SSL/TLS プロキシとしての SD ルーティングデバイスの設定
SSL/TLS プロキシの概要
今日、クラウドに存在するアプリケーションとデータはますます増えています。その結果、インターネットトラフィックの大部分が暗号化されます。これにより、マルウェアが隠れたままになり、セキュリティを制御できなくなる可能性があります。TLS プロキシ機能を使用すると、エッジデバイスを透過的な TLS プロキシとして設定できます。これにより、デバイスは、エンドツーエンドの暗号化された TLS チャネルによって隠されているリスクを特定できます。インスペクションの後、データは再暗号化されてから宛先に送信されます。
機能名 |
リリース情報 |
説明 |
---|---|---|
SSL/TLS プロキシとしての SD ルーティングデバイスの設定 |
Cisco IOS XE 17.14.1a |
この機能を使用すると、自律デバイスをトランスペアレント SSL/TLS プロキシとして設定できます。これらのプロキシデバイスは、着信および発信 TLS トラフィックを復号してインスペクションを有効にし、エンドツーエンドの暗号化によって隠されているリスクを特定できます。 |
TLS プロキシを使用したトラフィックフロー
一般的な TLS ハンドシェイクには、信頼できるサードパーティ認証局(CA)によって署名された証明書を使用した認証が含まれます。クライアントとサーバーは、信頼を確立するためにこれらの CA を信頼する必要があります。TLS プロキシは MitM として機能し、CA を実行して接続のプロキシ証明書を動的に発行します。
TLS プロキシが有効になっている場合のトラフィックフローは次のとおりです。
-
クライアントとプロキシの間、およびプロキシとサーバーの間で TCP 接続が確立されます。
-
フローに対して復号ポリシーが有効になっている場合、クライアントの Hello パケットがサーバーに送信され、復号アクションが決定されます。
-
復号ポリシーに基づいて、次のいずれかのアクションが実行されます。
-
drop:判定が drop の場合、クライアントの hello パケットはドロップされ、接続がリセットされます。
-
do-not-decrypt:判定が do-not-decrypt の場合、hello パケットは TLS プロキシをバイパスします。
-
decrypt:判定が decrypt の場合、パケットはクライアントに転送され、次が実行されます。
-
トラフィックの最適化のための TCP 最適化
-
TLS プロキシを介した暗号化トラフィックの復号
-
TLS プロキシを介した復号されたトラフィックの再暗号化
-
-
次の図は、TLS ハンドシェイクプロセスを示しています。

サポートされる暗号スイート
TLS プロキシ機能は、次の暗号スイートをサポートします。
TLS_RSA_WITH_3DES_EDE_CBC_SHA |
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA |
TLS_RSA_WITH_AES_128_CBC_SHA |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA |
TLS_RSA_WITH_AES_256_CBC_SHA |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA |
TLS_RSA_WITH_AES_128_CBC_SHA256 |
TLS_RSA_WITH_AES_256_CBC_SHA256 |
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 |
TLS_RSA_WITH_SEED_CBC_SHA |
TLS_DHE_RSA_WITH_SEED_CBC_SHA |
TLS_RSA_WITH_AES_128_GCM_SHA256 |
TLS_RSA_WITH_AES_256_GCM_SHA384 |
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA |
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 |
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 |
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 |
TLS プロキシの利点
-
透過的なインスペクションによる TLS トラフィックの脅威のモニタリング
-
復号されたトラフィックのインスペクションに基づくセキュリティポリシーの適用
-
脅威とマルウェアから TLS トラフィックを保護
TLS プロキシの制限事項
-
RSA とそのバリアント暗号スイートのみがサポートされます。
-
証明書失効リスト(CRL)チェックは、サーバー証明書の検証ではサポートされていません。ただし、SSL 復号ポリシーの詳細設定から OCSP を有効にすることができます。
-
OCSP ステープリングはサポートされていないため、TLS セッションを確立するには、ブラウザで明示的に無効にする必要があります。
-
IPv6 トラフィックはサポートされていません。
-
TLS セッションの再開、再ネゴシエーション、およびクライアント証明書認証はサポートされていません。
-
TLS プロキシがクラッシュした場合、再び TLS フローのプロキシとして機能できるようになるまでに最大 2 分かかります。この間、セキュリティ設定に応じて、フローはバイパスされるかドロップされます。
サポートされるデバイスとデバイスの要件
次のデバイスは、SSL/TLS プロキシ機能をサポートしています。
リリース |
サポートされるデバイス数 |
---|---|
Cisco IOS XE Catalyst SD-WAN リリース 17.14.1a |
|
デバイスの最小要件
-
デバイスには 8 GB 以上の DRAM が必要です(Cisco Catalyst 8300 シリーズ エッジ プラットフォームの場合は 16 GB)。
-
デバイスには少なくとも 8 個の vCPU が必要です。
SD ルーティングデバイスの TLS プロキシを設定するためのワークフロー
このワークフローでは、SD-WAN Manager を使用して SD ルーティングデバイスの TLS プロキシを設定するために必要な手順の概要を示します。手順の詳細については、次のセクションを参照してください。
タスク |
説明 |
---|---|
時刻同期の設定 |
|
認証局(CA)サーバーと証明書を要求するデバイス間の時刻同期を設定します。 |
に移動します。 SD-WAN Manager で [System Profile] を選択します。詳細を入力して NTP を設定します。 |
認証局の設定 |
|
CA サーバーの設定方法を決定します。 |
CA は、真正性を検証し、クライアントとサーバー間の信頼を確立するために SSL 証明書を発行します。 次のいずれかのオプションを使用して CA を設定できます。
|
TLS プロキシとして設定するデバイスの選択 |
|
Cisco SD-WAN Manager で設定グループを作成し、WAN エッジデバイスに関連付けます。 |
ネットワーク内の 1 つ以上のデバイスに適用できる機能または設定の論理グループを作成するのに役立ちます。 |
セキュリティポリシーの設定 |
|
インスペクション、防止、および復号のための組み込みファイアウォール セキュリティ ポリシーを設定します。 |
の順に選択し、手順に従ってセキュリティポリシーを設定します。 |
TLS トラフィック復号の追加パラメータを設定します。 |
インライン TLS 復号セキュリティポリシーの作成 上記で作成した組み込みセキュリティポリシーにパラメータを追加します。これを行うには、上記で作成した組み込みポリシーを選択し、[Additional Settings] に移動して TLS/SSL 復号ポリシーを作成し、これを上記で作成した組み込みセキュリティポリシーに関連付けます。 または 対象グループを使用したセキュリティポリシーの作成 の順に選択し、[TLS/SSL Decryption Policy] を追加して、手順に従ってセキュリティポリシーを設定します。次に、これを上記で作成した組み込みセキュリティポリシーに関連付けます。 |
TLS 復号ポリシーとデバイスの関連付け |
|
|
に移動します。(関連付けられた TLS/SSL 復号ポリシーがある)組み込みセキュリティポリシーを選択し、[Save] をクリックしてポリシーをポリシーグループに関連付けます。次に、ポリシーグループをデバイスに関連付け、デバイスを展開します。 |
TLS プロキシ設定の確認 |
SSL/TLS プロキシの設定を確認するには、次のコマンドを使用します。
|
時刻同期の設定
CA サーバーと証明書を要求するデバイス間の時刻同期を設定します。
手順
ステップ 1 | をクリックします。[System Profile] を選択し、次の詳細を入力します。
| ||||||||||||||||
ステップ 2 | これらの詳細を保存します。 |
認証局の設定
TLS プロキシの設定では、次の CA オプションがサポートされています。
次のセクションでは、TLS プロキシ用の CA の選択について十分な情報に基づいて決定するのに役立つよう、サポートされている各 CA オプションの利点と制限事項について説明します。
エンタープライズ CA
このオプションは、エンタープライズ CA または独自の内部 CA を介して証明書の発行を管理するために使用します。Simple Certificate Enrollment Protocol(SCEP)をサポートしていないエンタープライズ CA の場合は、手動登録が必要です。
手動登録には、デバイスの証明書署名要求(CSR)をダウンロードすること、CA による署名を受けること、Cisco SD-WAN Manager を介して署名付き証明書をデバイスにアップロードすることが含まれます。
利点 |
制限事項 |
---|---|
|
|
エンタープライズ CA の設定
TLS/SSL プロキシ機能を設定する場合、トラストポイントは、ルート証明書およびルート証明書によって署名された証明書の 2 つの証明書のみを許可します。証明書チェーンはアップロードできません。
-
CA サーバーから CA 証明書を PEM または Base 64 形式でダウンロードします。
-
Cisco SD-WAN Manager のメニューから、
の順に選択します。 -
[Enterprise CA] を選択します。
-
PEM エンコードされた CA 証明書をアップロードします。 [Select a file] をクリックします。
または
[Root Certificates] ボックスに CA 証明書を貼り付けます。
-
証明書のアップロード後に自動入力されるフィンガープリントが CA と一致することを確認します。
-
[Save Certificate Authority] をクリックします。
SCEP を備えたエンタープライズ CA
Simple Certificate Enrollment Protocol(SCEP)は、デジタル証明書の発行をより容易に、より安全で、スケーラブルにするために広く使用されているオープンソースプロトコルです。このオプションは、エンタープライズ CA または独自の内部 CA を介して証明書の発行を管理するために使用します。CA が SCEP をサポートしている場合は、証明書管理プロセスを自動化するように設定できます。
利点 |
制限事項 |
---|---|
|
|
SCEP を備えたエンタープライズ CA の設定
-
CA サーバーから CA 証明書を PEM または Base 64 形式でダウンロードします。
-
Cisco SD-WAN Manager のメニューから、[Configuration] > [Certificate Authority] の順に選択します。
-
[Enterprise CA] を選択します。
-
(オプション、ただし推奨)[Simple Certificate Enrollment Protocol (SCEP)] チェックボックスをオンにします。
-
[URL Base] フィールドに、SCEP サーバーの URL を入力します。
-
(オプション)[Challenge Password/Phrase] を入力します(設定済みの場合)。
(注)
エンタープライズ CA が SCEP で設定されている場合、エンタープライズ SCEP CA サーバーは VRF から到達可能である必要があります。
-
PEM エンコードされた CA 証明書をアップロードします。 [Select a file] をクリックします。
または
[Root Certificates] ボックスに CA 証明書を貼り付けます。
-
[Save Certificate Authority] をクリックします。
CA としての Cisco SD-WAN Manager
このオプションは、エンタープライズ CA または独自の内部 CA を介して証明書の発行を管理するために使用します。Simple Certificate Enrollment Protocol(SCEP)をサポートしていないエンタープライズ CA の場合は、手動登録が必要です。
利点 |
制限事項 |
---|---|
|
|
CA としての Cisco SD-WAN Manager の設定
企業に内部 CA がない場合は、[SD-WAN Manager as CA] を使用します。このオプションでは、Cisco SD-WAN がルート CA として使用され、ネットワークのエッジにあるプロキシデバイスに下位 CA を発行する権限が付与されます。CA によって発行された証明書は、Cisco SD-WAN Manager を使用して管理できます。
-
Cisco SD-WAN Manager のメニューから、
の順に選択します。 -
[SD-WAN as CA] を選択します。
(注)
SD-WAN Manager を CA として設定する場合は、[Set SD-WAN as Intermediate CA] チェックボックスをオフのままにします。
-
要求された詳細情報(共通名、組織、組織単位、地域、都道府県、国コード、電子メール)を入力します。
-
証明書の有効期限をドロップダウンリストから選択します。
-
[Save Certificate Authority] をクリックします。
中間 CA としての Cisco SD-WAN Manager
内部エンタープライズ CA があるが、Cisco SD-WAN Manager を中間 CA として使用して下位 CA 証明書を発行および管理したい場合は、このオプションを使用します。
利点 |
制限事項 |
|
|
中間 CA としての SD-WAN Manager の設定
TLS プロキシデバイスが Cisco SD-WAN Manager によって発行された下位 CA 証明書を使用できるようにするには、Cisco SD-WAN Manager を中間 CA として設定します。
Cisco SD-WAN Manager が中間 CA として設定されている場合、エンタープライズ CA はルート CA として機能し、プロキシデバイスの下位 CA 証明書を発行および管理するための優先中間 CA として指定されます。このオプションは、独自の内部 CA があるが、Cisco SD-WAN Manager を使用して証明書の発行と更新を自動化および管理したい企業に適しています。
-
メニューから、 [Configuration] > [Certificate Authority] の順に選択します。
-
[SD-WAN Manager as CA] を選択します。
-
[Set SD-WAN as Intermediate CA] チェックボックスをオンにします。
-
[Select a file] オプションを使用して CA 証明書をアップロードします。
または
[Root Certificate] テキストボックスに PEM エンコードされた CA 証明書ファイルの内容を貼り付けます。
-
[Next] をクリックします。
-
[Generate CSR] 領域で、必要な詳細情報を入力し、[Generate CSR] をクリックします。
画面の [CSR] フィールドに証明書署名要求(CSR)が入力されます。
-
CSR をコピーまたはダウンロードし、エンタープライズ CA サーバーにアップロードして、下位 CA 証明書として CA サーバーに署名してもらいます。
(注)
CA サーバーによって署名された CSR を取得するプロセスは、CA ごとに異なる場合があります。標準の手順に従って、CA によって署名された CSR を取得します。
-
[Save Certificate Authority] をクリックします。
下位 CA 証明書の TLS プロキシへのアップロード
Cisco SD-WAN Manager が中間 CA として設定されている場合、エンタープライズ CA はルート CA として機能し、Cisco SD-WAN Manager はプロキシデバイスの下位 CA 証明書を発行および管理するための優先中間 CA として指定されます。このオプションは、独自の内部 CA があるが、Cisco SD-WAN Manager を使用して証明書の発行と更新を自動化および管理したい企業に適しています。
-
Cisco SD-WAN Manager のメニューから、
の順に選択します。 -
チェックボックスをオンにします。
-
PEM エンコードされた CA 証明書をアップロードします。 [Select a file] をクリックします。
または
[Root Certificates] ボックスに CA 証明書を貼り付けます。
[Next] をクリックします。
-
[Intermediate Certificate] テキストボックスに、署名済み Cisco SD-WAN Manager 証明書の内容を貼り付け、[Upload] をクリックします。
または
[Select a file] をクリックし、前の手順で生成した CSR をアップロードし、[Upload] をクリックします。
-
CSR のアップロード後に自動入力される [Finger Print] が CA 証明書と一致することを確認します。
-
[Save Certificate Authority] をクリックします。
(注)
Cisco 公開キー(PKI)証明書がデバイスにインストールされており、証明書を変更する場合は、ポリシーグループから組み込みセキュリティポリシーを切り離し、ポリシーグループをデバイスにプッシュします。これにより、既存の PKI 証明書と設定が削除されます。PKI 証明書に変更を加えた後、組み込みセキュリティポリシーを再アタッチし、ポリシーグループをデバイスにプッシュします。このプロセスにより、Cisco PKI 証明書の変更に応じてデバイスが更新されます。
設定グループへのデバイスの追加
設定グループにデバイスを追加します。
手順
ステップ 1 | 設定グループ名の横にある [...] をクリックし、[Edit ] を選択します。 |
ステップ 2 | [Associated Devices] をクリックして、[Add Devices] をクリックします。 |
ステップ 3 | 指示に従って操作します。選択したデバイスが [Devices] テーブルにリストされます。 |
TLS トラフィックを検査および復号するためのファイアウォールポリシーの設定
トラフィックがゾーン間を流れるために満たすべき条件を定義するファイアウォールポリシーを設定します。
手順
ステップ 1 | [Cisco SD-WAN Manager] メニューから、 の順に選択し、手順に従ってファイアウォールポリシーを設定します。 | ||||||||||||||||||||||||||||||||||
ステップ 2 | 送信元ゾーンと宛先ゾーンのサブポリシーの作成: ゾーンは、ネットワークのセキュリティ境界を設定します。ゾーンは、トラフィックがネットワークの別の領域に移動するときにポリシー制限の対象となる境界を定義します。 | ||||||||||||||||||||||||||||||||||
ステップ 3 | 検査、復号、および防止のためのセキュリティポリシーの作成: | ||||||||||||||||||||||||||||||||||
ステップ 4 | [Security Policy] の作成ページで [Additional Settings] をクリックして、TLS/SSL 復号の特定のパラメータを追加します。 | ||||||||||||||||||||||||||||||||||
ステップ 5 | [TLS/SSL Decryption Policy] ドロップダウンから [Create New] をクリックして、復号ポリシーを定義します。
または、 を使用して TLS/SSL 復号ポリシーを設定し、TLS/SSL 復号ポリシーを追加することもできます。上記のステップ 4 に示すように、このポリシーを組み込みポリシーに追加してください。 | ||||||||||||||||||||||||||||||||||
ステップ 6 | 復号ポリシーを保存します。 |
ポリシーグループへのセキュリティポリシーの追加
上記で作成した埋め込みセキュリティポリシーをポリシーグループに関連付けます。次の手順を実行します。
手順
ステップ 1 | [Policy Group] をクリックして新しいポリシーグループを作成します。ポリシーグループは、ネットワーク内の 1 つ以上のサイトまたはサイトのデバイスに適用できるポリシーを論理的にグループ化します。 |
ステップ 2 | [Policy Group Name] をクリックします。 を指定し、ソリューションタイプとして [SD-Routing] を選択します。ポリシーグループの説明を入力します。[Create] |
ステップ 3 | ドロップダウンリストから組み込みセキュリティポリシーを選択します。組み込みセキュリティポリシーには、暗号化、ファイアウォール、侵入防御、URL フィルタリング、およびマルウェアのポリシーが含まれます。 |
ステップ 4 | [Save] をクリックして設定を保存します。 |
ステップ 5 | 鉛筆アイコンをクリックして、ポリシーグループに関連付けるデバイスを選択します。この関連付けにより、このポリシーグループをデバイスに展開すると、デバイスはこのポリシーグループに関連付けられているすべてのポリシーを継承します。 |
ステップ 6 | [Deploy] をクリックしてサイトを選択し、ポリシーグループを展開します。 |
TLS プロキシ設定の確認
TLS プロキシの設定を確認するには、次のコマンドを使用します。
show sd-routing running | Cisco SD-WAN Manager で、CLI モードで次のコマンドを実行して、設定が適用されているかどうかを確認します。 |
show sd-routing running-config | Cisco SD-WAN Manager で、SSH 経由でデバイスの CLI に接続して、次のコマンドを実行します。 |
show crypto pki status | デバイスの CLI で次のコマンドを実行し、デバイスに PROXY-SIGNING-CA が存在し、正しく設定されていることを確認します。 |
show sslproxy statistics | デバイスの CLI で、次のコマンドを実行して TLS プロキシの統計情報を表示します。 |
show sslproxy status |
デバイスの CLI で次のコマンドを実行して、TLS プロキシが正常に設定され、Cisco SD-WAN Manager で有効になっているかどうかを確認します。 出力の Clear Mode: FALSE は、TLS プロキシが正常に設定され、Cisco SD-WAN Manager で有効になっていることを示します。 |
show platform hardware qfp active feature utd config | デバイスの CLI で、次のコマンドを実行して設定を確認します。 |
show sd-routing running-configuration|section utd-tls-decrypt | デバイスの CLI で、次のコマンドを実行して設定を確認します。 |
show utd engine standard config | デバイスの CLI で、次のコマンドを実行して設定を確認します。 |
show utd engine standard status | デバイスの CLI で、次のコマンドを実行して設定を確認します。 |