はじめに
このドキュメントでは、ホスト名の代わりにIPアドレスを使用してUmbrellaのコンテンツフィルタを設定する方法について説明します。
概要
ほとんどのWebサイトは、単一のIPアドレスに解決されるドメインに属していますが、ブラウザのアドレスバーにWebサイトのIPアドレスを入力するだけで、Cisco Umbrellaのコンテンツフィルタを「バイパス」することは簡単ではなく、多くの場合は可能ではありません。また、ほとんどのマルウェアは、コマンド&コントロール(C&C)にIPアドレスではなくドメイン名を使用します。
実施内容
セキュリティ上、IPではなくホスト名によるブロッキングは、次の理由から実際には優れています。
- より優れたセキュリティ:さまざまなプロキシ/マルウェアブロッキングソリューションやISPの阻止を回避するために、安全でないドメインがIPからIPへホップします。これらの変更をドメインレベルではなくIPレベルで維持することは非常に困難です(正しい方法ではありません)
- 誤検出/否定応答の削減:1つのIPが数千のドメインで共有されることがあり、その一部は悪意のあるドメインです。それらをすべてブロックすることは良い考えではなく、それらのどれもブロックしていません。
- 可視性の向上:IPをブロックすることで、ユーザ/マシンがアクセスを試みたドメイン(セキュリティ/コンプライアンスチームが注意する必要がある情報)のロギングと分析を防止します。
コンテンツをブロックする場合、IPアドレスでWebサイトまたはホストにアクセスする際にDNSルックアップが必要ないのは事実です。そのため、技術的にはこれは評価のためにUmbrellaのサーバに送信されません。
しかし、今日のほとんどのWebサイトには、位置情報(エンドユーザに対するパフォーマンスを向上させるために、複数のIPとロケーションが使用される)に加えて、ロードバランシングとハイアベイラビリティソリューションがあります。 認証などの機能のために複数のサブドメインがあります。Webサイトは異なるサーバからの複数のIPで構成され、場合によってはIPを入力するだけでサイトのFQDNにリダイレクトされます。 ほぼすべてのWebサーバは、1つ以上の異なるドメインからコンテンツをダウンロードするようにWebブラウザに通知しません。最初の接続が確立された後、サーバに代わってユーザのブラウザを介して複数の追加のDNS要求が送信されます。これらは通常どおり適用されます。
その結果、ほとんどの場合、ブラウザにIPアドレスを入力するだけでは機能しません。Webサーバ側の設定は通常、それをドメインに変換することになり、その時点で操作可能なDNSクエリを受け取るためです。または、部分的または壊れたホームページを受信できます。その後、ログインを含むすべてのリンクが適切なDNS解決なしで機能しません。
この時点で、Umbrellaは解決の要求を代行受信し、セキュリティまたはコンテンツの評価を実行できます。
特定のサイトのステータスが不明な場合は、ドメインでnslookupを実行し、ブラウザのアドレスバーに直接IPアドレスを入力して、その動作を確認します。これを試してみて、動作を確認することをお勧めします。
フィードバック