キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

Umbrella: SWG と Intelligent Proxy 併用時の注意点

886
閲覧回数
10
いいね!
0
コメント

 

2021 8 27 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella に新しく導入された SWG (Secure Web Gateway) はフルプロキシ機能が備わったプロキシ サーバーであり、一部の除外対象を除くすべての HTTP/HTTPS 通信に対応します。

 

一方で、従来から使われている DNS セキュリティにも Intelligent Proxy というプロキシ サーバーがありますが、こちらは選択式プロキシ機能が備わっており、Umbrella DNS サーバーによって疑いのある (グレーな) ドメインへの HTTP/HTTPS 通信に対応します。

 

本記事では、ライセンス上 SWG が有効となっている AnyConnect において、SWG Intelligent Proxy 両方を利用した場合の注意点 (具体的には Intelligent Proxy が使われない事象) について説明します。

 

2. ポリシーで両方を有効にした場合

 

SWG および Intelligent Proxy によるファイル分析が行われる以下のポリシー設定をした状態で、グレーなサイトにあるテスト用ウイルス ファイル (: https;//intelligentproxy.example.com/eicar.com) をダウンロードした場合を例に説明します。

 

  • DNS ポリシー => Intelligent Proxy 有効、SSL 復号有効、ファイル分析有効
  • Web ポリシー => HTTPS 検査有効、ファイル分析有効

 

ユーザーが Web ブラウザで上記 URL にアクセスした際、Umbrella DNS サーバー (208.67.222.2222/208.67.220.220) に対して intelligentproxy.example.com IP アドレスを問い合わせる DNS クエリーが送られます。Umbrella DNS サーバーは DNS ポリシーで Intelligent Proxy が有効になっていることを確認し、Intelligent Proxy サーバーの IP アドレスを返します。

 

次に、Web ブラウザは Intelligent Proxy サーバー宛てに HTTPS リクエストを送ろうとしますが、AnyConnect SWG の機能を使って HTTPS リクエストを傍受し、パケットの内容を書き換えて SWG に転送します。

 

その後、SWG Web ポリシーでファイル分析が有効になっていることを確認し、実際に Web サーバーからダウンロードしたファイルがウイルス ファイルだと判断して、ユーザーにブロック ページを返します。

 

以上の動作において、Activity Search レポートには以下の 2 件の情報が記録されます。

 

  • DNS Request
    Destination: intelligentproxy.example.com
    Action: Proxied

 

つまり、SWG によりウイルス ファイルのブロックはされますが、Intelligent Proxy は全く使われていないことになります。

 

3. SWG の検査を無効にした場合

 

前項の条件から Web ポリシーの HTTPS 検査とファイル分析のみを無効にした場合の動作についても説明します。

 

  • DNS ポリシー => Intelligent Proxy 有効、SSL 復号有効、ファイル分析有効
  • Web ポリシー => HTTPS 検査無効、ファイル分析無効

 

AnyConnect HTTPS リクエストを傍受し、パケットの内容を書き換えて SWG に転送するところまでは前項と同じですが、SWG Web ポリシーでファイル分析が無効になっていることを確認し、実際に Web サーバーからダウンロードしたファイルをそのままユーザーに返します。

 

以上の動作において、Activity Search レポートには以下の 2 件の情報が記録されます。

 

  • DNS Request
    Destination: intelligentproxy.example.com
    Action: Proxied
  • URL Request
    Destination: https://intelligentproxy.example.com
    Action: Allowed
    Destination に正確な URL が記録されていないのは、Web ポリシーの HTTPS 検査が無効になっているため

 

つまり、Intelligent Proxy 側でファイル分析が有効になっていたとしても、SWG 側でファイル分析が行われないと、ウイルス ファイルはブロックされないことになります。

 

4. (参考) PAC ファイルまたは Proxy Chaining の場合

 

AnyConnect ではなく、PAC ファイルおよび Proxy Chaining を用いて SWG を導入した場合、基本的に Web アクセスの際に DNS リクエストが生成されなくなります。そのため、そもそも Intelligent Proxy は一切使われません。

 

5. (参考) CDFW 連携の場合

 

AnyConnect ではなく、CDFW 連携を用いて SWG を導入した場合でも、AnyConnect と同様に、DNS ポリシーおよび Web ポリシー両方を利用するよう設定することが可能です。その場合の動作について確認しましたが、現段階においては前述した AnyConnect と同じ結果となりました。