Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
TLS 1.2の強力な暗号化スイートの有効化
強力な暗号化スイートを有効にすることで、Deep Securityコンポーネントとのすべての通信を安全に行えるようになります。悪意のあるユーザーが、弱い暗号化スイートを使用した通信チャネルを介してシステムへの接続を作成できると、その暗号化スイートの既知の脆弱性を悪用して、システムや情報の安全性を脅かすことになります。
このページでは、TLS 1.2の強力な暗号化スイートを使用するように、Deep Security Manager、Deep Security Agent、およびDeep Security Relayをアップデートする方法について説明します。これらの暗号化スイートの評価は「A+」となっており、こちらの表にも掲載されています。
強力な暗号スイートを有効にするには、すべてのDeep Securityコンポーネントを11.0 Update 6以降のバージョンにアップグレードします。これが不可能な場合(たとえば、11.0 Update 6エージェントが使用できないOSを使用している場合など)、代わりに Deep SecurityでのTLS 1.2の使用を使用します。
手順1: Deep Securityコンポーネントをアップデートする
手順2: TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する
手順3: スクリプトの動作を確認する
Deep Securityコンポーネントをアップデートする
以下に記載された順にすべてのコンポーネントをアップデートしてください。しなかった場合、AgentはRelayやManagerと通信できなくなります。
- すべてのマネージャーインスタンスを11.0 Update 6以降のアップデートにアップデートします。アップグレード手順については、Deep Security Manager AMIのアップグレードを参照してください。
- すべてのリレーを11.0 Update 6以降のアップデートにアップデートします。Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。
- Managerに最新のRelayソフトウェアを手動または自動でインポートします。詳細については、Deep Security Agentのアップデートを参照してください。
- Relayをアップグレードします。
- Relayを自動的にアップグレードするには、「Agentのアップデートを開始する」を参照してください。
- Relayを手動でアップグレードするには、「Agentを手動でアップグレードする」を参照してください。
- すべてのエージェントを11.0 Update 6以降のアップデートにアップデートします。Agentをアップグレードするには
- Managerに最新のAgentソフトウェアを手動または自動でインポートします。詳細については、Deep Security Agentのアップデートを参照してください。
- Deep Security Agentをアップグレードします。
- Agentを自動的にアップグレードするには、「Agentのアップデートを開始する」を参照してください。
- Agentを手動でアップグレードするには、「Agentを手動でアップグレードする」を参照してください。
TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する
- https://github.com/deep-security/ops-tools/tree/master/deepsecurity/manager で利用可能な EnableStrongCiphers.script ファイルを次の場所にコピーします。
- Windowsの場合: <Manager_root>\Scripts
- Linuxの場合: <Manager_root>/Scripts
この場合、<Manager_root>は、Managerのインストールディレクトリのパスに置き換えます。初期設定では次のようになっています。
- C:\Program Files\Trend Micro\Deep Security Manager (Windows)
- /opt/dsm/ (Linux)
\Scripts ディレクトリが表示されない場合は、作成してください。
- Managerにログインします。
- 上部の [管理] をクリックします。
- 左側で、[予約タスク] をクリックします。
- メイン画面で、[新規] をクリックします。
- [新規予約タスクウィザード] が表示されます。
- [種類] リストで [スクリプトの実行] を選択します。[1回のみ] を選択します。[次へ] をクリックします。
- 初期設定の日付、時刻、およびタイムゾーンをそのままにし、[次へ] をクリックします。
- [スクリプト] で、[EnableStrongCiphers.script] を選択します。[次へ] をクリックします。
- [名前] には、スクリプトの名前 (たとえば、Enable Strong Cipher Suites) を入力します。[タスクの有効化] が選択されていることを確認します。[[完了] でタスクを実行] をクリックします。[完了] をクリックします。
スクリプトが実行されます。
- Deep Security Managerサービスを再起動します。
Agent、Relay、およびManagerは、TLS 1.2の強力な暗号化スイートのみを使用して相互に通信を行うようになりました。
スクリプトの動作を確認する
スクリプトの動作と、TLS 1.2の強力な暗号化スイートのみが許可されていることを確認するには、一連のnmapコマンドを実行する必要があります。
nmapを使用してManagerを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4119 <Manager_FQDN>
出力は次のようになります。強力な暗号化スイートは中段付近で確認できます。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:51 EST
Nmap scan report for <DSM FQDN> (X.X.X.X)
Host is up (0.0049s latency).
PORT STATE SERVICE
4119/tcp open assuria-slm
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256k1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256k1) - A
| compressors:
| NULL
| cipher preference: client
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 6.82 seconds
nmapを使用してRelayを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4122 <Relay_FQDN>
出力は次のようになります。強力な暗号化スイートは中段付近に記述されています。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:49 EST
Nmap scan report for <DSR FQDN> (X.X.X.X)
Host is up (0.0045s latency).
PORT STATE SERVICE
4122/tcp open unknown
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 31.02 seconds
nmapを使用してAgentを確認する
次のコマンドを実行します。
nmap --script ssl-enum-ciphers -p 4118 <Agent_FQDN>
出力は次のようになります。
Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:50 EST
Nmap scan report for <DSA FQDN> (X.X.X.X)
Host is up (0.0048s latency).
PORT STATE SERVICE
4118/tcp open netscript
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
| compressors:
| NULL
| cipher preference: server
|_ least strength: A
Nmap done: 1 IP address (1 host up) scanned in 2.72 seconds
TLS 1.2の強力な暗号化スイートを無効にする
すべてのAgent、Relay、およびManagerをアップグレードする前に誤ってスクリプトを実行してしまった場合には、次の手順に従って以前の状態に戻すことができます。
- <Manager_root>にあるconfiguration.propertiesファイルを開き、ciphersで始まる行を削除します。次のような行です。
ciphers=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- protocols フィールドに値TLSv1とTLSv1.1を追加します。プロパティは最終的には次のようになります。
protocols = TLSv1, TLSv1.1, TLSv1.2
- ファイルを保存して、閉じます。
- <Manager_root>\jre\lib\security\にあるjava.securityファイルを開き、jdk.tls.disabledAlgorithms から次の2つのプロトコルを削除します。
TLSv1, TLSv1.1
- Deep Security Managerで、次のdsm_cコマンドを実行します。
dsm_c –action changesetting –name settings.configuration.restrictRelayMinimumTLSProtocol –value TLSv1
dsm_c –action changesetting –name settings.configuration.enableStrongCiphers –value false
システムが再度通信できるようになります。TLS 1.2の強力な暗号化スイートを有効にする必要がある場合は、すべてのコンポーネントをアップグレードしてからスクリプトを実行するようにしてください。
Deep Security Managerとの通信の問題が解決しない場合は、次のdsm_cコマンドを追加で実行してください。
dsm_c –action changesetting –name settings.configuration.MinimumTLSProtocolNewNode –value TLSv1