Cisco Umbrella WLAN

Cisco Umbrella WLAN について

Cisco Umbrella WLAN は、既知と緊急の両方の脅威を自動検出する、クラウド提供のネットワーク セキュリティ サービスをドメイン ネーム システム(DNS) レベルで提供します。

この機能により、マルウェア、ボット ネットワーク、およびフィッシングが実際に悪意のある脅威になる前に、それらをホストしているサイトをブロックできます。

Cisco Umbrella WLAN を使用すると、次のことが可能です。

  • シングル ポイントでのユーザー グループごとのポリシーの設定。

  • ネットワーク、グループ、ユーザー、デバイス、または IP アドレスごとのポリシーの設定。

    ポリシーの優先順位は次のとおりです。

    1. ローカル ポリシー

    2. AP グループ

    3. WLAN

  • リアルタイムのビジュアル セキュリティ アクティビティ ダッシュボードと集約レポート。

  • スケジュール設定と電子メールによるレポートの送信。

  • 最大 60 のコンテンツカテゴリのサポートとカスタム許可リストエントリとブロックリストエントリを追加するためのプロビジョニング。

  • カスタムのパラメータタイプの Umbrella プロファイルをサポートしています。1 個のグローバルプロファイルと 15 個のカスタムプロファイルがサポートされています。

  • IPv6 はサポートされていますが、デバイス登録は常に IPv4 を介して行われます。IPv6 を介したデバイス登録はサポートされていません。

  • デバイスから Umbrella クラウドへの通信は IPv6 経由でも行えます。

  • Flexconnect モードでは、コントローラではなく AP で DNS 処理が行われます。Flex モードでは複数のプロファイルがサポートされています。

この機能は、次のシナリオでは機能しません。

  • アプリケーションまたはホストが、DNS を使用する代わりに IP アドレスを直接使用してドメイン名をクエリしている場合。

  • クライアントが Web プロキシに接続されていて、サーバー アドレスを解決するための DNS クエリを送信しない場合。

Cisco Umbrella アカウントへのコントローラ の登録

はじめる前に

  • Cisco Umbrella のアカウントが必要です。

  • Cisco Umbrella からの API トークンが必要です。

ここでは、Cisco Umbrella アカウントにコントローラ を登録するプロセスについて説明します。

コントローラ は、Umbrella パラメータマップを使用して Cisco Umbrella サーバーに登録されます。Umbrella パラメータ マップごとに API トークンが必要です。Cisco Umbrella は、コントローラ のデバイス ID を使用して応答します。デバイス ID は、Umbrella パラメータ マップ名と 1 対 1 でマッピングされています。

Cisco Umbrella ダッシュボードを使用したコントローラ の API トークンの取得

Cisco Umbrella ダッシュボードで、[Device Name] にコントローラ とその ID が表示されていることを確認します。

コントローラ での API トークンの適用

ネットワークに Cisco Umbrella の API トークンを登録します。

DNS クエリと応答

WLAN にデバイスを登録して Umbrella パラメータ マップを設定すると、WLAN に接続しているクライアントからの DNS クエリが Umbrella DNS リゾルバにリダイレクトされるようになります。


(注)  

これは、ローカル ドメインの正規表現パラメータ マップに設定されていないすべてのドメインに適用されます。

クエリと応答は、Umbrella パラメータ マップの DNScrypt オプションに基づいて暗号化されます。

Cisco Umbrella の設定の詳細については、『Integration for ISR 4K and ISR 1100 – Security Configuration Guide』を参照してください。

制限事項と考慮事項

この機能の制限事項と考慮事項は次のとおりです。

  • デバイス登録が成功すると、ワイヤレス Cisco Umbrella プロファイルを WLAN や AP グループなどのワイヤレス エンティティに適用できます。

  • L3 モビリティの場合、Cisco Umbrella は常にアンカーコントローラ で適用する必要があります。

  • DHCP 配下に 2 つの DNS サーバーが設定されている場合は、2 つの Cisco Umbrella サーバー IP が DHCP オプション 6 からクライアントに送信されます。DHCP 配下に 1 つの DNS サーバーだけが存在する場合は、DHCP オプション 6 の一部として 1 つの Cisco Umbrella サーバー IP のみが送信されます。

Cisco Umbrella WLAN の設定

コントローラ で Cisco Umbrella を設定するには、次の作業を行います。

  • Cisco Umbrella ダッシュボードから API トークンを取得する必要があります。

  • Cisco Umbrella 登録サーバー(api.opendns.com)との HTTPS 接続を確立するためには、ルート証明書が必要です。crypto pki trustpool import terminal コマンドを使用して、digicert.com からコントローラ にルート証明書をインポートする必要があります。

トラスト プールへの CA 証明書のインポート

始める前に

ここでは、ルート証明書を取得して Cisco Umbrella 登録サーバとの HTTPS 接続を確立する方法について詳しく説明します。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

次のいずれかの作業を実行します。

  • crypto pki trustpool import url url 
    Device(config)# crypto pki trustpool import 
url http://www.cisco.com/security/pki/trs/ios.p7b

    シスコの Web サイトからルート証明書を直接インポートします。

    (注)  

     

    Trustpool バンドルには、他の CA 証明書とともに digicert.com のルート証明書が含まれています。

  • crypto pki trustpool import terminal 
    Device(config)# crypto pki trustpool import terminal

    import terminal コマンドを実行して、ルート証明書をインポートします。

  • 次の場所で入手できる PEM 形式の CA 証明書を入力します。「関連情報」の項を参照して、CA 証明書をダウンロードしてください。 
    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    digicert.com から CA 証明書を貼り付けて、ルート証明書をインポートします。

ステップ 3

quit

例:

Device(config)# quit

quit コマンドを入力して、ルート証明書をインポートします。

(注)  

 

証明書のインポートが完了すると、メッセージが届きます。

ローカル ドメインの正規表現パラメータ マップの作成

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type regex parameter-map-name

例:

Device(config)# parameter-map type regex dns_wl

正規表現パラメータ マップを作成します。

ステップ 3

pattern regex-pattern

例:

Device(config-profile)# pattern www.google.com

照合する正規表現パターンを設定します。

(注)  

 

次のパターンがサポートされています。

  • .* で始まる。例:.*facebook.com

  • .* で始まり、*で終わる。例:.*google*

  • * で終わる。例:www.facebook*

  • 特殊文字なし。例:www.facebook.com

ステップ 4

end

例:

Device(config-profile)# end

特権 EXEC モードに戻ります。

WLAN でのパラメータ マップ名の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile Name] をクリックします。[Edit Policy Profile] ウィンドウが表示されます。

ステップ 3

[Advanced] タブを選択します。

ステップ 4

[Umbrella] 設定で、[Umbrella Parameter Map] ドロップダウンリストからパラメータマップを選択します。

ステップ 5

[Flex DHCP Option for DNS] および [DNS Traffic Redirect]トグルボタンを有効または無効にします。

ステップ 6

[Update & Apply to Device] をクリックします。

Umbrella パラメータ マップの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type umbrella global | parameter-map-name

例:

Device(config)# parameter-map type umbrella custom_pmap

Cisco Umbrella グローバルまたはカスタマイズパラメータマップを作成します。

ステップ 3

token token-value

例:

Device(config-profile)# token 5XXXXXXXXCXXXXXXXAXXXXXXXFXXXXCXXXXXXXX

Umbrella トークンを設定します。

ステップ 4

local-domain regex-parameter-map-name

例:

Device(config-profile)# local-domain dns_wl

ローカル ドメインの正規表現パラメータ マップを設定します。

ステップ 5

resolver { IPv4 X.X.X.X | IPv6 X:X:X:X::X}

例:

Device(config-profile)# resolver IPv6 10:1:1:1::10

エニーキャストアドレスを設定します。特定のアドレスが設定されていない場合はデフォルトのアドレスが適用されます。

ステップ 6

end

例:

Device(config-profile)# end

特権 EXEC モードに戻ります。

DNScrypt の有効化または無効化(GUI)

手順

ステップ 1

[Configuration] > [Security] > [Threat Defence] > [Umbrella] を選択します。

ステップ 2

Cisco Umbrella から受け取った [Registration Token] を入力します。または [Click here to get your Token] をクリックして、Cisco Umbrella からトークンを取得することもできます。

ステップ 3

フィルタリングから除外する [Whitelist Domains] を入力します。

ステップ 4

[Enable DNS Packets Encryption] チェックボックスをオンまたはオフにして、DNS パケットを暗号化または復号します。

ステップ 5

[Apply] をクリックします。

DNScrypt の有効化または無効化

手順
  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type umbrella global

例:
Device(config)# parameter-map type umbrella global

Umbrella グローバル パラメータ マップを作成します。

ステップ 3

[no] dnscrypt

例:
Device(config-profile)# no dnscrypt

DNScrypt を有効または無効にします。

デフォルトでは、DNScrypt オプションは有効です。

(注)  

 

DNS 暗号化応答がデータ DTLS 暗号化トンネル(モビリティトンネルまたは AP CAPWAP トンネル)で送信される場合、Cisco Umbrella DNScrypt はサポートされません。

ステップ 4

end

例:
Device(config-profile)# end

特権 EXEC モードに戻ります。

UDP セッションのタイムアウトの設定

手順
  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

parameter-map type umbrella global

例:
Device(config)# parameter-map type umbrella global

Umbrella グローバル パラメータ マップを作成します。

ステップ 3

udp-timeout timeout_value

例:
Device(config-profile)# udp-timeout 2

UDP セッションのタイムアウト値を設定します。

timeout_value の範囲は 1 ~ 30 秒です。

(注)  

 

public-key および resolver パラメータマップ オプションには、デフォルト値が自動的に入力されます。したがって、変更する必要はありません。

ステップ 4

end

例:
Device(config-profile)# end

特権 EXEC モードに戻ります。

WLAN でのパラメータ マップ名の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile Name] をクリックします。[Edit Policy Profile] ウィンドウが表示されます。

ステップ 3

[Advanced] タブを選択します。

ステップ 4

[Umbrella] 設定で、[Umbrella Parameter Map] ドロップダウンリストからパラメータマップを選択します。

ステップ 5

[Flex DHCP Option for DNS] および [DNS Traffic Redirect]トグルボタンを有効または無効にします。

ステップ 6

[Update & Apply to Device] をクリックします。

WLAN でのパラメータ マップ名の設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-name

例:

Device(config)# wireless profile policy default-policy-profile

WLAN のポリシー プロファイルを作成します。

profile-name はポリシー プロファイルのプロファイル名です。

ステップ 3

umbrella-param-map umbrella-name

例:

Device(config-wireless-policy)# umbrella-param-map global

WLAN の Umbrella OpenDNS 機能を設定します。

ステップ 4

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

Umbrella Flex プロファイルの設定

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile flex flex-profile-name

例:

Device(config)# wireless profile flex default-flex-profile

新しい Flex ポリシーを作成します。Flex プロファイル コンフィギュレーション モードを開始します。

flex-profile-name は、Flex プロファイル名です。

ステップ 3

umbrella-profile umbrella-profile-name

例:

Device(config-wireless-flex-profile)# umbrella-profile global

Umbrella Flex 機能を設定します。コマンドを無効にする場合や、コマンドをデフォルトに設定する場合は、このコマンドの no 形式を使用します。

ステップ 4

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

Umbrella Flex プロファイルの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Flex] の順に選択します。

ステップ 2

[Flex Profile Name] をクリックします。[Edit Flex Profile] ダイアログボックスが表示されます。

ステップ 3

[Umbrella] タブで、[Add] ボタンをクリックします。

ステップ 4

[Parameter Map Nam] ドロップダウンリストからパラメータマップの名前を選択し、[Save] をクリックします。

ステップ 5

[Update & Apply to Device] ボタンをクリックします。設定の変更が正常に適用されます。

Umbrella Flex パラメータの設定(GUI)

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile policy profile-policy-name

例:

Device(config)# wireless profile policy default-policy-profile

WLAN ポリシー プロファイルを設定します。ワイヤレス ポリシー プロファイル コンフィギュレーション モードを開始します。

policy-profile-name は、WLAN ポリシープロファイル名です。

ステップ 3

flex umbrella dhcp-dns-option

例:

Device(config-wireless-policy-profile)# [no] flex umbrella dhcp-dns-option

DNS の Umbrella DHCP オプションを設定します。デフォルトでは、オプションは有効になっています。

ステップ 4

flex umbrella mode { force | ignore}

例:

Device(config-wireless-policy-profile)# [no] flex umbrella mode force

DNS トラフィックが Umbrella にリダイレクトされるように設定します。トラフィックを強制的にリダイレクトするか、または Umbrella にリダイレクトされたトラフィックを無視するかを選択できます。デフォルトのモードは [ignore] です。

ステップ 5

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

Umbrella Flex ポリシープロファイルの設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Add] ボタンをクリックします。[Add Policy Profile] ダイアログボックスが表示されます。

ステップ 3

[Advanced] タブの [Umbrella] セクションで、次の情報を入力します。

  1. [Umbrella Parameter Map] ドロップダウンリストから、パラメータマップを選択します。選択をクリアするには、[Clear] ハイパーリンクをクリックします。

  2. [Flex DHCP Option for DNS] の隣にあるフィールドをクリックして、オプションを [Disable] にします。デフォルトでは [Enabled] になっています。

  3. [DNS Traffic Redirect] の隣にあるフィールドをクリックして、オプションを [Force] に設定します。デフォルトでは [Ignore] に設定されています。

ステップ 4

[Apply to Device] ボタンをクリックします。

Cisco Umbrella 設定の確認

Umbrella 設定の詳細を表示するには、次のコマンドを使用します。

Device# show umbrella config
Umbrella Configuration
========================
Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
API-KEY: NONE
OrganizationID: xxxxxxx
Local Domain Regex parameter-map name: dns_bypass
DNSCrypt: Not enabled
Public-key: NONE
UDP Timeout: 5 seconds
Resolver address:
1. 10.1.1.1
2. 5.5.5.5
3. XXXX:120:50::50
4. XXXX:120:30::30

デバイス登録の詳細を表示するには、次のコマンドを使用します。

Device# show umbrella deviceid
Device registration details
Param-Map Name                      Status          Device-id
global                              200 SUCCESS     010aa4eXXXXXXX8d
vj-1                                200 SUCCESS     01XXXXXXXf4541e1
GUEST                               200 SUCCESS     010a4f6XXXXXXX42
EMP                                 200 SUCCESS     0XXXXXXXXd106ecd

Umbrella デバイス ID の詳細な説明を表示するには、次のコマンドを使用します。

Device# show umbrella deviceid detailed
Device registration details

 1.global
      Tag               : global
      Device-id         : 010aa4eXXXXXXX8d
      Description       : Device Id recieved successfully
      WAN interface     : None
 2.vj-1
      Tag               : vj-1
      Device-id         : 01XXXXXXXf4541e1
      Description       : Device Id recieved successfully
      WAN interface     : None

Umbrella DNSCrypt の詳細を表示するには、次のコマンドを使用します。

Device# show umbrella dnscrypt
DNSCrypt: Enabled
   Public-key: B111:XXXX:XXXX:XXXX:3E2B:XXXX:XXXX:XXXE:XXX3:3XXX:DXXX:XXXX:BXXX:XXXB:XXXX:FXXX
   Certificate Update Status: In Progress

Umbrella グローバル パラメータ マップの詳細を表示するには、次のコマンドを使用します。

Device# show parameter-map type umbrella global

正規表現パラメータ マップの詳細を表示するには、次のコマンドを使用します。

Device# show parameter-map type regex <parameter-map-name>

Umbrella の統計情報を表示するには、次のコマンドを使用します。

Device# show platform hardware chassis active qfp feature umbrella datapath stats

ワイヤレス ポリシー プロファイルの Umbrella 設定を表示するには、次のコマンドを使用します。

Device#show wireless profile policy detailed vj-pol-profile | s Umbrella
Umbrella information
Cisco Umbrella Parameter Map : vj-2
DHCP DNS Option : ENABLED
Mode : force

flex ポリシープロファイルの Umbrella 設定を表示するには、次のコマンドを使用します。

Device#show wireless profile flex detailed vj-flex-profile | s Umbrella
Umbrella Profiles :
vj-1
vj-2
global

AP の Umbrella の詳細を表示するには、次のコマンドを使用します。

AP#show client opendns summary
Server-IP role
208.67.220.220 Primary
208.67.222.222 Secondary

Server-IP role
2620:119:53::53 Primary
2620:119:35::35 Secondary

Wlan Id DHCP OpenDNS Override Force Mode
0 true false
1 false false
...

15 false false
Profile-name Profile-id
vj-1 010a29b176b34108
global 010a57bf502c85d4
vj-2 010ae385ce6c1256
AP0010.10A7.1000#

Client to profile command

AP#show client opendns address 50:3e:aa:ce:50:17
Client-mac Profile-name
50:3E:AA:CE:50:17 vj-1
AP0010.10A7.1000#