Chapter 26

TLS通信レポート

twsnmp
twsnmp
2022.07.16に更新

twpcapにより取得したTLS通信の情報をTWSNMP FCで表示する画面の説明です。管理しているネットワークのパソコンや端末の暗号通信の様子を調べることができます。最近はネットワーク通信のほとんどが暗号(TLS)になっています。TLS通信のバージョンや暗号方式には安全ではないものがあります。それを見つけるのがこのレポートの目的です。

TLS通信レポート画面の表示方法

メニューの「レポート」ー「TLS通信分析」ー「TLS通信」か「レポート」ー「パケット分析」ー「TLS通信通信」をクリックすれば表示できます。

2つあるのはサーバー証明書のレポートのメニューが1つだけになるのが寂しいので関連するものをまとめた時に悩んだためです。
もっと良い分類を思いついたら変更するかもしれません。

TLS通信レポート画面

のような感じです。

①リスト

twpcapで見つけたTLS通信のリストです。信用スコア、クライアント、サーバー、国、サービス、TLSのバージョン、暗号強度、回数、最初に発見した日時、最後に検知した日時、操作ボタンがあります。

②操作ボタン

左から<マップ>ボタン、<アドレス分析>ボタン、<詳細>ボタン、<削除>ボタンです。
<マップ>ボタンはクライアントが管理対象のノードに登録されている場合に表示されます。クリックするとマップ画面に移動します。
<アドレス分析>ボタンは、サーバーのIPアドレスをアドレス分析で調査するためのボタンです。
<詳細>ボタンをクリックすると、

のような詳細情報のダイアログを表示します。
<削除>ボタンをクリックすると、

のような確認ダイアログを表示します。<削除>をクリックすれば削除できます。

③ディスプレーフィルター

リストの内容を入力した文字列を含むものにフィルター表示します。

④<グラフと集計>ボタン

グラフと集計のメニューを表示します。

⑤<CSV>ボタン

TLS通信リストをCSVファイルに保存します。

⑥<EXCEL>ボタン

TLS通信リストをEXCELファイルに保存します。

⑦<再計算>ボタン

信用スコアを再計算するためのボタンです。

⑧<更新>ボタン

TLS通信リストを最新の情報に更新します。

グラフ分析

TLS通信のクライアントとサーバー組み合わせを力学モデルか円形のグラフで表示します。

表示するリストが多すぎる時は、エラーが表示されます。ディスプレーフィルターで絞ってから表示してください。例えば、メールの通信だけにすると

のような感じで分析できます。

TLS通信フロー(位置情報)

TLS通信フローを地球儀に表示します。さっきのメールの通信は

のような感じです。

国別

サーバーやクライアントの国別の集計です。

のような感じです。

TLSバージョン別

TLSのバージョン別の集計です。

のような感じです。ほとんどTLS1.2か1.3です。

暗号スイート別

TLS通信の暗号方式別の集計です。

のような感じです。

信用スコアの計算方法

v1.5.0から以下の計算にしました。

  • サーバーまたはクライアントが禁止国から
  • TLSのバージョンが低い(SSL < 1.0 < 1.1 < 1.2 < 1.3)
  • 名前解決できないサーバー

の時にペナルティーを増やします。

TLS通信レポートを表示するためには

twpcapというセンサーからsyslogで情報を送信する必要があります。