情報システム開発契約のセキュリティ仕様作成のためのガイドライン
・プロトコル設定
をテンプレートにして作成
開始行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
~
*Windows [#m9b75d8e]
**Windows SMB [#f80a8fa2]
SMBv1はランサムウェアの攻撃を受ける脆弱性を持っています。...
なお、Linux ベースのNASやSambaをFile Serverとして使用する...
-Microsoft Windows と Windows Server で SMBv1、SMBv2、SMB...
-''警告''~
SMBv2 または SMBv3 は無効にしないことをお勧めします。 接...
-SMBの各バージョンと、対応しているWindows OS
|CENTER:150|CENTER|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:SMBのバージョン|COL...
|SMB 1.0(SMBv1)|Windows 2000/XP/Vista/7/8/8.1/10...
|SMB 2.0|Windows Vista/7/8/8.1/10、Windows Server 200...
|SMB 2.1|Windows 7/8/8.1/10、Windows Server 2008 R2/2...
|SMB 3.0|Windows 8/8.1/10、Windows Server 2012/2012 R2...
|SMB 3.02|Windows 8.1/10、Windows Server 2012 R2/2016|
|SMB 3.11|Windows 10、Windows Server 2016|
出典:https://www.atmarkit.co.jp/ait/articles/1705/17/new...
**Windows TLS [#o371951c]
SSL3.0、TLS1.0、TLS1.1には脆弱性があります。TLS1.2 以上を...
また、Webサーバー側では Linux が使用されることが多いため...
||CENTER:80|CENTER:80|CENTER:80|CENTER:80|CENTER:80|c
|BGCOLOR(NAVY):COLOR(WHITE):SSL/TLS攻撃方法に対する耐性|B...
|BGCOLOR(NAVY):COLOR(WHITE):ダウングレード攻撃|>|BGCOLOR(...
|BGCOLOR(NAVY):COLOR(WHITE):バージョンロールバック攻撃|>|...
|BGCOLOR(NAVY):COLOR(WHITE):BEAST/POODLE攻撃|>|>|BGCOLOR(...
出典:[[IPA TLS 暗号設定ガイドライン Ver.3.0.1 2020年7月:...
~
**暗号スイートとは [#y77e1325]
暗号スイートは、キー交換、バルク暗号化、メッセージ認証の...
-キー交換アルゴリズム
サーバーとクライアント間で共有キーを作成するための情報を...
-バルク暗号化アルゴリズム
サーバーとクライアント間のメッセージを暗号化します。
-メッセージ認証アルゴリズム
メッセージの整合性を保証し、ハッシュ生成と署名を行います。
~
キー交換 バルク暗号化 ...
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SH384_P384A
署名 ...
~
**Group Policy による暗号スイートの設定 [#k2db61e9]
グループポリシーで以下の順序となるよう、設定を確認してく...
[ポリシー]>[コンピューターの構成]>[管理用テンプレート]>[...
|300|50||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:暗号スイート文字列|...
|TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_DHE_RSA_WITH_AES_256_GCM_SHA384|いいえ|TLS 1.2|
|TLS_DHE_RSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA|はい|TLS 1.2、TLS 1...
|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA|はい|TLS 1.2、TLS 1...
|TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA|はい|TLS 1.2、TLS 1.1...
|TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA|はい|TLS 1.2、TLS 1.1...
|TLS_RSA_WITH_AES_256_GCM_SHA384|はい|TLS 1.2|
|TLS_RSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_RSA_WITH_AES_256_CBC_SHA256|はい|TLS 1.2|
|TLS_RSA_WITH_AES_128_CBC_SHA256|はい|TLS 1.2|
|TLS_RSA_WITH_AES_256_CBC_SHA|はい|TLS 1.2、TLS 1.1、TLS ...
|TLS_RSA_WITH_AES_128_CBC_SHA|はい|TLS 1.2、TLS 1.1、TLS ...
|TLS_RSA_WITH_3DES_EDE_CBC_SHA|はい|TLS 1.2、TLS 1.1、TLS...
|TLS_RSA_WITH_NULL_SHA256|いいえ|TLS 1.2 注|
|TLS_RSA_WITH_NULL_SHA|いいえ|TLS 1.2、TLS 1.1、TLS 1.0、...
注:アプリケーションが明示的に要求する場合にのみ使用され...
TLS Cipher Suites in Windows 10 v1903, v1909, and v2004:h...
*Linux [#hf7bdf42]
**Samba SMB [#v96b80c9]
/etc/samba/smb.conf の [global] に以下の項目を追記します。
#br
>[global]
>server min protocol = SMB2
出典:http://www.samba.gr.jp/project/translation/4.1/html...
&br;
&br;
***TLS1.0とTLS1.1の無効化 [#zbb56fda]
TLS1.2 を使うには OpenSSL のバージョンが 1.0.1 以上である...
>$ openssl version~
>OpenSSL 1.0.2k-fips 26 Jan 2017
&br;&br;
-Apache httpd
次の設定は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無...
>vi /etc/httpd/conf.d/ssl.conf
>…
>SSLProtocol -all +TLSv1.2
>…~
設定後、Apache httpd を再起動してください。
&br;
&br;
-nginx
次の設定は、nginx サーバーで TLS1.0 と TLS1.1 を無効にし...
>vi /etc/nginx/conf.d/virtual.conf
>…
>ssl_protocols TLSv1.2
>…~
設定後、nginx を再起動してください。
終了行:
[[情報システム開発契約のセキュリティ仕様作成のためのガイ...
[[詳細設定対策に必要な措置]]
~
*Windows [#m9b75d8e]
**Windows SMB [#f80a8fa2]
SMBv1はランサムウェアの攻撃を受ける脆弱性を持っています。...
なお、Linux ベースのNASやSambaをFile Serverとして使用する...
-Microsoft Windows と Windows Server で SMBv1、SMBv2、SMB...
-''警告''~
SMBv2 または SMBv3 は無効にしないことをお勧めします。 接...
-SMBの各バージョンと、対応しているWindows OS
|CENTER:150|CENTER|c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:SMBのバージョン|COL...
|SMB 1.0(SMBv1)|Windows 2000/XP/Vista/7/8/8.1/10...
|SMB 2.0|Windows Vista/7/8/8.1/10、Windows Server 200...
|SMB 2.1|Windows 7/8/8.1/10、Windows Server 2008 R2/2...
|SMB 3.0|Windows 8/8.1/10、Windows Server 2012/2012 R2...
|SMB 3.02|Windows 8.1/10、Windows Server 2012 R2/2016|
|SMB 3.11|Windows 10、Windows Server 2016|
出典:https://www.atmarkit.co.jp/ait/articles/1705/17/new...
**Windows TLS [#o371951c]
SSL3.0、TLS1.0、TLS1.1には脆弱性があります。TLS1.2 以上を...
また、Webサーバー側では Linux が使用されることが多いため...
||CENTER:80|CENTER:80|CENTER:80|CENTER:80|CENTER:80|c
|BGCOLOR(NAVY):COLOR(WHITE):SSL/TLS攻撃方法に対する耐性|B...
|BGCOLOR(NAVY):COLOR(WHITE):ダウングレード攻撃|>|BGCOLOR(...
|BGCOLOR(NAVY):COLOR(WHITE):バージョンロールバック攻撃|>|...
|BGCOLOR(NAVY):COLOR(WHITE):BEAST/POODLE攻撃|>|>|BGCOLOR(...
出典:[[IPA TLS 暗号設定ガイドライン Ver.3.0.1 2020年7月:...
~
**暗号スイートとは [#y77e1325]
暗号スイートは、キー交換、バルク暗号化、メッセージ認証の...
-キー交換アルゴリズム
サーバーとクライアント間で共有キーを作成するための情報を...
-バルク暗号化アルゴリズム
サーバーとクライアント間のメッセージを暗号化します。
-メッセージ認証アルゴリズム
メッセージの整合性を保証し、ハッシュ生成と署名を行います。
~
キー交換 バルク暗号化 ...
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SH384_P384A
署名 ...
~
**Group Policy による暗号スイートの設定 [#k2db61e9]
グループポリシーで以下の順序となるよう、設定を確認してく...
[ポリシー]>[コンピューターの構成]>[管理用テンプレート]>[...
|300|50||c
|COLOR(WHITE):BGCOLOR(#44546A):CENTER:暗号スイート文字列|...
|TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_DHE_RSA_WITH_AES_256_GCM_SHA384|いいえ|TLS 1.2|
|TLS_DHE_RSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384|はい|TLS 1.2|
|TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256|はい|TLS 1.2|
|TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA|はい|TLS 1.2、TLS 1...
|TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA|はい|TLS 1.2、TLS 1...
|TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA|はい|TLS 1.2、TLS 1.1...
|TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA|はい|TLS 1.2、TLS 1.1...
|TLS_RSA_WITH_AES_256_GCM_SHA384|はい|TLS 1.2|
|TLS_RSA_WITH_AES_128_GCM_SHA256|はい|TLS 1.2|
|TLS_RSA_WITH_AES_256_CBC_SHA256|はい|TLS 1.2|
|TLS_RSA_WITH_AES_128_CBC_SHA256|はい|TLS 1.2|
|TLS_RSA_WITH_AES_256_CBC_SHA|はい|TLS 1.2、TLS 1.1、TLS ...
|TLS_RSA_WITH_AES_128_CBC_SHA|はい|TLS 1.2、TLS 1.1、TLS ...
|TLS_RSA_WITH_3DES_EDE_CBC_SHA|はい|TLS 1.2、TLS 1.1、TLS...
|TLS_RSA_WITH_NULL_SHA256|いいえ|TLS 1.2 注|
|TLS_RSA_WITH_NULL_SHA|いいえ|TLS 1.2、TLS 1.1、TLS 1.0、...
注:アプリケーションが明示的に要求する場合にのみ使用され...
TLS Cipher Suites in Windows 10 v1903, v1909, and v2004:h...
*Linux [#hf7bdf42]
**Samba SMB [#v96b80c9]
/etc/samba/smb.conf の [global] に以下の項目を追記します。
#br
>[global]
>server min protocol = SMB2
出典:http://www.samba.gr.jp/project/translation/4.1/html...
&br;
&br;
***TLS1.0とTLS1.1の無効化 [#zbb56fda]
TLS1.2 を使うには OpenSSL のバージョンが 1.0.1 以上である...
>$ openssl version~
>OpenSSL 1.0.2k-fips 26 Jan 2017
&br;&br;
-Apache httpd
次の設定は、Apache httpd サーバーで TLS1.0 と TLS1.1 を無...
>vi /etc/httpd/conf.d/ssl.conf
>…
>SSLProtocol -all +TLSv1.2
>…~
設定後、Apache httpd を再起動してください。
&br;
&br;
-nginx
次の設定は、nginx サーバーで TLS1.0 と TLS1.1 を無効にし...
>vi /etc/nginx/conf.d/virtual.conf
>…
>ssl_protocols TLSv1.2
>…~
設定後、nginx を再起動してください。
ページ名:
