トラフィック復号について
Firepower システムは、デフォルトではセキュア ソケット レイヤ(SSL)プロトコルまたはその後継である Transport Layer Security(TLS)プロトコルで暗号化されたトラフィックを検査できません。SSL インスペクション(検査)機能を使用すると、暗号化トラフィックのインスペクションを実行せずにブロックしたり、暗号化または復号されたトラフィックをアクセス コントロール(制御)を使用して検査したりできます。システムは、暗号化されたセッションを処理する際にトラフィックに関する詳細をログに記録します。暗号化トラフィックのインスペクションと暗号化セッションのデータ分析を組み合わせることで、ネットワーク内の暗号化されたアプリケーションやトラフィックをより詳細に把握したり制御したりできます。
SSL インスペクションは、ポリシーベースの機能です。Firepower システムでは、アクセス コントロール ポリシーは、SSL ポリシーを含む、サブポリシーとその他の設定を呼び出すマスター設定です。アクセス コントロールと SSL ポリシーを関連付けると、システムでは、この SSL ポリシーを使用して暗号化セッションを処理し、その後でそれらの暗号化セッションをアクセス コントロール ルールで評価します。SSL インスペクションを設定していない場合、またはデバイスで SSL インスペクションをサポートしていない場合は、アクセス コントロール ルールですべての暗号化トラフィックが処理されます。
SSL インスペクションの設定で暗号化トラフィックの通過が許可されている場合、アクセス コントロール ルールによっても暗号化トラフィックが処理されることに注意してください。ただし、一部のアクセス コントロール ルールの条件では暗号化されていないトラフィックを必要とするため、暗号化されたトラフィックに一致するルール数が少なくなる場合があります。またデフォルトでは、システムは暗号化ペイロードの侵入およびファイル インスペクションを無効にしています。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。
システムで TCP 接続での SSL ハンドシェイクが検出された場合、その検出されたトラフィックを復号できるかどうかが判定されます。復号できない場合は、設定されたアクションが適用されます。以下のアクションを設定できます。
-
暗号化トラフィックをブロックする
-
暗号化トラフィックをブロックし、TCP 接続をリセットする
-
暗号化トラフィックを復号しない
システムによるトラフィックの復号が可能な場合は、それ以上のインスペクションなしでトラフィックをブロックするか、復号されていないトラフィックをアクセス コントロールによって評価するか、あるいは次のいずれかの方法を使用して復号します。
-
既知の秘密キーを使用して復号する。外部ホストがネットワーク上のサーバとの SSL ハンドシェイクを開始すると、交換されたサーバ証明書とシステムにアップロード済みのサーバ証明書が照合されます。次に、アップロード済みの秘密キーを使用してトラフィックを復号します。
-
サーバ証明書の再署名によって復号する。ネットワーク上のホストが外部サーバとの SSL ハンドシェイクを開始すると、システムによって、交換されたサーバ証明書が、アップロード済みの認証局(CA)証明書で再署名されます。次に、アップロード済みの秘密キーを使用してトラフィックを復号します。
復号されたトラフィックに対しては、はじめから暗号化されていないトラフィックと同じトラフィックの処理と分析(ネットワーク、レピュテーション、およびユーザ ベースの各アクセス コントロール、侵入検知と防御、Cisco Advanced Malware Protection(Cisco AMP)、およびディスカバリ(検出))が実行されます。システムで、復号されたトラフィックのポスト分析をブロックしない場合、トラフィックを再暗号化してから宛先ホストに渡します。