※ 2019 年 6 月 6 日現在の情報をもとに作成しています

1. はじめに

以前の記事で IPv6 の対応状況の概要について説明し、その中で IPv4 とは別に IPv6 用の DNS サーバーが用意されていることを紹介しました。本記事では、それを利用した Network Identity と Roaming Client の IPv6 通信へのセキュリティ機能を紹介します。

2. Network Identity の IPv6 対応について

Network Identity は Umbrella Dashboard にグローバル IP アドレスを登録し、そのグローバル IP アドレスを送信元とする DNS クエリーに対してセキュリティ機能を提供するデプロイ方法ですが、以下の画像のように登録画面 (Deployments > Networks) で IPv6 アドレスも入力できるようになりました。

Add a Network Identity

https://docs.umbrella.com/deployment-umbrella/docs/protect-your-network

画像にあるとおり、IPv6 アドレス単体での登録、または IPv6 アドレスと IPv4 アドレスの両方を同時に登録することが可能です。そして、問題なく登録が完了すると、以下の画像のように IPv6 アドレスが表示されたエントリーが追加されます。

ステータス表示に関しては IPv4 アドレスのエントリーと同じで、登録直後は Inactive ですが、この IPv6 アドレスからの DNS クエリーが Umbrella の IPv6 用 DNS サーバー (2620:119:35::35/2620:119:53::53) に送られてから数分から数時間 (タイミングによる) 後に Active に変化します。

また、検知自体は登録から数分後に可能となります。以下の画像は Activity Search レポートの表示例で、External IP に IPv6 アドレスが表示されます。

3. Roaming Client の IPv6 対応について

まだベータ版ではありますが、バージョン 2.2.109 の Roaming Client より IPv6 のセキュリティ機能が使用可能です。

Roaming Client for Windows – Version 2.2.109

https://support.umbrella.com/hc/en-us/articles/360001337266--Roaming-Client-for-Windows-Version-2-2-109

※ AnyConnect Umbrella Roaming Security Module は非対応

Roaming Client で IPv6 のセキュリティ機能を有効にするには、Umbrella Dashboard の Deployments > Roaming Computers から Settings 画面を開き、Enable IPv6 DNS Redirection (BETA) を有効にします。

その後、Roaming Client がインストールされた PC 側で Umbrella の IPv6 用 DNS サーバーと通信できる IPv6 アドレスが用意されていると、以下の画像のように IPv6 のステータスが Protected に変わります。

また、これに伴い、NIC の IPv6 アドレスも IPv4 アドレスの時と同様にループバック アドレスに書き換えられます。

以下の画像は Activity Search レポートの表示例で、Internal IP (Identity Support が有効の場合) と External IP に IPv6 アドレスが表示されます。