トラフィック復号について
デフォルトでは、Firepower システムは SSL(Secure Socket Layer)プロトコルまたはその後継である TLS(Transport Layer Security)プロトコルで暗号化されたトラフィックを検査できません。TLS/SSL インスペクションを使用すると、暗号化トラフィックを検査せずにブロックしたり、暗号化または復号化されたトラフィックをアクセス コントロールで検査したりすることができます。システムは、暗号化されたセッションを処理する際にトラフィックに関する詳細をログに記録します。暗号化トラフィックのインスペクションと暗号化セッションのデータ分析を組み合わせることで、ネットワーク内の暗号化されたアプリケーションやトラフィックをより詳細に把握したり制御したりできます。
TLS/SSL インスペクションはポリシーベースの機能です。FirePOWER システムでは、アクセス コントロール ポリシーは、SSL ポリシーを含む、サブポリシーおよびその他の設定を呼び出すマスター設定です。アクセス コントロールと SSL ポリシーを関連付ければ、システムはアクセス コントロール ルールで評価する前に、その SSL ポリシーを使用して暗号化セッションを処理します。TLS/SSL インスペクションを設定していない場合、またはデバイスで SSL インスペクションをサポートしていない場合は、アクセス コントロール ルールですべての暗号化トラフィックが処理されます。
TLS/SSL インスペクションの設定で暗号化トラフィックの通過が許可されている場合、アクセス コントロール ルールによっても暗号化トラフィックが処理されることに注意してください。ただし、一部のアクセス コントロール ルールの条件では暗号化されていないトラフィックを必要とするため、暗号化されたトラフィックに一致するルール数が少なくなる場合があります。またデフォルトでは、システムは暗号化ペイロードの侵入およびファイル インスペクションを無効にしています。これにより、侵入およびファイル インスペクションが設定されたアクセス コントロール ルールに暗号化接続が一致したときの誤検出が減少し、パフォーマンスが向上します。
システムで TCP 接続での TLS/SSL ハンドシェイクが検出された場合、その検出されたトラフィックを復号できるかどうかが判定されます。復号できない場合は、設定されたアクションが適用されます。以下のアクションを設定できます。
-
暗号化トラフィックをブロックする
-
暗号化トラフィックをブロックし、TCP 接続をリセットする
-
暗号化トラフィックを復号しない
システムによるトラフィックの復号が可能な場合、システムでは、それ以上のインスペクションを行わずにトラフィックをブロックするか、復号されていないトラフィックをアクセス コントロールによって評価するか、または次のいずれかの方法を使用して復号します。
-
既知の秘密キーを使用して復号化する。外部ホストがネットワーク上のサーバとの TLS/SSL ハンドシェイクを開始すると、交換されたサーバ証明書とシステムにアップロード済みのサーバ証明書が照合されます。次に、アップロード済みの秘密キーを使用してトラフィックを復号します。
-
サーバ証明書の再署名によって復号する。ネットワーク上のホストが外部サーバとの TLS/SSL ハンドシェイクを開始すると、システムによって、交換されたサーバ証明書が、アップロード済みの認証局(CA)証明書で再署名されます。次に、アップロード済みの秘密キーを使用してトラフィックを復号します。
復号されたトラフィックに対しては、はじめから暗号化されていないトラフィックと同じトラフィックの処理と分析(ネットワーク、レピュテーション、およびユーザ ベースの各アクセス コントロール、侵入検知と防御、Cisco Advanced Malware Protection(Cisco AMP)、およびディスカバリ(検出))が実行されます。システムで、復号されたトラフィックのポスト分析をブロックしない場合、トラフィックを再暗号化してから宛先ホストに渡します。
(注) |
管理対象デバイスが暗号化されたトラフィックを処理する場合にのみ、復号ルールをセットアップします。復号ルールには、パフォーマンスに影響を及ぼす可能性があるオーバーヘッドの処理が必要です。 |
Firepower システムは現在、TLS バージョン 1.3 の暗号化または復号化をサポートしていません。ユーザが TLS 1.3 暗号化をネゴシエートする Web サイトにアクセスすると、Web ブラウザに次のようなエラーが表示されることがあります。
-
ERR_SSL_PROTOCOL_ERROR
-
SEC_ERROR_BAD_SIGNATURE
-
ERR_SSL_VERSION_INTERFERENCE
この動作を制御する方法の詳細については、Cisco TAC にお問い合わせください。