Deep Security ManagerでTLS 1.2を使用する

Deep Security 10.1以降のDeep Security Managerでは、ポート4119を使用した接続の際、クライアントにTLS 1.2プロトコルの使用が求められるようになりました。TLS 1.2プロトコルでは以前のバージョンのTLSよりも高度なセキュリティが提供されます。この変更は、Deep Security ManagerからのAgent パッケージのダウンロードを伴う、以下のクライアントアクティビティに影響します。

  • Agentをインストールするコンピュータでのインストールスクリプトの実行
  • VMware vCenter 5.5へのDSVA OVFパッケージのインストール

WindowsコンピュータでのTLS 1.2のサポート

Agentをコンピュータにインストールするインストールスクリプトには、Windows PowerShell 4.0が必要です。対象のコンピュータにPowerShell 3.0以前のバージョンがインストールされている場合は、バージョン4.0以降をインストールする必要があります。

次のWindows OSは、PowerShell 4.0以降をサポートしていません

  • Windows XP
  • Windows 2003
  • Windows 2008

LinuxコンピュータでのTLS 1.2のサポート

Linux用のAgentインストールスクリプトは、curlを使用してAgentパッケージをダウンロードします。バージョン7.3.4以降のcurlが、TLS 1.2プロトコルをサポートしています。インストールスクリプトを実行する前に、TLS 1.2をサポートするバージョンのcurlがLinuxコンピュータにインストールされていることを確認します。

古いOS上でAgentインストールスクリプトを使用する

Windows PowerShell 4.0以降をサポートしないOS、またはcurl 7.3.4以降がインストールされていないOSでも、Agentインストールスクリプトを使用できます。AgentパッケージをWebサーバ上にホストし、インストールスクリプトを変更してAgentパッケージをダウンロードする必要があります。AgentがWebサーバに接続できることを確認し、ビジネス標準に従って接続を保護します。

  1. WebブラウザでDeep Securityソフトウェアのページにアクセスして、使用しているOS用のDeep Security Agentインストールパッケージをダウンロードします。
  2. インストールパッケージをWebサーバにコピーします。
  3. インストールスクリプトを使用したコンピュータの追加と保護の手順に従います。ただし、Managerを使用してスクリプトを生成する代わりに、このページに示されているWindowsスクリプトまたはLinuxスクリプトを使用します。

VMware vCenter 5.5サーバでDSVAを使用できるようにする

VMware vCenter 5.5は、TLS 1.2とポート4119を使用してDeep Security Managerに接続できません。vCenter 5.5サーバがDSVAパッケージをダウンロードできるようにするには、ManagerコンピュータではなくWebサーバ上にパッケージをホストする必要があります。vCenterサーバがWebサーバに接続できることを確認し、ビジネス標準に従って接続を保護します。

  1. WebブラウザでDeep Securityソフトウェアのページにアクセスして、Deep Security Virtual Appliance 9.5をダウンロードします。
  2. DSVA OVFパッケージをWebサーバにコピーします。
  3. Deep Security Managerで、[コンピュータ] をクリックします。
  4. 設定するvCenterを右クリックし、[プロパティ] をクリックします。
  5. [NSX設定] タブで、[Deep Security Managerデータベースではなく、ローカルWebサーバ上にDeep Security Virtual Applianceソフトウェアパッケージをホストします] を選択します。
  6. Webサーバ上のDSVA OVFパッケージのURLを指定します。
  7. [OK] をクリックします。

古いOS用のAgentインストールスクリプト

Windowsスクリプト

Windowsコンピュータでは次のスクリプトを使用します。

baseUrl変数は、Webサーバ上のAgentパッケージのURLに設定する必要があります。

$env:LogPath = "$env:appdata\Trend Micro\Deep Security Agent\installer"
New-Item -path $env:LogPath -type directory
Start-Transcript -path "$env:LogPath\dsa_deploy.log" -append
echo "$(Get-Date -format T) - DSA download started"
$baseUrl=<server/package>
echo "$(Get-Date -format T) - Download Deep Security Agent Package" $sourceUrl
(New-Object System.Net.WebClient).DownloadFile($sourceUrl, "$env:temp\agent.msi")
if ( (Get-Item "$env:temp\agent.msi").length -eq 0 ) {
echo "Failed to download the Deep Security Agent.Please check if the package is on the server."
exit 1 }
echo "$(Get-Date -format T) - Downloaded File Size:"(Get-Item "$env:temp\agent.msi").length
echo "$(Get-Date -format T) - DSA install started"
echo "$(Get-Date -format T) - Installer Exit Code:"(Start-Process -FilePath msiexec -ArgumentList "/i $env:temp\agent.msi /qn ADDLOCAL=ALL /l*v `"$env:LogPath\dsa_install.log`"" -Wait -PassThru).ExitCode
Stop-Transcript
echo "$(Get-Date -format T) - DSA Deployment Finished"

Linuxスクリプト

Linuxディストリビューションごとに適したスクリプトを使用します。

<server/package>は、Webサーバ上のAgentパッケージのURLに置き換えます。

RPMパッケージマネージャを使用するLinuxディストリビューションの場合:

#!/usr/bin/env bash
curl <server/package> -o /tmp/agent.rpm --insecure -silent
rpm -ihv /tmp/agent.rpm

DebianベースのLinuxディストリビューションの場合:

#!/usr/bin/env bash
curl <server/package> -o /tmp/agent.deb --insecure -silent
dpkg -i /tmp/agent.deb

Deep Security ManagerとDeep Security RelayでTLS 1.0を有効にする

  1. Deep Security Managerコンピュータで、次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol ShowValue

    TLSのバージョンが表示されます。それが、現在Deep Security Managerで許可される最小のTLSバージョンとなります。

  2. 次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol TLSv1

    このコマンドによって、最小TLSバージョンが1.0に設定されます。

    Deep Security ManagerでTLS 1.0が再び有効になりました。

    Deep Security Managerサービスが自動的に再開されます。

  3. Relayに関連するポリシーを再送信します。
    1. Deep Security Managerで、[コンピュータ] をクリックし、コンピュータのリストで対象とするRelayを見つけます。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayの管理] をクリックします。メイン画面でRelayグループを展開し、該当するRelayを表示します。
    2. コンピュータのリストでRelayをダブルクリックします。
    3. メイン画面で [処理] タブをクリックします。
    4. [ポリシーの送信] をクリックしてポリシーを再送信します。
    5. 各Relayにポリシーを再送信します。

    RelayでTLS 1.0が再び有効になりました。

ManagerのGUIポートでTLS 1.0を有効にする (4119)

以前ManagerのGUIポート (4119) でのみTLS 1.2を強制しており、今後はそのポートで初期のTLS 1.0を再び有効にしたい場合は、このセクションをお読みください。

  1. Deep Security ManagerとDeep Security RelayでTLS 1.0を有効にする」の手順に従ってください。これにより、GUIポート (4119) でTLS 1.0が再び有効になります。