SSLプロキシの統合ポリシー
SSLプロキシによるアプリケーションセキュリティ サービス
SSLプロキシの実装により、AppIDはSSLで暗号化されたアプリケーションを識別できます。SSLプロキシーは、通常のファイアウォールポリシールールでアプリケーションサービスとして有効にすることができます。侵入検出および防止(IDP)、アプリケーションファイアウォール(AppFW)、アプリケーション追跡(AppTrack)、高度なポリシーベースのルーティング(APBR)サービス、コンテンツセキュリティ、ATP Cloud、およびセキュリティ インテリジェンス(SecIntel)は、SSLプロキシからの復号化されたコンテンツを使用できます。
ある機能が特定のプラットフォームまたは Junos OS リリースでサポートされているかどうかを確認するには、「機能エクスプローラー」を参照してください
SSLペイロードでは、IDPは攻撃と異常を検査できます。たとえば、HTTPS での HTTP チャンク長オーバーフローなどです。Facebook などの暗号化されたアプリケーションでは、AppFW はポリシーを適用でき、AppTrack (from ゾーンと to ゾーンで構成されている場合) は動的アプリケーションに基づいてログの問題を報告できます。
どのサービス(AppFW、IDP、または AppTrack)も設定されていない場合、SSL プロキシがファイアウォール ポリシーにアタッチされていても、SSL プロキシ サービスはバイパスされます。
IDP モジュールは、SSL プロキシがセッションで有効になっている場合、そのセッションで SSL インスペクションを実行しません。つまり、SSL インスペクションと SSL プロキシの両方がセッションで有効になっている場合、SSL プロキシが常に優先されます。
動的アプリケーション識別の活用
SSLプロキシは、アプリケーション識別サービスを使用して、特定のセッションがSSL暗号化されているかどうかを動的に検出します。SSL プロキシーは、セッションが SSL で暗号化されている場合にのみ許可されます。セッションには、次のルールが適用されます。
セッションは、アプリケーション・システム・キャッシュで Encrypted=Yes としてマークされます。セッションに「 Encrypted=Yes」のマークが付いている場合は、そのセッションのアプリケーション識別から最終的に一致したものが SSL 暗号化されていることを示し、SSL プロキシーはプロキシー機能を開始できる状態に遷移します。
セッションは、アプリケーション・システム・キャッシュで Encrypted=No とマークされます。アプリケーション・システム・キャッシュ内に非 SSL エントリーが見つかった場合、そのセッションのアプリケーション識別からの最終的な一致が非 SSL であることを示し、SSL プロキシーはそのセッションを無視します。
アプリケーション・システム・キャッシュに項目が見つかりません。これは、最初のセッション、またはアプリケーションシステムのキャッシュがクリーンアップされたとき、または有効期限が切れたときに発生する可能性があります。このようなシナリオでは、SSLプロキシは最終的な一致を待つことができません(両方向のトラフィックが必要です)。SSL プロキシーでは、SSL プロキシーが SSL ハンドシェイクを開始した場合にのみ、逆方向のトラフィックが発生します。最初に、このようなシナリオの場合、SSLプロキシは、アプリケーション識別からの事前一致または積極的な一致結果を利用しようとし、結果がSSLを示している場合、SSLプロキシはハンドシェイクを続行します。
リソースの制約やその他のエラーにより、アプリケーションの識別に失敗する。アプリケーション識別の結果が利用できない場合、SSLプロキシは静的ポートバインディングを想定し、セッションでSSLハンドシェイクを開始しようとします。これは、実際の SSL セッションでは成功しますが、非 SSL セッションではセッションがドロップされます。
参照
統合ポリシーのSSLプロキシサポート
SRXシリーズファイアウォールでは、統合ポリシーがサポートされており、従来のセキュリティポリシー内で、動的なレイヤー7アプリケーションのきめ細かな制御と適用を可能にします。
統合ポリシーは、既存の 5 タプルまたは 6 タプル (ユーザー ファイアウォールを使用した 5 タプル) 一致条件の一部として動的アプリケーションを一致条件として使用し、時間の経過に伴うアプリケーションの変更を検出できるようにするセキュリティ ポリシーです。
SSL プロキシ機能は、デバイスが統合ポリシーで設定されている場合にサポートされます。この機能拡張の一環として、デフォルトの SSL プロキシー・プロファイルを構成できます。
動的アプリケーションが識別される前に行われる最初のポリシー検索フェーズ中に、異なるSSLプロキシプロファイルを含む複数のポリシーが潜在ポリシーリストに存在する場合、SRXシリーズファイアウォールは、より明示的な一致が発生するまでデフォルトのSSLプロキシプロファイルを適用します。
デフォルトの SSL プロキシー・プロファイルを作成することをお勧めします。ポリシーが競合する場合、使用可能なデフォルトのSSLプロキシプロファイルがない場合、セッションはドロップされます。
[edit services ssl proxy] 階層レベルで SSL プロキシ プロファイルを構成し、それを [edit security ngfw] 階層レベルでデフォルトの SSL プロキシ プロファイルとして適用できます。この構成は、既存の SSL サービス構成には影響しません。
デフォルトの SSL プロキシー・プロファイルの構成は、SSL フォワード・プロキシーとリバース・プロキシーの両方でサポートされています。
SSL プロキシー・デフォルト プロファイルの仕組みについて
表 1 は、統合ポリシーにおけるデフォルトの SSL プロキシー プロファイルの動作をまとめたものです。
アプリケーション識別ステータス |
SSL プロキシ プロファイルの使用状況 |
アクション |
|---|---|---|
セキュリティ ポリシーの競合なし |
SSLプロキシプロファイルは、トラフィックがセキュリティポリシーに一致する場合に適用されます。 |
SSL プロキシ プロファイルが適用されます。 |
セキュリティ ポリシーの競合 (競合するポリシーには個別の SSL プロキシ プロファイルがあります) |
デフォルトの SSL プロキシー・プロファイルが構成されていないか、または見つかりません。 |
デフォルトのSSLプロキシプロファイルが構成されていないため、セッションが終了します。 |
デフォルトの SSL プロキシー・プロファイルが構成されています。 |
デフォルトの SSL プロキシ プロファイルが適用されます。 |
|
最終アプリケーションが特定される |
一致するセキュリティ ポリシーには、デフォルトの SSL プロキシ プロファイルと同じ SSL プロキシ プロファイルがあります。 |
デフォルトの SSL プロキシ プロファイルが適用されます。 |
一致するセキュリティ ポリシーには SSL プロキシ プロファイルがありません。 |
デフォルトの SSL プロキシ プロファイルが適用されます。 |
|
一致するセキュリティ ポリシーに、既に適用されているデフォルトの SSL プロキシ プロファイルとは異なる SSL プロキシ プロファイルがあります。 |
すでに適用されているデフォルトのSSLプロキシプロファイルは、適用されたまま残ります。 |
セキュリティ ポリシーには、SSL リバース プロキシ プロファイルまたは SSL フォワード プロキシ プロファイルを一度に構成できます。
セキュリティー・ポリシーに SSL フォワード・プロキシー・プロファイルがあり、別のセキュリティー・ポリシーに SSL リバース・プロキシー・プロファイルがある場合、その場合は、デフォルト・プロファイル (SSL リバース・プロキシー・プロファイルまたは SSL フォワード・プロキシー・プロファイルのいずれか) が考慮されます。
デフォルトのSSLプロキシプロファイルが使用できない場合、ポリシーの競合が発生するとセッションがドロップされるため、デフォルトのSSLプロキシプロファイルを作成することをお勧めします。イベントを記録するために、システムログメッセージが生成されます。
システムログメッセージの例:
"<14>1 2018-03-07T03:18:33.374-08:00 4.0.0.254 kurinji junos-ssl-proxy - SSL_PROXY_SSL_SESSION_DROP [junos@2636.1.1.1.2.105 logical-system-name="root-logical-system" session-id="15" source-address="4.0.0.1" source-port="37010" destination-address="5.0.0.1" destination-port="443" nat-source-address="4.0.0.1" nat-source-port="37010" nat-destination-address="5.0.0.1" nat-destination-port="443" profile-name="(null)" source-zone-name="untrust" source-interface-name="xe-2/2/1.0" destination-zone-name="trust" destination-interface-name="xe-2/2/2.0" message="default ssl-proxy profile is not configured"]
さまざまなシナリオでのデフォルトのSSLプロキシー・プロファイル
- ポリシーの競合なし - すべてのポリシーに同じ SSL プロキシ プロファイルを持ちます
- ポリシーの競合なし:すべてのポリシーに同じSSLプロキシプロファイルがあり、最終ポリシーにはSSLプロファイルがありません
- ポリシーの競合:最終ポリシーにSSLプロファイルが設定されていません
- ポリシーの競合:デフォルト SSL プロキシ プロファイルと最終ポリシーの異なる SSL プロキシ プロファイル
- 統合ポリシーを使用したSSLプロキシーの制限事項
ポリシーの競合なし - すべてのポリシーに同じ SSL プロキシ プロファイルを持ちます
表2に示すように、一致するすべてのポリシーには、同じSSLプロキシプロファイルがあります。
セキュリティポリシー |
送信元ゾーン |
元 IP アドレス |
ゾーンと宛先 |
IP アドレス |
ポート番号 |
議定書 |
動的アプリケーション |
サービス |
デフォルト SSL プロキシ プロファイル |
|---|---|---|---|---|---|---|---|---|---|
ポリシー-P1 |
S1 |
任意 |
D1の |
任意 |
任意 |
任意 |
SSLプロキシー |
SSL-1 |
|
ポリシー-P2 |
S1 |
任意 |
D1の |
任意 |
任意 |
任意 |
ググる |
SSLプロキシー |
SSL-1 |
この場合、Policy-P1 と Policy-P2 の両方に同じ SSL プロキシ プロファイル(SSL-1)があります。競合がないため、プロファイル SSL-1 が適用されます。
デフォルトの SSL プロキシ プロファイル(SSL-2)を設定している場合、それは適用されません。ポリシー(Policy-P1 と Policy-P2)に競合がないためです。
ポリシーの競合なし:すべてのポリシーに同じSSLプロキシプロファイルがあり、最終ポリシーにはSSLプロファイルがありません
表 3 に示すように、Policy-P1 と Policy-P2 には同じ SSL プロキシ プロファイルがあり、Policy-3 には SSL プロファイルがありません。
セキュリティポリシー |
送信元ゾーン |
元 IP アドレス |
ゾーンと宛先 |
IP アドレス |
ポート番号 |
議定書 |
動的アプリケーション |
サービス |
デフォルト SSL プロキシ プロファイル |
|---|---|---|---|---|---|---|---|---|---|
ポリシー-P1 |
S1 |
任意 |
D1の |
任意 |
任意 |
任意 |
SSLプロキシー |
SSL-1 |
|
ポリシー-P3 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
ユーチューブ |
SSLプロキシー |
SSL-1 |
ポリシー-P2 |
S1 |
任意 |
D1の |
任意 |
任意 |
任意 |
ググる |
他 |
何一つ |
このシナリオでは、Policy-P1 と Policy-P2 の両方に同じ SSL プロキシ プロファイル(SSL-1)があります。競合がないため、プロファイル SSL-1 は、最終的なポリシー一致の前に適用されます。
最終アプリケーションが識別されると、最終アプリケーションに一致するセキュリティ ポリシー、つまり Policy-P3 が適用されます。Policy-P3 には SSL プロキシ プロファイルがないため、すでに適用されているプロファイル SSL-1 は適用されたままになります。これは、SSL プロキシ プロファイルがすでにトラフィックに適用されているためです。
ポリシーの競合:最終ポリシーにSSLプロファイルが設定されていません
デフォルトのSSLプロキシプロファイルは、 表4に示すように、潜在的な一致時に適用されます。最後のポリシーである Policy-P3 には SSL プロキシ プロファイルがありません。
セキュリティポリシー |
送信元ゾーン |
元 IP アドレス |
ゾーンと宛先 |
IP アドレス |
ポート番号 |
議定書 |
動的アプリケーション |
サービス |
デフォルト SSL プロキシ プロファイル |
|---|---|---|---|---|---|---|---|---|---|
ポリシー-P1 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
SSLプロキシー |
SSL-1 |
|
ポリシー-P2 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
ググる |
SSLプロキシー |
SSL-2 |
ポリシー-P3 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
ユーチューブ |
他 |
該当なし |
この例では、SSL プロキシ プロファイル SSL-1 がデフォルトの SSL プロキシ プロファイルとして設定されています。Policy-P1 と Policy-P2 のポリシー競合時には、デフォルト プロファイル SSL-1 が適用されます。
最終アプリケーションが識別されると、最終アプリケーションに一致するセキュリティ ポリシー、つまり Policy-P3 が適用されます。Policy-P3 には SSL プロキシ プロファイルがないため、すでに適用されているプロファイル SSL-1 は引き続き適用されたままになります。これは、SSLプロキシプロファイルがトラフィックに適用されるためです。
ポリシーの競合:デフォルト SSL プロキシ プロファイルと最終ポリシーの異なる SSL プロキシ プロファイル
SSL プロキシー・プロファイル SSL-1 は、デフォルトの SSL プロキシー・プロファイルとして構成されており、最終ポリシーが一致する前に既に適用されています。 表5を参照してください。
セキュリティポリシー |
送信元ゾーン |
元 IP アドレス |
ゾーンと宛先 |
IP アドレス |
ポート番号 |
議定書 |
動的アプリケーション |
サービス |
デフォルト SSL プロキシ プロファイル |
|---|---|---|---|---|---|---|---|---|---|
ポリシー-P1 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
SSLプロキシー |
SSL-1 |
|
ポリシー-P2 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
ググる |
SSLプロキシー |
SSL-2 |
ポリシー-P3 |
S1 |
50.1.1.1 |
D1の |
任意 |
任意 |
任意 |
ユーチューブ |
SSLプロキシー |
SSL-3 |
最終アプリケーションが識別されると、最終アプリケーションに一致するセキュリティ ポリシー、つまり Policy-P3 が適用されます。Policy-P3 の SSL プロファイル、つまり SSL-3 は適用されません。代わりに、デフォルト プロファイルとして構成および適用された SSL プロキシ プロファイル SSL-2 は、引き続き適用されたままになります。
トラフィックに既に適用されているデフォルトの SSL プロキシ プロファイルから別の SSL プロキシ プロファイルへの切り替えはサポートされていません。
統合ポリシーを使用したSSLプロキシーの制限事項
デフォルトの SSL プロキシー・プロファイルが使用可能になっている場合、最終セキュリティー・ポリシーに SSL プロキシーが構成されていない場合でも、そのプロファイルは使用不可にできません。
デフォルトの SSL プロキシー・プロファイルが使用可能になっていて、トラフィックに適用されており、最終セキュリティー・ポリシーにデフォルト・プロファイル以外の別の SSL プロキシー・プロファイルが構成されている場合、デフォルトの SSL プロキシー・プロファイルからセキュリティー・ポリシーの SSL プロキシー・プロファイルへの切り替えはサポートされていません。
デフォルト SSL プロキシ プロファイルの構成
SSLプロキシは、セキュリティポリシー内のアプリケーションサービスとして有効です。セキュリティポリシーで、SSLプロキシーを有効にする必要があるトラフィックの一致基準を指定します。次に、トラフィックに適用するSSLプロキシプロファイルを指定します。統合ポリシーを設定する場合の手順には、SSL プロファイルの定義、 [edit security ngfw] 階層レベルのデフォルト プロファイルとしての SSL プロファイルの追加、目的のセキュリティ ポリシーへの含めが含まれます。
SSL フォワード プロキシのデフォルト プロファイルの設定
この手順では、SSL フォワードプロキシプロファイルを設定し、そのプロファイルをデフォルトプロファイルとして指定します。
SSL リバース プロキシのデフォルト プロファイルの設定
この手順では、SSL リバース プロキシ プロファイルを構成し、そのプロファイルをデフォルト プロファイルとして指定します。
論理システムのデフォルト SSL プロファイルの設定
この手順では、SSL フォワードプロキシプロファイルまたは SSL リバースプロキシプロファイルを、論理システム設定のデフォルトプロファイルとして割り当てます。この場合、1 つのプロファイルを SSL フォワード・プロキシーまたは SSL リバース・プロキシーからのデフォルト・プロファイルにすることができます。
例:ユニファイド ポリシーのデフォルト SSL プロキシ プロファイルの設定
この例では、デフォルトのSSLプロキシプロファイルを設定し、それを統合ポリシーに適用する方法を示しています。
構成
手順
デフォルトのSSLプロキシ・プロファイルを構成し、それを統合ポリシーに適用するには、次のようにします。
SSL プロファイルを作成し、CA プロファイル グループを SSL プロキシ プロファイルにアタッチします。
user@host#set services ssl proxy profile SSL-FP-PROFILE-1 trusted-ca allSSL プロキシ プロファイルで署名証明書を root-ca として適用します。
user@host#set services ssl proxy profile SSL-FP-PROFILE-1 root-ca ssl-inspect-caSSL プロキシー・プロファイルをデフォルト・プロファイルとして定義します。
user@host#set security ngfw default-profile ssl-proxy profile-name SSL-FP-PROFILE-1統一ポリシーを作成し、一致条件として動的アプリケーションを指定します。
user@host#set security policies from-zone untrust to-zone trust policy from_internet match source-address anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match destination-address anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match application anyuser@host#set security policies from-zone untrust to-zone trust policy from_internet match dynamic-application junos:webセキュリティ ポリシーで許可されたトラフィックに SSL プロキシ プロファイルを適用します。
user@host#set security policies from-zone untrust to-zone trust policy from_internet then permit application-services ssl-proxy profile-name SSL-FP-PROFILE-1
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OS リリース 18.2R1 以降を搭載した SRXシリーズファイアウォールこの設定例は、Junos OS リリース 18.2R1 でテストされています。
この機能を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、ルート CA 証明書を指定して SSL フォワード プロキシ プロファイルを構成します。次に、プロファイルをデフォルトのSSLプロキシプロファイルとして構成します。次に、統一ポリシーを作成し、許可されたトラフィックのアプリケーションサービスとしてSSLプロキシーを呼び出します。
検証
SSLプロキシ設定の確認
目的
SSL プロキシー統計情報を表示して、構成が正しく機能していることを確認します。
アクション
動作モードから、 show services ssl proxy statistics コマンドを入力します。
user@host> show services ssl proxy statistics
PIC:fwdd0 fpc[0] pic[0]
sessions matched 0
sessions bypassed:non-ssl 0
sessions bypassed:mem overflow 0
sessions bypassed:low memory 0
sessions created 0
sessions ignored 0
sessions active 0
sessions dropped 0
sessions whitelisted 0
whitelisted url category match 0
default profile hit 0
session dropped no default profile 0
policy hit no profile configured 0 意味
コマンドの出力には、次の情報が表示されます。
SSL プロキシーで一致したセッションに関する詳細。
デフォルト プロファイルが適用されるセッションや、デフォルト プロファイルがないためにドロップされたセッションなど、デフォルト SSL プロキシ プロファイルの詳細。
SSL プロキシ プロファイルの SNI ベースの動的アプリケーション情報
Server name Indication (SNI) TLS 拡張機能を利用して動的アプリケーションを識別することで、SSL プロキシ プロファイル選択メカニズムを強化しました。
SSL プロキシ モジュールは、SNI に基づくクライアント hello メッセージで動的アプリケーションが検出されるまで、SSL プロファイルの選択を延期します。動的アプリケーションを検出した後、SSLプロキシモジュールは、識別されたアプリケーションに基づいてルールオプションは、ファイアウォールルール検索を実行し、適切なSSLプロキシプロファイルを選択します。
SSL プロキシ プロファイルの SNI ベースの動的アプリケーション情報を利用すると、セッションの SSL プロキシ プロファイル選択がより正確になります。デフォルトでは、SSLプロキシプロファイル用のSNIベースの動的アプリケーション情報は、SRXシリーズファイアウォールで有効になっています。SSL プロキシのカウンターを確認するには、 show services ssl proxy counters を参照してください。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。