はじめに
Cisco Umbrellaでは、脅威があるドメインや不適切なカテゴリ(動作確認サイトではアダルトカテゴリ)へのアクセス制御機能の動作確認URLがあります。Secure AccessではUmbrellaと同一コンポーネントを使用しているため、多くのURLはそのまま動作しますが本来UmbrellaのDNSセキュリティの動作確認URLであるため、SIG/SWG等で動作しないURLがあることが報告されております。
本記事では、Umbrella動作確認URLのSecure Accessでの現時点での動作について説明します。
前提条件
- Umbrellaの動作確認URLの説明記事はこちらから確認が可能です。日本語での解説記事もございます。
- 動作確認URLは上記記事にも記載されているようにDNS Security目的で作成されたものであり、本来はSIG前提ではございません。
- 上記、「SIG前提ではない」記述はSecure AccessのIPSec Tunnel、RAVPN、PAC、Roaming Security ModuleそれぞれのSWGに対しても当てはまることをSecure Accessの開発チームに確認しております。
- 記事執筆時点(2024年8月5日)時点での動作であり今後予告なく変更される場合もございます。
動作確認URLのSecure Accessでの動作状況
- DNSセキュリティの動作
DNSの動作としてはSecure AccessでもUmbrellaと同様にドメインベースの動作確認にご使用いただけます。
- SWGの動作
動作確認URLは本来DNSの動作確認用途であるため、必ず動作するものではございませんが、多くのサイトで動作が確認できております。しかし、現時点で、フィッシングのテストサイトが動作しないことが確認できております。
以下現時点での動作確認結果とその設定方法を記載します。
URL(httpをhttxを記載) |
用途 |
SWGの動作 |
動作確認方法 |
httx://examplemalwaredomain.com |
マルウェアサイトのテスト |
Threat Categoriesを設定することでSWGで動作する |
Web Profiles -> Security and Acceptable Use Controls -> Threat CategriesでMalwareのThreat Categoriesを有効化
|
httx://examplebotnetdomain.com |
C&Cサイトのテスト |
Threat Categoriesを設定することでSWGで動作する |
Web Profiles -> 使用するWeb Profile -> Security and Acceptable Use Controls -> Threat CategriesでCommand and Control CallbacksのThreat Categoriesを有効化
|
httx://exampleadultsite.com |
アダルトサイトの カテゴリテスト |
宛先のContent Categoriesを設定することでSWGで動作する |
Access Policy -> 使用するRule -> EditでtoのDestinationのContent CategoriesでAdultを設定
|
httx://www.internetbadguys.com |
フィッシングサイトの テスト |
動作せず |
Content CategoriesでPhishing Attacksを設定することで動作すると考えられましたが現時点では動作しませんでした。ご注意ください。
|
以上が、現時点でのSecure AccessにおけるUmbrella動作確認URLの動作状況となります。将来的に動作確認URLを正式にSecure Accessでサポートし、Secure Accessの公式ドキュメントに掲載させる機能拡張のリクエストがございますが、現時点で実装の可否等は未定となります。
参考情報
What are the Umbrella Test Destination
Umbrella: 動作確認用 URL の紹介