HTTPSインスペクション

HTTPSインターネットトラフィックは、TLS(Transport Layer Security)プロトコルを使用し、データのプライバシーと整合性を与えるために暗号化されています。しかし、HTTPSトラフィックにはセキュリティ上のリスクがある可能性があり、違法なユーザ活動や悪意のあるトラフィックを隠してしまう可能性があります。セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。は、HTTPSトラフィックは暗号化されているため、検査することができません。HTTPSインスペクション閉じた Secure Sockets Layer (SSL) プロトコルによって暗号化されたトラフィックにマルウェアや疑わしいパターンがないか検査する、セキュリティゲートウェイの機能。同義語:SSL 検査。頭字語:HTTPSI、httpSi。機能を有効にすると、セキュリティゲートウェイが外部のサイトまたはサーバと新しいTLS接続を作成できるようになります。セキュリティゲートウェイは、新しいTLS接続を使用するHTTPSトラフィックを復号し、検査することができるようになります。

HTTPSインスペクションには、2つのタイプがあります。

  • Outbound HTTPS Inspection - 内部のクライアントから外部のサイトやサーバに送信される悪意のあるトラフィックから保護するため。

  • Inbound HTTPS Inspection - インターネットや外部ネットワークから届く悪意のあるリクエストから内部サーバを保護するため。

セキュリティゲートウェイは証明書を使用し、クライアントコンピュータと安全なWebサイトとの仲介役となります。すべてのデータはHTTPS Inspection logsで非公開にされます。HTTPSインスペクションの権限を持つ管理者のみが、このようなログのすべてのフィールドを見ることができます。

HTTPSコネクションの検査

アウトバウンド HTTPS 接続

アウトバウンド接続は、内部クライアントから到着し、外部サーバに接続するHTTPS接続です。

  1. HTTPS リクエスト(内部クライアントから外部サーバへ)が Security Gateway に到着する。

  2. セキュリティゲートウェイは、HTTPSリクエストを検査する。

  3. セキュリティゲートウェイは、HTTPSリクエストが既存のHTTPS検査ルール閉じた 通信セッションに対して指定されたアクションが実行されるようにする、ルールベース内のトラフィックパラメータおよびその他の条件のセット。に一致するかどうかを判断します。

    • HTTPS リクエストがルールに一致しない場合、セキュリティゲートウェイは HTTPS ペイロードを検査しない。

    • HTTPS リクエストがルールに一致する場合、Security Gateway は次のステップに進みます。

  4. Security Gateway は、外部サーバからの HTTPS 証明書を検証する。

    Security Gateway は、OCSP(Online Certificate Status Protocol)規格を使用する。

  5. Security Gatewayは、外部サーバとの接続のために新しい証明書を作成する。

  6. セキュリティゲートウェイは、HTTPS接続を復号する。

  7. セキュリティゲートウェイは、復号されたHTTPS接続を検査する。

  8. セキュリティポリシーでこのトラフィックが許可されている場合、セキュリティゲートウェイはHTTPS接続を暗号化します。

  9. セキュリティゲートウェイは外部サーバに HTTPS リクエストを送信する。

インバウンド HTTPS 接続

インバウンド接続は、外部クライアントから到着し、DMZまたは内部ネットワーク閉じた ファイアウォールによって保護され、認証されたユーザによってアクセスされるコンピュータとリソース。内のサーバに接続するHTTPS接続です。

  1. HTTPS リクエスト(外部クライアントから内部サーバへ)が Security Gateway に到着する。

  2. セキュリティゲートウェイは、HTTPSリクエストを検査する。

  3. セキュリティゲートウェイは、HTTPSリクエストが既存のHTTPS検査ルールに一致するかどうかを判断します。

    • HTTPS リクエストがルールに一致しない場合、セキュリティゲートウェイは HTTPS ペイロードを検査しない。

    • HTTPS リクエストがルールに一致する場合、Security Gateway は次のステップに進みます。

  4. Security Gateway は内部サーバの証明書を使用して、外部クライアントとの HTTPS 接続を作成する。

  5. Security Gateway は内部サーバとの HTTPS 接続を新規に作成する。

  6. セキュリティゲートウェイは、HTTPS接続を復号する。

  7. セキュリティゲートウェイは、復号されたHTTPS接続を検査する。

  8. セキュリティポリシーでこのトラフィックを許可すると、セキュリティゲートウェイはHTTPS接続を暗号化し、内部サーバに送信します。

アウトバウンドおよびインバウンドのHTTPSトラフィックを検査するためのセキュリティゲートウェイの設定

このセクションでは、送信および受信の HTTPS トラフィックを検査するために Security Gateway を設定する方法の例を示します。

ステップ

手順

1

セキュリティゲートウェイでHTTPSインスペクションを有効にする。

2

証明書を使用するように Security Gateway を設定します。

  • Outbound Inspection- Security Gatewayの新しい証明書を生成します。

  • インバウンドインスペクション- 内部サーバの証明書をインポートする

3

HTTPS 検査ルールベース閉じた 特定のセキュリティポリシーで構成されているすべてのルール。同義語:ルールベース。を設定します。

4

アクセスコントロールポリシーをインストールします。

HTTPSインスペクションの有効化

各 Security Gateway で HTTPS インスペクションを有効にする必要があります。

ステップ

手順

1

SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。のGateways& Serversビューから、Security Gatewayオブジェクトを編集します。

2

HTTPS インスペクション> Step 3 をクリックします。

3

Enable HTTPS Inspectionを選択します。

セキュリティゲートウェイの1つでHTTPS検査を初めて有効にする場合、HTTPS検査用の送信CA証明書を作成するか、組織内にすでに配備されているCA証明書をインポートする必要があります。この送信証明書は、Security Management Server閉じた Check Pointソフトウェアを実行して、単一の管理ドメイン内のCheck Point環境のオブジェクトとポリシーを管理する専用Check Pointサーバ。同義語:単一ドメインセキュリティ管理サーバ。で管理されるすべてのSecurity Gatewayで使用されます。

アウトバウンドCA証明書の作成

送信用CA証明書は、拡張子CERで保存され、パスワードでファイルの秘密鍵を暗号化します。セキュリティゲートウェイは、このパスワードを使って、アクセスしたサイトの証明書に署名する。パスワードは、CA証明書をインポートする他のSecurity Management Server閉じた Check Point シングルドメインセキュリティ管理サーバまたはマルチドメインセキュリティ管理サーバ。がファイルを復号する際にも使用されるため、必ず保管しておく必要があります。

送信用CA証明書を作成したら、クライアントに配布できるようにエクスポートする必要があります。生成された送信用CA証明書をクライアントに配備しない場合、HTTPSサイトへの接続時に、ユーザはブラウザでTLSエラーメッセージを受け取ることになります。このような接続をログに記録するトラブルシューティングオプションを設定することができます。

送信用CA証明書を作成すると、Outbound Certificateという名前の証明書オブジェクトが作成されます。このオブジェクトは、HTTPS 検査ルールベースの送信 HTTPS トラフィックを検査するルールで使用します。

ステップ

手順

1

SmartConsoleGateways & Servers ビューで、Security Gateway オブジェクトを右クリックし、Edit を選択します。

ゲートウェイPropertiesのウィンドウが開きます。

2

ナビゲーションツリーで、HTTPS Inspectionを選択します。

3

HTTPS Inspection ページのStep 1 で、Create をクリックします。

Createウィンドウが開きます。

4

必要な情報を入力します。

  • Issued by (DN) - 組織のドメイン名を入力します。

  • Private key password - CA証明書の秘密鍵の暗号化に使用するパスワードを入力します。

  • Retype private key password - パスワードを再入力してください。

  • Valid from - CA証明書の有効期限を選択します。

5

OKをクリックします。。

6

CA証明書をエクスポートして配備する(「生成したCAのエクスポートとデプロイ」を参照)。

送信用CA証明書をインポートする

組織内にすでに配備されているCA証明書をインポートしたり、あるSecurity Management Serverで作成されたCA証明書を別のSecurity Management Serverにインポートしたりすることができます。

ベストプラクティス-private CA証明書を使用する。

HTTPS検査でセキュリティゲートウェイを有効にしている各Security Management Serverについて、以下を行う必要があります。

  • CA証明書をインポートする。

  • Security Management ServerがCA証明書ファイルを復号し、ユーザの証明書に署名するために使用するパスワードを入力します。このパスワードは、新しい Security Management Server に証明書をインポートするときのみ使用します。

ステップ

手順

1

CA証明書が別のSecurity Management Serverで作成された場合は、作成元のSecurity Management Serverから証明書をエクスポートします(Security Management Serverから証明書をエクスポートするを参照)。

2

SmartConsoleGateways & Servers ビューで、Security Gateway オブジェクトを右クリックし、Edit を選択します。

Gateway Propertiesウィンドウが開きます。

3

ナビゲーションツリーで、HTTPS Inspectionを選択します。

4

HTTPS Inspection ページのStep 1 で、Import をクリックします。

Import Outbound Certificateウィンドウが開きます。

5

証明書ファイルを参照する。

6

private key passwordを入力します。

7

OKをクリックします。。

8

別のSecurity Management ServerでCA証明書を作成した場合は、それをクライアントに配備します(「生成したCAのエクスポートとデプロイ」を参照)。

Security Management Serverから証明書をエクスポートする

first 組織で複数の Security Management Server を使用している場合、他の Security Management Server にインポートする前に、CA 証明書が作成された Security Management Server からexport_https_cert CLI コマンドを使用して、CA 証明書をエクスポートする必要があります。

export_https_cert [-local] | [-s server] [-f certificate file name under FWDIR/tmp][-help]

Security Management Serverで、次のコマンドを実行します。

$FWDIR/bin/export_https_cert -local -f [certificate file name under FWDIR/tmp]

例:

$FWDIR/bin/export_https_cert -local -f mycompany.cer

生成したCAのエクスポートとデプロイ

HTTPS Inspectionが使用する生成されたCA証明書に関する警告がユーザに表示されないようにするため、HTTPS Inspectionが使用する生成されたCA証明書を信頼できるCAとしてインストールします。Windows GPOなど、さまざまな配布メカニズムでCAを配布することができます。これにより、生成されたCAがクライアントコンピュータ上の信頼できるルート証明書リポジトリに追加されます。

ユーザが標準アップデートを実行すると、生成されたCAがCAリストに表示され、ブラウザ証明書の警告が表示されなくなります。

ステップ

手順

1

Security Gateway のHTTPS Inspection ウィンドウから、Export certificate をクリックします。

2

CA証明書ファイルを保存する。

3

グループポリシー管理コンソールを使用して、証明書をTrusted Root Certification Authoritiesの証明書ストアに追加します(「グループポリシーを利用した証明書の配備」を参照)。

4

組織内のクライアントコンピュータにPolicyをプッシュする。

- CA証明書がクライアントコンピュータの組織単位にプッシュされていることを確認してください。

5

クライアントの1つからHTTPSのサイトを閲覧して、配布をテストします。また、CA証明書に、作成したCA証明書に入力した名前が、Issued by の欄に表示されていることを確認します。

グループポリシーを利用した証明書の配備

Active Directory Domain ServicesとGroup Policy Object(GPO)を使用して、複数のクライアントマシンに証明書を配備する手順です。GPOは複数の設定オプションを含むことができ、GPOの適用範囲内のすべてのコンピュータに適用されます。

この手順を実行するには、ローカルのAdministratorsグループ、または同等のグループに所属している必要があります。

ステップ

手順

1

Microsoft Windows Serverで、Group Policy Management Console を開きます。

2

既存のGPOを検索するか、証明書の設定を含む新しいGPOを作成します。GPOが、ポリシーの影響を受けさせたいユーザが所属するドメイン、サイト、または組織単位に関連付けられていることを確認します。

3

GPOを右クリックし、Edit を選択します。

Group Policy Management Editor が開き、ポリシーオブジェクトの内容が表示されます。

4

開くComputer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Publishers.

5

Action > Importをクリックします。

6

Certificate Import Wizard にある手順で、SmartConsoleからエクスポートした証明書を探し、インポートしてください。

7

ナビゲーションペインで、Trusted Root Certification Authorities をクリックし、手順5~6を繰り返して、証明書のコピーをそのストアにインストールします。

インバウンド HTTPS インスペクションの設定

インバウンドのHTTPSインスペクションのためにセキュリティゲートウェイを設定します。

ステップ

手順

1

SmartConsoleのGateways& Serversビューから、Security Gatewayオブジェクトを編集します。

2

HTTPS Inspection > Step 3をクリックします。

3

Enable HTTPS Inspectionを選択します。

4

組織向けSecurity Gatewayの背後にあるサーバのサーバ証明書をインポートする。

5

HTTPS インスペクションポリシーを定義する。

  • ルールの作成
  • 各ルールのCertificate カラムに、サーバ証明書を追加します。

セキュリティゲートウェイの1つでHTTPS検査を初めて有効にする場合、HTTPS検査用の送信CA証明書を作成するか、組織内にすでに配備されているCA証明書をインポートする必要があります。この送信証明書は、Security Management Serverで管理されるすべてのSecurity Gatewayで使用されます。

HTTPSインバウンドインスペクションのためのサーバ証明書の割り当て

サーバ証明書をSecurity Gatewayに追加する。これにより、サーバ証明書オブジェクトが作成される。

組織外のクライアントが内部サーバへの HTTPS 接続を開始すると、セキュリティゲートウェイがそのトラフィックを遮断する。Security Gatewayは受信トラフィックを検査し、ゲートウェイから内部サーバへの新しいHTTPS接続を作成します。HTTPS 検査を許可するには、Security Gateway がオリジナルのサーバ証明書と秘密鍵を使用する必要があります。Security Gatewayは、この証明書と秘密鍵を内部サーバとのTLS接続に使用する。

サーバ証明書(拡張子がCERのファイル)をSecurity Gatewayにインポートしたら、HTTPS Inspection Policyにオブジェクトを追加します。

この手順を、組織外のクライアントから接続要求を受けるすべてのサーバに対して行う。

ステップ

手順

1

SmartConsoleで、Security Policies > HTTPS Inspection > HTTPS Tools > Additional Settings にアクセスします。

2

Open HTTPS Inspection Policy In SmartDashboardをクリックします。

SmartDashboard閉じた R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。が開きます。

3

Server Certificatesをクリックします。

4

Addをクリックします。。

Import Inbound Certificateウィンドウが開きます。

5

Certificate nameDescription を入力します(任意)。

6

証明書ファイルを参照する。

7

Private key passwordを入力します。サーバで証明書の秘密鍵を保護するために使用したパスワードと同じものを入力します。

8

OKをクリックします。。

サーバ証明書を初めてインポートするときは、「Successful Import 」ウィンドウが表示されます。HTTPS検査ルールベースのどこにオブジェクトを追加するかが表示されます。サーバ証明書をインポートするたびにウィンドウを表示したくない場合は、Don't show this again をクリックし、Close

HTTPSインスペクションポリシー

HTTPS 検査ルールは、セキュリティゲートウェイが HTTPS トラフィックを検査する方法を定義します。HTTPS検査ルールでは、URLフィルタリングカテゴリを使用して、異なるWebサイトやアプリケーションのトラフィックを識別することができます。例えば、ユーザのプライバシーを保護するために、銀行や金融機関への HTTPS トラフィックを無視するルールを使用することができます。

HTTPS検査ルールは、HTTPS検査を有効にしているすべてのSoftware Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。に適用されます。

HTTPSインスペクションに対応したSoftware Bladesです。

R81.10 以降、HTTPS インスペクションポリシーは SmartConsole> Security Policies ビュー> HTTPS Inspection にあります。R80.40以降では、ポリシーパッケージごとに異なるHTTPSインスペクション層を作成することができます。 新しいポリシーパッケージを作成する場合、あらかじめ定義された HTTPS 検査レイヤーを使用するか、セキュリティニーズに合わせて HTTPS 検査レイヤーをカスタマイズすることができます。

HTTPSインスペクションレイヤーは、複数のポリシーパッケージで共有することができます。

- 管理サーバの管理データベースに設定されているネットワークオブジェクト閉じた コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。が10万個を超える場合、セキュリティポリシービュー(> HTTPS Inspection > HTTPS Tools > Additional Settings > Open HTTPS Inspection Policy In SmartDashboard )を表示すると、SmartDashboardが予期せず終了することがあります。

HTTPS 検査セキュリティポリシーのルールを管理するフィールドです。

フィールド

説明

no

HTTPS検査ルールベース内のルール番号。

名前

システム管理者がこのルールに付ける名前。

発信元

トラフィックの開始位置を定義するネットワークオブジェクト。

宛先

トラフィックの宛先を定義するネットワークオブジェクト。

サービス内容

検査またはバイパスされるネットワークサービス。

デフォルトでは、ポート443のサービスHTTPS 、ポート8080のサービスHTTP_and_HTTPS proxy が検査されます。一覧からサービスを追加・削除することができます。

サイトカテゴリー

検査または回避されるアプリケーションまたはWebサイトのカテゴリ。

アクション

HTTPSトラフィックがルールに一致したときに実行されるアクション。トラフィックは検査されるか、無視されます(Bypass )。

追跡

トラフィックがルールに一致したときに行われるアクションを追跡し、ログに記録します。

インストール

HTTPSインスペクションポリシーを実施するネットワークオブジェクト。HTTPSインスペクションが有効なSecurity Gatewaysのみを選択できます(デフォルトでは、Install On列に表示されるゲートウェイはHTTPSインスペクションが有効になっています)。

証明書

このルールに使用される証明書。

  • Inbound HTTPS Inspection - 内部サーバが使用する証明書を選択します。サーバ証明書は、SmartDashboard> HTTPS Inspection > Server Certificates > Add から作成することができます。

  • Outbound HTTPS Inspection - ネットワーク内のコンピュータに使用するOutbound Certificateオブジェクトを選択します。ルールに一致するものがある場合、Security Gatewayは選択されたサーバ証明書を使用して、送信元クライアントと通信します。

コメント

ルールのサマリーを追加するためのオプションフィールドです。

HTTPSインスペクションルールを設定する

アウトバウンドとインバウンドのトラフィックに対して、異なるHTTPSインスペクションルールを作成します。

送信ルールでは、Security Gateway 用に生成された証明書が使用されます。

インバウンドルールでは、内部サーバごとに異なる証明書を使用します。

また、機密性が高く検査しない方が良いトラフィックに対してバイパスルールを作成することもできます。バイパスルールが HTTPS 検査ルールベースの最上位にあることを確認します。

ルールを作成したら、アクセスコントロールポリシーをインストールします。

この表は、典型的なポリシーの HTTPS 検査ルールベースの例を示しています (TrackInstall On のカラムは表示されていません。TrackLog に設定され、Install OnHTTPS policy targets に設定されています)。

いいえ

名前

発信元

宛先

サービス内容

サイトカテゴリー

アクション

ブレード

証明書

1

インバウンドトラフィック

Any

WebCalendar

サーバ

HTTPS

Any

インスペクト

Any

WebCalendarServer CA

2

金融関連サイト

Any

インターネット

HTTPS

HTTP_HTTPS_proxy

金融サービス

バイパス

Any

アウトバウンドCA

3

アウトバウンドトラフィック

Any

インターネット

HTTPS

HTTP_HTTPS_proxy

Any

インスペクト

Any

アウトバウンドCA

  1. Inbound traffic - ネットワークオブジェクト WebCalendarServer への HTTPS トラフィックを検査します。このルールでは、WebCalendarServer証明書を使用します。

  2. Financial sites - これは、「金融サービス」カテゴリに定義されているWebサイトへのHTTPSトラフィックを検査しないバイパスルールです。

  3. Outbound traffic - インターネットへの HTTPS トラフィックを検査します。このルールは、Outbound CA 証明書を使用します。

HTTPSインスペクションログ

HTTPSインスペクションルールベースの施行は、2つのステップで構成されています。

  1. ルールベースと接続を照合する。

  2. 実行するアクションを計算する。

アクションは、マッチしたルール、マッチしたルールに定義されたSoftware Blade、およびルールの例外に従って計算されます。特定のシナリオでは、一致したルールのアクションはInspectですが、ステップ2の結果、アクションはBypassに変更されます。この場合、一致したルールのデータを含む HTTPS 検査ログが送信されますが、ログのアクションは Bypass になります。

例 4

HTTPS Inspectionポリシーのルールは、Actionを定義しています。点検とブレード脅威のエミュレーション。Threat Emulation ブレードは、特定のゲートウェイで有効になっていません。そのゲートウェイでは、トラフィックは Threat Emulation によって検査されず、ログには Action と表示されます。バイパスです。

例 4

管理者は、HTTPS検査ポリシーに1つのルールを定義しました。

発信元

宛先

サービス内容

アクション

追跡

ブレード

Any

Any

HTTPS

インスペクト

Log

IPS

また、管理者は、IPS ブレードのグローバル例外に 10.1.1.0/24 ネットを追加しました。IP 10.1.1.2 のユーザがいくつかの HTTPS ウェブサイトにアクセスする。

HTTPSインスペクションルールベースの実行。

この接続は、アクションInspectを持つルールにマッチしました。

IPSは一致するルールの唯一のアクティブなブレードですが、接続はIPSブレードの例外になっています。したがって、更新されたアクションはBypassです。

実行されたアクション。SSL は終了せず、HTTPS 検査ログは一致したルールのデータで送信され、送信されるアクションは Bypass です。

ソフトウェア更新サービスのHTTPSインスペクションの回避

Check Point は、コンテンツが常に許可されるサービスの承認済みドメイン名のリストを動的に更新します。このオプションは、Check Pointのアップデートやその他のサードパーティソフトウェアのアップデートがブロック閉じた トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。されないようにするためのものです。例えば、マイクロソフト、Java、Adobeのアップデートなどです。

ステップ

手順

1

SmartConsoleで、「セキュリティポリシー閉じた ネットワークトラフィックを制御し、データ保護とパケット検査によるリソースへのアクセスに関する組織のガイドラインを適用するルールのコレクション。」> HTTPS Inspection> HTTPS Tools > Additional Settings > Open HTTPS Inspection Policy in SmartDashboard にアクセスします。

2

SmartDashboardで、HTTPS Inspection タブをクリックします。

3

HTTPS Validationをクリックします。

4

Whitelisting にアクセスし、Bypass HTTPS Inspection of traffic to well-known software update services (list is dynamically updated) を選択します。このオプションはデフォルトで有効になっています。

5

list をクリックすると、承認されたドメイン名のリストが表示されます。

ゲートウェイによる証明書の管理

SmartDashboardのHTTPS InspectionタブのGateways ペインには、HTTPS Inspectionが有効になっているゲートウェイが一覧表示されます。

ゲートウェイ]ペインの下部にある[CA証明書]セクションで、必要に応じて証明書の有効期限をRenew 、組織のクライアントマシンに配布するためにExport

選択した Security Gateway を管理する Security Management Server に生成された CA 証明書がインストールされていない場合は、Import certificate from file で追加することができます。

  • 組織内にすでに配備されているCA証明書をインポートすることができます。

  • 他のSecurity Management ServerからCA証明書をインポートすることができます。インポートする前に、まず作成された Security Management Server からエクスポートする必要があります(「生成したCAのエクスポートとデプロイ」を参照)。

アウトバウンドHTTPSインスペクションのための信頼されたCAの追加

クライアントがウェブサイトサーバへのHTTPS接続を開始すると、セキュリティゲートウェイがその接続を遮断する。Security Gatewayはトラフィックを検査し、Security Gatewayから指定されたサーバへの新しいHTTPS接続を作成します。

セキュリティゲートウェイは、指定されたWebサイトとのセキュアな接続(TLSトンネル)を確立する際、サイトサーバ証明書を検証する必要があります。

HTTPS インスペクションには、あらかじめ設定された信頼できる CA のリストが付属しています。このリストは、Check Point が必要に応じて更新し、Security Gateway に自動的にダウンロードされます。アップデートをインストールしたら、必ずポリシーをインストールしてください。自動更新オプションを無効にして、信頼済みCAリストを手動で更新することを選択できます。

Security Gatewayがサイトから信頼できないサーバ証明書を受け取った場合、デフォルトでユーザは生成された証明書ではなく、自己署名証明書を取得します。Webサイトのセキュリティ証明書に問題があることをユーザに通知し、ユーザがWebサイトにアクセスできるようにするページです。

信頼できないサーバ証明書をブロックするように、デフォルトの設定を変更することができます。

CA証明書の保存

信頼済みCAリストで選択した証明書を、ローカルファイルシステムに保存することができます。

ステップ

手順

1

SmartDashboardで、HTTPS Inspection タブ> Trusted CAs にアクセスします。

2

Actions > Export to fileをクリックします。

3

保存場所を指定して、ファイル名を入力し、Save

*.cer ファイルが作成されます。

HTTPSバリデーション

SmartDashboardのHTTPS Validation のページでは、以下のオプションを設定することができます。

  • フェイルモード

  • HTTPSサイトカテゴライズモード

  • サーババリデーション

  • 証明書のブラックリスト化

  • ホワイトリスト

  • トラブルシューティング

これらのオプションについて詳しく知りたい方は、ヘルプをご覧ください。HTTPS Validation のページで? のマークをクリックします。

HTTPSインスペクションのログを表示する

HTTPS 検査の定義済みログクエリは、HTTPS 検査ポリシーに一致し、ログに記録するよう構成されたすべての HTTPS トラフィックを表示します。

ステップ

手順

1

SmartConsoleLogs & Monitor のビューで、Logs タブを開き、Queries をクリックします。

2

HTTPS Inspection クエリーを選択します。

Logs タブには、HTTP Inspection Action フィールドがあります。フィールド値は、inspect またはbypass とする。トラフィックに対して HTTPS インスペクションが行われなかった場合、このフィールドはログに表示されません。

サイトカテゴライズのためのSNIサポート

Site Categorizationは、HTTPS検査を開始する前にHTTPSサイトを分類し、検査が成功しなかった場合の接続障害を防止することができます。

SNI サポートはデフォルトで有効になっています。

SNIはTLSプロトコルの拡張機能であり、TLSハンドシェイク処理の開始時にホスト名を示す。

この分類は、TLSハンドシェーキングプロセスの最初にあるクライアントHelloメッセージのSNIフィールドを調べることによって実行される。正しいサイトに到達したことを確認するために、SNIは証明書に記載されているホストのSubject Alternative Nameと照合されます。

ホストの身元が判明し、検証された後、サイトが分類され、接続を検査すべきかどうかが判断されます。

HTTPS インスペクション機能は、トラフィックを復号し、高度な脅威、ボット閉じた アンチウイルス機能を無効化し、サイバー犯罪者からの指示を受けるためにコマンド&コントロールセンターに接続し、指示を実行する悪質なソフトウェア。、その他のマルウェアからの保護を強化します。

非標準ポートでのHTTPSインスペクション

HTTPを使用するアプリケーションは、通常、TCPポート80にHTTPトラフィックを送信します。アプリケーションによっては、他のポートにHTTPトラフィックを送信するものもあります。一部の Software Blade では、ポート 80 の HTTP トラフィックのみを検査するように、または非標準ポートの HTTP トラフィックも検査するように設定することができます。

セキュリティポリシーは、非標準のポートを使用して送信された場合であっても、すべてのHTTPトラフィックを検査します。このオプションはデフォルトで有効になっています。このオプションは、「Manage& Settings」ビューで設定できます。> Blades > Threat Prevention > Advanced Settings.

TLS v1.3トラフィックのインスペクション

R81 より、Check Point Security Gateway は、TLS(Transport Layer Security)v1.8446 を参照)に依存するトラフィックを検査することができます。

R81.10以降では、ユーザスペースファイアウォールモード(USFW)を使用するセキュリティゲートウェイ(およびクラスタ閉じた 冗長構成で連携する2つ以上のセキュリティゲートウェイ(ハイアベイラビリティまたは負荷分散)をクラスタ化します。メンバ)において、この機能がデフォルトで有効になっています)。

サポートされるプラットフォームの一覧は、 を参照してください。

重要 - クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

- テスト用にTLS v1.3トラフィックの検査を無効にするには、グローバルパラメータfwtls_enable_tlsio の値を0 に設定し、再起動してください。

HTTPS インスペクション機能は、トラフィックを復号し、高度な脅威、ボット、その他のマルウェアからの保護を強化します。