復号ポリシー

ここでは、復号ポリシーの作成、設定、管理、およびロギングの概要を示します。

復号ポリシーについて

復号ポリシーにより、ネットワーク上の暗号化トラフィックの処理方法が決まります。1 つ以上の復号ポリシーを設定し、復号ポリシーをアクセス コントロール ポリシーに関連付けてから、そのアクセス コントロール ポリシーを管理対象デバイスに展開できます。デバイスで TCP ハンドシェイクが検出されると、アクセス コントロール ポリシーは最初にトラフィックを処理して検査します。次に TCP 接続上で TLS/SSL 暗号化セッションが識別された場合は、復号ポリシーが引き継いで暗号化トラフィックの処理および復号が実行されます。

着信トラフィックを復号するルール([復号 - 既知のキー(Decrypt - Known Key)] ルールアクション)および発信トラフィック([復号 - 再署名(Decrypt - Resign)] ルールアクション)など、複数のルールを同時に作成できます。[復号しない(Do Not Decrypt)] または他のルールアクション([ブロック(Block)] や [モニター(Monitor)] など)を使用してルールを作成する場合は、空の復号ポリシーを作成してからルールを追加します。

[復号しない(Do Not Decrypt)] ポリシーの例

以下は、[復号しない(Do Not Decrypt)] ルールアクションを使用した復号ポリシーの例です。

[復号しない(Do Not Decrypt)] ルールアクションでは、トラフィックは復号されることなくファイアウォールを通過します。アクセス コントロール ポリシーにより、トラフィックの検査の有無が決定されます。

最も単純な復号ポリシーでは、次の図に示されているように、展開先のデバイスは単一のデフォルトアクションで暗号化トラフィックを処理するように指示されます。デフォルト アクションの設定では、それ以上のインスペクションなしで復号可能トラフィックをブロックするか、復号されていない復号可能トラフィックをアクセス コントロールで検査するように指定できます。システムは、暗号化されたトラフィックを許可するか、またはブロックできます。デバイスは復号できないトラフィックを検出すると、トラフィックをそれ以上のインスペクションなしでブロックするか、あるいは復号しないままにして、アクセス コントロールによる検査を行います。

復号ポリシー の要件と前提条件

サポートされるドメイン

任意

ユーザの役割

  • 管理者

  • アクセス管理者

  • ネットワーク管理者

復号ポリシーの作成

次のいずれかのタイプの復号ポリシーを作成できます。

  • アウトバウンド保護ポリシーは、アウトバウンド接続を保護するルールを使用します。つまり、宛先サーバーは保護されたネットワークの外部にあります。このタイプのルールには、[復号 - 再署名(Decrypt - Resign)] ルールアクションがあります。

    アウトバウンド接続保護を使用した復号ポリシーの作成を参照してください

  • インバウンド保護ポリシーは、インバウンド接続を保護するルールを使用します。つまり、宛先サーバーは保護されたネットワークの内部にあります。このタイプのルールには、[復号 - 既知のキー(Decrypt - Known Key)] ルールアクションがあります。

    インバウンド接続保護を使用した復号ポリシーの作成を参照してください

  • その他のアクション([復号しない(Do Not Decrypt)] 、[ブロック(Block)] 、および [リセットしてブロック(Block with Reset)] を含む)。

    他のルールアクションを使用した復号ポリシーの作成を参照してください

アウトバウンド接続保護を使用した復号ポリシーの作成

このタスクでは、アウトバウンド接続を保護するルールを使用して復号ポリシーを作成する方法について説明します。つまり、宛先サーバーは保護されたネットワークの外部にあります。このタイプのルールには、[復号 - 再署名(Decrypt - Resign)] ルールアクションがあります。

復号ポリシーを作成するときは、複数の [復号 - 既知のキー(Decrypt - Known Key)] ルールや複数の [復号 - 再署名(Decrypt - Resign)] ルールなど、複数のルールを同時に作成できます。

始める前に

アウトバウンド接続を保護する復号ポリシーを作成する前に、管理対象デバイスの内部 CA 証明書をアップロードする必要があります。これは、次のいずれかの方法で実行できます。

  • オブジェクト > オブジェクト管理 > PKI > 内部 CA に移動して PKI を参照し、内部 CA 証明書オブジェクトを作成します。

  • この復号ポリシーの作成時点で実行。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

[復号ポリシーの作成(Create Decryption Policy)] をクリックします。

ステップ 4

[名前(Name)] に一意のポリシー名を入力し、オプションで [説明(Description)] にポリシーの説明を入力します。

ステップ 5

[内部証明書(Internal Certificates)] リストから、ルールの証明書をアップロードまたは選択します。

内部証明書の詳細については、「アウトバウンド保護のための内部 CA の生成」と「アウトバウンド保護のための内部 CA のアップロード」を参照してください。

ステップ 6

(任意)ネットワークとポートを選択します。

詳細については、次を参照してください。


次のタスク

インバウンド接続保護を使用した復号ポリシーの作成

このタスクでは、インバウンド接続を保護するルールを使用して復号ポリシーを作成する方法について説明します。つまり、宛先サーバーは保護されたネットワーク内にあります。このタイプのルールには、[復号 - 既知のキー(Decrypt - Known Key)] ルールアクションがあります。

復号ポリシーを作成するときは、複数の [復号 - 既知のキー(Decrypt - Known Key)] ルールや複数の [復号 - 再署名(Decrypt - Resign)] ルールなど、複数のルールを同時に作成できます。

始める前に

インバウンド接続を保護する復号ポリシーを作成する前に、内部サーバーの内部証明書をアップロードする必要があります。これは、次のいずれかの方法で実行できます。

  • オブジェクト > オブジェクト管理 > PKI > 内部証明書 に移動し PKI を参照して、内部証明書オブジェクトを作成します。

  • この復号ポリシーの作成時点で実行。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

[復号ポリシーの作成(Create Decryption Policy)] をクリックします。

ステップ 4

[名前(Name)] に一意のポリシー名を入力し、オプションで [説明(Description)] にポリシーの説明を入力します。

ステップ 5

[内部CA(Internal CA)] リストから、ルールの証明書をアップロードまたは選択します。

内部 CA 証明書の詳細については、「内部認証局オブジェクト」を参照してください。

ステップ 6

(任意)ネットワークとポートを選択します。

詳細については、次を参照してください。

ステップ 7

復号ポリシーの除外に進みます。


次のタスク

復号ポリシーの除外

このタスクでは、特定のタイプのトラフィックを復号から除外する方法について説明します。該当するトラフィックについて、復号ポリシーで [復号しない(Do not decrypt)] ルールを作成します。このルールは、当初アウトバウンド復号ポリシー(つまり、[復号 - 再署名(Decrypt - Resign)] ポリシーアクションを使用するポリシー)に対してのみ有効になっています。

始める前に

アウトバウンド接続を保護する復号ポリシーを作成する前に、管理対象デバイスの内部 CA 証明書をアップロードする必要があります。これは、次のいずれかの方法で実行できます。

  • オブジェクト > オブジェクト管理 > PKI > 内部 CA に移動して PKI を参照し、内部 CA 証明書オブジェクトを作成します。

  • この復号ポリシーの作成時点で実行。

手順


ステップ 1

次で説明されているタスクを完了します。

ステップ 2

除外ページには次のオプションがあります。すべてのオプションは、アウトバウンド保護ポリシー([復号 - 再署名(Decrypt - Resign)] ルールアクション)に対して 有効 になり、他のすべての復号ポリシーアクションに対しては 無効 になります。

項目

説明

機密URLカテゴリの復号のバイパス(Bypass decryption for sensitive URL categories)

指定されたカテゴリからのトラフィックを復号しない場合は、このチェックボックスをオンにします。お住まいの地域の法律によっては、特定のトラフィック(金融や健康関連など)の復号が禁止されている場合があります。詳細については、お住まいの地域の当局にお問い合わせください。

カテゴリを追加するには、[追加(Add)] をクリックします。

カテゴリを削除するには、 [削除(Delete)]([削除(Delete)] アイコン をクリックします。

復号不能な識別名の復号のバイパス(Bypass decryption for undecryptable distinguished names)

証明書の再署名によって接続が失敗する可能性があるためトラフィックを復号しない場合は、このボックスをオンにします。通常、この動作は 証明書のピン留めに関連付けられています。この操作については で説明されています。TLS/SSL 証明書のピン留めのガイドライン

復号できない識別名のリストは、シスコが管理しています。

復号不能なアプリケーションの復号のバイパス(Bypass decryption for undecryptable applications)

証明書の再署名によって接続が失敗する可能性があるためトラフィックを復号しない場合は、このボックスをオンにします。通常、この動作は 証明書のピン留めに関連付けられています。この操作については で説明されています。TLS/SSL 証明書のピン留めのガイドライン

復号できないアプリケーションは、脆弱性データベース(VDB)で自動的に更新されます。すべてのアプリケーションのリストは、Cisco Secure Firewall アプリケーションディテクタのページで確認できます。シスコが復号できないと判断したアプリケーションは、undecryptable タグで識別されています。

復号できないアプリケーションのリストは、シスコによって管理されています。

次の図は、デフォルトのオプションを示しています。

アウトバウンド復号ポリシーでは、復号から除外するトラフィックのタイプ(存在する場合)を指定できます。たとえば、財務や健康状態などの機密性の高い Web サイトカテゴリへのトラフィックを除外できます。

ステップ 3

[ポリシーの作成(Create Policy)] をクリックします。

次の図は、アウトバウンド保護ポリシーの例を示しています。

このサンプル復号ポリシーには、選択したネットワークとポートに一致するトラフィックに適用される 1 つの [復号 - 再署名(Decrypt - Resign)] ルールがあります。このルールでは、トラフィックを復号した後、指定した内部証明書オブジェクトで署名して再暗号化します。復号から除外するように指定したトラフィックに [復号しない(Do Not Decrypt)] ルールが追加されます。

前の例では、ルールの除外の選択に対応する [復号しない(Do Not Decrypt)] ルールが、[復号 - 再署名(Decrypt - Resign)] ルールの前に自動的に追加されます。機密 URL カテゴリのルールは、デフォルトでは除外が無効になっているため、無効になっています。[機密URLカテゴリの復号のバイパス(Bypass decryption for sensitive URL categories)] チェックボックスをオンにした場合、このルールは有効になっています。

ステップ 4

[ポリシーの作成(Create Policy)] をクリックします。


次のタスク

アウトバウンド保護のための内部 CA の生成

このタスクでは、アウトバウンド接続を保護する復号ルールを作成するときに、オプションで内部認証局を生成する方法について説明します。CSR への応答として発行された署名付き証明書のアップロードの説明に従って、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] を使用してこれらのタスクを実行することもできます。

始める前に

内部認証局オブジェクトに記載されている内部認証局オブジェクトを生成するための要件をよく理解してください。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

[復号ポリシーの作成(Create Decryption Policy)] をクリックします。

ステップ 4

[名前(Name)] フィールドにポリシーの名前を入力し、[説明(Description)] フィールドに任意の説明を入力します。

ステップ 5

[アウトバウンド接続(Outbound Connections)] タブをクリックします。

ステップ 6

[内部CA(Internal CA)] リストから、[新規作成(Create New)] > [CAの生成(Generate CA)]をクリックします。

ステップ 7

内部 CA に [名前(Name)] を付け、2 文字の [国名(Country Name)]を指定します。

ステップ 8

[自己署名(Self-Signed)]または [CSR] をクリックします。

これらのオプションの詳細については、内部認証局オブジェクト を参照してください。

ステップ 9

表示されたフィールドに必要な情報を入力します。

ステップ 10

[保存(Save)] をクリックします。

ステップ 11

[CSR] を選択した場合は、署名要求が完了したら、次のように [証明書のインストール(Install Certificate)] をクリックします。

  1. この手順の前のステップを繰り返します。

  2. [内部CA(Internal CA)] リストの CA を次のように編集します。

    証明書署名要求から内部 CA をインストールするには、内部 CA の名前の横にある [編集(Edit)] をクリックします。

  3. [Install Certificate] をクリックします。

  4. 画面に表示される指示に従ってタスクを完了します。

ステップ 12

インバウンド接続保護を使用した復号ポリシーの作成」の説明に従って、ポリシーの作成を続行します。


アウトバウンド保護のための内部 CA のアップロード

このタスクでは、アウトバウンド接続を保護する復号ルールを作成するときに、オプションで内部認証局をアップロードする方法について説明します。CSR への応答として発行された署名付き証明書のアップロードの説明に従って、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] を使用してこれらのタスクを実行することもできます。

始める前に

内部認証局オブジェクトに記載されている内部認証局オブジェクトを生成するための要件をよく理解してください。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

[復号ポリシーの作成(Create Decryption Policy)] をクリックします。

ステップ 4

[名前(Name)] フィールドにポリシーの名前を入力し、[説明(Description)] フィールドに任意の説明を入力します。

ステップ 5

[アウトバウンド接続(Outbound Connections)] タブをクリックします。

ステップ 6

[内部CA(Internal CA)] リストから、[新規作成(Create New)] > [CAのアップロード(Upload CA)]をクリックします。

ステップ 7

内部 CA に名前を付けます。

ステップ 8

表示されたフィールドに、証明書とその秘密鍵を貼り付けるか、参照して見つけます。

ステップ 9

CA にパスワードが設定されている場合は、[暗号化(Encrypted)] チェックボックスをオンにして、隣のフィールドにパスワードを入力します。

ステップ 10

アウトバウンド接続保護を使用した復号ポリシーの作成」の説明に従って、ポリシーの作成を続行します。


アウトバウンド保護のための内部証明書のアップロード

このタスクでは、アウトバウンド接続を保護する復号ルールを作成するときに、内部認証局をアップロードする方法について説明します。CA 証明書および秘密キーのインポートで説明されているように、[オブジェクト(Objects)] > [オブジェクト管理(Object Management)] を使用して内部 CA をアップロードすることもできます。

始める前に

内部認証局オブジェクトで説明されているいずれかの形式の内部認証局があることを確認してください。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

[復号ポリシーの作成(Create Decryption Policy)] をクリックします。

ステップ 4

[名前(Name)] フィールドにポリシーの名前を入力し、[説明(Description)] フィールドに任意の説明を入力します。

ステップ 5

[インバウンド接続(Inbound Connections)] タブをクリックします。

ステップ 6

[内部証明書(Internal Certificates)] リストから、Add ( add icon) をクリックします。

ステップ 7

[アップロード(Upload)] をクリックします。

ステップ 8

内部 CA に名前を付けます。

ステップ 9

表示されたフィールドに、証明書とその秘密鍵を貼り付けるか、参照して見つけます。

ステップ 10

証明書にパスワードが設定されている場合は、[暗号化(Encrypted)] チェックボックスをオンにして、隣のフィールドにパスワードを入力します。

ステップ 11

インバウンド接続保護を使用した復号ポリシーの作成」の説明に従って、復号ポリシーの作成を続行します。


他のルールアクションを使用した復号ポリシーの作成

[復号しない(Do Not Decrypt)] 、[ブロック(Block)] 、[リセットしてブロック(Block With Reset)] 、または [モニター(Monitor)] ルールアクションを使用して復号ルールを作成するには、復号ポリシーを作成および編集して、ルールを追加します。

復号ポリシーを作成するときは、複数の [復号 - 既知のキー(Decrypt - Known Key)] ルールや複数の [復号 - 再署名(Decrypt - Resign)] ルールなど、複数のルールを同時に作成できます。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

[名前(Name)] に一意のポリシー名を入力し、オプションで [説明(Description)] にポリシーの説明を入力します。

ステップ 4

ポリシーが作成されるまで待機します。

ステップ 5

復号ポリシー名の横にある [編集(Edit)]編集アイコンをクリックします。

ステップ 6

[ルールの追加(Add Rule)] をクリックします。

ステップ 7

ルールに [名前(Name)] を付けます。

ステップ 8

詳細については、[アクション(Action)] リストからルールアクションをクリックし、次のいずれかのセクションを参照してください。

ステップ 9

[保存(Save)] をクリックします。


次のタスク

復号ポリシー のデフォルトアクション

復号ポリシーのデフォルトアクションは、ポリシーのモニター以外のルールと一致しない復号可能な暗号化トラフィックについてシステムがどのように処理するかを決定します。復号ルールがまったく含まれない 復号ポリシーを展開する場合、ネットワーク上のすべての復号可能トラフィックの処理方法が、デフォルトアクションで決定されます。デフォルト アクションでブロックされた暗号化トラフィックに対しては、システムはいかなる種類のインスペクションも行わないことに注意してください。

復号ポリシーのデフォルトアクションを設定する方法:

  1. まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

  2. [ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

  3. 復号ポリシーの名前の横にある [編集(Edit)]編集アイコン をクリックします。

  4. [デフォルトアクション(Default Action)] 行で、リストから次のいずれかのアクションをクリックします。

表 1. 復号ポリシー のデフォルトアクション

デフォルト アクション

暗号化トラフィックに対して行う処理

ブロック(Block)

それ以上のインスペクションは行わずに TLS/SSL セッションをブロックします。

Block with reset

それ以上のインスペクションは行わずに TLS/SSL セッションをブロックし、TCP 接続をリセットします。トラフィックに UDP のようなコネクションレス型プロトコルが使用される場合は、このオプションを選択します。この場合、コネクションレス型プロトコルにより、リセットされるまで接続の再確立が試みられます。

また、このアクションでは、ブラウザの接続リセット エラーも表示されるため、接続がブロックされたことがユーザーに通知されます。

復号しない(Do not decrypt)

アクセス コントロールを使用して暗号化トラフィックを検査します。

復号できないトラフィックのデフォルト処理オプション

表 2. 復号できないトラフィックタイプ

タイプ

説明

デフォルト アクション

使用可能なアクション

圧縮されたセッション(Compressed Session)

TLS/SSL セッションはデータ圧縮メソッドを適用します。

デフォルトアクションを継承する(Inherit default action)

Do not decrypt

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルトアクションを継承する(Inherit default action)

SSLv2 セッション(SSLv2 Session)

セッションは SSL バージョン 2 で暗号化されます。

トラフィックが復号可能となるのは、ClientHello メッセージが SSL 2.0 で、送信トラフィックの残りが SSL 3.0 であることに注意してください。

デフォルトアクションを継承する(Inherit default action)

Do not decrypt

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルトアクションを継承する(Inherit default action)

不明な暗号スイート(Unknown Cipher Suite)

システムが認識できない暗号スイートです。

デフォルトアクションを継承する(Inherit default action)

Do not decrypt

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルトアクションを継承する(Inherit default action)

サポートされていない暗号スイート(Unsupported Cipher Suite)

検出された暗号スイートに基づく復号を、システムはサポートしていません。

デフォルトアクションを継承する(Inherit default action)

Do not decrypt

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルトアクションを継承する(Inherit default action)

セッションが未キャッシュ(Session not cached)

TLS/SSL セッションでセッションの再利用が有効化されており、クライアントとサーバがセッション識別子を使ってセッションを再確立しているのに、システムでセッション識別子がキャッシュされていません。

デフォルトアクションを継承する(Inherit default action)

Do not decrypt

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルトアクションを継承する(Inherit default action)

ハンドシェイク エラー(Handshake Errors)

TLS/SSL ハンドシェイクのネゴシエーション中にエラーが発生しました。

デフォルトアクションを継承する(Inherit default action)

Do not decrypt

ブロック(Block)

リセットしてブロック(Block with reset)

デフォルトアクションを継承する(Inherit default action)

復号エラー(Decryption Errors)

トラフィックの復号中にエラーが発生しました。

ブロック(Block)

ブロック(Block)

ブロック(リセットあり)

復号ポリシーを最初に作成する場合、デフォルトアクションによって処理される接続のログは、デフォルトでは無効化されています。復号できないトラフィックの処理ではデフォルトアクションのログ設定も適用されるため、復号できないトラフィックのアクションで処理される接続のログは、デフォルトでは無効化されています。

ブラウザが証明書ピニングを使用してサーバ証明書を確認する場合は、サーバ証明書に再署名しても、このトラフィックを復号できないことに注意してください。詳細については、復号ルール の注意事項と制限事項を参照してください。

復号ポリシーが TCP ステートバイパスを使用するアクセス コントロール ポリシーに関連付けられている場合、一致するトラフィックは、ポリシーで設定されている [ハンドシェイクエラー(Handshake Errors)] に対する [復号不可のアクション(Undecryptable Actions)] に基づいて処理されます。

たとえば、復号ポリシーの [ハンドシェイクエラー(Handshake Errors)] が [ブロック(Block)] に設定されている場合、ルールに一致するトラフィックはブロックされ、接続イベントのアクションはハンドシェイクエラーとして報告されます。

TCP ステートバイパスの詳細については、次を参照してください。

復号できないトラフィックのデフォルト処理を設定する

システムによる復号や検査ができない特定タイプの暗号化トラフィックを処理するために、復号できないトラフィックのアクションを復号ポリシーレベルで設定できます。復号ルールを含まない復号ポリシーを展開する場合、ネットワーク上のすべての復号できない暗号化トラフィックの処理方法は、復号できないトラフィックのアクションによって決まります。

復号できないトラフィックのタイプによって、次の選択ができます。

  • 接続をブロック。

  • 接続をブロックした後でリセットする。接続がブロックされるまで接続を試行し続ける UDP などのコネクションレス型プロトコルの場合、このオプションをお勧めします。

  • アクセス コントロールを使用して暗号化トラフィックを検査します。

  • 復号ポリシーからデフォルトのアクションを継承します。

手順


ステップ 1

まだ Secure Firewall Management Center にログインしていない場合は、ログインします。

ステップ 2

[ポリシー(Policies)] > [アクセスコントロール(Access Control)] > [復号(Decryption)] をクリックします。

ステップ 3

復号ポリシーの名前の横にある [編集(Edit)]編集アイコン をクリックします。

ステップ 4

復号ポリシーエディタで、[復号できないアクション(Undecryptable Actions)] をクリックします。

ステップ 5

各フィールドで、復号ポリシーのデフォルトアクションを選択するか、復号できないタイプのトラフィックに対して実行する別のアクションを選択します。詳細については、復号できないトラフィックのデフォルト処理オプション復号ポリシー のデフォルトアクションを参照してください。

ステップ 6

[保存(Save)] をクリックしてポリシーを保存します。


次のタスク

復号ポリシーの詳細オプション

復号ポリシー の [詳細設定(Advanced Settings)] ページには、ポリシーが適用される Snort 3 用に設定されたすべての管理対象デバイスに適用されるグローバル設定があります。

復号ポリシー 詳細設定は、以下を実行する管理対象デバイスではすべて無視されます。

  • 7.1 より前のバージョン

  • Snort 2

[ESNIを要求するフローをブロックする(Block flows requesting ESNI)]

Encrypted Server Name Indication(ESNI(提案の草案へのリンク))は、クライアントが要求している内容を TLS 1.3 サーバーに伝える方法です。https://tools.ietf.org/html/draft-ietf-tls-esniSNI は暗号化されており、システムではサーバーを判別できないため、SNI 接続は必要に応じてブロックできます。

HTTP/3 アドバタイズメントを無効にする

このオプションを選択すると、TCP 接続の ClientHello から HTTP/3(RFC 9114)が削除されます。HTTP/3 は QUIC トランスポートプロトコルの一部であり、TCP トランスポートプロトコルではありません。クライアントによる HTTP/3 のアドバタイジングをブロックすると、QUIC 接続に埋め込まれている可能性のある攻撃や回避の試行に対する保護が提供されます。

信頼できないサーバー証明書をクライアントに伝播する

これは、[復号-再署名(Decrypt - Resign)] ルールアクションに一致するトラフィックにのみ適用されます。

このオプションを有効にすると、サーバー証明書が信頼されていない場合に、管理対象デバイスの認証局(CA)がサーバーの証明書の代わりに使用されます。信頼されていないサーバー証明書とは、Cisco Defense Orchestrator で信頼できる CA として表示されていない証明書です(Secure Firewall Management Center。([オブジェクト(Objects)] > [オブジェクト管理(Object Management)] > [PKI] > [信頼できるCA(Trusted CAs)]

[TLS 1.3復号の有効化(Enable TLS 1.3 Decryption)]

TLS 1.3 接続に復号ルールを適用するかどうか。このオプションを有効にしない場合、復号ルールは TLS 1.2 以下のトラフィックにのみ適用されます。「TLS 1.3 復号のベストプラクティス」を参照してください。

[適応型TLSサーバーアイデンティティプローブの有効化(Enable adaptive TLS server identity probe)]

TLS 1.3 復号が有効な場合、自動的に有効になります。 プローブは、サーバーとの部分的な TLS 接続であり、その目的はサーバー証明書を取得してキャッシュすることです。(証明書がすでにキャッシュされている場合、プローブは確立されません。)

復号ポリシーが関連付けられているアクセス コントロール ポリシーで TLS 1.3 サーバーアイデンティティ検出が無効になっている場合、サーバー名指定(SNI)の使用が試行されますが、これは信頼性が高くありません。

適応型 TLS サーバー アイデンティティ プローブは、以前のリリースのようにすべての接続では発生せず、次のいずれかの条件で発生します。

  • 証明書の発行者:復号ルールの DN ルール条件で発行者 DN の値が一致する場合に一致します。

    詳細については、識別名(DN)のルール条件を参照してください。

  • 証明書ステータス:復号ルールでいずれかの証明書ステータス条件が一致する場合に一致します。

    詳細については、証明書ステータスの 復号ルール条件を参照してください。

  • 内部/外部証明書:内部証明書は、[復号-既知のキー(Decrypt - Known Key)] ルールアクションで使用される証明書と照合できます。外部証明書は、証明書ルール条件で照合できます。

    詳細については、既知のキーでの復号(着信トラフィック)および証明書の 復号ルール条件を参照してください。

  • アプリケーション ID:アクセス コントロール ポリシーまたは復号ポリシーのアプリケーションルール条件と照合できます。

    詳細については、アプリケーションルール条件を参照してください。

  • URL カテゴリ:アクセス コントロール ポリシーの URL ルール条件と照合できます。

    詳細については、URL ルール条件を参照してください。


(注)  


[適応型TLSサーバーでの検出モードの有効化(Enable adaptive TLS server discovery mode)] は、AWS に展開されたどの Secure Firewall Threat Defense Virtual でもサポートされていません。Secure Firewall Management Center で管理されているそのような管理対象デバイスがある場合、接続イベント PROBE_FLOW_DROP_BYPASS_PROXY は、デバイスがサーバー証明書の抽出を試みるたびに増加します。


TLS 1.3 復号のベストプラクティス

推奨事項:詳細オプションを有効にする場合

復号ポリシーとアクセス コントロール ポリシーの両方に、トラフィックが復号されているかどうかに関係なく、トラフィックの処理方法に影響する詳細オプションがあります。

詳細オプションは次のとおりです。

  • 復号ポリシー:

    • TLS 1.3 復号

    • TLS 適応型サーバーのアイデンティティプローブ

  • アクセス コントロール ポリシー:TLS 1.3 サーバーアイデンティティ検出

    アクセス コントロール ポリシー設定は、復号ポリシー設定よりも優先されます。

次の表を使用して、有効にするオプションを決定します。

TLS 適応型サーバーのアイデンティティプローブ設定(復号ポリシー)

TLS 1.3 サーバーアイデンティティ検出設定(アクセス コントロール ポリシー)

結果

推奨される状況

有効

無効

復号ポリシーに復号ポリシーの詳細オプションで指定されたいずれかのルール条件が含まれ、かつサーバー証明書がキャッシュされていない場合に適応プローブが送信されます。

  • アクセスコントロールルールでアプリケーション条件または URL 条件を使用していない

  • トラフィックを復号している

有効

有効

サーバー証明書がキャッシュされていない場合、プローブは常に送信されます。

アクセスコントロールルールに URL 条件またはアプリケーション条件がある場合にのみ使用する

無効

有効

サーバー証明書がキャッシュされていない場合、プローブは常に送信されます。

非推奨

無効

無効

プローブは送信されません。

実用性は非常に限定される。トラフィックを復号せず、アクセスコントロールルールでアプリケーション条件または URL 条件を使用しない場合にのみ使用する


(注)  


キャッシュされた TLS サーバーの証明書は、特定の Threat Defense のすべての Snort インスタンスで利用できます。キャッシュは CLI コマンドでクリアでき、デバイスの再起動時に自動的にクリアされます。


参照

詳細については、secure.cisco.com で TLS サーバーアイデンティティ検出の説明を参照してください。