SonicOS 7 ネットワーク ファイアウォール
SSL 制御の設定
SSL 制御を設定する前に、ファイアウォールが IPv6 をサポートしていることを確認してください。「ネットワーク > ファイアウォール > 詳細」ページの「IPv6 詳細構成」オプションを使用して確認できます。
SSL 制御の設定は、「ネットワーク > ファイアウォール > SSL 制御」にあります。SSL 制御には、グローバル設定とゾーン単位の設定があります。既定では、SSL 制御はグローバル レベルでもゾーン レベルでも有効にされていません。それぞれのページには次のような制御項目があります (このセクションで使用する用語の詳細については、「SSL 制御の重要な概念」を参照してください)。
一般設定
「一般設定」セクションでは、SSL 制御を有効または無効にできます。
- SSL 制御を有効にする - SSL 制御のグローバル設定。ゾーンに適用する SSL 制御を有効にするには、この設定をオンにする必要があります。このオプションは、既定では選択されていません。
動作
「動作」セクションでは、SSL ポリシー違反が検出されたときの動作として次のいずれかを選択します。
- イベントをログに記録する - 下の「設定」セクションで定義される SSL ポリシーに対する違反が検出された場合、イベントをログに記録しますが、SSL 接続の継続は許可されます。このオプションは、既定では選択されていません。
- 接続を遮断してイベントをログに記録する - ポリシー違反が検出された場合、接続を遮断し、イベントをログに記録します。このオプションは、既定では選択されています。
設定
「設定」セクションでは、適用する SSL ポリシーを指定します。
- ブラックリストを有効にする - 「ユーザ定義リスト」で設定されるブラックリスト内のエントリの検出を制御します。このオプションは、既定では選択されています。
- ホワイトリストを有効にする - 下部の「リストの設定」セクションで設定されるホワイトリスト内のエントリの検出を制御します。ホワイトリストのエントリは、他のすべての SSL 制御設定より優先されます。このオプションは、既定では選択されています。
- 脆弱な暗号を検知する - 一般的にエクスポート暗号で使用される、64 ビット未満の対称暗号でネゴシエートされた SSL セッションの検出を制御します。このオプションは、既定では選択されていません。
- 期限切れの証明書を検出する - 開始日が現在のシステム時間より前、または終了日が現在のシステム時間より後の証明書の検出を制御します。日付の検証は、ファイアウォールのシステム時間を使用して行われます。「デバイス > 設定 > 時間」ページの「システム時間」を適切に設定してください。できれば、NTP と同期をとります。このオプションは、既定では選択されていません。
-
脆弱なダイジェストの証明書を検知する – MD5 または SHA1 を使用して作成された証明書の検出を制御します。MD5 と SHA1 は安全と見なされていません。このオプションは、既定では選択されていません。
SSL でセキュリティ保護された適切なサイトでは、既知の認証局によって発行された証明書を使用することが一般的であり、これは SSL における信頼の基盤です。また同様に、(SonicWall セキュリティ装置のように) SSL によってセキュリティ保護されたネットワーク装置では、セキュリティ保護のための既定の方法として自己署名証明書を使用することが一般的です。したがって、閉鎖的な環境の自己署名証明書は疑わしくありませんが、公開されているサイトや商業利用サイトで使用されている自己署名証明書は疑わしいものです。自己署名証明書を使用する公開サイトでは、信頼性と識別のためではなく、暗号化のためだけにSSL が使用されていることがよくあります。完全に不正なサイトとは言い切れませんが、SSL で暗号化されたプロキシ サイトで一般的なように、隠蔽が目的である可能性が高いと言えます。自己署名証明書を遮断するポリシーを設定できるため、このようなサイトと通信する危険性に対する防御が可能です。自己署名証明書を使用している既知の信頼できる SSL サイトとの通信が遮断されないようにするには、ホワイトリスト機能を使用して明示的に許可します。
- 自己署名証明書を検出する - 発行者の証明書がファイアウォールの「デバイス > 設定 > 証明書」の信頼できるストアにない証明書の検出を制御します。このオプションは、既定では選択されています。
-
信頼されていない CA が署名した証明書を検出する - 発行者の証明書がファイアウォールの「デバイス > 設定 > 証明書」の信頼できるストアにない証明書の検出を制御します。このオプションは、既定では選択されています。
自己署名証明書が使用されている場合と同様、信頼できない CA によって発行された証明書が使用されている場合も、あいまい化のための信頼できない行為とは断定できませんが、信頼できるかどうか疑わしいことは確かです。SSL 制御機能では、SSL 交換で使用される証明書の発行者と、大半の既知の CA 証明書が含まれる SonicWall ファイアウォールに保存されている証明書を比較することができます。独自のプライベート認証局を組織で使用している場合は、このプライベート CA 証明書を SonicWall のホワイトリストに簡単にインポートして、プライベート CA を信頼された CA として認識されるようにすることができます。
-
SSLv2 を検出する - SSLv2 交換の検出と遮断を制御します。SSLv2 は、ハンドシェイクの整合性チェックを実行しないため、暗号低下攻撃を受ける可能性が高いとわかっています。SSLv2 ではなく、SSLv3 または TLS を使用することを強くお勧めします。このオプションは、既定では選択されています。また、淡色表示となっており、変更できません。
- SSLv3 を検出する - SSLv3 交換の検出と遮断を制御します。このオプションは、既定では選択されていません。
- TLSv1 を検出する - TLSv1 交換の検出と遮断を制御します。このオプションは、既定では選択されていません。
Was This Article Helpful?
Help us to improve our support portal