よくあるご質問

キーワードから探す

  • FAQ検索
  • ID検索

※スペースで区切って複数検索が可能です。

カテゴリで絞り込む

カテゴリから探す

ID:4967
作成日: 2017/01/24
(WebFilter ver8.5 SP2以降)セキュリティ機能について

Ver.8.5 SP2以降のバージョンにアップデート後、クライアントがHTTPSサイト接続時に
ブラウザエラーが発生する場合があります。何が原因でしょうか。

InterSafe WebFilter ver8.5 SP2 以降では、HTTPS通信のセキュリティ対策のため、
デフォルトで「セキュリティ機能」が有効になります。
※本機能は、Proxy版製品が対象です。
※本機能は、Ver.8.5 SP1以前のバージョンから設定を引き継いだバージョンアップの場合も
 有効となります。

■セキュリティ機能
1)HTTPS通信のSSL/TLS通信以外のプロトコルを検知
 HTTPS通信でのSSL/TLS通信であるか、他プロトコルであるかを検知し、
 SSL/TLS通信の規格に沿わないプロトコルが使用された場合や、SSLv2以前の通信を検知した
 場合は、通信を遮断します。

2)HTTPS通信でのホスト名(SNI)の正常性チェック
 HTTPS通信でのリクエスト先のホスト名と、TLS拡張機能のSNIに記述されているホスト名が
 一致しているかをチェックします。偽装を検知した場合は、通信を遮断します。

■有効時の挙動について
上記機能により通信を遮断された場合、クライアント側では通信エラーの挙動となります。

例)
ブラウザでアクセスした際に、セキュリティ機能により通信を遮断された場合、
規制画面は表示されず、「このページは表示できません」の表示となります。
※ブラウザで遮断される例はSSLv2プロトコルにて通信を行なった場合となります。

遮断された通信はInterSafe_notice.logに出力され、接続をしているクライアント
および接続先情報が確認できます。

例)
009022 Unknown protocol detected on CONNECT.(~) [client=XXX.XXX.XXX.XXX; method=CONNECT; elapsedTime=XX; Host=xxx.xxx.com; User-Agent=XXXXXX; ]

■設定について
以下の項目にて設定しております。

設定ファイル保存先
・Windows版:<インストールフォルダ>\conf\proxy.inf
・Linux版:<インストールディレクトリ>/conf/proxy.inf

デフォルト値
 [BLOCK_CFG]
 BLOCK_TUNNEL_PROTOCOL=1(プロトコルの検知)
 BLOCK_INVALID_SNI=TRUE(ホスト名(SNI)の正常性チェック)

どちらも実施しない場合の設定
 [BLOCK_CFG]
 BLOCK_TUNNEL_PROTOCOL=0
 BLOCK_INVALID_SNI=FALSE

※バージョンアップ前と同じ動作にしたい場合は、
 「どちらも実施しない場合の設定」を行ってください。

設定変更後はフィルタリングサービスの再起動を行なってください。
プライマリ/レプリカ構成の場合は設定同期(amsdata -sys)を実施後、
フィルタリングサービスを再起動してください。
※プライマリ/レプリカという名称は、Ver9.1SP2以前ではマスタ/スレーブという名称です。

InterSafe_notice.logなどにてホスト名が判明している場合は、
フィルタリングバイパスにて回避することが可能です。
フィルタリングバイパス機能についてはこちらを参照ください。

※ご注意ください※
本機能は、HTTPSデコード対象の通信に対しては機能いたしません。
対象バージョン
8.5SP2以降
対象ビルド
 
一般情報
この内容は参考になりましたか?
ご回答いただきまして、ありがとうございます。
今後の参考にさせていただきます。
Powered by i-ask
Page Top