SonicOS 7 ネットワーク ファイアウォール

SSL 制御の主な機能

SSL 制御: 機能と利点
機能 利点
コモンネーム ベースのホワイトリストおよびブラックリスト

明示的に許可または拒否する証明書サブジェクトのコモンネーム (「重要な概念」で説明します) のリストを定義することができます。エントリの文字列が含まれるものは一致とみなされます。例えば、ブラックリストのエントリが prox の場合、www.megaproxy.comwww.proxify.com および proxify.net は一致するものと判断されます。これにより、好ましくないと考えられるサブジェクトに対して発行された証明書を使用する SSL 交換のすべてを、簡単に遮断することができます。その一方で、組織に共通する文字列をホワイトリストで定義することにより、その組織内のすべての証明書を簡単に許可することができます。各リストには、最大 1,024 のエントリを定義できます。

クライアントがバックアップ ホスト名やバックアップ IP アドレスを使用して、これらのサイトへのアクセスを隠そうとした場合であっても、証明書に含まれるサブジェクトのコモンネームが検査されるため、サブジェクトは証明書で必ず検出され、ポリシーが適用されます。
自己署名証明書の制御

SSL でセキュリティ保護された適切なサイトでは、既知の認証局によって発行された証明書を使用することが一般的であり、これは SSL における信頼の基盤です。また同様に、(SonicWall ネットワーク セキュリティ装置のように) SSL によってセキュリティ保護されたネットワーク装置では、セキュリティ保護のための既定の方法として自己署名証明書を使用することが一般的です。したがって、閉鎖的な環境の自己署名証明書は疑わしくありませんが、公開されているサイトや商業利用サイトで使用されている自己署名証明書は疑わしいものです。自己署名証明書を使用する公開サイトでは、信頼性と識別のためではなく、暗号化のためだけにSSL が使用されていることがよくあります。完全に不正なサイトとは言い切れませんが、SSL で暗号化されたプロキシ サイトで一般的なように、隠蔽が目的である可能性が高いと言えます。

自己署名証明書を遮断するポリシーを設定できるため、このようなサイトと通信する危険性に対する防御が可能です。自己署名証明書を使用している既知の信頼できる SSL サイトとの通信が遮断されないようにするため、ホワイトリスト機能を使用して明示的に許可することができます。

信頼できない認証局の制御

自己署名証明書が使用されている場合と同様、信頼できない CA によって発行された証明書が使用されている場合も、あいまい化のための信頼できない行為とは断定できませんが、信頼できるかどうか疑わしいことは確かです。

SSL 制御機能では、SSL 交換で使用される証明書の発行者とファイアウォールの証明書ストアに保存されている証明書を比較することができます。証明書ストアには、現在のウェブ ブラウザと同じように、約100 個の既知の CA の証明書が保存されています。この証明書ストアに保存されていない CA によって発行された証明書が SSL 制御機能によって検出された場合、SSL 接続を禁止できます。

独自のプライベート認証局を組織で使用している場合は、このプライベート CA をファイアウォールの証明書ストアに簡単にインポートして、プライベート CA を信頼された CA として認識されるようにすることができます。証明書ストアには、最大 256 の証明書を保存できます。

SSL バージョン、暗号の強度、および証明書有効期間の制御 SSL 制御機能には、読み取られる可能性のある SSLv2 を禁止する機能、脆弱な暗号 (64 ビット未満の暗号) を禁止する機能、および証明書の日付の範囲が無効な SSL ネゴシエーションを禁止する機能など、ネゴシエーションの特性に基づいて SSL セッションを管理する追加機能あります。これにより、管理者は、暗号に関する未知の脆弱性やセキュリティ警告の無視または誤解によって生じる危険にさらされることのない、厳重にセキュリティ保護された環境を構築して、ネットワークのユーザに提供できます。
ゾーン ベースのアプリケーション SSL 制御機能はゾーン レベルで適用されるため、ネットワーク上で SSL ポリシーを執行することができます。ファイアウォールは、SSL 制御機能が有効になっているゾーンのクライアントからファイアウォールを介して送信される Client Hello を検知すると、検査を開始します。ファイアウォールは、応答で送信される Server Hello と証明書が検知し設定されたポリシーに従って評価します。例えば、LAN ゾーンで SSL 制御を有効にすると、LAN 上のクライアントから開始されて任意の送信先ゾーンに到達するすべての SSL トラフィックが検査されます。
設定可能なアクションおよびイベント通知 SSL 制御機能によってポリシー違反が検出された場合に、イベントをログに記録して接続を遮断することができます。 あるいは、イベントをログに記録するだけで接続を継続することもできます。

Was This Article Helpful?

Help us to improve our support portal

Techdocs Article Helpful form

  • Hidden
  • Hidden

Techdocs Article NOT Helpful form

  • Still can't find what you're looking for? Try our knowledge base or ask our community for more help.
  • Hidden
  • Hidden