F5 SSL Orchestrator v15.1 簡単セットアップガイド

最終更新日: 2021年3月15日

はじめに

このページでは、これらのオフィシャルなドキュメントの補足となる資料や、複数の機能を組合せてソリューションを実現する方法をご紹介いたします。 F5のオフィシャルなドキュメントはこちらにございます。

• AskF5: https://support.f5.com/csp/home
• F5 Cloud Docs: https://clouddocs.f5.com/
• F5 DevCentral（コミュニティ）: https://devcentral.f5.com/

コンテンツ

こちらのページでは、以下の内容をご紹介しております。

• 本セットアップガイドにて、F5 SSL Orchestrator（以下、SSLO）の基本設定方法についてご案内します。
• SSLOは、SSL可視化製品です。
• 本ガイドでは、SSLOをご購入いただいてすぐにSSL可視化を導入頂けるように、必要となる典型的なセットアップ手法を、豊富なスクリーンショットを交えて解説します。（実際は環境構成にあった設定値を設定して下さい。）
• 本ガイドでは、F5 Japanにおけるハンズオントレーニングのコースでも利用しております。

SSLO（L3 Explicit Proxy）の設定

本章では、以下の組合せのケースの設定概要をご紹介します。

• SSLO：L3 Explicit Proxy
• 可視化セキュリティデバイス：L2

F5 SSL Orchestrator(SSLO)とは

F5 SSL Orchestrator(SSLO)は、社内ネットワークからのアウトバウント通信を復号し、その通信を各セキュリティ製品にポリシーに従って転送し、最後にSSL再暗号化することができる製品です。アーキテクチャとしてはBIG-IP同様にフルプロキシアーキテクチャを採用し、クライアントサイド、サーバサイドでTCPコネクションをはり直しますので、柔軟にトラフィック制御が可能です。

特長としては以下のようなポイントがあります。

• セキュリティ機器でのSSL処理負荷を代行することが可能
• SSL可視化トラフィックを柔軟に制御可能
• サービスチェーンによる柔軟なポリシー作成
• 最新のSSLプロトコルに対応
• L3 Explicit Proxy構成,L3 Transparent Proxy構成, L2構成, リバースプロキシ構成が可能
• 様々な機器（L2、L3、ICAP、TAP、HTTP）との連携が可能
• 専用GUIによるポリシー設定が容易に可能
• SSL可視化状況の見える化が可能

本ガイドの利用バージョンと構成イメージ

本手順書では以下のサンプルネットワーク構成で設定を行います。 （F5ハンズオン環境でも同様のネットワーク構成を利用しています。）

1. 利用バージョン

   製品名	バージョン
   TMOS	v15.1.2.1
   F5 SSL Orchestrator(RPM)	v15.1.0-7.5.2

   Note

   • TMOS v15.1.2.1以上 のバージョンをご利用下さい。
   • （各F5代理店でサポート可能な範囲において、）極力最新のバージョンを適用頂くことをおすすめ致します。最新のバージョンはAskF5でご確認下さい。
   • Proxy認証を行いたい場合、可視化ゾーンの機器にADユーザ名を転送したい場合は、APMのライセンスが必要となります。

2. 本ガイドにおける構成イメージ

   

ライセンスアクティベーション、プロビジョニング、CA証明書／鍵登録

（ ※F5ハンズオンでは以下設定済みです。 ）

1. Next ボタンを押します。

   
   
   

2. ライセンスをアクティベーションします。

   
   

3. 以下のモジュール（SSL復号／再暗号化： SSLO )をプロビジョニングします。（F5ハンズオンでは、1.9章で利用するURL Filteringのカテゴリ利用のために、URLDB 、現在手順にはありませんがプロキシ認証を行うための APM もプロビジョニングしています。ライセンスはSSLOとAPMの２つと、URL Filteringサブスクリプションを利用しています。）

   
   
   

4. Next ボタンを押します。

   
   
   

5. ホスト名、タイムゾーン、Rootパスワード を設定して、Next ボタンを押します。

   
   
   

6. SSLOでサーバ証明書を書き換える際に利用する　CA証明書、CA鍵 を選択し、任意の名前 を設定し、Next ボタンを押します。

   
   
   

7. Finished ボタンを押します。

   

最新版のSSL Orchestrator RPMへのアップグレード

SSLOでは、基本OSであるTMOSのバージョンの他に、SSLOのRPMのバージョンを考慮する必要があります。可能であれば、常に最新のバージョンにすることが好ましいです。以下の手順でアップグレードします。(※F5ハンズオンではバージョンの確認のみとなります。)

1. ASKF5のDownloadサイト より最新版のSSLO RPMをダウンロードします。（ダウンロードにはAskF5のアカウント登録が必要となります。アカウント登録は数分で可能です。）

   

   
   

2. SSL Orchestrator >> Configuration の画面にて、右上の アップグレードボタン を押します。

   

   
   

3. Choose File にて、先程ダウンロードしたRPMを選択し、Upload and Install を押します。

   

   
   

4. バージョンがアップグレードされていることを確認します。

   

   
   

Networkの基本設定

1. VLANの設定を行います。(F5ハンズオンでは設定済み)

   

   
   

2. Self IPの設定を行います。(F5ハンズオンでは設定済み)

   

   
   

3. デフォルトゲートウェイの設定を行います。(F5ハンズオンでは設定済み)

   

   
   

DNS, NTPの設定

1. DNSの設定を行います。(F5ハンズオンでは設定済み)

   

   
   

2. NTPの設定を行います。(F5ハンズオンでは設定済み)

   

   
   

SSLO Guided ConfigurationによるSSLOの設定

1. SSL Orchestrator >> Configuration を選択します。DNS と NTP と Route が Configure となっているのを確認し、Next ボタンを押します。

   

   
   

2. 任意の名前 を設定し、SSL Orchestrator Topologiesとして、L3 Explicit Proxy を選択し、Save＆Next ボタンを押します。

   

   
   

3. Create New を選択し、右上の Show Advanced Setting をクリックします。

   

   
   

4. Client-side SSL にて、利用したい TLSのバージョン を選択します。

   

   
   

5. CA Certificate KeyChain にて、既にインポート済みのCAファイル（F５ハンズオンでは、証明書と秘密鍵に f5jCA を選択し、Passphraseに f5demo と入力します。）を選択して Done を押します。

   

   
   

6. Server-side SSL も同様に利用したい TLSバージョン を選択します。

   

   
   

7. 期限切れの証明書や自己署名証明書に対しての動作も確認し、Save＆Next を押します。

   

   
   

8. サービス（ここではL2デバイス）を追加します。Add Service を押します。

   

   
   

9. Generic Inline Layer2 を選択し、Add ボタンを押します。

   

   
   

10. 右上の Show Advanced Setting をクリックし、任意の名前 を設定します。

    

    
    

11. Network Configuration にて、Add ボタンを押します。 From BIGIP VLAN にて Create New を選択し、任意の名前を設定し、Interface を選択します。同様に、To BIGIP VLAN も設定します。（F5ハンズオンでは、名称は任意で構いませんが、Interfaceはそれぞれ、1.3 と 1.4 を選択します。） Done ボタンを押します。

    

    
    

12. L2デバイスがSSL復号したトラフィックをHTTPトラフィックと同じようにセキュリティ検査するように、ポートリマップを行います。L2デバイスによっては443ポートで接続すると、SSLトラフィックだと判断し、セキュリティ検査を正しく行わない場合があるためです。 Enable Port Remap にチェックをいれ、Remap Port に必要なポート番号を設定し、Save ボタンを押します。（L2デバイスによって、仕様は異なります。F5ハンズオンでは、8080 と設定しておきます。）

    

    
    

13. 以下のようにサービスが追加されているのを確認したら、Save＆Next を選択します。

    

    
    

14. サービスチェーンを作成します。サービスチェーンを複数作成することで、可視化デバイスが複数ある場合に、条件に応じた可視化デバイスへの転送が可能となります。（このF5ハンズオンでは可視化デバイスは1台ですが、サービスチェーンの作成は必要です。） Service Chain List で Add を押します。

    

    
    

15. 任意の名前 を設定し、先程作成したサービスを右に移動させ、Save ボタンを押します。

    

    
    

16. Service Chain ができたことを確認し、Save＆Next ボタンを押します。

    

    
    

17. All Trafficの ペンマーク をクリックします。

    

    
    

18. 先程作成した Service Chain を選択し、OK ボタンを押します。

    

    
    

19. サービスチェーンが追加されたことを確認し、Save＆Next ボタンを押します。

    

    
    

20. Proxy Server Settings にクライアントからプロキシとしてアクセスさせるIPアドレス（F5ハンズオンでは、10.1.10.150）を入力し、Ingress Network として、クライアントからアクセス可能な VLAN （F5ハンズオンでは、ClientVLAN）を選択し、Save＆Next ボタンを押します。

    

    
    

21. Manage SNAT Settings で Auto Map、Gateways で Default Route を選択し、Save＆Next ボタンを押します。(F5ハンズオンではこのように設定しますが、環境に合わせてください。)

    

    
    

22. Save＆Next ボタンを押します。

    

    
    

23. 必要に応じて、設定内容を見直し、 Save＆Next ボタンを押します。

    

    
    

24. Successポップアップが表示されます。OK ボタンを押します。

    

    
    

25. Deployに成功すると以下のような緑色の DEPLOYED マークが表示されます。右上の System Settings アイコンを選択します。

    

    
    

26. SSLOがExplicit Proxyとして利用する DNS を設定し（F5ハンズオンでは、10.1.1.2）、Deploy を押します。

    

    
    

27. Successポップアップが表示されます。OK ボタンを押します。

    

    
    

クライアントからの接続テスト①

1. Windowsクライアントを起動し、にSSLOに設定したCA証明書をインポートします。（F5ハンズオンでは、インポート済みです。）

2. プロキシ設定として、SSLOで設定したExplicit Proxyのアドレスとポート番号を設定します。（F5ハンズオンでは、アドレス:10.1.10.150、ポート:3128が設定済みです。）

   
   
   

3. ブラウザを開き、任意のHTTPSサイトに接続し、そのサーバ証明書がSSLOで設定したCA証明書によって書換えられていることを確認します。

   
   
   

4. curlコマンドで確認する場合は、curl -vk –proxy 10.1.10.150:3128 https://httpbin.org/get と入力し、確認します。（本ガイドからコピペすると、ハイフン(-)ハイフン(-)proxyが失敗する可能性がありますので、そこは入力し直してください。）

   
   
   

5. （オプション）F5ハンズオンではL2デバイスにSSH接続し、tcpdumpコマンドで通信の確認をします。（F５ハンズオンでは、ネットワークブリッジ名は L2PEOLD となります。）

   • ポート8080番のリクエストとレスポンスを確認するコマンド例（本ガイドからコピペすると、シングルクォーテーションが失敗する可能性がありますので、そこは入力し直してください。）
   • (sudo) tcpdump -i L2PEOLD -A -s 0 ‘tcp port 8080 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)’
   
   
   

6. （オプション）NTOPNGでトラフィック確認した場合のイメージです。

   
   
   

SSL復号バイパスルールの設定（URL Filteringカテゴリ）

SSLOでは、SSL復号をバイパスするためのルールを柔軟に設定可能です。ここでは、特定カテゴリのサイト（例：金融、ヘルスケア）へのアクセスは、SSL復号をバイパスする設定を行います。

Note

管理者が設定した接続先でルールを設定することもできますが、一般的なカテゴリルールを利用したい場合、別途URL Filteringのサブスクリプションライセンスが必要となります。また、URL Filteringのプロビジョニング、URL Filtering DBのダウンロードが必要です。（F5ハンズオンでは予め、URL Filtering DBを設定、ダウンロードしてあります。）

1. SSL Orchestrator >> Configuration にて、Security Policies を選択します。

   
   
   

2. 作成済みのポリシーを選択します。

   
   
   

3. Add を押します。

   
   
   

4. Name に任意の名前を設定し、Conditions にて Category Lookup(All) を選択し、バイパスさせたいカテゴリを選択し、SSL Forward Proxy Action にて Bypass を選択し、SSL復号していないトラフィックもセキュリティデバイスに転送したい場合は、Service Chain も選択し、OK を押します。

   
   
   

5. バイパスルールが設定されていることを確認し、Deploy を押します。

   
   
   

6. Successポップアップが表示されます。OK ボタンを押します。

   

   
   

Note

• 送信元、宛先のIPサブネット、ポート番号、プロトコルタイプ、URL、IPジオロケーションなどでもSSL復号パイパスの設定が可能です。
• セキュリティデバイスがICAPサービス、HTTPサービスの場合、SSL復号していないトラフィックをサービスチェーンに流せません。

クライアントからの接続テスト②

1. クライアントからバイパス設定したカテゴリのサイトに接続し、サーバ証明書が書換えられていないことを確認します。

   
   
   

SSL復号バイパスルールの設定（クライアントIPサブネット）

SSLOでは、SSL復号をバイパスするためのルールを柔軟に設定可能です。ここでは、特定のクライアントIPサブネットからのアクセスは、SSL復号をバイパスする設定を行います。

1. SSL Orchestrator >> Configuration にて、Security Policies を選択します。

   
   
   

2. 作成済みのポリシーを選択します。

   
   
   

3. 前項で作成したバイパスルールを一旦削除します。

   
   
   

4. OK ボタンを押します。

   

   
   

5. Add を押します。

   
   
   

6. Name に任意の名前を設定し、Conditions にて Client IP Subnet Match を選択し、バイパスさせたいサブネットを設定し（F5ハンズオンでは、10.1.10.0/24）、SSL Forward Proxy Action にて Bypass を選択し、SSL復号していないトラフィックもセキュリティデバイスに転送したい場合は、Service Chain も選択し、OK を押します。

   
   
   

7. バイパスルールが設定されていることを確認し、Deploy を押します。

   
   
   

8. 編集の確認が表示されるので、OK ボタンを押します。

   

   
   

9. Successポップアップが表示されます。OK ボタンを押します。

   

   
   

Note

• URL Filteringカテゴリ、宛先のIPサブネット、ポート番号、プロトコルタイプ、URL、IPジオロケーションなどでもSSL復号パイパスの設定が可能です。
• セキュリティデバイスがICAPサービス、HTTPサービスの場合、SSL復号していないトラフィックをサービスチェーンに流せません。

クライアントからの接続テスト③

1. クライアントから任意のHTTPSサイトに接続し、サーバ証明書が書換えられていないことを確認します。