Deep SecurityでのTLS 1.2の使用

強力なA+-定格暗号スイートのみのTLS 1.2を有効にする場合は、を参照してください。TLS 1.2の強力な暗号化スイートの有効化.強力な暗号化スイートを使用すると、互換性の問題が発生することがあります。

Transport Layer Security (TLS) と以前のSecure Sockets Layer (SSL) は、異なるエンドポイント間の安全な接続を可能にする暗号化プロトコルです。Deep Securityコンポーネントは、通信する必要がある場合に、相互にサポートされている最新バージョンの暗号化プロトコルを特定し、そのバージョンを使用してセッション期間中のすべての通信を保護します。TLSの最新バージョンは1.2です。SSLはセキュリティ上の問題により、廃止されました。

トレンドマイクロでは、すべてのコンポーネント間でTLS 1.2通信を使用することを推奨しています。このページでは、TLS 1.2のメリットと、Deep Security環境でTLS 1.2を使用および強制する方法について説明します。

このページのトピック:

TLS 1.2のアーキテクチャ

下の図は、Deep SecurityアーキテクチャにおけるTLS通信を示しています。

図1は、aのTLS通信を示しています。Deep Security as a Service環境。10.0以上のエージェントとの通信が確認できます。Deep Security as a ServiceTLS 1.2を介して、9.6のバージョンは、初期のTLSで通信します。同様に、新しいサードパーティのアプリケーションではTLS 1.2が使用されていますが、古いアプリケーションでは初期のTLSが使用されています。Deep Securityをサービスとして使用している場合は、TLS 1.2を適用することはできません。

図2は、TLS 1.2が適用されていない場合のオンプレミス配信におけるTLS通信を示しています(初期設定の).図に示されているとおり、10.0以降のAgentはTLS 1.2を介してDeep Security Managerと通信しますが、バージョン9.6のAgentは初期のTLSを介して通信します。同様に、新しいサードパーティのアプリケーションと仮想アプライアンスはTLS 1.2を使用しますが、古いものは初期のTLSを使用します。

図3は、TLS 1.2 である場合のTLS通信を示しています。図に示されているとおり、バージョン9.6 のAgentも古いサードパーティのアプリケーションも、Deep Security Managerと通信できなくなります。施行の詳細については、を参照してください。TLS 1.2を強制する
.

図1: Deep Security as a Service、TLS 1.2の強制なし

図2: オンプレミス、TLS 1.2の強制なし

図3: オンプレミス、TLS 1.2の強制あり

TLS 1.2を強制せずに使用する

TLS 1.2を使用せずに使用するには、コンポーネントでTLS 1.2がサポートされていることを確認してください。TLS 1.2は、両方のコンポーネントでサポートされている場合に自動的に使用されます。

次の記載に従い、利用しているDeep SecurityコンポーネントがTLS 1.2をサポートしていることを確認し、必要な場合はDeep Securityコンポーネントをアップグレードしてください。

TLS 1.2を強制して初期のTLSとSSLが使用されないようにするには、TLS 1.2を強制するを参照してください。

Deep Security Managerを確認してアップグレードする

Deep Security Managerデータベースを確認する

  • Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用している場合は、データベースがTLS 1.2をサポートしているかを確認します。サポートしていない場合は、データベースをアップグレードしてください。解説については、こちらのMicrosoftのWebサイトを参照してください。
  • Oracleデータベースを使用している場合は、データベースとManager間の通信でTLSではなく、Oracleのネイティブの暗号化がサポートされているため、何もする必要はありません。
  • 初期設定では、データベース(SQL ServerまたはOracle)とDeep Security Managerとの間に暗号化はありません。暗号化は手動で有効にすることができます。

Deep Security Agentを確認する

  • 既存のDeep Security Agentがある場合は、バージョンが10.0以降であることを確認します。TLS 1.2をサポートしているのは、10.0以降のAgentのみです。

アップグレードされていないAgent (10.0より以前のAgent) が残っていると、そのAgentは初期のTLSを介して通信するため、TLS 1.2を強制することはできません。

Agentをアップグレードするには

  1. Deep Security Managerに最新のDeep Security Agentソフトウェアを手動または自動でインポートします。詳細については、Deep Securityソフトウェアのアップデートを参照してください。
  2. Deep Security Agentをアップグレードします。

Deep Security Relayを確認する

  • 次のいずれかのバージョンのDeep Security Relayを使用していることを確認します。別のバージョンを使用している場合はアップグレードしてください。
    • RelayでTLS 1.2を強制する予定がある場合は、Deep Security Relay 10.0 Update 8以降を使用します。TLS 1.2の強制をサポートしているのは、10.0 Update 8以降のRelayのみです。
    • RelayでTLS 1.2を強制する予定がない場合は、Deep Security Relay 10.0以降を使用します。TLS 1.2通信をサポートしているのは、10.0以降のRelayのみです。

Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。

  1. Deep Security Managerに最新のDeep Security Relayソフトウェアを手動または自動でインポートします。詳細については、Deep Securityソフトウェアのアップデートを参照してください。
  2. Relayをアップグレードします。

Deep Security Virtual Applianceを確認する

このセクションの説明は、オンプレミスインストールのDeep Security Managerにのみ該当します。

Deep Security Virtual Appliance 10.0以降を使用していることを確認してください。アプライアンスをアップグレードするには、を参照してください。Deep Security Virtual Applianceのアップグレード.

  • Virtual Applianceに必要なvSphereおよびNSXソフトウェアの最小バージョンでは、TLS 1.2はすでにサポートされています。詳細については、システム要件を参照してください。

TLS 1.2を強制する

TLS 1.2の強制は、Deep Security as a Service環境では利用できません。

必要に応じて、初期のTLS (1.0、1.1) およびSSLの使用が許可されないようにTLS 1.2の使用を強制できます。

このセクションのトピック:

TLS 1.2を強制できるコンポーネント

TLS 1.2を強制できるコンポーネントは次のとおりです。

  • Deep Security Manager
  • Deep Security Relay

TLS 1.2を強制した場合の動作

TLS 1.2を強制すると、ManagerとRelayで初期のTLS (1.0、1.1) やSSLを使用した接続が許可されなくなり、これらの古いプロトコルの使用を試みるアプリケーションは、アクセスが拒否されて正常に機能しなくなります。

TLS 1.2を強制しない場合、ManagerとRelayで初期のTLSとSSLに加えてTLS 1.2接続も許可されます。そのため、古いアプリケーションと新しいアプリケーションの両方が接続できます。

TLS 1.2の強制の条件

TLS 1.2を強制できるのは、Deep Security Agentすべてが、TLS 1.2がサポートされているバージョンである10.0以降にアップグレードされている場合のみです。

次に該当する場合、TLS 1.2は強制できません。

  • Windows 2000など、10.0以降のAgentが利用できない古いOSを保護している場合。現在のOSで10.0以降のAgentが利用可能かどうかを確認するには、こちらを参照してください。
  • 古いサードパーティコンポーネントを使用していて、Deep Security Managerとの通信に初期のTLSまたはSSLを使用する必要がある場合。

すべてのAgentをアップグレードすることが不可能な場合は、引き続きManagerのGUIポートでのみTLS 1.2を強制できます。詳細については、ManagerのGUIポート (4119) でのみTLS 1.2を強制するを参照してください。

Deep Security ManagerでTLS 1.2を強制する

  1. 開始する前に、すべてのコンポーネントがTLS 1.2をサポートしていることを確認します。TLS 1.2を強制せずに使用する を参照してください。
  2. Deep Security Managerコンピュータで、java.securityファイルを開きます。Windowsの場合、初期設定では「c:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\」にあります。
  3. 次の行に、下線が引かれている太字の項目を追加します (この行がない場合は、行全体を追加します)。

    jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 1024, EC keySize < 224, DES40_CBC, RC4_40,TLSv1, TLSv1.1

    この設定により、Deep Security ManagerのJava実行環境で、脆弱な各種アルゴリズムとプロトコルが無効になります。詳細については、https://www.java.com/en/configure_crypto.htmlを参照してください。

  4. ファイルを保存します。
  5. Deep Security Managerサービスを再起動します。

Deep Security RelayでTLS 1.2を強制する

  1. 開始する前に、すべてのコンポーネントがTLS 1.2をサポートしていることを確認します。TLS 1.2を強制せずに使用する を参照してください。
  2. Deep Security Managerのコマンドプロンプトで次のコマンドを入力します。

    dsm_c -action changesetting –name "settings.configuration.restrictRelayMinimumTLSProtocol" -value "TLSv1.2"

    このコマンドを実行すると、すべてのDeep Security Relayに関連するポリシーが新しいTLS 1.2の要件を使用して、すべて更新されます。

  3. Relayに関連するポリシーを再送信します。
    1. Deep Security Managerで、[コンピュータ] をクリックし、コンピュータのリストで対象とするRelayを見つけます。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayグループ] をクリックします。メイン画面でRelayグループをダブルクリックします。[メンバー] 見出しの下を見てRelayを確認します。
    2. コンピュータのリストでRelayをダブルクリックします。
    3. メイン画面で [処理] タブをクリックします。
    4. [ポリシーの送信] をクリックしてポリシーを再送信します。
    5. 各Relayにポリシーを再送信します。

ManagerのGUIポート (4119) でのみTLS 1.2を強制する

Deep Security ManagerでTLS 1.2を強制するおよびDeep Security RelayでTLS 1.2を強制するで説明したとおり、Deep Security ManagerおよびRelayで完全な強制が不可能な場合にのみ、このセクションを読んでください。

このセクションでは、ポート4119の最小TLSバージョンをTLS 1.2に設定する方法について説明します。通常、ポート4119で接続するアプリケーションは、WebブラウザとREST APIまたはSOAP APIクライアントです。TLS 1.2をサポートしていない古いDeep Securityコンポーネントは引き続き、初期のTLSまたはSSLを使用してManagerに接続できます (初期設定ではポート4120を使用)。

  1. マネージャのGUIポートで初期のTLSとSSLを無効にします(4119) (すでに無効になっている可能性があります):
    1. configuration.properties ファイルをルートディレクトリに作成します。Deep SecurityManagerインストールディレクトリ。
    2. serviceName=の下にあるprotocols=設定を探します。

      この設定では、Deep Security ManagerがWebブラウザおよびREST APIクライアントまたはSOAP APIクライアントに対してサーバとして動作している場合に、Deep Security Managerに接続するために使用できるプロトコルを定義します。

    3. protocols = の設定がない場合は、ポート4119でTLS 1.2のみが許可されるように次の行を追加します。

      protocols=TLSv1.2

    4. ファイルを保存します。
  2. 古いDeep Security AgentおよびApplianceが引き続きポート4120 (初期設定) でDeep Security Managerに接続できるように、Java実行環境で以前のバージョンのSSLとTLSを有効にします。

    1. Deep Security Managerコンピュータで、java.securityファイルを開きます。Windowsの場合、初期設定では「c:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\」にあります。
    2. 次の行のTLS項目がある場合は削除します。

      jdk.tls.disabledAlgorithms = SSLv3、RC4、MD5withRSA、DHキーサイズ<1024、ECキーサイズ<224、DES40_CBC、RC4_40、TLSv1、TLSv1.1

      この設定では、Java Runtimeのさまざまな弱いアルゴリズムとプロトコルが(Deep Securityマネージャ。TLSv1およびTLSv1.1を削除することで、これらのプロトコルを使用できるようになります。 configuration.propertiesprotocols = 設定はこの設定よりも優先されるため、ポート4119では引き続き初期のTLSが許可されなくなります。詳細については、このページを参照してください: https://www.java.com/en/configure_crypto.html

    3. ファイルを保存します。
  3. Deep Security Managerサービスを再起動します。

TLS 1.2の強制をテストする

  1. 初期TLS 1.2を強制したDeep Securityコンポーネントで、次のnmapコマンドを実行します。
  2. nmap --script ssl-enum-ciphers <ds_host> -p <ds_port> -Pn

    指定する項目は次のとおりです。

    • <ds_host>は、ManagerまたはRelayのIPアドレスまたはホスト名に置き換えます。
    • <ds_port>は、TLSが使用されている待機ポートに置き換えます。Managerの場合は4119、Relayの場合は4122、Agentの場合は4118です (Managerからの有効化を使用した場合)。

    この応答ではTLS 1.2のみが表示されます。応答の例は次のとおりです。

    PORT STATE SERVICE

    443/tcp open https

    | ssl-enum-ciphers:

    | | TLSv1.2:

    | ciphers:

    | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

    | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

    | TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

    | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

    | TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

    | TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

    | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

    | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

    | TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

    | compressors:

TLS 1.2の強制を無効にする

TLS 1.2を強制した後で、初期のTLS (1.0、1.1) やSSLを使用した接続がDeep Security ManagerおよびRelayによって受け入れられるように強制を無効にする必要性が生じた場合は、次の手順に従います。

Deep Security ManagerでTLS 1.2の強制を無効にする

  1. Deep Security Managerコンピュータで、java.securityファイルを開きます。Windowsの場合、初期設定では「c:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\」にあります。
  2. 次の行からTLSの項目を削除します。

    jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 1024, EC keySize < 224, DES40_CBC, RC4_40,TLSv1, TLSv1.1

    この設定により、Deep Security ManagerのJava実行環境で、脆弱な各種アルゴリズムとプロトコルが無効になります。TLSv1TLSv1.1を削除すると、これらが有効になります。詳細については、https://www.java.com/en/configure_crypto.htmlを参照してください。

  3. ファイルを保存します。
  4. Deep Security Managerサービスを再起動します。

ManagerのGUIポート (4119) でTLS 1.2の強制を無効にする

  1. Deep Security Managerのインストールディレクトリのルートにあるconfiguration.propertiesファイルを開きます。
  2. serviceName=の下に次の行をそのまま追加します。

    protocols=TLSv1,TLSv1.1,TLSv1.2

    この設定は、(ポート4119を使用する) WebブラウザおよびREST APIまたはSOAP APIクライアントのサーバとして機能しているDeep Security Managerへの接続に使用可能なプロトコルを定義しています。

  3. ファイルを保存します。
  4. Deep Security Managerサービスを再起動します。

Deep Security RelayでTLS 1.2の強制を無効にする

  1. Deep Security Managerのコマンドプロンプトで次のコマンドを入力します。

    dsm_c -action changesetting –name "settings.configuration.restrictRelayMinimumTLSProtocol" -value "TLSv1"

    このコマンドを実行すると、すべてのDeep Security Relayに関連するすべてのポリシーが、初期のTLS 1.0の要件を使用して更新されます。

  2. Relayに関連するポリシーを再送信します。
    1. Deep Security Managerで、[コンピュータ] をクリックし、コンピュータのリストで対象とするRelayを見つけます。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayグループ] をクリックします。メイン画面でRelayグループをダブルクリックします。[メンバー] 見出しの下を見てRelayを確認します。
    2. コンピュータのリストでRelayをダブルクリックします。
    3. メイン画面で [処理] タブをクリックします。
    4. [ポリシーの送信] をクリックしてポリシーを再送信します。
    5. 各Relayにポリシーを再送信します。

TLS 1.2適用後のAgent、Virtual Appliance、Relayのインストールに関するガイドライン

このセクションでは、TLS 1.2を強制した後でAgent、Virtual Appliance、およびRelayをインストールする場合の特別な注意事項について説明します。TLS 1.2を強制しなかった場合、注意事項はないため、このセクションを読む必要はありません。

このセクションのトピック:

TLS 1.2の強制後に新しいAgentとRelayをインストールする場合の一般的なガイドライン

  • 10.0以降のエージェントとリレーを配信する必要があります。10.0以降のエージェントとリレーのみがTLS 1.2をサポートします。
  • 9.6以前のDeep Security AgentまたはRelayをインストールする必要がある場合は、TLS 1.2を強制したコンポーネント (Manager、Relay、またはManagerのGUIポート4119) でTLS 1.2の強制を無効にする必要があります。

TLS 1.2の強制後にインストールスクリプトを使用する場合のガイドライン

TLS 1.2適用を有効にすると、 配信スクリプトを使用して、10.0以降のエージェントとリレーをインストールできます。ここでは、インストールスクリプトを確実に機能させるためのガイドラインを示します。

  1. WindowsコンピュータにAgentまたはRelayをインストールする場合は、TLS 1.2をサポートしているPowerShell 4.0以降を使用します。
  2. PowerShell 4.0がサポートされていないWindows XP、2003、または2008にインストールする場合は、以下の回避策を参照してください。
  3. LinuxにAgentまたはRelayをインストールする場合は、TLS 1.2をサポートしているcurl 7.34.0以降を使用します。
  4. 初期設定でcurl 7.19が使用されるLinux 6にインストールする場合は、次のいずれかの手順を実行します。
    • curl 7.34.0以降にアップグレードする
    • または
    • 以下の回避策を参照して手順に従う

回避策

TLS 1.2の強制後に、

  • PowerShell 4.0がサポートされていないWindows XP、2003、または2008にインストールする場合

    または

  • あなたが7.19で修正されたLinux 6コンピュータに展開しています。これはアップグレードできません。...
  • この場合は、次の手順を実行してください。

    1. 開始Deep SecurityManagerから、使用しているOSのエージェントインストールパッケージをダウンロードします。以下を参照してください。Deep Security Agentソフトウェアの入手詳細については、
    2. インストールパッケージをWebサーバにコピーします。
    3. 次の手順に従ってください。インストールスクリプトの使用Deep Security Managerを使用してスクリプトを生成する代わりに、WindowsスクリプトまたはLinuxスクリプトを使用します。このスクリプトは、次のとおりです。

    Windowsスクリプト:

    baseUrl 変数には、Webサーバ上のエージェントパッケージのURLを設定する必要があります。

    $env:LogPath = "$env:appdata \ Trend Micro \ Deep Security Agent \ installer "

    新規項目-path $env:LogPath -typeディレクトリ

    開始 - トランスコード - パス "$env:LogPath \ dsa_deploy.log" -append

    echo "$(Get-Date -format T) - DSAダウンロードの開始"

    $baseUrl=<server/package>

    echo "$(Get-Date -format T) - Deep Security Agentパッケージのダウンロード" $sourceUrl

    (New-Object System.Net.WebClient).DownloadFile($sourceUrl , "$env:temp \ agent.msi"))

    if ( (Get-Item "$env:temp \ agent.msi").length -eq 0 ) {

    echo "Deep Security Agentのダウンロードに失敗しました。Please check if the package is on the server."

    exit 1}

    echo "$(Get-Date -format T) - ダウンロードされたファイルサイズ:" (Get-Item"$env:temp \ agent.msi").length

    echo "$(Get-Date -format T) - DSAのインストールが開始されました"

    echo "$(Get-Date -format T) - インストーラの終了コード:" (スタートプロセス-FilePath msiexec -ArgumentList "/i $env:temp \ agent.msi / qn ADDLOCAL = ALL / l * v `"$env:LogPath \ dsa_install.log`"" -Wait -PassThru).ExitCode

    ストップ・トランスクリプト

    echo "$(Get-Date -format T) - DSA Deployment Finished"

    Linuxスクリプト:

    Linuxディストリビューションごとに適したスクリプトを使用します。

    <server/package> をWebサーバ上のエージェントパッケージのURLに置き換えます。

    RPM Package Managerを使用するLinuxディストリビューションの場合:

    #!/usr/bin/env bash

    カール<server/package> -o /tmp/agent.rpm -サイレント

    rpm -ihv /tmp/agent.rpm

    DebianベースのLinuxディストリビューションの場合:

    #!/usr/bin/env bash

    カール<server/package> -o /tmp/agent.deb -サイレント

    dpkg -i /tmp/agent.deb

TLS 1.2の適用時にDeep Security Virtual Applianceを配信するためのガイドライン

TLS 1.2を適用した後、新しい仮想アプライアンスを配信する必要がある場合は、バージョン10.0以上を配信していることを確認してください。このヘルプセンターの他の部分の手順を使用して、配置を実行してください。特別なタスクは必要ありません。