SSLによるセキュアなWell-Knownポート サービスのApp-ID識別

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
App-IDs for SSL-Secured Versions of Well-Known Services

https://live.paloaltonetworks.com/t5/Configuration-Articles/App-IDs-for-SSL-Secured-Versions-of-Well...

 

詳細

LDAP、IMAP、POP3、SMTP、そしてFTPのような多くのwell-known ポートを使用したサービスが、それらの標準のポートとは異なる代替のSSL用ポートで稼働する、SSLによるセキュアなバージョンが利用可能となっています。これらのすべての場合においてトラフィックはPalo Alto Networks 次世代ファイアウォールのApp-IDにより、'ssl'アプリケーションとして識別されます。

 

これらのサービスを許可するセキュリティ ポリシーを作成する、いくつか異なるアプローチがあります。以下の記載をご覧ください。

  1. これらのプロトコルでサポートされるStartTLSを使用します。StartTLSについてはhttps://ja.wikipedia.org/wiki/STARTTLS / http://en.wikipedia.org/wiki/STARTTLSをご覧ください。 この場合SSL用に変更したポートでのはない標準のポートにて、'ssl'としてではなく該当するプロトコル(ldap、imap、pop3など)にそれぞれ識別されます。
  2. SSL用に変更されたポートのサービス オブジェクト(SMTPS:TCP/465、IMAPS:TCP/993、POP3S:995、 FTPS:TCP/990)を作成し、それらのサービスの'ssl' App-IDをセキュリティ ポリシー上で許可します。
  3. サーバー証明書をもとにカスタムアプリケーションを 作成します。 Custom Application for SSL-based traffic をご覧ください。
  4. 復号を有効にすると、これらは対応するApp-ID(smtp、imap、pop3など)で識別されます。

 

参照

SSL Decryption設定と試験方法

 

著者: savasarala