IDP SSLインスペクション
セキュアソケットレイヤー(SSL)は、トランスポートレイヤーセキュリティ(TLS)とも呼ばれ、認証、機密性、およびメッセージの整合性を提供するWebセキュリティ用のプロトコルスイートです。認証は、WebブラウザがWebサーバーのIDを検証できるようにすることで、不正な送信から保護します。機密性メカニズムにより、通信はプライベートになります。SSLは、データを暗号化して機密性を強制し、権限のないユーザーが電子通信を盗聴するのを防ぎます。最後に、メッセージの整合性により、通信の内容が改ざんされていないことが保証されます。
詳細については、次のトピックを参照してください。
IDP SSL の概要
各 SSL セッションはハンドシェークで始まり、その間にクライアントとサーバーは、そのセッションに使用する特定のセキュリティー・キーと暗号化アルゴリズムについて合意します。このとき、クライアントはサーバーも認証します。オプションで、サーバーはクライアントを認証できます。ハンドシェイクが完了すると、暗号化されたデータの転送を開始できます。
ジュニパーネットワークスは、異なるSSLバージョン、暗号方式、鍵交換方法で構成されるSSLプロトコルスイートを使用する侵入検出および防止(IDP)SSLインスペクションを提供しています。アプリケーション識別機能と組み合わせることで、SSLインスペクション機能を使用すると、SRXシリーズファイアウォールは、任意のポートでSSLで暗号化されたHTTPトラフィックを検査できます。以下の SSL プロトコルがサポートされています。
SSLv2
SSLv3
ティッカー
関連項目
サポートされているIDP SSL暗号
SSL 暗号は、暗号化暗号、認証方法、および圧縮で構成されます。Junos OSは、一時的な秘密鍵の使用を伴わない、OPENSSLがサポートするすべての暗号をサポートしています。認証では、NULL、MD5、および SHA-1 認証方式がサポートされています。
圧縮および SSLv2 暗号はサポートされていません。現在、ほとんどのSSLサーバーは、クライアントの「hello」メッセージでSSLv2暗号を受信すると、TLS暗号に自動的にアップグレードされます。ブラウザをチェックして、暗号の強度とブラウザがサポートする暗号を確認してください。(その暗号方式がサポートされている暗号方式のリストにない場合、ディープパケットインスペクションでセッションは無視されます)。
表1 は、SRXシリーズファイアウォールでサポートされている暗号化アルゴリズムを示しています。
| 暗号 | 拡張型 | キーマテリアル | 拡張キーマテリアル | 有効キービット | IVサイズ | |
|---|---|---|---|---|---|---|
ヌル |
いいえ |
川 |
0 |
0 |
0 |
該当なし |
DES-CBC-SHA |
いいえ |
ブロック |
8 |
8 |
56 |
8 |
DES-CBC3-SHA |
いいえ |
ブロック |
24 |
24 |
168 |
8 |
AES128-SHA |
いいえ |
ブロック |
16 |
16 |
128 |
16 |
AES256-SHA |
いいえ |
ブロック |
32 |
32 |
256 |
16 |
暗号化アルゴリズムの詳細については、「IPsec VPN の概要 /documentation/us/en/software/junos/vpn-ipsec/topics/topic-map/security-ipsec-vpn-overview.html」を参照してください。 表 2 に、サポートされている SSL 暗号を示します。
| 暗号スイート | 値 |
|---|---|
TLS_RSA_WITH_NULL_MD5 TLS_RSA_WITH_NULL_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA |
0x0001 0x0002 0x0009 0x000A 0x002F 0x0035 |
RC4 および IDEA 暗号は、ライセンスおよび OPENSSL ライブラリーが使用可能なため、サポートされません。
IDPインターネット鍵交換について
インターネット鍵交換 (IKE) は、一括データ暗号化および認証用の対称鍵の生成に使用されるプレマスター秘密鍵を確立します。RFC 2246 のセクション F.1.1 では、トランスポート層セキュリティ(TLS)認証と鍵交換の方法が定義されています。3つの主要な交換方法は次のとおりです。
RSA—Rivest-Shamir-Adleman (RSA) は、参加者が対称鍵または SSL セッション中に使用される秘密鍵を作成する方法を制御する鍵交換アルゴリズムです。RSA 鍵交換アルゴリズムは、最も一般的に使用される方法です。
DSA:デジタル署名アルゴリズム(DSA)は、IKEフェーズ1プロポーザルに認証オプションを追加します。DSA は RSA と同様に設定および動作するため、ユーザーは DSA 証明書をインポートまたは作成し、DSA を使用するための IKE プロポーザルを設定する必要があります。デジタル証明書は、IKE プロトコルにおける RSA 署名、DSA 署名、および RSA 公開キー暗号化ベースの認証方法に使用されます。
Diffie-Hellman— Diffie-Hellman(DH)は、参加者が共有シークレット値を生成できるようにする鍵交換方法です。この手法の利点は、参加者が、通信を通して秘密値を渡さずに、安全でないメディアを介して秘密値を作成できるということです。
キー交換方法では、固定サーバー キーまたは一時サーバー キーを使用できます。IDPは、固定サーバーキーが使用されている場合にのみ、プレマスターシークレットを正常に取得できます。インターネット鍵交換の詳細については、 Junos OS の PKI の基本要素を参照してください。
ジュニパーIDPは、Diffie-Hellman鍵交換を使用するSSLセッションを復号化しません。
IDP 暗号化キー処理の概要
侵入検出および防止(IDP)セキュアソケットレイヤー(SSL)復号化機能を使用すると、SRXシリーズファイアウォールは設定されたRSAプライベートキーをメモリにロードし、それらを使用してデータを復号化するためのSSLセッションキーを確立します。IDPは、RSAキーを復号化し、キーを使用して通常の暗号化または復号化操作を実行する前に整合性を確認する必要があります。
この機能の主な目的は、IDP で使用される RSA 秘密キーがプレーン テキストとして、または簡単に理解できる形式または使用可能な形式で格納されないようにすることです。キーは、通常の暗号化または復号化操作を実行するために復号化されます。この機能には、あるメモリ位置から別のメモリ位置へのキーのコピー中のエラー検出チェック、およびキーが不要になったときに中間ストレージをゼロ以外のパターンで上書きすることも含まれます。
この機能を有効にするには、 set security idp sensor-configuration ssl-inspection key-protection CLI コンフィギュレーション コマンドを使用します。
IDP SSLサーバーキー管理とポリシー設定について
デバイスは、最大 1000 個のサーバー秘密キーをサポートできます。各キーには、それを使用する最大 100 台のサーバーを含めることができます。基本的に各SPUはすべてのキーにアクセスできる必要があるため、この容量はデバイスで使用可能なSPUの数に関係なく同じです。
複数のサーバーが同じ秘密キーを共有できます。ただし、1 つのサーバーが持つことができる秘密キーは 1 つだけです。SSL 復号化はデフォルトで無効になっています。プレーンキーと暗号化されたキーの両方がサポートされています。
Junos OSはSSLキーファイルを暗号化しません。
SSL セッション ID キャッシュ・タイムアウト・パラメーターの値は、 set security idp sensor-configuration ssl-inspection session-id-cache-timeout コマンドを使用して設定できます。キャッシュ タイムアウト パラメーターの既定値は 600 秒です。
IDP SSLインスペクションの設定(CLI手順)
SSL デコーダーは既定で有効になっています。CLI を使用して手動で有効にする必要がある場合は、次の CLI コマンドを使用します。
set security idp sensor-configuration detector protocol-name SSL tunable-name sc_ssl_flags tuneable-value 1
IDP SSLインスペクションを設定するには、次のCLI手順を使用します。
[edit security]
idp {
sensor-configuration {
ssl-inspection {
sessions <number>;
}
}
これで、センサーはキーとサーバーのペアがあるトラフィックを検査します。
SPU ごとにサポートされる最大セッション数: デフォルト値は 10,000 で、範囲は 1 から 100,000 です。セッション制限は SPU ごとであり、デバイス上の SPU の数に関係なく同じです。
IDP SSL キーと関連サーバーの追加
キーをインストールするときに、キーをパスワードで保護し、サーバーに関連付けることもできます。
プライバシー拡張メール (PEM) キーをインストールするには、次の CLI コマンドを使用します。
request security idp ssl-inspection key add key-name file file-path server server-ip password password-string
2ノードのSRXシリーズクラスターでは、リクエストコマンドを成功させるには、同じ場所にあるノード0とノード1の両方にキーを手動でコピーする必要があります。
また、add server CLI コマンドを使用して、後でキーをサーバーに関連付けることもできます。サーバーは 1 つのキーにのみ関連付けることができます。インストールしたキーにサーバーを関連付けるには、次の CLI コマンドを使用します。
request security idp ssl-inspection key add key-name server server-ip
キー名の最大長は、末尾の "\0" を含めて 32 バイトです。
IDP SSL キーと関連サーバーの削除
すべてのキーとサーバーを削除するには、次の CLI コマンドを使用します。
user@host> request security idp ssl-inspection key deleteインストールされているすべてのキーは、関連付けられているサーバーとともに削除されます。
特定のキーと、そのキーに関連付けられているすべてのサーバーを削除するには、次の CLI コマンドを使用します。
user@host> request security idp ssl-inspection key delete <key-name>指定したキーと、そのキーに関連付けられているすべてのサーバーを削除します。
1 台のサーバーを削除するには、次の CLI コマンドを使用します。
user@host> request security idp ssl-inspection key delete <key-name> server <server-ip>
指定したキーにバインドされている指定したサーバーを削除します。
IDP SSL キーと関連サーバーの表示
-
インストールされているすべてのサーバ キーと関連サーバを表示するには、次の CLI コマンドを使用します。
user@host> show security idp ssl-inspection key
すべてのサーバー キーと、それらのキーにバインドされている IP アドレスを表示します。以下の例は、
show security idp ssl-inspection keyコマンドを使用した場合の CLI 出力を示しています。Total SSL keys : 2 SSL server key and ip address : Key : key1, server : 10.1.1.1 Key : key2, server : 10.2.2.2 Key : key2, server : 10.2.2.3 -
特定のキーにバインドされた IP アドレスを表示するには、次の CLI コマンドを使用します。
user@host> show security idp ssl-inspection key <key-name>
以下に、
show security idp ssl-inspection key <key-name>コマンドを使用したときに受け取る CLI 出力の例を示します。Key : key1, server : 10.1.1.1
例:SSL プロキシが有効な場合の IDP の設定
この例では、SSL プロキシが有効になっている場合に、IDP がアプリケーション識別 (AppID) 機能をサポートする方法について説明します。
必要条件
始める前に:
ゾーンを作成します。 例:セキュリティ・ゾーンの作成を参照してください。
ポリシーのアドレスを含むアドレス帳を構成します。 例:アドレス帳とアドレス セットの設定を参照してください。
そのタイプのトラフィックにポリシーが適用されることを示すアプリケーション(またはアプリケーション セット)を作成します。 「例:セキュリティポリシーアプリケーションとアプリケーションセットの設定」を参照してください。
ポリシーを使用して SSL プロキシーを使用可能にする SSL プロキシー・プロファイルを作成します。 SSL フォワード プロキシの設定を参照してください。
IDP ポリシーをアクティブポリシーとして設定します。
概要
この例では、SSLプロキシが有効になっている場合にポリシールールでIDPを設定する方法を示しています。
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。
set security policies from-zone Z_1 to-zone Z_2 policy policy1 match source-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match destination-address any set security policies from-zone Z_1 to-zone Z_2 policy policy1 match application junos-https set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services ssl-proxy profile-name ssl-profile-1 set security policies from-zone Z_1 to-zone Z_2 policy policy1 then permit application-services idp
プロシージャ
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
この例では、アプリケーションサービスとしてIDPを使用するセキュリティポリシーを設定します。
SSL プロキシー・プロファイル ssl-profile-1 を使用してトラフィックを処理するポリシーを設定します。
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-https user@host# set then permit application-services ssl-proxy profile-name ssl-profile-1
IDPをアプリケーションサービスとして定義します。
[edit security policies from-zone Z_1 to-zone Z_2 policy policy1 user@host# set then permit application-services idp
業績
設定モードから、 show security policies コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
検証
設定が正常に機能していることを確認します。IDP での検証は、アプリケーションファイアウォールでの検証に似ています。 アプリケーションファイアウォールを参照してください。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。