※ 2019 年 9 月 20 日現在の情報をもとに作成しています

1. はじめに

Umbrella Dashboard の Activity Search レポートには、各アクティビティ (具体的には Umbrella に送られた各 DNS クエリー) の詳細情報が表形式で表示されます。そして、この表には External IP と Internal IP という IP アドレスを表示する欄が 2 つあります。

本記事では、これらの欄にどのような IP アドレスが表示され、どういった場合に表示が行われるかについて説明します。

2. External IP

External IP は組織の外で使われる IP アドレスのことを指し、Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) が直接受け取った各 DNS クエリーの送信元 IP アドレスが記録されます。

この IP アドレスは IP ヘッダから直接調べることができるので、Umbrella のデプロイ方法に関わらず、External IP には必ず値が入っているのが特徴です。また、通常グローバル IP アドレスとなっているのも特徴です。

具体的には、Umbrella を導入したデバイスを組織内で使用している場合は、組織が契約しているサービス プロバイダーから払い出されたグローバル IP アドレスが表示されます。一方、そのデバイスをカフェなどに持ち出した場合、カフェが契約しているサービス プロバイダーから払い出されたグローバル IP アドレスが表示されます。

3. Internal IP

Internal IP は組織の中で使われる IP アドレスのことを指し、具体的には DNS クエリーを生成したデバイスの IP アドレスが表示されます。

ただし、通常、このクエリーはネットワーク経路の途中で送信元 IP アドレスが NAT により変換されてしまうため、クラウド側は External IP の時のようには値を取得できません。

そのため、代わりにデバイスと Umbrella の DNS サーバーの間に存在する機器またはソフトウェアが、DNS クエリーの中の拡張領域 (EDNS) に送信元 IP アドレスを記録することで実現しています。

例えば、ISR ルーターなどのネットワーク機器を Umbrella と連携させた場合、ネットワーク機器がクエリーの送信元 IP アドレスを EDNS に記録します。

Virtual Appliance と連携させた場合、同様に Virtual Appliance がクエリーの送信元 IP アドレスを EDNS に記録します。

また、Roaming Client をインストールした PC において、Identity Support が有効になっている場合、Roaming Client が PC 上で生成された DNS クエリーの送信元 IP アドレスを EDNS に記録します (AnyConnect Umbrella Roaming Security Module も同様)。

以上のように、間接的な方法で Internal IP を取得しているため、もし、DNS クエリーを生成するデバイスとネットワーク機器や VA の間で、NAT などにより DNS クエリーの送信元 IP アドレスが変化してしまうと、Activity Search レポートに正しい値が表示されません。

なお、情報を記録する機器やソフトウェアがない Umbrella 構成の場合は、Internal IP の欄は空白になります。