HTTPSインスペクション

HTTPSインターネット・トラフィックは、TLS(トランスポート・レイヤー・セキュリティ)プロトコルを使用し、データのプライバシーと完全性を与えるために暗号化されます。しかし、HTTPSトラフィックにはセキュリティリスクがあり、違法なユーザアクティビティや悪意のあるトラフィックを隠してしまう可能性があります。セキュリティゲートウェイでは、HTTPSトラフィックは暗号化されているため、検査することができません。HTTPSインスペクション機能を有効にすると、セキュリティゲートウェイが外部のサイトまたはサーバと新しいTLS接続を作成できるようになります。セキュリティゲートウェイは、新しいTLS接続を使用するHTTPSトラフィックを復号し、検査することができるようになります。

HTTPSインスペクションには、2つのタイプがあります。

  • Outbound HTTPS Inspection- 内部クライアントから外部サイトまたはサーバに送信される悪意のあるトラフィックから保護する。

  • Inbound HTTPS Inspection- インターネットや外部ネットワークから届く悪意のあるリクエストから内部サーバを保護する。

セキュリティゲートウェイは証明書を使用し、クライアントコンピュータと安全なWebサイトとの仲介役となります。すべてのデータはHTTPSインスペクションのログで非公開にされます。HTTPSインスペクションの権限を持つ管理者のみが、このようなログのすべてのフィールドを見ることができます。

R80.20 以降の HTTPS 検査の新機能については、sk163594 を参照。

HTTPS接続の検査

アウトバウンドHTTPS接続

アウトバウンド接続は、内部クライアントから到着し、外部サーバに接続するHTTPS接続です。

  1. HTTPSリクエスト(内部クライアントから外部サーバへ)がセキュリティゲートウェイに到着します。

  2. セキュリティゲートウェイは、HTTPSリクエストを検査します。

  3. セキュリティゲートウェイは、HTTPSリクエストが既存のHTTPSインスペクションルールに一致するかどうかを判断します。

    • HTTPSリクエストがルールに一致しない場合、セキュリティゲートウェイはHTTPSペイロードを検査しません。

    • HTTPSリクエストがルールに一致する場合、セキュリティゲートウェイは次のステップに進みます。

  4. セキュリティゲートウェイは、外部サーバからのHTTPS証明書を検証します。

    セキュリティゲートウェイは、OCSP (Online Certificate Status Protocol)標準を使用します。

  5. セキュリティゲートウェイは、外部サーバとの接続のために新しい証明書を作成します。

  6. セキュリティゲートウェイは、HTTPS接続を復号します。

  7. セキュリティゲートウェイは、復号したHTTPS接続を検査します。

  8. セキュリティポリシーでこのトラフィックが許可されている場合、セキュリティゲートウェイはHTTPS接続を暗号化します。

  9. セキュリティゲートウェイは外部サーバにHTTPSリクエストを送信します。

インバウンドHTTPS接続

インバウンド接続は、外部クライアントから到着し、DMZまたは内部ネットワーク内のサーバに接続するHTTPS接続です。

  1. HTTPSリクエスト(外部クライアントから内部サーバへ)がセキュリティゲートウェイに到着します。

  2. セキュリティゲートウェイは、HTTPSリクエストを検査します。

  3. セキュリティゲートウェイは、HTTPSリクエストが既存のHTTPSインスペクションルールに一致するかどうかを判断します。

    • HTTPSリクエストがルールに一致しない場合、セキュリティゲートウェイはHTTPSペイロードを検査しません。

    • HTTPSリクエストがルールに一致する場合、セキュリティゲートウェイは次のステップに進みます。

  4. セキュリティゲートウェイは、内部サーバの証明書を使用して、外部クライアントとの HTTPS 接続を作成します。

  5. セキュリティゲートウェイは内部サーバとのHTTPS接続を新規に作成します。

  6. セキュリティゲートウェイは、HTTPS接続を復号します。

  7. セキュリティゲートウェイは、復号したHTTPS接続を検査します。

  8. セキュリティポリシーでこのトラフィックを許可すると、セキュリティゲートウェイはHTTPS接続を暗号化し、内部サーバに送信します。

HTTPS検査を始める

このセクションでは、送信および受信のHTTPSトラフィックを検査するためにセキュリティゲートウェイを設定する方法の例を示します。

ワークフローの概要

ステップ

手順

1

セキュリティゲートウェイでHTTPSインスペクションを有効にします。参照: セキュリティゲートウェイで HTTPS 検査を有効にする

2

インバウンド証明書とアウトバウンド証明書を使用するようにセキュリティゲートウェイを設定する:

3

HTTPSインスペクションルールベースを設定します。HTTPSインスペクションポリシー

4

アクセスコントロールポリシーをインストールします。参照: アクセスコントロールポリシーのインストール

セキュリティゲートウェイで HTTPS 検査を有効にする

各セキュリティゲートウェイで個別に HTTPS 検査を設定する必要があります。

重要- HTTPS トラフィックを検査するには、ソフトウェアブレードのセキュリティゲートウェイで HTTPS 検査を有効にする必要があります。HTTPS インスペクションがないと、セキュリティGartner Magic Quadrantは暗号化されたトラフィックを復号し、検査することができないため、ポリシーの適用ができません。

セキュリティゲートウェイで HTTPS 検査を有効にする:

ステップ

手順

1

SmartConsole ゲートウェイ & サーバビューで、Security Gatewayオブジェクトを編集します。

2

HTTPS 検査 >Step 3 をクリックする。

3

Enable HTTPS Inspectionを選択します。

アウトバウンドCA証明書の操作

セキュリティゲートウェイの1つでHTTPSインスペクションを初めて有効にする場合、HTTPSインスペクションのアウトバウンドCA証明書を作成するか、組織内にすでに配布されているCA証明書をインポートする必要があります。このアウトバウンド証明書は、Security Management Serverで管理されるすべてのセキュリティゲートウェイで使用されます。

送信 CA 証明書の作成

アウトバウンドCA証明書は、ファイル拡張子CERで保存され、パスワードを使ってファイルの秘密鍵を暗号化します。セキュリティゲートウェイはこのパスワードを使って、アクセスしたサイトの証明書に署名します。パスワードは、CA証明書をインポートする他のSecurity Management Serverがファイルを復号する際にも使用されるため、必ず保管しておく必要があります。

アウトバウンドCA証明書を作成した後、クライアントに配布できるようにエクスポートする必要があります。生成されたアウトバウンドCA証明書をクライアントに配置しない場合、HTTPSサイトに接続すると、ユーザはブラウザでTLSエラーメッセージを受け取ります。このような接続をログに記録するトラブルシューティングオプションを設定することができます。

アウトバウンドCA証明書を作成すると、Outbound Certificateという名前の証明書オブジェクトが作成されます。このオブジェクトは、HTTPSインスペクションルールベースのアウトバウンドHTTPSトラフィックを検査するルールで使用します。

ステップ

手順

1

SmartConsoleのGateways & Serversビューで、Security Gatewayオブジェクトを右クリックし、Editを選択します。

ゲートウェイPropertiesのウィンドウが開きます。

2

ナビゲーションツリーで、HTTPS Inspectionを選択します。

3

HTTPS InspectionページのStep 1で、Createをクリックします。

Createウィンドウが開きます。

4

必要な情報を入力します。

  • Issued by (DN)- 組織のドメイン名を入力してください。

  • Private key password- CA 証明書の秘密鍵の暗号化に使用するパスワードを入力する。

  • Retype private key password- パスワードを再入力する。

  • Valid from- CA 証明書が有効な日付範囲を選択する。

5

クリックOK

6

CA証明書をエクスポートして配置する。Security Management Serverからの送信証明書のエクスポート)。

アウトバウンドCA証明書のインポート

組織内にすでに配備されているCA証明書をインポートしたり、あるSecurity Management Serverで作成されたCA証明書を別のSecurity Management Serverにインポートしたりできる。

ベストプラクティス-プライベートCA 証明書を使用すること。

HTTPSインスペクションでセキュリティゲートウェイを有効にしている各Security Management Serverについて、以下を行う必要があります。

  • CA証明書をインポートします。

  • Security Management ServerがCA証明書ファイルを復号し、ユーザの証明書に署名するために使用するパスワードを入力します。このパスワードは、新しいSecurity Management Serverに証明書をインポートするときのみ使用します。

ステップ

手順

1

CA証明書が別のSecurity Management Serverで作成された場合は、その証明書が作成されたSecurity Management Serverから証明書をエクスポートします(参照)。Security Management Serverからの送信証明書のエクスポート)。

2

SmartConsoleのGateways & Serversビューで、Security Gatewayオブジェクトを右クリックし、Editを選択します。

Gateway Propertiesウィンドウが開きます。

3

ナビゲーションツリーで、HTTPS Inspectionを選択します。

4

HTTPS InspectionページのStep 1で、Importをクリックします。

Import Outbound Certificateウィンドウが開きます。

5

証明書ファイルを参照します。

6

private key passwordを入力します。

7

クリックOK

8

CA証明書が別のSecurity Management Serverで作成されたものである場合は、それをクライアントに配備する。生成された CA の配備)。

Security Management Serverからの送信証明書のエクスポート

組織内で複数のSecurity Management Serverを使用している場合、他のSecurity Management Serverにインポートする前に、まずCA証明書を作成したSecurity Management Serverからexport_https_cert CLIコマンドでエクスポートすることが重要です。

export_https_cert -help

export_https_cert {[-local] | [-s server]} [-f <certificate file name in the FWDIR/tmp/ directory>]

Security Management Serverで、次のコマンドを実行します。

$FWDIR/bin/export_https_cert -local -f <certificate file name in the FWDIR/tmp/ directory>

例:

$FWDIR/bin/export_https_cert -local -f mycompany.cer

- マルチドメインSecurity Management Serverでは、該当するドメイン管理サーバ(mdsenv <IP Address of Domain Management Server>)のコンテキストでこのコマンドを実行する必要があります。

生成された CA の配備

HTTPSインスペクションが使用する生成されたCA証明書に関する警告がユーザに表示されないようにするため、HTTPSインスペクションが使用する生成されたCA証明書を信頼できるCAとしてインストールします。Windows GPOなど、さまざまな配布メカニズムでCAを配布することができます。これにより、生成されたCAがクライアントコンピュータ上の信頼できるルート証明書リポジトリに追加されます。

ユーザが標準アップデートを実行すると、生成されたCAがCAリストに表示され、ブラウザ証明書の警告が表示されなくなります。

ステップ

手順

1

Security GatewayのHTTPS Inspectionウィンドウから、Export certificateをクリックします。

2

CA証明書ファイルを保存します。

3

グループ・ポリシー管理コンソールを使用して、証明書をTrusted Root Certification Authorities証明書ストアに追加する(グループポリシーを使用した証明書の展開)。

4

組織内のクライアントコンピュータにポリシーをプッシュします。

- CA証明書がクライアントコンピュータの組織単位にプッシュされていることを確認してください。

5

クライアントの1つからHTTPSのサイトを閲覧して、配布をテストします。

また、CA証明書に、Issued by フィールドに作成したCA証明書に入力した名前が表示されていることを確認してください。

グループポリシーを使用した証明書の展開

Active Directory Domain ServicesとGroup Policy Object(GPO)を使用して、複数のクライアントマシンに証明書を展開する手順を説明します。GPOは複数の設定オプションを含むことができ、GPOの適用範囲内のすべてのコンピュータに適用されます。

この手順を実行するには、ローカルのAdministratorsグループ、または同等のグループに所属している必要があります。

ステップ

手順

1

Microsoft Windows Serverで、Group Policy Management Consoleを開きます。

2

既存のGPOを検索するか、証明書設定を含む新しいGPOを作成します。GPOが、ポリシーの影響を受けさせたいユーザのドメイン、サイト、または組織ユニットに関連付けられていることを確認します。

3

GPOを右クリックし、Editを選択します。

Group Policy Management Editorが開き、ポリシーオブジェクトの内容が表示されます。

4

Computer Configuration >Policies >Windows Settings >Security Settings >Public Key Policies >Trusted Publishers を開く。

5

Action >Import をクリックします。

6

Certificate Import Wizardにある手順で、SmartConsoleからエクスポートした証明書を探し、インポートします。

7

ナビゲーションペインで、Trusted Root Certification Authoritiesをクリックし、手順5~6を繰り返して、そのストアに証明書のコピーをインストールします。

インバウンドHTTPSインスペクションの設定

設計上、セキュリティゲートウェイ / セキュリティクラスタは、意図的に HTTPS Inspection を実行しないように設定されています。この動作を変更するには、sk114574

インバウンドHTTPSインスペクションのサーバ証明書の割り当て

サーバ証明書をセキュリティゲートウェイに追加します。サーバ証明書オブジェクトが作成されます。

組織外のクライアントが内部サーバへのHTTPS接続を開始すると、セキュリティゲートウェイがそのトラフィックを遮断します。セキュリティゲートウェイは受信トラフィックを検査し、ゲートウェイから内部サーバへの新しいHTTPS接続を作成します。HTTPSインスペクションを許可するには、セキュリティゲートウェイがオリジナルのサーバ証明書と秘密キーを使用する必要があります。セキュリティゲートウェイは、この証明書と秘密キーを、内部サーバとのTLS接続に使用します。

サーバ証明書(CERファイル拡張子を持つ)をセキュリティゲートウェイにインポートした後、HTTPSインスペクションポリシーにオブジェクトを追加します。

この手順を、組織外のクライアントから接続要求を受けるすべてのサーバに対して行います。

ステップ

手順

1

SmartConsole で、Security Policies >HTTPS Inspection >HTTPS Tools >Additional Settings と進みます。

2

Open HTTPS Inspection Policy In SmartDashboardをクリックします。

SmartDashboardが開きます。

3

Server Certificatesをクリックします。

4

クリックAdd

Import Inbound Certificateウィンドウが開きます。

5

Certificate nameDescriptionを入力します(任意)。

6

証明書ファイルを参照します。

7

Private key passwordを入力します。サーバで証明書の秘密キーを保護するために使用したものと同じパスワードを入力します。

8

クリックOK

サーバ証明書を初めてインポートするときは、Successful Importウィンドウが表示されます。HTTPSインスペクションルールベースのどこにオブジェクトを追加するかが表示されます。サーバ証明書をインポートするたびにウィンドウを表示したくない場合は、Don't show this againをクリックしてCloseをクリックします。

HTTPSインスペクションポリシー

HTTPSインスペクションルールは、セキュリティゲートウェイがHTTPSトラフィックを検査する方法を定義します。

HTTPSインスペクションルールは、URLフィルタリングカテゴリを使用して、異なるWebサイトやアプリケーションのトラフィックを識別することができます。例えば、ユーザのプライバシーを保護するために、銀行や金融機関へのHTTPSトラフィックを無視するルールを使用することができます。

特定のブレード上のゲートウェイでHTTPS検査を実施するには、以下の手順が必要です:

  1. ゲートウェイで HTTPS 検査を有効にする。

  2. HTTPS 検査ポリシーに必要なブレードでルールを作成します。

  3. ゲートウェイで必要なブレードを有効にする。

HTTPSインスペクションに対応したSoftware Bladesは次のとおりです。

  • アクセスコントロール:

    • アプリケーション コントロール

    • URL フィルタリング

    • コンテンツ認識

  • 脅威対策:

    • IPS

    • アンチウイルス

    • アンチボット

    • Threat Emulation

    • 脅威抽出

    • ゼロフィッシング

  • データ損失防止

R80.40 以降、HTTPS 検査ポリシーは、SmartConsole >Security Policies ビュー >HTTPS Inspection にあります。R80.40 以降では、異なるポリシーパッケージごとに異なる HTTPS 検査レイヤーを作成できます。新しいポリシーパッケージを作成する場合、あらかじめ定義されたHTTPSインスペクションレイヤを使用するか、セキュリティニーズに合わせてHTTPSインスペクションレイヤをカスタマイズすることができます。

HTTPSインスペクションレイヤは、複数のポリシーパッケージで共有することができます。

- 管理サーバの管理データベースに設定されているネットワークオブジェクトが100,000個を超える場合、[Security Policies] ビュー >HTTPS Inspection >HTTPS Tools >Additional Settings >Open HTTPS Inspection Policy In SmartDashboard を表示すると、SmartDashboardが予期せず終了します。

HTTPSインスペクションセキュリティポリシーのルールを管理するフィールドです。

フィールド

説明

No.

HTTPSインスペクションルールベースのルール番号。

名前

システム管理者がこのルールに付ける名前。

発信元

トラフィックの開始位置を定義するネットワークオブジェクト。

宛先

トラフィックの宛先を定義するネットワークオブジェクト。

サービス

検査またはバイパスされるネットワークサービス。

デフォルトでは、ポート443のサービスHTTPS、ポート8080のサービスHTTP_and_HTTPS proxyが検査されます。リストからサービスを追加または削除できます。

サイトカテゴリ

検査または回避されるアプリケーションまたはWebサイトのカテゴリ。

アクション

HTTPSトラフィックがルールに一致したときに実行されるアクション。トラフィックは検査されるか、無視(Bypass)されます。

追跡

トラフィックがルールに一致したときに行われるアクションを追跡し、ログに記録します。

インストール

HTTPSインスペクションポリシーを実施するネットワークオブジェクト。HTTPSインスペクションが有効なセキュリティゲートウェイのみを選択できます(デフォルトでは、Install Onカラムに表示されるゲートウェイがHTTPSインスペクションを有効にしています)。

証明書

このルールに使用される証明書。

  • インバウンドHTTPSインスペクション - 内部サーバが使用する証明書を選択します。サーバ証明書は、SmartDashboard >HTTPS Inspection >Server Certificates >Add から作成できます。

  • アウトバウンドHTTPSインスペクション - ネットワーク内のコンピュータに使用するOutbound Certificateオブジェクトを選択します。ルールに一致するものがある場合、セキュリティゲートウェイは選択されたサーバ証明書を使用して送信元クライアントと通信します。

コメント

ルールのサマリを追加するためのオプションフィールドです。

HTTPS 検査ポリシーの設定

アウトバウンドとインバウンドのトラフィックに対して、異なるHTTPSインスペクションルールを作成します。

アウトバウンドルールでは、セキュリティゲートウェイ用に生成された証明書が使用されます。

インバウンドルールでは、内部サーバごとに異なる証明書を使用します。

また、機密性が高く検査しない方が良いトラフィックに対してバイパスルールを作成することもできます。バイパスルールは、HTTPSインスペクションルールベースの一番上にあることを確認します。

ルールを作成したら、アクセス制御ポリシーをインストールします。

この表は、典型的なポリシーのHTTPS検査ルールベースのサンプルを示しています。

いいえ

名前

発信元

宛先

サービス

サイトカテゴリ

アクション

ブレード

証明書

追跡

インストール

1

金融関連サイト

Any

インターネット

HTTPS

HTTP_HTTPS_proxy

金融サービス

バイパス

Any

アウトバウンドCA

ログ記録

HTTPSポリシーのターゲット

2

アウトバウンドトラフィック

Any

インターネット

HTTPS

HTTP_HTTPS_proxy

Any

インスペクト

Any

アウトバウンドCA

ログ記録

HTTPSポリシーのターゲット

3

インバウンドトラフィック

Any

WebCalendar

サーバ

HTTPS

Any

インスペクト

Any

WebCalendarServer CA

 

 

  1. Financial sites- これは、金融サービスカテゴリに定義されているWebサイトへのHTTPSトラフィックを検査しないバイパスルールです。

  2. Outbound traffic- インターネットへのHTTPSトラフィックを検査する。このルールでは、アウトバウンドCA証明書を使用します。

  3. Inbound traffic- ネットワーク・オブジェクト WebCalendarServer への HTTPS トラフィックを検査します。このルールでは、WebCalendarServer証明書を使用します。

HTTPS検査ポリシーの実施

HTTPS 検査ルールベースは2つのステップで実施される:

  1. 接続をルールベースと照合する。

  2. 実行するアクションを計算する。

アクションは、マッチしたルール、マッチしたルールに定義されたソフトウェアブレード、およびルールの例外に従って計算される。特定のシナリオでは、マッチしたルールのアクションはInspectであるが、ステップ2の結果、アクションはBypassに変更される。この場合、一致したルールのデータとともにHTTPS検査ログが送信されますが、ログのアクションは「バイパス」です。

例1:

HTTPS 検査] ポリシーのルールでは、[アクション] を定義します:Inspect および Blade: Threat Emulation を定義します。Threat Emulationブレードが特定のゲートウェイで有効になっていない。このゲートウェイでは、トラフィックはThreat Emulationでは検査されず、ログには「Action」と表示されます:バイパス。

例2:

管理者はHTTPS検査ポリシーで1つのルールを定義した:

発信元

宛先

サービス

アクション

追跡

ブレード

Any

Any

HTTPS

インスペクト

ログ記録

IPS

管理者はまた、IPSブレードのグローバル例外に10.1.1.0/24ネットを追加した。IP 10.1.1.2のユーザが、いくつかのHTTPSウェブサイトにアクセス。

HTTPS 検査ルールベースの実行:

接続はアクションInspectのルールにマッチした。

IPSは一致するルールで唯一のアクティブなブレードですが、接続はIPSブレードの例外です。したがって、更新されたアクションは「バイパス」である。

実行されたアクション:SSLは終了されず、一致したルールのデータとともにHTTPS検査ログが送信され、送信されたアクションは迂回です。

ソフトウェア更新サービスのHTTPSインスペクションのバイパス

Check Pointは、コンテンツが常に許可されるサービスの承認済みドメイン名のリストを動的に更新します。このオプションは、Check Pointのアップデートやその他のサードパーティソフトウェアのアップデートがブロックされないようにするためのものです。例えば、Microsoft、Java、Adobeのアップデートなどです。

ステップ

手順

1

SmartConsole で、Security Policies >HTTPS Inspection>HTTPS Tools >Additional Settings >Open HTTPS Inspection Policy in SmartDashboard と進みます。

2

SmartDashboardで、HTTPS Inspectionタブをクリックします。

3

HTTPS Validationをクリックします。

4

Whitelistingにアクセスし、Bypass HTTPS Inspection of traffic to well-known software update services (list is dynamically updated)を選択します。このオプションはデフォルトで有効になっています。

5

listをクリックすると、承認されたドメイン名のリストが表示されます。

ゲートウェイごとの証明書管理

SmartDashboardのHTTPS InspectionタブのGatewaysペインには、HTTPSインスペクションが有効になっているゲートウェイが一覧表示されます。

Gatewaysペインの下部にあるCA証明書セクションで、必要に応じて証明書の有効期限をRenew(更新)し、組織のクライアントマシンに配布するためにExport(エクスポート)できます。

選択したセキュリティゲートウェイを管理するSecurity Management Serverに生成されたCA証明書がインストールされていない場合は、Import certificate from fileで追加することができます。

  • 組織にすでに展開されているCA証明書をインポートすることができます。

  • 別のSecurity Management ServerからCA証明書をインポートできます。インポートする前に、まずSecurity Management Serverからエクスポートする必要があります。HTTPSインスペクション)。

アウトバウンド HTTPS 検査における信頼できる CA との連携

クライアントがサーバへのTLS接続を開始すると、セキュリティゲートウェイはその接続をインターセプトする。セキュリティGartner Magic Quadrantはトラフィックを検査し、セキュリティ・Gartner Magic Quadrantから指定されたサーバへの新しいTLS接続を作成する。

セキュリティGartner Magic Quadrantが指定サーバとの安全なTLS接続を確立するとき、サイトサーバ証明書を検証する必要がある。

HTTPSインスペクションには、あらかじめ設定された信頼できるCAのリストが付属しています。このリストはCheck Pointによって必要に応じて更新され、Check Pointダウンロードセンターから管理サーバに自動的にダウンロードされます。Security Management Server で Trusted CA のアップデートを取得した後、Security Gartner Magic Quadrant にポリシーをインストールする必要があります。自動更新オプションを無効にして、信頼済みCAリストを手動で更新することを選択できます。sk64521を参照してください。

セキュリティ・Gartner Magic Quadrantが信頼できないサーバ証明書を受け取った場合、デフォルトでは、ユーザは生成された証明書ではなく、自己署名証明書を取得する。サーバのセキュリティ証明書に問題があることをユーザに通知するページがあるが、ユーザはサーバに進むことができる。

信頼できないサーバ証明書をブロックするように、デフォルトの設定を変更することができます。Manage & Settings >Blades > HTTPS Inspection >Configure in SmartDashboard >HTTPS Validation >Server Validations > selectUntrusted server certificates.

信頼済み証明書のリストを管理するには、SmartConsoleで、Manage & Settings >Blades > HTTPS Inspection >Configure in SmartDashboard >Trusted CAs に進みます。

Trusted CAs」ページでは、パッケージに含まれるすべての証明書と、ユーザが追加した証明書を表示できます。このページでこれらの操作を行うことができる:

  • Add- Check Point によって過去に追加され、リストから削除された CA 証明書を Trusted CAs リストに追加できます。

  • View- 選択した証明書の詳細を表示します。

  • Remove- リストからCA証明書を削除できる:

    • 証明書がCheck Pointによって追加された場合は(「Added By」カラムを参照)、Add オプションを使用して、後でリストに追加することができます。

    • 証明書がユーザによって追加された場合、証明書は削除される。

  • Actions:

    • Import certificate- カスタム信頼済み証明書(非信頼ウェブサイトの証明書)を信頼済みCAリストに追加できます。

    • Export to file- リストで選択した証明書をローカルファイルシステムに保存できます。

    • Update certificate list- 信頼済み CA リストのCheck Pointの更新を含む zip ファイルをアップロードできます。

  • Automatic Updates

    • Do not download updates- システムは、信頼済み CA リストの更新を自動的にチェックしたり、ダウンロードしたりしない。このオプションは、信頼済みCAリストを手動で管理・更新する場合に便利である。どのCA証明書を信頼し、いつアップデートを適用するかを完全にコントロールできる。

    • Download updates automatically and notify when an update file is available for installation- システムは、信頼済みCAリストの更新を自動的にチェックし、利用可能になるとダウンロードする。このオプションは、信頼済みCAリストが常に最新の証明書で更新されていることを保証したいが、実際に更新がインストールされるタイミングも管理したい場合に有効である。これにより、アップデートを適用する前にその内容を確認することができ、信頼済み CA リストに加えられた変更を確実に把握することができる。

    • Download and install updates automatically- このシステムは、信頼済みCAリストの更新を自動的にチェックし、ダウンロードし、手動で操作することなくインストールする。このオプションは、Trusted CAのリストが常に最新の証明書で更新されていることを保証するのに理想的である。新しい信頼できるCAを自動的に組み込み、古くなったり危険にさらされたりしたCAを削除することで、セキュリティの維持を支援する。

- Trusted CAs 設定の変更を適用するには、該当するセキュリティGartner Magic Quadrantにポリシーをインストールする。

HTTPS検証

  • フェイルモード

  • HTTPSサイト分類モード

  • サーバ検証

  • 証明書のブラックリスト

  • ホワイトリスト

  • トラブルシューティング

これらのオプションの詳細については、ヘルプを参照してください。HTTPS Validationページで?のマークをクリックします。

HTTPSインスペクションのログの表示

HTTPSインスペクションの定義済みログクエリは、HTTPSインスペクションポリシーに一致し、ログ記録するよう設定されたすべてのHTTPSトラフィックを表示します。

ステップ

手順

1

SmartConsoleのLogs & Monitorビューで、Logsタブを開き、Queriesをクリックします。

2

HTTPS Inspectionクエリを選択します。

Logsタブには、HTTP Inspection Actionフィールドがあります。フィールドの値は検査またはバイパスである。トラフィックに対してHTTPSインスペクションが行われなかった場合、このフィールドはログに表示されません。

サイト分類のためのSNIサポート

R80.30からは、HTTPS検査を開始する前にHTTPSサイトを分類し、検査が成功しなかった場合に接続が失敗しないようにする新機能が追加されました。

SNIはTLSプロトコルの拡張機能であり、TLSハンドシェイクプロセスの開始時にホスト名を示します。

この分類は、TLSハンドシェーキングプロセスの最初にあるクライアントHelloメッセージのSNIフィールドを調べることによって実行されます。正しいサイトに到達したことを確認するために、SNIは証明書に表示されるホストのSubject Alternative Nameと照合されます。

ホストのアイデンティが識別および検証された後、サイトが分類され、接続を検査すべきかどうかが判断されます。

SNIサポートはデフォルトで有効になっています。

非標準ポートでのHTTPSインスペクション

HTTPを使用するアプリケーションは、通常、TCPポート80にHTTPトラフィックを送信します。アプリケーションによっては、他のポートにHTTPトラフィックを送信するものもあります。一部のSoftware Bladeでは、ポート80のHTTPトラフィックのみを検査するように、または非標準ポートのHTTPトラフィックも検査するように設定することができます。

セキュリティポリシーは、非標準のポートを使用して送信された場合であっても、すべてのHTTPトラフィックを検査します。このオプションはデフォルトで有効になっています。このオプションは、Manage & Settings ビュー >Blades > Threat Prevention > Advanced Settings >General >HTTPS Inspection で設定できます。

TLS v1.3トラフィックのインスペクション

R81 以降、Check Point Security Gartner Magic Quadrant は、トランスポート・レイヤ・セキュリティ(TLS)v1.3 に依存するトラフィックを検査できるようになりました(RFC 8446 を参照)。

R81.10以降では、ユーザスペースファイアウォールモード(USFW)を使用するセキュリティゲートウェイ(およびクラスタメンバ)において、この機能がデフォルトで有効になっています)。

対応プラットフォームの一覧は、sk167052 を参照。

重要 - クラスタでは、すべてのクラスタメンバを同じ方法で設定する必要があります。

- テスト目的でTLS v1.3トラフィックの検査を無効にするには、グローバルパラメータfwtls_enable_tlsio の値を0 に設定し、再起動してください。

HTTPSインスペクション機能は、トラフィックを復号し、高度な脅威、ボット、その他のマルウェアからの保護を強化します。