購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3040
閲覧回数
11
いいね!
0
コメント

Umbrella: SWG と Intelligent Proxy 併用時の注意点

tkitahar
Cisco Employee
Cisco Employee

‎2021-08-27 03:46 PM ‎2025-03-12 06:07 PM 更新

 

2025 年 3 月 12 日現在の情報をもとに作成しています

 

1. はじめに

 

Umbrella の Web セキュリティで使用される SWG (Secure Web Gateway) は Web 専用のプロキシ サーバーです。除外対象となっているもの以外すべての HTTP/HTTPS 通信を対象とするため、「フルプロキシ」とも呼ばれます。

 

一方で、DNS セキュリティにも Intelligent Proxy (インテリジェントプロキシ) というプロキシ サーバーがありますが、こちらは「選択式プロキシ」となっており、Umbrella DNS サーバーによって疑いのある (グレーな) ドメインへの HTTP/HTTPS 通信のみを対象とします。

 

本記事では、Cisco Secure Client Umbrella Module を使用し、SWG (Web ポリシー) Intelligent Proxy (DNS ポリシー) 両方を有効にした場合の注意点について説明します。

 

※ SWG および Web セキュリティを利用するには、SIG または SIG 相当のサブスクリプション契約が必要です

 

2. 両方のポリシーを有効にした場合

 

SWG および Intelligent Proxy によるファイル分析が行われるように、以下のようなポリシー設定をした状態で、グレーなサイトにあるテスト用ウイルス ファイル (: https://intelligentproxy.example.com/eicar.com) をダウンロードした際の動作を例に説明します。

 

  • DNS ポリシー => Intelligent Proxy 有効、SSL 復号有効、ファイル分析有効
  • Web ポリシー => HTTPS 検査有効、ファイル分析有効

 

ユーザーが Web ブラウザで上記 URL にアクセスした際、Umbrella DNS サーバー (208.67.222.2222/208.67.220.220) へ intelligentproxy.example.com IP アドレスを問い合わせる DNS クエリーが送られます。

 

Umbrella DNS サーバーは、DNS ポリシーで Intelligent Proxy が有効になっていること、このドメインがグレーであることを確認し、Intelligent Proxy IP アドレスをユーザーに返します。

 

次に Web ブラウザは、Intelligent Proxy 宛てに HTTPS リクエストを送ろうとしますが、Cisco Secure Client SWG の機能を使って HTTPS リクエストを傍受し、パケットの内容を書き換えて SWG に転送します。

 

その後、SWG でもドメイン (intelligentproxy.example.com) の名前解決を行い、最終的な接続先の IP アドレスを決定します。また、Web ポリシーでファイル分析が有効になっていることを確認し、接続先の Web サーバーからダウンロードしたファイルを分析、ウイルス ファイルと判断して、ユーザーにブロック ページを返します。

 

以上の動作において、アクティビティ検索 (Activity Search) レポートには以下の 2 件の情報が記録されます。

 

  • DNS リクエスト
    宛先: intelligentproxy.example.com
    アクション: 選択的にプロキシされました

 

つまり、結果として SWG によりウイルス ファイルのブロックはされますが、Intelligent Proxy へのアクセスは行われないことになります。

 

3. SWG の HTTPS 検査を無効にした場合

 

前項の条件から Web ポリシーの HTTPS 検査とファイル分析を無効にした場合の動作について説明します。

 

  • DNS ポリシー => Intelligent Proxy 有効、SSL 復号有効、ファイル分析有効
  • Web ポリシー => HTTPS 検査無効、ファイル分析無効

 

Cisco Secure Client HTTPS リクエストを傍受し、パケットの内容を書き換えて SWG に転送、その後、SWG が対象ドメインの名前解決をするところまでは前項と同じです。

 

※ SWG は SSL/TLS の SNI を確認して、対象となるドメインを把握します

 

ですが、SWG Web ポリシーで HTTPS 検査が無効になっていることを確認し、通信を復号せず (つまりファイルを分析せず)、ダウンロードしたファイルをそのままユーザーに返します。

 

以上の動作において、アクティビティ検索 (Activity Search) レポートには以下の 2 件の情報が記録されます。

 

  • DNS リクエスト
    宛先: intelligentproxy.example.com
    アクション: 選択的にプロキシされました

 

※ Web リクエストの宛先の URL が不完全なのは、通信を復号しておらず、パケットの中身を確認できないためです

 

つまり、Intelligent Proxy のファイル分析が有効になっていたとしても、Web ポリシーで HTTPS 検査およびファイル分析が行われないと、ウイルス ファイルはブロックされないことになります。

 

4. (参考) ドメインがブロックされた場合

 

ドメインがグレーの際の動作との比較のため、DNS ポリシーでドメインがブロックされた際の動作を説明します。

 

Umbrella DNS サーバーはユーザーの DNS リクエストのドメインを黒と判断すると、ユーザーにブロック ページの IP アドレスを返します。

 

Cisco Secure Client は、生成された HTTPS リクエストを傍受しますが、接続先であるブロックページの IP アドレスは「暗黙的な除外対象」として設定されており、SWG には転送せず、そのままブロックページの Web サーバーに送ります。

 

結果として、ユーザーにはブロック画面が返ることになります。そして、アクティビティ検索 (Activity Search) レポートには DNS リクエストのブロックの情報のみが記録されます。

 

5. (参考) PAC ファイルまたは Proxy Chaining の場合

 

Cisco Secure Client ではなく、PAC ファイルおよび Proxy Chaining を用いて SWG を導入した場合、基本的に Web アクセスの際に DNS リクエストが生成されなくなります。そのため、そもそも Intelligent Proxy は使われません。

 

6. (参考) CDFW 連携の場合

 

Cisco Secure Client ではなく、CDFW 連携を用いて SWG を導入した場合でも、Cisco Secure Client と同様に、DNS ポリシーおよび Web ポリシー両方を利用するよう設定することが可能です。その場合の動作について確認しましたが、現在において、前述した Cisco Secure Client の例と同じ結果となりました。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents