DeepSecurityの侵入防御モジュールにSSLインスペクションを設定する

こんにちは、リサリサです。

DeepSecurityの侵入防御モジュールでは、保護されているコンピュータの1つ以上のインタフェース上の指定した資格情報とポートの組み合わせに対して、SSLインスペクションを設定できます。

今回は、ロードバランサーを持たないEC2に対して保護をする必要があり、EC2に直接HTTPS接続が発生するために、SSLインスペクションの設定が必要でした。

SSLインスペクション使用の制限と設定手順を記載したいと思います。

SSLインスペクション設定の制限

SSLまたはTLSトラフィックの検査に詳しくありますが、「サポートされている暗号化スイート」と「サポートされているプロトコル」に制限があります。 例えば、サポートされていない暗号化スイートを使用すると、「サポートされていない暗号化」が使用されているとして、検出対象となります。

検出対象となると、防御モードにした際、その暗号化スイートを使用している通信は全てブロックされてしまいます。当設定をする場合は、全ての通信が上記のサポート対象であることを確認してください。

SSLインスペクションの設定方法

SSLまたはTLSトラフィックの検査の「SSLインスペクションを設定する」の通りに進めます。 Workload Security(DeepSecutiry)のコンソールの「コンピュータ」を開きます。

対象のコンピュータをダブルクリックします。

「侵入防御」の「詳細」の「SSL設定の表示」を開きます。

「新規」をクリックします。

監視するインターフェスを選択。

ポートを選択。「ポート」からポートを指定するか、「ポートリスト」から、複数ポートを指定します。

デフォルトで用意されているポートリストの詳細は、「編集」ボタンを押すと確認できます。例えば「HTTP(S)」なら、80と443が設定されます。

ですが、ここで「HTTP(S)」を指定してしまうと、80ポートへの非暗号化のHTTP通信が全て「サポートされていないSSLバージョン」という検出となってしまいました。暗号化されていないHTTP通信も許可するのであれば、ここで80ポートは含めてはいけないようです。

IPアドレスの指定があれば、指定します。

資格情報(SSL証明書)を指定します。この画面からアップロードすることもできますし、コンピュータ内に資格情報がある場合、パスを指定することでも指定ができます。

コンピュータ内の資格情報を指定する場合、資格情報の更新の際に、コンピュータ内の資格情報をパスとパスワードを変えずに更新すれば、DeepSecurity上の資格情報も自動で更新されるので便利です。

資格情報の形式を指定します。

名前を付けたら完了です。

最後に

今回は、サポートされていない暗号化スイートを使ってしまっており、その暗号化スイートを排除することが難しそうだったため、当設定はあきらめてしまいました。結局、ALBを構築し、EC2ではHTTP通信のみを受ける事とし、当設定は削除しました。

HTTPS等の侵入防御を設定したい方のお役に立てれば幸いです。