SSLプロキシー
SSLプロキシは仲介役として機能し、クライアントとサーバー間でSSL暗号と復号化を実行します。SSLフォワードプロキシが有効な場合、アプリケーションの使用状況の可視性を高めることができます。
SSL プロキシーの概要
サポートされている機能とプラットフォームの完全なリストについては、Feature Explorer の SSL プロキシを参照してください。
Secure Sockets Layer (SSL) は、インターネットの暗号化技術を提供するアプリケーションレベルのプロトコルです。SSLは、トランスポート層セキュリティ(TLS)とも呼ばれ、プライバシー、認証、機密性、およびデータの整合性を組み合わせて、クライアントとサーバー間の安全なデータ送信を保証します。SSLは、このレベルのセキュリティのために、証明書と秘密鍵と公開鍵の交換ペアに依存しています。
SSLプロキシは、クライアントとサーバー間でSSL暗号および復号化を実行する透過プロキシです。
- SSLプロキシの仕組み
- アプリケーションセキュリティ サービスを使用したSSLプロキシー
- SSLプロキシの種類
- サポートされているSSLプロトコル
- SSLプロキシーのメリット
- 論理システムのサポート
- 制限
SSLプロキシの仕組み
SSLプロキシーは、以下の組み合わせにより、クライアントとサーバー間で安全なデータ伝送を提供します。
認証サーバー認証は、Web ブラウザーで Web サーバーの ID を検証できるようにすることで、不正な送信を防止します。
機密性 - SSLは、データを暗号化して機密性を強化し、権限のないユーザーが電子通信を盗聴するのを防ぎます。したがって、通信のプライバシーが確保されます。
整合性 - メッセージの整合性により、通信の内容が改ざんされないことが保証されます。
SSLプロキシとして機能するSRXシリーズファイアウォールは、一方の端でクライアントともう一方の端でサーバー間のSSL接続を管理し、次のアクションを実行します。
クライアントとSRXシリーズ間のSSLセッション:クライアントからサーバーへのSSLセッションが開始されると、クライアントからのSSL 接続を終了します。SRXシリーズファイアウォールは、トラフィックを復号化し、攻撃(双方向)がないか検査し、クライアントに代わってサーバーへの接続を開始します。
サーバーとSRXシリーズ間のSSLセッション:SSLセッションが外部サーバーからローカルサーバーへの開始時に、サーバーからのSSL 接続を終了します。SRXシリーズファイアウォールは、クライアントからクリアテキストを受信し、データを暗号化して暗号文としてSSLサーバーに送信します。一方、SRXシリーズはSSLサーバーからのトラフィックを復号化し、攻撃を検知して、データをクリアテキストとしてクライアントに送信します。
encrypted trafficの検査を許可します。
SSLプロキシサーバーは、暗号化技術を使用してデータの安全な送信を保証します。SSLは、証明書と秘密鍵と公開鍵の交換ペアに依存して、安全な通信を提供します。詳細については、「 SSL 証明書」を参照してください。
SRXシリーズファイアウォールとそのクライアント/サーバー間でSSLセッションを確立して維持するために、SRXシリーズファイアウォールは受信するトラフィックにセキュリティポリシーを適用します。トラフィックがセキュリティポリシーの基準に一致すると、SSLプロキシがセキュリティポリシー内のアプリケーションサービスとして有効になります。
アプリケーションセキュリティ サービスを使用したSSLプロキシー
図 1 は、暗号化されたペイロードに対して SSL プロキシがどのように機能するかを示しています。
アプリケーション ファイアウォール(AppFW)、侵入検出および防止(IDP)、アプリケーション トラッキング(AppTrack)、コンテンツ セキュリティ、ATP Cloud などの高度なセキュリティ サービスが設定されている場合、SSL プロキシは、クライアントからの SSL セッションを終了し、サーバーへの新しい SSL セッションを確立することで、SSL サーバーとして機能します。SRXシリーズファイアウォールは、すべてのSSLプロキシートラフィックを復号化してから、再暗号化します。
IDP、AppFW、AppTracking、Advanced Policy-based Routing(APBR)、コンテンツセキュリティ、ATP Cloud、およびICAPサービスリダイレクトは、SSLプロキシからの復号化されたコンテンツを使用できます。これらのサービスのいずれも設定されていない場合、SSLプロキシプロファイルがファイアウォールポリシーにアタッチされていても、SSLプロキシサービスはバイパスされます。
SSLプロキシの種類
SSLプロキシは、クライアントとサーバー間でSSL暗号および復号化を実行する透過プロキシです。SRXは、クライアントから見るとサーバーとして機能し、サーバーの視点からはクライアントとして機能します。SRXシリーズファイアウォールでは、クライアント保護(フォワードプロキシ)とサーバー保護(リバースプロキシ)は、同じエコーシステムSSL-T-SSL(クライアント側のターミネーター)とSSL-I-SSL(サーバー側のイニシエーター)を使用してサポートされます。
SRXシリーズファイアウォールは、以下のタイプのSSLプロキシをサポートしています。
クライアント保護SSLプロキシーはフォワードプロキシーとも呼ばれます。SRXシリーズファイアウォールは、内部クライアントと外部サーバーの間に存在します。アウトバウンド セッション、つまり、インターネットに対してローカルに開始された SSL セッションのプロキシ。内部ユーザーからWebへのトラフィックを復号し、検査します。
サーバー保護SSLプロキシは、リバースプロキシとも呼ばれます—SRXシリーズファイアウォールは、内部サーバーと外部クライアントの間に存在します。インバウンド・セッション、つまり、インターネットからローカル・サーバーへの外部から開始された SSL セッションのプロキシー。
SSL フォワード プロキシとリバース プロキシの詳細については、 SSL プロキシの設定を参照してください。
サポートされているSSLプロトコル
SRXシリーズファイアウォールでは、SSLの開始および終了サービス向けに、以下のSSLプロトコルがサポートされています。
-
TLS バージョン 1.0 - 通信するアプリケーション間の認証とセキュアな通信を提供します。
-
TLS バージョン 1.1 - TLS のこの拡張バージョンは、暗号ブロック連鎖(CBC)攻撃に対する保護を提供します。
-
TLSバージョン1.2 — TLSのこの拡張バージョンは、暗号化アルゴリズムのネゴシエーションの柔軟性を向上させます。
-
TLSバージョン1.3 — TLSのこの拡張バージョンは、セキュリティとパフォーマンスを向上させます。
Junos OS リリース 15.1X49-D30およびJunos OS リリース 17.3R1以降、TLSバージョン1.1およびTLSバージョン1.2プロトコルは、TLSバージョン1.0とともにSRXシリーズファイアウォールでサポートされています。
Junos OS リリース 15.1X49-D20 および Junos OS リリース 17.3R1 以降、SSL プロトコル 3.0(SSLv3)のサポートは非推奨です。
Junos OS リリース 21.2R1 以降、SRXシリーズファイアウォールでは、SSL プロキシが TLS バージョン 1.3 をサポートします。
TLS 1.3を使用する場合、SRXシリーズファイアウォールは、サーバーとの接続を確立するための鍵交換用のsecp256r1グループをサポートします。サーバーがsecp384r1のみをサポートしている場合、接続は終了します。
Junos OS リリース 24.2R1 以降、SRXシリーズファイアウォールは SSL 開始(SSL-I)プロセスの SNI をサポートしています。Server Name Indication(SNI)は、SSL/TLSヘッダーの拡張であり、SSLハンドシェイクが完了する前に、HTTPSの「Client Hello」交換中に宛先サーバーのホスト名をクリアテキストで伝送します。
SSLプロキシーのメリット
SSLトラフィックを復号化してきめ細かなアプリケーション情報を取得し、高度なセキュリティサービス保護を適用して脅威を検出できるようにします。
クライアントとサーバーによる強力なプロトコルと暗号の使用を強制します。
SSL encrypted trafficに埋め込まれた脅威に対する可視化と保護を提供します。
選択的 SSL プロキシーを使用して、暗号化解除する必要がある内容を制御します。
論理システムのサポート
論理システムを使用して設定されたファイアウォールポリシーでSSLプロキシを有効にすることができます。ただし、次の制限事項に注意してください。
「サービス」カテゴリは、現在論理システム設定ではサポートされていません。SSLプロキシは「サービス」の下にあるため、論理システムごとにSSLプロキシプロファイルを設定することはできません。
グローバルレベル(「サービスSSLプロキシ」内)で構成されたプロキシプロファイルは、論理システム設定全体で表示されるため、グローバルレベルでプロキシプロファイルを設定し、1つ以上の論理システムのファイアウォールポリシーにアタッチできます。
制限
すべてのSRXシリーズファイアウォールにおいて、現在のSSLプロキシ実装には、以下の接続制限があります。
SSLv3.0 プロトコルのサポートは非推奨です。
SSLv2プロトコルはサポートされていません。SSLv2 を使用する SSL セッションはドロップされます。
X.509v3 証明書のみがサポートされます。
SSL ハンドシェイクのクライアント認証はサポートされていません。
クライアント証明書の認証が必須である SSL セッションはドロップされます。
再ネゴシエーションが要求された SSL セッションはドロップされます。
- SRXシリーズファイアウォールでは、特定のセッションで、SSLプロキシは、SSLトラフィックに関連する関連機能も有効になっている場合にのみ有効になります。SSLトラフィックに関連する機能には、IDP、アプリケーション識別、アプリケーションファイアウォール、アプリケーション追跡、高度なポリシーベースのルーティング、コンテンツセキュリティ、ATP Cloud、およびICAPリダイレクトサービスがあります。これらの機能のいずれもセッションでアクティブでない場合、SSL プロキシはセッションをバイパスし、このシナリオではログは生成されません。
- マルチノード高可用性セットアップで動作するSRXシリーズファイアウォールは、SSLプロキシ機能をサポートしていません。