検査を有効にする」を選択します。このオプションは、既定では選択されていません。

4. 検査を実行するサービスを 1 つ以上選択します。既定では何も選択されていません。

   • 侵入防御
   • ゲートウェイ アンチウイルス
   • ゲートウェイ アンチスパイウェア
   • アプリケーション ファイアウォール
   • コンテンツ フィルタ

5. 復号化/インターセプトされた接続についてサーバの認証を行うには、「復号化された接続で常にサーバを認証する」を選択します。有効にすると、DPI-SSL によって以下のような接続が遮断されます。

   • 信頼できない証明書を使用するサイトへの接続。

   • Client Hello のドメイン名が、この接続のサーバ証明書に照らして検証できない場合。

このオプションは、既定では選択されていません。このオプションを選択すると、「期限切れ CA を許可する」が使用可能になります。

このオプションは、高いレベルのセキュリティが必要な場合にのみ有効にします。遮断された接続は、接続エラー リストに表示されます (「接続エラーの表示」を参照してください)。

このオプションを有効にする場合は、「CFS 種別基準の除外をスキップする」オプション (「コモンネームの除外/包含」を参照) を使用して、このグローバル認証オプションから特定のドメインを除外します。これは、信頼できるサイトのあらゆるサーバ関連エラーをオーバーライドするのに役立ちます。

6. 期限切れまたは中間の CA を許可するには、「期限切れ CA を許可する」を選択します。このオプションは、既定では選択されていません。これを選択しないと、Client Hello のドメイン名が、この接続のサーバ証明書に照らして正当であると確認できない場合、接続は遮断されます。

7. 除外のためにサーバ IP アドレスベースの動的キャッシュの使用を無効にするには、「複数の異なるサーバ ドメインをファイアウォールが単一のサーバ IP と見なす配備。例: プロキシ セットアップ」を選択します。このオプションは、既定では選択されていません。

このオプションは、装置がクライアント ブラウザとプロキシ サーバの間に存在する場合を含め、すべてのクライアント ブラウザがプロキシ サーバにリダイレクトされるプロキシ配備で役に立ちます。ドメインが、前面に負荷分散装置を配置したサーバ ファームの一部として、または、同じサーバ IP を複数のドメインで使用できるクラウド配備内で、仮想ホスティング サーバに含まれる場合のドメイン除外など、すべての DPI-SSL 機能がサポートされています。

そのような配備では、装置から見えるすべてのサーバ IP がプロキシ サーバの IP になっています。そのため、プロキシ配備では、IP ベースの除外キャッシュを無効にしておく必要があります。このオプションを有効にしても、SonicOS が除外を実行する機能に影響はありません。

8. 既定では、DPI-SSL の接続制限を超える新しい接続はバイパスされます。接続制限を超えた場合に、新しい接続が破棄されずに復号化をバイパスできるようにするには、「接続制限を超えたときに、復号化なしの SSL を許可 (バイパス) する」チェックボックスをオンにします。このオプションは、既定では選択されています。

DPI-SSL の接続制限を超える新しい接続が確実に破棄されるようにするには、このチェックボックスをオフ (無効) にします。

9. 新しい組み込みの除外ドメイン名を監査したうえで除外のために追加するには、「除外に追加される前に、新しいビルトイン除外ドメイン名を監査する」チェックボックスをオンにします。このチェックボックスは、既定ではオンになっていません。

このオプションを有効にすると、組み込みの除外リストが変更されるたびに (例えば、新しいファームウェア イメージやその他のシステム関連動作のアップグレード)、そうした変更を知らせる通知用ポップアップ ダイアログが「復号化サービス > DPI-SSL/TLS クライアント」ページの上に表示されます。新しい変更の内容を検査/監査し、組み込みの除外リストに対する新しい変更のうち任意のもの、一部、またはすべてを許可または拒否することができます。この時点で、実行時除外リストは更新され、新しい変更が反映されます。

このオプションを無効にすると、SonicOS は、組み込み除外リストに対する新しい変更すべての許可および追加を自動的に行います。

10. コモンネームまたは種別の除外ポリシーの適用前にサーバの認証を必ず行うには、「除外ポリシーを適用する前に、常にサーバを認証する」チェックボックスをオンにします。このオプションは、既定では選択されていません。有効にすると、DPI-SSL によって以下のような除外された接続が遮断されます。

    • 信頼できない証明書を使用するサイトへの接続。
    • Client Hello のドメイン名が、この接続のサーバ証明書に照らして検証できない場合。

これは、除外ポリシーの適用前にサーバ接続を認証する場合に便利な機能です。このオプションを有効にすると、装置は、接続に対する除外を無分別に適用したり、その結果として除外サイトや除外対象種別に属するサイトについてのセキュリティ ホールを生み出したりすることがなくなります。これは、バンキング サイトが種別として除外されている場合に特に重要です。

サーバ証明書と Client Hello でのドメイン名の両方を検証したうえで除外ポリシーを適用することで、SonicOS は信頼できないサイトを拒否したり、ある主のゼロデイ攻撃の発生を潜在的に阻止したりできます。SonicOS の実装では、「信頼だけでなく検証も」というアプローチを採用しており、除外ポリシーの基準に適合するドメイン名をまず検証するようにし、それによって無防備なクライアントによるフィッシングや URL リダイレクト関連の攻撃を防止しています。

サブジェクト代替名拡張における代替ドメインを除外する場合は、このオプションを有効にすることをお勧めします。

このオプションを有効にする場合は、「CFS 種別基準の除外をスキップする」オプション (「コモンネームの除外/包含」を参照) を使用して、このグローバル認証オプションから特定のドメインを除外します。これは、信頼できるサイトのあらゆるサーバ関連エラーをオーバーライドするのに役立ちます。

11. 「適用」をクリックします。