IDP SSLインスペクション
IDP SSLインスペクションを使用すると、SRXシリーズファイアウォールは、任意のポートにわたるSSL暗号化HTTPトラフィックを検査できます。SSLv2、SSLv3、TLSプロトコル、およびさまざまな暗号をサポートしています。
トランスポート層セキュリティ(TLS)の前身であるSecure Sockets Layer(SSL)は、認証、機密性、およびメッセージの整合性を提供するWebセキュリティのプロトコルスイートです。認証は、ブラウザがWebサーバーのIDを検証できるようにすることで、不正な送信から保護します。機密保持メカニズムにより、通信の機密性が確保されます。SSLは、データを暗号化して機密性を確保し、権限のないユーザーが電子通信を盗聴するのを防ぎます。最後に、メッセージの整合性は、通信の内容が改ざんされていないことを保証します。
IDP SSL の概要
各SSLセッションはハンドシェイクで始まり、その間にクライアントとサーバーは、そのセッションに使用する特定のセキュリティキーと暗号化アルゴリズムに同意します。このとき、クライアントはサーバーも認証します。必要に応じて、サーバーはクライアントを認証できます。ハンドシェイクが完了すると、暗号化されたデータの転送を開始できます。
ジュニパーネットワークスは、さまざまなSSLバージョン、暗号方式、鍵交換方法で構成されるSSLプロトコルスイートを使用する侵入検出および防止(IDP)SSLインスペクションを提供しています。アプリケーション識別機能とSSLインスペクション機能を組み合わせることで、SRXシリーズファイアウォールは、任意のポートでSSLで暗号化されたHTTPトラフィックを検査できます。以下の SSL プロトコルがサポートされています。
SSLv2
SSLv3
TLSの
参照
サポートされているIDP SSL暗号
SSL暗号は、暗号化暗号、認証方法、および圧縮で構成されています。Junos OS は、一時秘密キーを使用しない、OPENSSL がサポートするすべての暗号方式をサポートしています。認証では、NULL、MD5、および SHA-1 認証方式がサポートされています。
圧縮および SSLv2 暗号はサポートされていません。現在、ほとんどのSSLサーバーは、クライアントの「hello」メッセージでSSLv2暗号を受信すると、自動的にTLS暗号にアップグレードします。ブラウザをチェックして、暗号の強度とブラウザがサポートする暗号を確認してください。(暗号がサポートされている暗号のリストにない場合、セッションはディープパケットインスペクションで無視されます)。
表1 は、SRXシリーズファイアウォールでサポートされている暗号化アルゴリズムを示しています。
| 暗号 | エクスポート可能 | タイプ | キーマテリアル | 拡張キーマテリアル | 有効キービット | IV サイズ |
|---|---|---|---|---|---|---|
ヌル |
いいえ |
川 |
0 |
0 |
0 |
該当なし |
DES-CBC-SHA |
いいえ |
ブロック |
8 |
8 |
56 |
8 |
DES-CBC3-SHA |
いいえ |
ブロック |
24 |
24 |
168 |
8 |
AES128-SHA |
いいえ |
ブロック |
16 |
16 |
128 |
16 |
AES256-SHA |
いいえ |
ブロック |
32 |
32 |
256 |
16 |
暗号化アルゴリズムの詳細については、 IPSec VPN の概要を参照してください。 表 2 は、サポートされる SSL 暗号を示しています。
| 暗号スイート | の価値 |
|---|---|
TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
0x0001 0x0002 0x0009 0x000A 0x002F 0x0035 |
RC4 および IDEA 暗号は、ライセンスと OPENSSL ライブラリが利用可能なため、サポートされていません。
IDP インターネット鍵交換
インターネット鍵交換(IKE)は、バルク データの暗号化と認証用の対称鍵の生成に使用されるプレマスター シークレットを確立します。RFC 2246 のセクション F.1.1 では、トランスポート層セキュリティ(TLS)認証と鍵交換方法が定義されています。鍵交換には、以下の 3 つの方法があります。
RSA:Rivest-Shamir-Adleman(RSA)は、参加者が SSL セッション中に使用される対称鍵またはシークレットを作成する方法を制御する鍵交換アルゴリズムです。RSA 鍵交換アルゴリズムは、最も一般的に使用される方法です。
DSA—デジタル署名アルゴリズム(DSA)は、IKE フェーズ 1 のプロポーザルに認証オプションを追加します。DSA は RSA と同様に設定および動作することができ、ユーザは DSA 証明書をインポートまたは作成し、DSA を使用するための IKE の提案 を設定する必要があります。デジタル証明書は、IKE プロトコルの RSA 署名、DSA 署名、および RSA 公開鍵暗号化ベースの認証方式に使用されます。
Diffie-Hellman:Diffie-Hellman(DH)は、参加者が共有の秘密値を生成できるようにする鍵交換方法です。この手法の利点は、参加者が、通信を通して秘密値を渡さずに、安全でないメディアを介して秘密値を作成できるということです。
鍵交換方法では、固定サーバー鍵または一時サーバー鍵のいずれかを使用できます。IDP は、固定サーバーキーが使用されている場合にのみ、プレマスターシークレットを正常に取得できます。インターネット鍵交換の詳細については、 Junos OS における PKI の基本要素を参照してください。
Juniper IDPは、Diffie-Hellman鍵交換を使用するSSLセッションを復号しません。
IDP 暗号化キー処理の概要
侵入検出および防止(IDP)セキュアソケットレイヤー(SSL)復号化機能により、SRXシリーズファイアウォールは設定されたRSA秘密キーをメモリにロードし、それらを使用してデータを復号化するためのSSLセッションキーを確立します。IDP は、RSA キーを復号化し、キーを使用して通常の暗号化または復号化操作を実行する前に整合性を確認するために必要です。
この機能の主な目的は、IDP で使用される RSA 秘密キーがプレーン テキストとして、または簡単に理解できる形式で保存されないようにすることです。キーは、通常の暗号化または復号化操作を実行するために復号化されます。この機能には、あるメモリ位置から別のメモリ位置へのキーのコピー中のエラー検出チェックと、キーが不要になったときの中間ストレージのゼロ以外のパターンでの上書きも含まれます。
この機能を有効にするには、 set security idp sensor-configuration ssl-inspection key-protection CLI コンフィギュレーション コマンドを使用します。
IDP SSL サーバー キー管理とポリシー構成
デバイスは、最大 1000 個のサーバー秘密キーをサポートできます。各キーには、それを使用する最大 100 台のサーバーを含めることができます。基本的に各 SPU がすべてのキーにアクセスできる必要があるため、この容量はデバイスで使用可能な SPU の数に関係なく同じです。
複数のサーバーが同じ秘密キーを共有できます。ただし、1 つのサーバーが持つことができる秘密キーは 1 つだけです。SSL復号化はデフォルトで無効になっています。プレーン キーと暗号化されたキーの両方がサポートされています。
Junos OSはSSLキーファイルを暗号化しません。
SSL セッション ID キャッシュ・タイムアウト・パラメーターの値は、 set security idp sensor-configuration ssl-inspection session-id-cache-timeout コマンドを使用して設定できます。キャッシュ・タイムアウト・パラメーターのデフォルト値は 600 秒です。
IDP SSLインスペクションの設定(CLI手順)
SSL デコーダーはデフォルトで有効になっています。CLIから手動で有効にする必要がある場合は、次のCLIコマンドを使用します。
set security idp sensor-configuration detector protocol-name SSL tunable-name sc_ssl_flags tuneable-value 1
IDP SSL インスペクションを設定するには、次の CLI プロシージャを使用します。
[edit security]
idp {
sensor-configuration {
ssl-inspection {
sessions <number>;
}
}
センサーは、キー/サーバ ペアがあるトラフィックを検査するようになりました。
SPU あたりサポートされる最大セッション数: デフォルト値は 10,000 で、範囲は 1 〜 100,000 です。セッション制限は SPU ごとであり、デバイス上の SPU の数に関係なく同じです。
IDP SSL キーと関連サーバーを追加する
キーをインストールするときに、キーをパスワードで保護し、サーバーに関連付けることができます。
プライバシ拡張メール(PEM)キーをインストールするには、次のCLIコマンドを使用します。
request security idp ssl-inspection key add key-name file file-path server server-ip password password-string
2ノードSRXシリーズクラスターでは、requestコマンドを成功させるために、同じ場所にあるノード0とノード1の両方にキーを手動でコピーする必要があります。
また、add server CLI コマンドを使用して、後でキーをサーバーに関連付けることもできます。1 つのサーバーに関連付けることができるキーは 1 つだけです。インストールされたキーにサーバーを関連付けるには、次のCLIコマンドを使用します。
request security idp ssl-inspection key add key-name server server-ip
キー名の最大長は、末尾の "\0" を含めて 32 バイトです。
IDP SSL キーと関連サーバーの削除
すべてのキーとサーバーを削除するには、次の CLI コマンドを使用します。
user@host> request security idp ssl-inspection key deleteインストールされているすべてのキーは、関連するサーバーとともに削除されます。
特定のキーとそのキーに関連付けられているすべてのサーバーを削除するには、次のCLIコマンドを使用します。
user@host> request security idp ssl-inspection key delete <key-name>指定されたキーと、そのキーに関連付けられているすべてのサーバーを削除します。
1 つのサーバーを削除するには、次の CLI コマンドを使用します。
user@host> request security idp ssl-inspection key delete <key-name> server <server-ip>
指定されたキーにバインドされている指定されたサーバーを削除します。
IDP SSL キーと関連サーバーの表示
-
インストールされているすべてのサーバーキーおよび関連するサーバーを表示するには、次のCLIコマンドを使用します。
user@host> show security idp ssl-inspection key
すべてのサーバーキーと、それらのキーにバインドされているIPアドレスを表示します。以下に、
show security idp ssl-inspection keyコマンドを使用した場合の CLI 出力例を示します。Total SSL keys : 2 SSL server key and ip address : Key : key1, server : 10.1.1.1 Key : key2, server : 10.2.2.2 Key : key2, server : 10.2.2.3 -
特定のキーにバインドされた IP アドレスを表示するには、次の CLI コマンドを使用します。
user@host> show security idp ssl-inspection key <key-name>
以下に、
show security idp ssl-inspection key <key-name>コマンドを使用したときに受信する CLI 出力の例を示します。Key : key1, server : 10.1.1.1
例:SSL プロキシが有効な場合の IDP の設定
この例では、SSL プロキシが有効になっている場合に、IDP がアプリケーション識別(AppID)機能をサポートする方法について説明します。
必要条件
開始する前に、以下を実行します。
ゾーンを作成します。 例: セキュリティ ゾーンの作成を参照してください。
ポリシーのアドレスを使用してアドレス帳を設定します。 例:アドレスブックとアドレスセットの設定を参照してください。
そのタイプのトラフィックにポリシーを適用することを示すアプリケーション(またはアプリケーション セット)を作成します。 例:セキュリティポリシーアプリケーションおよびアプリケーションセットの設定を参照してください。
ポリシーによって SSL プロキシーを使用可能にする SSL プロキシー・プロファイルを作成します。 SSL フォワード プロキシの設定を参照してください。
IDP ポリシーをアクティブ ポリシーとして設定します。
概要
この例では、SSL プロキシが有効になっている場合にポリシー ルールで IDP を設定する方法を示します。
構成
CLIクイック構成
この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピー&ペーストして、設定モードから commit を入力します。
set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match application junos-https set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services idp
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
この例では、アプリケーションサービスとして IDP を使用するセキュリティポリシーを設定します。
SSLプロキシプロファイルssl-profile-1を使用してトラフィックを処理するポリシーを設定します。
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-https user@host# set then permit application-services ssl-proxy profile-name ssl-profile-1
IDP をアプリケーション サービスとして定義します。
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set then permit application-services idp
業績
設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
検証
設定が正常に機能していることを確認します。IDP での検証は、アプリケーションファイアウォールでの検証と似ています。 「アプリケーションファイアウォール」を参照してください。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。