※ 2018 年 6 月 1 日現在の情報をもとに作成しています

1. はじめに

Umbrella を使用しているクライアント PC の Web ブラウザで Web プロキシの設定をしていると、Umbrella が正常に動作しなくなる場合があります。本記事では、Umbrella と Web プロキシを併用する際の注意事項について解説します。

なお、本記事は基本的に以下のサポート記事の内容を簡易的に説明したものとなりますので、併せて参照してください。

Using Umbrella with an HTTP proxy

https://support.umbrella.com/hc/en-us/articles/230563527-Using-Umbrella-with-an-HTTP-proxy

2. Web ブラウジングと DNS の関係

Web プロキシに話を移す前に、まずは Web プロキシを設定せずに Web ブラウジングを行う際の DNS の動作について解説します。ここでは例として、ユーザーがクライアント PC の Web ブラウザで http://example.com/ にアクセスするものとします。

まず、Web ブラウザは、example.com の IP アドレスを知る必要があるため、クライアント PC に設定されている DNS サーバーに問い合わせをします。そして、DNS サーバーから応答として IP アドレスが返ってきたら、その IP アドレスの Web サーバーに対して HTTP アクセスを行います。以下の図はこの流れを示したものです。

一方、Umbrella では、クライアント PC の DNS リクエストが Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に送られるようにすることで、セキュリティ機能を実現しています。これを図に表すと以下になります。

3. Web プロキシ使用時の注意事項

もしユーザーの Web ブラウザ上で Web プロキシの設定をしている場合、前項の動作はどのように変わるのでしょうか。以下が Web プロキシ サーバーを介した場合の図になります。

Web プロキシを使わない場合との一番の違いは、クライアント PC ではなく Web プロキシ サーバーが DNS サーバーに問い合わせを行うことです。具体的には、クライアント PC から送られてきた HTTP リクエストに含まれる Host ヘッダー (Host: example.com) をもとに、Web プロキシ サーバーが DNS サーバーに問い合わせを行います。

このような動作となるため、クライアント PC の DNS リクエストが Umbrella の DNS サーバーに送られるように設定されていたとしても、実際に問い合わせを行うのは Web プロキシ サーバーですので、以下の図のように Umbrella のセキュリティ機能が使えないことになります。

この問題の対応策として考えられるのは、大きく分けて以下の 2 つになります。

• Web プロキシ サーバー側でも Umbrella を使うようにする
• クライアント PC 側で DNS サーバーへの問い合わせを行わせる

実際にどの対応策が有効かについては、使用している Umbrella の実装方法に異なります。以下の実装方法における具体的な対応策については、次回の記事で説明します。

• Network (グローバル IP アドレス)
• Roaming Computer (Roaming Client および AnyConnect Umbrella Roaming Security Module)
• Virtual Appliance
• Network Device (ISR 4K ルーターなど)

4. (参考) 二重で DNS リクエストが記録される際の対処

本事象の対処の仕方によっては、最終的にクライアント PC と Web プロキシ サーバーの両方で同じ DNS リクエストが Umbrella の DNS サーバーに送られる構成にしなくてはならない場合があるかもしれません。このような場合、Activity Search レポートに同じ内容が二重で記録されてしまい、インシデント調査の邪魔になります。

このような二重記録を回避する方法としては、2 つのポリシーを用意し、それぞれの DNS リクエストが別々のポリシーに適用されるよう構成します。そして、片方のポリシーの ADVANCED SETTINGS の LOGGING を「Don't Log Any Requests」に変更します。