キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

Umbrella: IP Layer Enforcement によるブロックの仕組み

2158
閲覧回数
5
いいね!
5
コメント

(注意) IP Layer Enforcement は 2022 年 7 月末をもってサービス終了となります。以下のサポート文書には、サービス終了の詳細な情報と代替となりうる製品 (IP Layer Enforcement の直接の後継機能はありません) の紹介があります。

 

End of Life for IP Layer Enforcement Feature of the Umbrella Roaming Client.

https://support.umbrella.com/hc/en-us/articles/4405102816276-End-of-Life-for-IP-Layer-Enforcement-Feature-of-the-Umbrella-Roaming-Client-

 

 

※ 2018 年 7 月 11 日現在の情報をもとに作成しています

 

1. はじめに

 

IP Layer Enforcement は、Roaming Client に実装されている「悪意あるサイトへの IP アドレスによるアクセスを防ぐ」機能です。本記事では、Windows OS ユーザーのアクセスが IP Layer Enforcement によって実際にブロックされるまでの仕組みを説明します。

 

2. IP Layer Enforcement について

 

マルウェアの作者は、一般的に攻撃に使うサーバーへのアクセスに「ドメイン名」を使用します。これは、ドメイン名であれば「Domain generation algorithms (DGA)」や「Fast flux」などといった攻撃手法が使えますし、直接 IP アドレスを使うと足が付きやすくなるためです。

 

ただし、実際には IP アドレスを使っているケースも当然存在します。そこで、Umbrella では、こういった攻撃に対応するため、IP アドレスを使った悪意あるサイトへのアクセスを直接防ぐ「IP Layer Enforcement」を用意しました。

 

なお、IP アドレスによるアクセスを防ぐために、Umbrella ではクライアント PC が生成するパケットを直接監視する方法を取っているため、その PC に専用のアプリケーション (Roaming Client) をインストールする必要があります。IP Layer Enforcement の詳細については、以下の公開文書を参照してください。

 

ROAMING CLIENT SETUP GUIDE - Add IP Layer Enforcement

https://docs.umbrella.com/product/umbrella/6-adding-ip-layer-enforcementz/

 

※ IP Layer Enforcement を有効にするには、Insight 以上のサブスクリプションを契約しており、Umbrella Dashboard のポリシー上で明示的に有効にする必要があります

 

3. ブロックされるまでの仕組み

 

IP Layer Enforcement が有効になっている Roaming Client では、クラウド上の Umbrella サーバーから「疑いのある IP アドレスのリスト」を定期的に受け取り、メモリ上に保持しています。

 

そして、このリストをもとに、疑いのある通信だけを VPN 経由で Umbrella サーバーに転送し、クラウド側で更なる調査を行って、最終的に「黒」と判定されるとブロック ページが返ります (HTTP/S 以外の場合は何も返さない)。この一連の流れを下図にまとめました。

 

steps.png

  

それでは、Windows OS を使用しているユーザーが悪意あるサイト http://XXX.XXX.XXX.XXX/ に直接アクセスしてしまった場合を例に、IP Layer Enforcement によってブロックされるまでの詳細を説明します。

 

Roaming Client IP アドレスによる通信を監視するために Windows OS の機能である「Windows フィルターリング プラットフォーム (WFP)」を使用しています。なお WFP は、Windows ファイアウォールでも使われています。

 

もしユーザーが行おうとしている通信の送信先 IP アドレスがリストに含まれていない場合、WFP により接続が許可され、そのまま通信が行われます。以下は、その時に生成された WFP のセキュリティ イベント ログ (抜粋) です。

 

Windows フィルターリング プラットフォームで、接続が許可されました。
イベント: ID 5156
キーワード: 成功の監査

 

一方、送信先 IP アドレスがリストに含まれている場合、WFP によって接続がブロックされます。

 

Windows フィルターリング プラットフォームで、接続がブロックされました。
イベント: ID 5157
キーワード: 失敗の監査

 

そして、それと同時に、その送信先 IP アドレス XXX.XXX.XXX.XXX がルーティング テーブルの中に追加されます。以下は route print コマンドで、追加されたエントリーが表示されたところです。

 

ネットワーク宛先  ネットマスク      ゲートウェイ  インターフェイス    メトリック
XXX.XXX.XXX.XXX  255.255.255.255   リンク上   100.122.157.246    600

 

この出力の「インターフェイス」の欄に「100.122.157.246」 という記載がありますが、これはクライアント PC と Umbrella サーバー (厳密には IP Layer Enforcement サーバー) との間の VPN 通信のために振られた送信元 IP アドレスのことです。このインターフェイスは、以下のように ipconfig /all コマンドでも確認できます。

 

PPP アダプター Umbrella:

   接続固有の DNS サフィックス . . . . .:
   説明. . . . . . . . . . . . . . . . .: Umbrella
   物理アドレス. . . . . . . . . . . . .:
   DHCP 有効 . . . . . . . . . . . . . .: いいえ
   自動構成有効. . . . . . . . . . . . .: はい
   IPv4 アドレス . . . . . . . . . . . .: 100.122.157.246(優先)
   サブネット マスク . . . . . . . . . .: 255.255.255.255
   デフォルト ゲートウェイ . . . . . . .:
   NetBIOS over TCP/IP . . . . . . . . .: 無効

 

つまり、疑いのある通信の最初のパケット (およびそれ以降の数パケット) WFP によりブロックされ、ルーティングが追加された以降は、すべて VPN 経由で IP Layer Enforcement サーバーに転送されることになります。

 

なお、疑いのある IP アドレスのリストに含まれる一部の IP アドレスは、Roaming Client が起動し VPN 用のインターフェイスが作成された時点で、ルーティング テーブルに自動的に追加されます。

 

この場合、WFP によって接続がブロックされることなく、最初のパケットから IP Layer Enforcement サーバーに転送されます。

 

その後、VPN 経由でパケットを受け取った IP Layer Enforcement サーバーは、パケットの接続先 IP アドレスをもとに危険性の判定を行います。各判定結果におけるその後の処理は以下のとおりです。

 

そのまま接続先サーバーと通信を行い、応答を端末へ返す

ブロック ページを返す (HTTP/S 以外の場合は何も返さない)

グレー

Intelligent Proxy サーバーと連携し、更なる調査をする

 

なお、Intelligent Proxy の動作については、以前の記事を参照してください。

 

4. IP Layer Enforcement の対象となるパケットについて

 

Roaming Client は、疑いのある IP アドレス宛のすべてのパケットを IP Layer Enforcement の対象としており、TCP 80、443 以外の通信や Ping による ICMP 通信なども対象となります。

 

そのため、通常の Intelligent Proxy では TCP 80、443 の HTTP/S 通信のみが調査対象であるのに対し、IP Layer Enforcement 経由の Intelligent Proxy では http://XXX.XXX.XXX.XXX:8081/ のような TCP 80443 以外のポート番号の HTTP/S 通信も調査対象となります。

 

なお、以前の記事 IP Layer Enforcement の項で、TCP 8081 の場合における Intelligent Proxy のテスト ページが紹介されています。

コメント
cja56910tf
Enthusiast

こんばんは。

非常に分かり易い投稿で大変勉強になりましたが、少し分かり辛い点もあったので2点質問させて下さい。

 

①"Roaming Client"には AnyConnectに追加されるモジュールタイプumbrellaも含まれますでしょうか。

 

②IP Layer Enforcementを利用するには DNS Security Advantage ライセンスを購入すれば良いでしょうか。他にも必要なライセンスがあればご教授いただきたいです。

 

突然のコメントで恐縮ですが、ご回答いただけましたら幸いです。

tkitahar
Cisco Employee

コメントありがとうございます。この記事を投稿した時点では、AnyConnect Umbrella Security Module に IP Layer Enforcement は含まれておりませんでしたが、現在の AnyConnect Umbrella Security Module には IP Layer Enforcement が含まれております。また、IP Layer Enforcement を利用するには DNS Security Advantage ライセンスのみで問題ありません。

 

ただし、IP Layer Enforcement 機能は 2022 年 7 月末でサービス終了となり、それ以降は利用できなくなります。詳しくは以下のサポート文書をご参照いただけましたら幸いです。

 

End of Life for IP Layer Enforcement Feature of the Umbrella Roaming Client.

https://support.umbrella.com/hc/en-us/articles/4405102816276-End-of-Life-for-IP-Layer-Enforcement-Feature-of-the-Umbrella-Roaming-Client-

cja56910tf
Enthusiast

こんにちは。

ご回答いただきまして、誠にありがとうございます。

ちょうど今 Umbrella導入のための見積依頼を掛けているところであり、IP Layer Enforcement機能を使いたかったので Advangateライセンスで手配していましたが、2022年7月でサービス終了になる事が分かり、驚くと同時に貴重な情報をいただけて大変助かったと思っております。

 

IP Layer Enforcement機能が使えないのであればライセンス種別を Essentials にしようと思うのですが、それでも Advantage を選択するメリットは何かありますでしょうか。また、実はIP Layer Enforcement機能の後継機能が存在していたりしませんでしょうか。

 

もう少々ご教授・お付き合いいただけましたら幸いです。

tkitahar
Cisco Employee

ライセンスの選択に関しては、どういう目的用途かによって変わってくるため、まずは購入の際の担当者にご相談いただければと思います。既にお知りかとは思いますが、以下のページにライセンスの比較表があります。

 

Cisco Umbrella Packages

https://umbrella.cisco.com/products/umbrella-enterprise-security-packages

 

Cisco Umbrella パッケージ

https://www.cisco.com/c/m/ja_jp/umbrella/packages.html

 

また、IP Layer Enforcement 機能の後継機能については、直接的なものは用意されておりませんが、前回ご案内したサポート記事の Cisco Alternatives にいくつか代替手段の記載がありますのでご確認いただければと思います。なお、これらの代替手段については基本的に追加のライセンスが必要となりますので、併せて担当者にご確認いただければと思います。

cja56910tf
Enthusiast

早速のご回答、誠にありがとうございます。

ご記載いただいたURLについては認識しておりましたが、ご指示いただきました通り、貴社)ハイタッチと相談したいと思います。

また、IP Layer Enforcement の直接的な後継機能は存在しないという事についても承知しました。

 

懇切丁寧にご対応いただきまして、ありがとうございました。