はじめに
このドキュメントでは、ネットワーク上のDNSサーバによって使用される出力IPアドレスを識別する方法について説明します。この情報を使用して、会社のネットワークが完全に保護されていることを確認できます。
Cisco Umbrellaは、ネットワークのDNS要求の発信元IPアドレスに基づいてセキュリティポリシーを適用します。このIPアドレスがデータベースに正しく登録または維持されていない場合、お客様のネットワークではUmbrellaのセキュリティ上の利点を十分に活用できません。
出力DNS IPアドレスを確認しています
最初に確認するのは、UmbrellaダッシュボードにネットワークのパブリックIPアドレスを登録したことです。UmbrellaダッシュボードにパブリックIPアドレスを追加する方法については、https://docs.umbrella.com/deployment-umbrella/docs/protect-your-networkを参照してください。
2つ目の確認は、内部DNSサーバのフォワーダがUmbrellaを使用するように設定されていることです。手順の概要を説明した一般的なガイドが用意されています。
https://docs.umbrella.com/deployment-umbrella/docs/point-your-dns-to-cisco
パブリックIPアドレスを追加し、DNSを指定したら、IPアドレスが正しく報告され、ダッシュボードに登録した内容と一致することを確認する必要があります。出力(パブリック)IPアドレスは、ユーザを識別し、ダッシュボード設定をアカウントに適用するために使用されます。
出力IPアドレスを確認するには、デバッグクエリを実行する必要があります。
Windowsコマンドプロンプトによる確認
- コマンドプロンプトを開くには、Windowsの[スタート]メニューから[ファイル名を指定して実行]を選択し、cmd.exeと入力します。
- コマンドプロンプトウィンドウが開きます。
- ウィンドウに次のコマンドを入力します。
nslookup -type=txt debug.opendns.com
結果の出力は次のようになります。
Results for: nslookup -timeout=10 -type=txt debug.opendns.com.
stdout:
Server: exampledc1.local
Address: 192.168.1.1
debug.opendns.com text =
"server m5.nyc"
debug.opendns.com text =
"flags 20 0 1040 59F9000380000000000"
debug.opendns.com text =
"originid 123456"
debug.opendns.com text =
"orgid 789100"
debug.opendns.com text =
"actype 0"
debug.opendns.com text =
"bundle 543215"
debug.opendns.com text =
"source 146.138.21.85:60965"
Mac OSX端末を使用した確認
- Macでターミナルを開くには、Macの右上に移動し、虫眼鏡のアイコンを選択します。
- 検索フィールドが表示されます。「terminal」と入力し、プログラムを選択します。
- ターミナルウィンドウが開きます。
- ウィンドウに次のコマンドを入力します。
/usr/bin/dig +time=10 debug.opendns.com txt
結果の出力は次のようになります。
debug.opendns.com. 0 IN TXT "server m5.nyc"
debug.opendns.com. 0 IN TXT "flags 20 0 1040 59F9000380000000000"
debug.opendns.com. 0 IN TXT "originid 1234567"
debug.opendns.com. 0 IN TXT "orgid 789100"
debug.opendns.com. 0 IN TXT "actype 0"
debug.opendns.com. 0 IN TXT "bundle 543215"
debug.opendns.com. 0 IN TXT "source 146.138.21.85:60965"
デバッグクエリの解釈
デバッグクエリは、ネットワークに適用される特定の設定を識別するためのサポート情報を提供しますが、要求を送信しているデータセンター、要求を送信しているDNSサーバーの内部アドレス、およびクエリを実行したネットワークのIPアドレスなど、接続に関するいくつかの関連情報も提供します。
出力IPが結果として表示されるものに注目します。これらの例では、出力が「source 146.138.21.85:60965」として表示されています。 これにより、要求を行ったDNSサーバの出力IPアドレスが146.138.21.85であったことがわかります。これは、Umbrellaダッシュボードに登録したIPアドレスと一致する必要があります。アドレスが一致しない場合は、正しいIPアドレスをダッシュボードに登録して、Umbrellaのセキュリティ上の利点をすべて活用し、設定が適用されていることを確認する必要があります。