TLS 1.2の強力な暗号化スイートの有効化

Deep Security Managerのオンプレミスインストールにのみ適用されます。

このページでは、TLS 1.2の強力な暗号化スイートを使用するように、Deep Security Manager、Deep Security Agent、およびDeep Security Relayをアップデートする方法について説明します。これらの暗号スイートには、高度な+ (A+) レーティングがあり、 this pageの表にリストされています。

強力な暗号スイートを有効にするには、すべてのDeep Securityコンポーネントを10.0アップデート16以降のバージョンにアップグレードします。これが不可能な場合(たとえば、10.0アップデートエージェントが使用できないOSを使用している場合など)、代わりにを参照してください。Deep SecurityでのTLS 1.2の使用.

ステップ1:Deep Securityコンポーネントをアップデートする

ステップ2:TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する

ステップ3:スクリプトの動作を確認する

TLSv1.2強力な暗号スイートを無効にする

Deep Securityコンポーネントをアップデートする

以下に記載された順にすべてのコンポーネントをアップデートしてください。しなかった場合、AgentはRelayやManagerと通信できなくなります。

  1. すべてのマネージャのインスタンスを10.0アップデート16以降のアップデートにアップデートします。アップグレード手順については、を参照してください。Deep Securityのインストール.
  2. すべてのリレーを10.0 Update 16以降のアップデートにアップデートします。Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。
    1. Managerに最新のRelayソフトウェアを手動または自動でインポートします。以下を参照してください。Deep Securityソフトウェアのアップデート詳細については、
    2. Relayをアップグレードします。
  3. すべてのエージェントを10.0アップデート16以降のアップデートにアップデートします。Agentをアップグレードするには
    1. Managerに最新のAgentソフトウェアを手動または自動でインポートします。以下を参照してください。Deep Securityソフトウェアのアップデート詳細については、
    2. Deep Security Agentをアップグレードします。

TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する

  1. https://github.com/deep-security/ops-tools/tree/master/deepsecurity/managerEnableStrongCiphers.script ファイルを次の場所にコピーします。
    • Windowsの場合: <Manager_root>\Scripts
    • Linuxの場合: <Manager_root>/Scripts

    この場合、<Manager_root>は、Managerのインストールディレクトリのパスに置き換えます。初期設定では次のようになっています。

    • C:\Program Files\Trend Micro\Deep Security Manager (Windows)
    • /opt/dsm/ (Linux)

    \Scripts ディレクトリが表示されない場合は、作成してください。

  1. Managerにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側で、[予約タスク] をクリックします。
  4. メイン画面で、[新規] をクリックします。
  5. [新規予約タスクウィザード] が表示されます。
  6. [種類] リストで [スクリプトの実行] を選択します。 Only Onceを選択します。[Next] をクリックします。
  7. 初期設定の日付、時刻、およびタイムゾーンをそのままにし、[次へ] をクリックします。
  8. [スクリプト] で、[EnableStrongCiphers.script] を選択します。[次へ] をクリックします。
  9. Nameの場合は、スクリプトの名前を入力します(例:Enable Strong Cipher Suitesを有効にする」など)。[タスクの有効化] が選択されていることを確認します。[[完了] でタスクを実行] をクリックします。[完了] をクリックします。

    スクリプトが実行されます。

  10. Deep Security Managerサービスを再起動します。

    エージェント、リレー、およびマネージャは、TLSv1.2の強力な暗号スイートを排他的に使用して相互に通信しているはずです。

スクリプトの動作を確認する

スクリプトの動作と、TLS 1.2の強力な暗号化スイートのみが許可されていることを確認するには、一連のnmapコマンドを実行する必要があります。

nmapを使用してManagerを確認する

次のコマンドを実行します。

nmap --script ssl-enum-ciphers -p 4119 <Manager_FQDN>

出力は次のようになります。強力な暗号化スイートは中段付近で確認できます。

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:51 EST

Nmap scan report for <DSM FQDN> (X.X.X.X)

Host is up (0.0049s latency).

PORT STATE SERVICE

4119/tcp open assuria-slm

| ssl-enum-ciphers:

| TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256k1) - A

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256k1) - A

| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256k1) - A

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256k1) - A

| compressors:

| NULL

| cipher preference: client

|_ least strength: A

Nmap done: 1 IP address (1 host up) scanned in 6.82 seconds

nmapを使用してRelayを確認する

次のコマンドを実行します。

nmap --script ssl-enum-ciphers -p 4122 <Relay_FQDN>

出力は次のようになります。強力な暗号化スイートは中段付近に記述されています。

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:49 EST

Nmap scan report for <DSR FQDN> (X.X.X.X)

Host is up (0.0045s latency).

PORT STATE SERVICE

4122/tcp open unknown

| ssl-enum-ciphers:

| TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

| compressors:

| NULL

| cipher preference: server

|_ least strength: A

Nmap done: 1 IP address (1 host up) scanned in 31.02 seconds

nmapを使用してAgentを確認する

次のコマンドを実行します。

nmap --script ssl-enum-ciphers -p 4118 <Agent_FQDN>

出力は次のようになります。

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:50 EST

Nmap scan report for <DSA FQDN> (X.X.X.X)

Host is up (0.0048s latency).

PORT STATE SERVICE

4118/tcp open netscript

| ssl-enum-ciphers:

| TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

| compressors:

| NULL

| cipher preference: server

|_ least strength: A

Nmap done: 1 IP address (1 host up) scanned in 2.72 seconds

TLSv1.2強力な暗号スイートを無効にする

すべてのAgent、Relay、およびManagerをアップグレードする前に誤ってスクリプトを実行してしまった場合には、次の手順に従って以前の状態に戻すことができます。

  1. <Manager_root>にあるconfiguration.propertiesファイルを開き、ciphersで始まる行を削除します。次のような行です。

    ciphers=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  2. protocols フィールドに値TLSv1TLSv1.1を追加します。プロパティは最終的には次のようになります。

    protocols = TLSv1, TLSv1.1, TLSv1.2

  3. ファイルを保存して、閉じます。
  4. <Manager_root>\jre\lib\security\にあるjava.securityファイルを開き、jdk.tls.disabledAlgorithms から次の2つのプロトコルを削除します。

    TLSv1, TLSv1.1

  5. Deep Security Managerで、次の dsm_c コマンドを実行します。

    dsm_c –action changesetting –name settings.configuration.restrictRelayMinimumTLSProtocol –value TLSv1

    dsm_c –action changesetting –name settings.configuration.enableStrongCiphers –value false

    システムが再度通信できるようになります。TLSv1.2の強力な暗号スイートを有効にする必要がある場合は、スクリプトを実行する前にすべてのコンポーネントをアップグレードしていることを確認してください。