Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

Chapter Title

SSL ポリシーの使用を開始するには

検索結果

Updated:
2017年12月13日

章のタイトル: SSL ポリシーの使用を開始するには

SSL ポリシーの使用を開始するには

ここでは、SSL ポリシーの作成、設定、管理、およびロギングの概要を示します。

SSL ポリシーの概要

SSL ポリシーは、ネットワーク上の暗号化トラフィックをシステムがどのように処理するかを決定します。SSL ポリシーを、1 つまたは複数設定できます。SSL ポリシーをアクセス コントロール ポリシーに関連付け、そのアクセス コントロール ポリシーを管理対象デバイスに展開します。デバイスで TCP ハンドシェイクが検出されると、アクセス コントロール ポリシーは最初にトラフィックを処理して検査します。次に TCP 接続上で SSL 暗号化セッションが識別された場合は、SSL ポリシーが引き継いで、暗号化トラフィックの処理および復号を行います。


注意    

SSL ポリシーを追加または削除すると 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

最も単純な SSL ポリシーは、次の図のように、単一のデフォルト アクションで暗号化トラフィックを処理するように展開先のデバイスに指示します。デフォルト アクションの設定では、それ以上のインスペクションなしで復号可能トラフィックをブロックするか、復号されていない復号可能トラフィックをアクセス コントロールで検査するように指定できます。システムは、暗号化されたトラフィックを許可するか、またはブロックできます。デバイスは復号できないトラフィックを検出すると、トラフィックをそれ以上のインスペクションなしでブロックするか、あるいは復号しないままにして、アクセス コントロールによる検査を行います。





より複雑な SSL ポリシーでは、各種の復号できないトラフィックをさまざまなアクションで処理できます。また、認証局(CA)が証明書を発行したか、または暗号化証明書を信頼するかどうかに応じてトラフィックを制御したり、SSL ルールを使ってきめ細かな暗号化トラフィックの制御およびログの記録を行ったりできます。これらのルールには、単純なものや複雑なものがあり、複数の基準を使用して暗号化トラフィックの照合および検査を行います。

関連コンセプト
SSL ルールの条件

SSL ポリシーのデフォルト アクション

SSL ポリシーのデフォルト アクションは、ポリシーのモニタ以外のルールと一致しない復号可能な暗号化トラフィックについてシステムがどのように処理するかを決定します。SSL ルールがまったく含まれない SSL ポリシーを適用する場合、ネットワーク上のすべての復号可能トラフィックの処理方法を、デフォルト アクションが決定します。デフォルト アクションでブロックされた暗号化トラフィックに対しては、システムはいかなる種類のインスペクションも行わないことに注意してください。

表 1 SSL ポリシーのデフォルト アクション

デフォルト アクション

暗号化トラフィックに対して行う処理

ブロック(Block)

それ以上のインスペクションは行わずに SSL セッションをブロックする

リセットしてブロック(Block with reset)

それ以上のインスペクションは行わずに SSL セッションをブロックし、TCP 接続をリセットする

復号しない(Do not decrypt)

アクセス コントロールを使用して暗号化トラフィックを検査する

復号できないトラフィックのデフォルト処理オプション

表 2 復号できないトラフィック タイプ

タイプ(Type)

説明

デフォルト アクション

使用可能なアクション

圧縮されたセッション(Compressed Session)

SSL セッションはデータ圧縮メソッドを適用します。

デフォルト アクションを継承する(Inherit default action)

復号しない(Do not decrypt)

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルト アクションを継承する(Inherit default action)

SSLv2 セッション(SSLv2 Session)

セッションは SSL バージョン 2 で暗号化されます。

トラフィックが復号可能となるのは、ClientHello メッセージが SSL 2.0 で、送信トラフィックの残りが SSL 3.0 であることに注意してください。

デフォルト アクションを継承する(Inherit default action)

復号しない(Do not decrypt)

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルト アクションを継承する(Inherit default action)

不明な暗号スイート(Unknown Cipher Suite)

システムが認識できない暗号スイートです。

デフォルト アクションを継承する(Inherit default action)

復号しない(Do not decrypt)

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルト アクションを継承する(Inherit default action)

サポートされていない暗号スイート(Unsupported Cipher Suite)

検出された暗号スイートに基づく復号を、システムはサポートしていません。

デフォルト アクションを継承する(Inherit default action)

復号しない(Do not decrypt)

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルト アクションを継承する(Inherit default action)

セッションが未キャッシュ(Session not cached)

SSL セッションでセッションの再利用が有効化されており、クライアントとサーバがセッション ID を使ってセッションを再確立しているが、システムでセッション ID がキャッシュされていません。

デフォルト アクションを継承する(Inherit default action)

復号しない(Do not decrypt)

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルト アクションを継承する(Inherit default action)

ハンドシェイク エラー(Handshake Errors)

SSL ハンドシェイクのネゴシエーション中にエラーが発生しました。

デフォルト アクションを継承する(Inherit default action)

復号しない(Do not decrypt)

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルト アクションを継承する(Inherit default action)

復号エラー(Decryption Errors)

トラフィックの復号中にエラーが発生しました。

ブロック(Block)

ブロック(Block)

リセットしてブロック(Block With Reset)

SSL ポリシーを最初に作成する場合、デフォルト アクションによって処理される接続のログは、デフォルトでは無効化されています。復号できないトラフィックの処理ではデフォルト アクションのログ設定も適用されるため、復号できないトラフィックのアクションで処理される接続のログは、デフォルトでは無効化されています。

ブラウザが証明書ピニングを使用してサーバ証明書を確認する場合は、サーバ証明書に再署名しても、このトラフィックを復号できないことに注意してください。このトラフィックはアクセス コントロールを使用して引き続き検査できるため、復号できないトラフィック アクションでは処理されません。このトラフィックを許可するには、サーバ証明書の共通名または識別名と一致させるために、[復号しない(Do not decrypt)] アクションを使用して SSL ルールを設定します。


(注)  

クライアントと管理対象デバイスの間に HTTP プロキシがあって、クライアントとサーバが CONNECT HTTP メソッドを使用してトンネル SSL 接続を確立する場合、システムはトラフィックを復号化できません。システムによるこのトラフィックの処理法は、ハンドシェイク エラー(Handshake Errors)の復号できないアクションが決定します。

SSL ポリシーの管理

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

任意(Any)

すべて(NGIPSv を除く)

任意(Any)

Admin/Access Admin/Network Admin

SSL ポリシー エディタでは、次の操作を実行できます。

  • ポリシーを設定する

  • SSL ルールを追加、編集、削除、有効化、無効化、および編成する

  • 信頼できる CA 証明書を追加する

  • システムが復号できない暗号化トラフィックに対する処理を決定する

  • デフォルト アクションおよび復号できないトラフィック アクションで処理されるトラフィックのログを記録する

マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。

手順
    ステップ 1   [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [SSL]を選択します。
    ステップ 2   SSL ポリシーを管理します。

    • 関連付け:アクセス コントロール ポリシーに SSL ポリシーを関連付ける場合は、アクセス制御への他のポリシーの関連付けを参照してください。

    • [比較(Compare)]:[ポリシーの比較(Compare Policies)] をクリックします(ポリシーの比較 を参照)。

    • コピー:コピー アイコン()をクリックします。

    • 作成:[新規ポリシー(New Policy)] をクリックします。基本 SSL ポリシーの作成を参照してください。

    • 削除:削除アイコン()をクリックします。コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

    • 展開:[展開(Deploy)] をクリックします(設定変更の導入 を参照)。

    • 編集:編集アイコン()をクリックします。SSL ポリシーの編集を参照してください。代わりに表示アイコン()が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

    • インポート/エクスポート:コンフィギュレーションのインポート/​エクスポートについてを参照してください。

    • [レポート(Report)]:レポート アイコン()をクリックします(現在のポリシー レポートの生成 を参照)。

    基本 SSL ポリシーの作成

    スマート ライセンス

    従来のライセンス

    サポートされるデバイス

    サポートされるドメイン

    アクセス(Access)

    任意(Any)

    任意(Any)

    すべて(NGIPSv を除く)

    任意(Any)

    Admin/Access Admin/Network Admin

    SSL ポリシーの設定では、ポリシーに一意の名前を付け、デフォルト アクションを指定する必要があります。

    手順
      ステップ 1   [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [SSL]を選択します。
      ステップ 2   [新しいポリシー(New Policy)] をクリックします。
      ステップ 3   [名前(Name)] に一意のポリシー名を入力し、オプションで [説明(Description)] にポリシーの説明を入力します。
      ステップ 4   [デフォルト アクション(Default Action)] を指定します。SSL ポリシーのデフォルト アクションを参照してください。
      ステップ 5   ポリシーのデフォルト アクションによる接続のロギングの説明に従って、デフォルト アクションのロギング オプションを設定します。
      ステップ 6   [保存(Save)] をクリックします。

      次の作業

      復号できないトラフィックのデフォルト処理の設定

      スマート ライセンス

      従来のライセンス

      サポートされるデバイス

      サポートされるドメイン

      アクセス(Access)

      任意(Any)

      任意(Any)

      すべて(NGIPSv を除く)

      任意(Any)

      Admin/Access Admin/Network Admin

      システムによる復号や検査ができない特定タイプの暗号化トラフィックの処理については、SSL ポリシー レベルで、復号できないトラフィックのアクションを設定できます。SSL ルールがまったく含まれない SSL ポリシーを展開する場合、ネットワーク上のすべての復号できない暗号化トラフィックの処理方法は、復号できないトラフィックのアクションによって決定されます。

      復号できないトラフィックのタイプによって、次の選択ができます。

      • 接続をブロックする

      • 接続をブロックした後でリセットする

      • アクセス コントロールを使用して暗号化トラフィックを検査する

      • SSL ポリシーのデフォルト アクションを継承する

      手順
        ステップ 1   SSL ポリシー エディタで、[復号できないアクション(Undecryptable Actions)] タブをクリックします。
        ステップ 2   各フィールドで、SSL ポリシーのデフォルト アクションを選択するか、復号できないタイプのトラフィックに対して実行する別のアクションを選択します。詳細については、復号できないトラフィックのデフォルト処理オプションSSL ポリシーのデフォルト アクションを参照してください。
        ステップ 3   [保存(Save)] をクリックしてポリシーを保存します。
        次の作業

        SSL ポリシーの編集

        スマート ライセンス

        従来のライセンス

        サポートされるデバイス

        サポートされるドメイン

        アクセス(Access)

        任意(Any)

        任意(Any)

        すべて(NGIPSv を除く)

        任意(Any)

        Admin/Access Admin/Network Admin
        ポリシーの編集は、1 つのブラウザ ウィンドウを使用して、一度に 1 人のみで行う必要があります。複数のユーザが同じポリシーを保存した場合は、最後に保存された変更が保持されます。ユーザにとっての便宜性を考慮して、各ポリシーを現在編集している人(いる場合)の情報が表示されます。セッションのプライバシーを保護するために、ポリシー エディタが非アクティブになってから 30 分後に警告が表示されます。60 分後には、システムにより変更が破棄されます。
        手順
          ステップ 1   [ポリシー(Policies)] > [アクセス コントロール(Access Control)] > [SSL]を選択します。
          ステップ 2   設定する SSL ポリシーの横にある編集アイコン()をクリックします。

          代わりに表示アイコン()が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

          ステップ 3   SSL ポリシーを設定します。

          • 説明:SSL ポリシーの説明を更新するには、[説明(Description)] フィールドをクリックし、新しい説明を入力します。

          • ログ:復号できないトラフィックの処理および SSL ルールに一致しないトラフィックについて接続を記録するには、ポリシーのデフォルト アクションによる接続のロギングを参照してください。

          • 名前の変更:SSL ポリシーの名前を変更するには、[名前(Name)] フィールドをクリックし、新しい名前を入力します。

          • デフォルト アクションの設定:SSL ポリシーが SSL ルールに一致しないトラフィックをどのように処理するかを設定するには、SSL ポリシーのデフォルト アクションを参照してください。

          • 復号できないトラフィックのデフォルト アクションの設定:SSL ポリシーが復号できないトラフィックをどのように処理するかを設定するには、復号できないトラフィックのデフォルト処理の設定を参照してください。

          • 信頼:SSL ポリシーに信頼された CA 証明書を追加するには、外部認証局の信頼を参照してください。

          ステップ 4   SSL ポリシー内のルールを編集します。

          • 追加:ルールを追加するには、[ルールの追加(Add Rule)] をクリックします。

          • コピー:ルールをコピーするには、選択したルールを右クリックして、[コピー(Copy)] を選択します。

          • 切り取り:ルールを切り取るには、選択したルールを右クリックして、[切り取り(Cut)] を選択します。

          • 削除:ルールを削除するには、ルールの横にある削除アイコン()をクリックして、[OK] をクリックします。

          • 無効化:有効なルールを無効にするには、選択したルールを右クリックして、[状態(State)] を選択し、[無効(Disable)] を選択します。

          • 表示:特定のルール属性の設定ページを表示するには、ルールの行にある条件の列で名前、値、またはアイコンをクリックします。たとえば、[送信元ネットワーク(Source Networks)] カラムに示されている名前または値をクリックすると、選択したルールの [ネットワーク(Networks)] ページが表示されます。詳細については、ネットワーク ベースの SSL ルールの条件を参照してください。

          • 編集:ルールを編集するには、ルールの横にある編集アイコン()をクリックします。

          • 有効化:無効なルールを有効にするには、選択したルールを右クリックして、[状態(State)] を選択し、[有効(Enable)] を選択します。無効なルールはグレー表示され、ルール名の下に [(無効)((disabled))] というマークが付きます。

          • 貼り付け:切り取られたルールまたはコピーされたルールを貼り付けるには、選択したルールを右クリックして、[上に貼り付け(Paste above)] または [下に貼り付け(Paste below)] を選択します。

          ステップ 5   設定を保存または廃棄します。

          • 変更を保存し、編集を続行する場合は、[保存(Save)] をクリックします。

          • 変更を廃棄する場合は、[キャンセル(Cancel)] をクリックし、プロンプトが出たら [OK] をクリックします。

          次の作業

          関連タスク
          SSL ルールの作成および変更

          このドキュメントは役に立ちましたか?

          Feedbackフィードバック

          シスコに問い合わせ