【Fortigate】SSLインスペクション除外の設定 FortiOS6.2.4

この記事は以下の内容の続きになります。

>> 参考記事 : SSLインスペクション(deep-inspection)設定と動作確認 FortiOS6.2.4

SSLインスペクションは、SSLの暗号化を解いて、データの中身を検査できるため、脅威防御を目的としたセキュリティ制御にかなりの威力を発揮します。

ただし、問題もあります。

1つ目は、パフォーマンスの問題です。SSLインスペクションは負荷の高い処理であるため、すべての通信に対して、 deep-inspectionを実行すると、パフォーマンスに影響がでる可能性があります。

2つ目は、機密情報の保護です。例えば、クレジットカードの番号などはSSLによる暗号化により、通信経路上の漏洩を防いでいるにも関わらず、経路上で一度復号されていることを利用者は気付くことができません。場合によっては、事前の告知も検討が必要です。また、個人の趣味や趣向や健康に関するプライバシー情報も復号化されてしまいます。

そこで、一部のサイトに関しては、SSLインスペクションの対象外とすることができます。

GUIで、【セキュリティプロファイル】-【SSL/SSHインスペクション】へ移動し、custom-deep-inspection をダブルクリックします。これはカスタマイズができるプロファイルです。

SSLインスペクションから除外 のセクションで、除外設定をします。

  • 著名なWebサイト:有効にします。著名の定義は、FortiGuard Webフィルタリングのレーティングに従います。
  • Webカテゴリ:プライバシー対策として、デフォルトで、金融と銀行、健康とウェルネスが登録されています。追加、削除できます。
  • アドレス:インスペクションの除外リストです。追加、削除できます。
  • SSL除外のログを記録する:有効にします。

設定完了後、OKをクリックします。

内部から外部へのポリシーの設定で、SSLインスペクションの設定をcustom-deep-inspectionに変更します。

端末からサイト接続を確認します。まず、Googleにアクセスすると、これはインスペクション対象外として認識されています。サーバ証明書を見ると、然るべき証明機関より発行されています。

金融と銀行のカテゴリにあるPaypalのサイトもSSLインスペクション対象外になります。アドレスバーを見ただけで、対象外であることが確認ができます。

私のサイト(https://www.hirotanoblog.com)へアクセスすると、SSLインスペクションの対象として扱われ、Fortigateがサーバ証明書を発行しています。

SSL除外のログを記録する にチェックを入れましたが、除外ログは、【ログ&レポート】-【Webフィルタ】で確認できます。 GoogleやPayPalへのアクセスが通過していることを確認できます。

コメント