The Umbrella Documentation Hub

Welcome to the Umbrella documentation hub. Here you'll find access to all of our Cisco Umbrella user guides.

Get Started    

FAQ

Q:Umbrella ローミング クライアントが IP レイヤ適用のためにサーバに接続できない場合はどうなりますか?
A:VPN が接続できない場合は、引き続き接続が試行されますが、バックオフされるため、他のサービスを妨げることはありません。VPN サーバが使用できない場合、VPN はフェール クローズして他のトラフィックをブロックすることはなく、フェール オープンになります。

Q:Umbrella ローミング クライアントは利用中の Umbrella サービスにどのように影響しますか?
A:オンネットワークとオフネットワークのセキュリティ機能のギャップを改善する他には、変更はありません。疑わしくないと見なされる IP アドレスに対するダイレクトな要求は影響を受けません。Umbrella ローミング クライアントに配信されるルーティング テーブルにリストされている IP アドレスまたは特定の範囲の IP に対する直接接続のみ影響を受け、それらの IP に対する接続試行にのみ IP レイヤ適用が機能します。

Q:IP レイヤ適用のための VPN は保護されますか?
A:IP レイヤ適用のためのセキュア トンネルは IPSec に基づいているため、Umbrella ローミング クライアントがインストールされているコンピュータと Umbrella サービス間のトラフィックが暗号化され、エンド ツー エンドの整合性と機密性が確保されます。

Q:IP レイヤ適用は、インストールされている別の VPN とどのように連動しますか?
A:AnyConnect や JunOS/Pulse Secure など別のアクティブな VPN が検出されると、IP レイヤ適用機能は自動的に「バックオフ」して無効になります。IP レイヤ適用は、VPN が接続されていない場合に有効になります。詳細については、この記事を参照してください。他の VPN ソフトウェアに関する問題があれば、サポートまでご連絡ください。

Q:許可またはブロックする IP のリストを独自に追加することはできますか?
A:この機能の初期のリリースでは、すべてのユーザに対して単一の悪意のある/疑わしい IP リストが使用されます。Umbrella のセキュリティ研究者は、最新の脅威から保護するためにリストを維持し、更新します。ただし、お客様が指定した IP アドレスも積極的に追加する予定であり、このことは「接続先リスト」のロードマップに含まれています。現時点では、限定提供のバージョンで特定の IP または CIDR を許可する機能を利用でき、今後さらに広範なお客様に対してこの機能をリリースしていく予定です。

Q:この VPN アプローチは、既存のポリシー適用とどのように組み合わせることができますか?
A:ポリシー適用はクラウド内で他のポリシーと同じポイントで実行されるため、ポリシーに対して定義した内容も適用されます。たとえばカスタム ブロック ページを設定していて、ブラウザを通じてポート 80 で悪意のある IP にアクセスを試みると、ブロック ページが表示されます。

IP レイヤ適用:高度な詳細

Q:IP レイヤ適用では、ブロックされる IP アドレスはどのように決定されますか?
A:Umbrella ローミング クライアントは疑わしい IP アドレスのリストを Umbrella から取得し、Umbrella API から、新しい IP アドレスの追加を 5 分ごとに自動的にチェックします。バックエンドでの更新は最短 45 分ごとに行われますが、Umbrella ローミング クライアントは 5 分ごとにチェックを行い、可能な限り最新の状態を維持します。

情報はローカル クライアントにダウンロードされ、Umbrella ローミング クライアントが実行されていれば、メモリにロードされます。どの IP アドレスがルーティングされるかの情報は、ディスクには保存されず、メモリだけに保持されます。

IP レイヤ適用機能は Umbrella ローミング クライアント ソフトウェアにバンドルされていますが、実際には別のプロセスとして、Umbrella ローミング クライアントと平行して実行されます。クライアント側プロセスの主な目的は、OS 用の組み込みの VPN クライアントを使用して、IPSec VPN トンネルを作成することにあります。OS X では組み込みの VPN は Raccoon と呼ばれるもので、Windows では RASClient(または RRAS Client)と呼ばれるものです。

Q:Umbrella ローミング クライアントが疑わしい IP アドレスのリストを取得すると、次はどうなりますか?
A:この機能が Umbrella ローミング クライアントのアイデンティティのポリシーで有効になると、ローミング クライアントは、セットアップ記事にある前提条件でリストされている IP アドレスを使用して、IPSec トンネルを確立します。IPSec トンネルはトラフィックが送信される前に確立されるため、トンネルを通じてトラフィックがルーティングされるように準備が完了します。ただし必要になるまでトラフィック フローは確立されません。

リストのいずれかの IP に対して、クライアントのネットワーク スタックからの要求(アプリケーションからの要求またはユーザがコンピュータ上で生成したインターネット要求)があると、Umbrella ローミング クライアントはそのトラフィックに IP レイヤ適用を機能させて、IPSec トンネルを通じてプロキシします。この処理は、Windows と OS X 用の Umbrella ローミング クライアントのバージョンによって多少異なります。

OS X では、IP レイヤ適用プロセスにより、リスト内の各 IP に対するルートが追加されます。ルートが設定されると、それらの IP アドレスに対するトラフィックは、すべて VPN を通じてサーバに送信されます。

Windows の場合はこのプロセスが多少異なります。すべての IP を(OS X のように)ルートとして追加する代わりに、Windows Filtering Platform(https://msdn.microsoft.com/en-us/library/windows/desktop/aa366510(v=vs.85).aspx)を使用して、リスト内のブロック対象の IP アドレスに対する発信パケットを監視します。これらの IP のいずれかに要求が送信されると、ルートがその場で動的に作成され、それ以降、接続先がその IP であるすべてのパケットが、トンネルを通じてサーバに送信されます。その結果、最初の接続試行は失敗する可能性がありますが、TCP の再試行はトンネルを通じて Umbrella に正常に送信されます。

Q:疑わしいトラフィックが Umbrella サーバに到達した場合には、直ちにブロックされますか?
トラフィックが VPN を通じて Umbrella IP レイヤ適用サーバに到達しても、必ずしも直ちに要求がブロックされるわけではありません。代わりに、トラフィックが Umbrella サーバに到達した時点で接続先が検査されます。その IP アドレスについて Umbrella が持っている情報量に応じて、Umbrella は接続先またはトラフィックの代わりにブロック ページの IP を返信するか、特定のコンテンツをブロックできるインテリジェント プロキシに送信します。

まず、基本的なプロセスとして、ブロックされたページの応答を返すかどうかが決定されます。接続先の疑わしい IP に悪意があることがわかっている場合は、ブロックされたページ応答を返します。それ以外の場合は、IP アドレスがグレーリスト(適切または不適切なドメイン/IP のリスト)内に見つかると、トラフィックをインテリジェント プロキシに渡し、その IP を接続先とするトラフィックを引き続きプロキシします。さらにその IP に悪意のある URL が 1 つだけ含まれている場合はブロックし、その IP でホストされているその他すべてのリソースへのアクセスは許可します。

たとえば、完全に正常な Web データを示す IP に、侵害された URL(たとえば http://x.x.x.x/malware.exe)が存在する場合は、その URL をインテリジェント プロキシを使用してブロックします。

別の例としては、無料ダウンロード可能なソフトウェアをホストするファイル配信 Web サイトなどがあります。ドメインのサーバ y.y.y.y には多数のファイルが保存されていて、ほとんどのファイルが安全です。ブラックリストのエントリは y.y.y.y および y.y.y.y/* 接続をブロックし、グレーリストのエントリはインテリジェント プロキシによって http://y.y.y.y/software/windows/malware.exe だけをブロックし、その他の良好なファイルがユーザに送信されるのは許可します。

Q:IP レイヤ適用のための VPN はどこに接続されますか?
IPSec VPN トンネルは、IP レイヤ適用サーバ インフラストラクチャに接続されます。その時点で、インテリジェント プロキシへのトラフィックの送信が可能になり、特定の URL をブロックできます。IP レイヤ適用サーバでは、サーバ自体にセカンダリの完全なバージョンのインテリジェント プロキシが含まれているため、別のサーバ セットに転送して URL を解析する必要はありません。

トンネルが Umbrella サーバに接続されると、ブロックされたページの応答を返すべきかどうかを決定するプロセスが実行されます。接続先の疑わしい IP に悪意があることがわかっている場合は、ブロックされたページ応答を返します。それ以外の場合は、IP がグレーリスト(適切または不適切なドメイン/IP のリスト)内に見つかると、トラフィックをインテリジェント プロキシに渡し、その IP を接続先とするトラフィックを引き続きプロキシします。さらにその IP に悪意のある URL が 1 つだけ含まれている場合はブロックし、その IP でホストされているその他すべてのリソースへのアクセスは許可します。

Q:IP レイヤ適用では、IPSec VPN トンネルが他のセキュリティ チェックのバイパスに使用されないことをどのように保証していますか?
高い技術的知識を持ったユーザや、特殊なマルウェアは、ローミング クライアントがネットワーク外の IP アドレスへのトラフィックをトンネリングさせていることを認識し、そのトンネルを使用してファイアウォールや IDS など、境界線防御をバイパスできると考える可能性があります。Umbrella でそのようなトラフィックが検出されると、ルーティング先のいずれかの IP アドレスを接続先としないトラフィックはドロップされます。将来的には、そのような要求はログに記録され、後で確認できるようになります。

Q:IP レイヤ適用は、エンドポイント上の Umbrella ローミング クライアントにある既存の機能にどのように適合しますか?
IP レイヤ適用とインテリジェント プロキシは、Umbrella ローミング クライアントの機能を拡張し、DNS だけでなく境界を超える保護を可能にする大きな戦略の一部になっています。それにより、よりきめ細かいフィルタリングが可能になり、最新のファイアウォールに近い機能が実現します。

Q:IP レイヤ適用はどのようにトラブルシューティングできますか?
この機能について何らかの問題が発生した場合、またはサポートの協力の下でこの機能を問題として除外する場合は、次の情報が役に立ちます。

  • 詳細をロギングするための診断テスト
  • 何らかの VPN クライアント(Umbrella ローミング クライアント機能以外)を使用しているか
  • ネットワークの上流に、必要なポートでトラフィックをブロックできるネットワーク デバイスが他にあるか
    IP レイヤ適用が機能していることを迅速にテストするには、http://ipblock.opendnstest.com/ を確認します。トンネルが設定されて有効になっていると、正常な処理がここに記録されます。

信頼できない接続が見つかったか、他の VPN ソフトウェアで問題が発生した場合は、VPN を確立していない状態で、IP レイヤ適用システムが機能していることを(上記のテストによって)確認します。システムが機能していれば、IP レイヤ適用機能を無効にし、VPN に再接続することで、その問題が VPN の互換性の競合によるものかどうかを確認します。

IP レイヤ適用機能を無効にすると VPN が問題なく機能し、有効にすると問題が発生する場合は、サポートまでご連絡ください。

Q:互換性のないプログラムはありますか?
既知の互換性のないプログラムを次に示します。

  • Peerblock:このソフトウェアは、ルーティング テーブルにエントリがある IP をブロックします。受信した IP レイヤ適用の IP(キャリアグレード NAT 範囲で使用する 100.64.0.0/10 内)が PeerBlock によってブロックされると、IP レイヤ適用機能が動作しなくなります。

IP レイヤ適用の追加 < FAQ > ローミング クライアントのアイデンティティ サポート

Updated 2 years ago

FAQ


Suggested Edits are limited on API Reference Pages

You can only suggest edits to Markdown body content, but not to the API spec.