Cisco Umbrella WLAN

Cisco Umbrella WLAN について

Cisco Umbrella WLAN は、既知と緊急の両方の脅威を自動検出する、クラウド提供のネットワーク セキュリティ サービスをドメイン ネーム システム(DNS) レベルで提供します。

この機能により、マルウェア、ボット ネットワーク、およびフィッシングが実際に悪意のある脅威になる前に、それらをホストしているサイトをブロックできます。

Cisco Umbrella WLAN を使用すると、次のことが可能です。

  • シングル ポイントでのユーザー グループごとのポリシーの設定。

  • ネットワーク、グループ、ユーザー、デバイス、または IP アドレスごとのポリシーの設定。

    ポリシーの優先順位は次のとおりです。

    1. ローカル ポリシー

    2. AP グループ

    3. WLAN

  • リアルタイムのビジュアル セキュリティ アクティビティ ダッシュボードと集約レポート。

  • スケジュール設定と電子メールによるレポートの送信。

  • 最大 60 のコンテンツカテゴリのサポートとカスタム許可リストエントリとブロックリストエントリを追加するためのプロビジョニング。

この機能は、次のシナリオでは機能しません。

  • アプリケーションまたはホストが、DNS を使用する代わりに IP アドレスを直接使用してドメイン名をクエリしている場合。

  • クライアントが Web プロキシに接続されていて、サーバー アドレスを解決するための DNS クエリを送信しない場合。

Cisco Umbrella アカウントへの 組み込みワイヤレスコントローラの登録

はじめる前に

  • Cisco Umbrella のアカウントが必要です。

  • Cisco Umbrella からの API トークンが必要です。

組み込みワイヤレスコントローラは、Umbrella パラメータマップを使用して Cisco Umbrella サーバーに登録されます。Umbrella パラメータ マップごとに API トークンが必要です。Cisco Umbrella は、 組み込みワイヤレスコントローラのデバイス ID を使用して応答します。デバイス ID は、Umbrella パラメータ マップ名と 1 対 1 でマッピングされています。

Cisco Umbrella ダッシュボードを使用した 組み込みワイヤレスコントローラの API トークンの取得

Cisco Umbrella ダッシュボードで、[Device Name] に 組み込みワイヤレスコントローラとその ID が表示されていることを確認します。

組み込みワイヤレスコントローラでの API トークンの適用

ネットワークに Cisco Umbrella の API トークンを登録します。

DNS クエリと応答

WLAN にデバイスを登録して Umbrella パラメータ マップを設定すると、WLAN に接続しているクライアントからの DNS クエリが Umbrella DNS リゾルバにリダイレクトされるようになります。


(注)  

これは、ローカル ドメインの正規表現パラメータ マップに設定されていないすべてのドメインに適用されます。

クエリと応答は、Umbrella パラメータ マップの DNScrypt オプションに基づいて暗号化されます。

Cisco Umbrella の設定の詳細については、『Integration for ISR 4K and ISR 1100 – Security Configuration Guide』を参照してください。

制限事項と考慮事項

この機能の制限事項と考慮事項は次のとおりです。

  • デバイス登録が成功すると、ワイヤレス Cisco Umbrella プロファイルを WLAN や AP グループなどのワイヤレス エンティティに適用できます。

  • L3 モビリティの場合、Cisco Umbrella は常にアンカー 組み込みワイヤレスコントローラで適用する必要があります。

  • DHCP 配下に 2 つの DNS サーバーが設定されている場合は、2 つの Cisco Umbrella サーバー IP が DHCP オプション 6 からクライアントに送信されます。DHCP 配下に 1 つの DNS サーバーだけが存在する場合は、DHCP オプション 6 の一部として 1 つの Cisco Umbrella サーバー IP のみが送信されます。

Cisco Umbrella WLAN の設定

組み込みワイヤレスコントローラで Cisco Umbrella を設定するには、次の作業を行います。

  • Cisco Umbrella ダッシュボードから API トークンを取得する必要があります。

  • Cisco Umbrella 登録サーバー(api.opendns.com)との HTTPS 接続を確立するためには、ルート証明書が必要です。crypto pki trustpool import terminal コマンドを使用して、digicert.com から 組み込みワイヤレスコントローラにルート証明書をインポートする必要があります。

トラスト プールへの CA 証明書のインポート

始める前に

ここでは、ルート証明書を取得して Cisco Umbrella 登録サーバとの HTTPS 接続を確立する方法について詳しく説明します。

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

次のいずれかの作業を実行します。

  • crypto pki trustpool import url url 
    Device(config)# crypto pki trustpool import 
url http://www.cisco.com/security/pki/trs/ios.p7b

    シスコの Web サイトからルート証明書を直接インポートします。

    (注)   

    Trustpool バンドルには、他の CA 証明書とともに digicert.com のルート証明書が含まれています。

  • crypto pki trustpool import terminal 
    Device(config)# crypto pki trustpool import terminal

    import terminal コマンドを実行して、ルート証明書をインポートします。

  • 次の場所で入手できる PEM 形式の CA 証明書を入力します。「関連情報」の項を参照して、CA 証明書をダウンロードしてください。 
    -----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

    digicert.com から CA 証明書を貼り付けて、ルート証明書をインポートします。

ステップ 3

quit

例:

Device(config)# quit

quit コマンドを入力して、ルート証明書をインポートします。

(注)   

証明書のインポートが完了すると、メッセージが届きます。

ローカル ドメインの正規表現パラメータ マップの作成

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル設定モードを開始します。
ステップ 2

parameter-map type regex parameter-map-name

例:

Device(config)# parameter-map type regex dns_wl

正規表現パラメータ マップを作成します。
ステップ 3

pattern regex-pattern

例:

Device(config-profile)# pattern www.google.com

照合する正規表現パターンを設定します。

(注)   

次のパターンがサポートされています。

  • .* で始まる。例:.*facebook.com

  • .* で始まり、*で終わる。例:.*google*

  • * で始まる。例:*facebook.com

  • * で始まり、* で終わる。例:*google*

  • * で終わる。例:www.facebook*

  • 特殊文字なし。例:www.facebook.com
ステップ 4

end

例:

Device(config-profile)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

WLAN でのパラメータ マップ名の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile Name] をクリックします。[Edit Policy Profile] ウィンドウが表示されます。
ステップ 3

[Advanced] タブを選択します。

ステップ 4

[Umbrella] 設定で、[Umbrella Parameter Map] ドロップダウンリストからパラメータマップを選択します。
ステップ 5

[Flex DHCP Option for DNS] および [DNS Traffic Redirect]トグルボタンを有効または無効にします。
ステップ 6

[Update & Apply to Device] をクリックします。

Umbrella パラメータ マップの設定

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

parameter-map type umbrella global

例:

Device(config)# parameter-map type umbrella global

Cisco Umbrella グローバルパラメータマップを作成します。
ステップ 3

token token-value

例:

Device(config-profile)# token 5XXXXXXXXCXXXXXXXAXXXXXXXFXXXXCXXXXXXXX

Umbrella トークンを設定します。
ステップ 4

local-domain regex-parameter-map-name

例:

Device(config-profile)# local-domain dns_wl

ローカル ドメインの正規表現パラメータ マップを設定します。
ステップ 5

resolver { IPv4 X.X.X.X | IPv6 X:X:X:X::X}

例:

Device(config-profile)# resolver IPv6 10:1:1:1::10

エニーキャストアドレスを設定します。特定のアドレスが設定されていない場合はデフォルトのアドレスが適用されます。
ステップ 6

end

例:

Device(config-profile)# end

特権 EXEC モードに戻ります。

DNScrypt の有効化または無効化(GUI)

手順
ステップ 1

[Configuration] > [Security] > [Threat Defence] > [Umbrella] を選択します。

ステップ 2

Cisco Umbrella から受け取った [Registration Token] を入力します。または [Click here to get your Token] をクリックして、Cisco Umbrella からトークンを取得することもできます。
ステップ 3

フィルタリングから除外する [Whitelist Domains] を入力します。
ステップ 4

[Enable DNS Packets Encryption] チェックボックスをオンまたはオフにして、DNS パケットを暗号化または復号します。
ステップ 5

[Apply] をクリックします。

DNScrypt の有効化または無効化

手順
  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

parameter-map type umbrella global

例:
Device(config)# parameter-map type umbrella global

Umbrella グローバル パラメータ マップを作成します。
ステップ 3

[no] dnscrypt

例:
Device(config-profile)# no dnscrypt

DNScrypt を有効または無効にします。

デフォルトでは、DNScrypt オプションは有効です。
ステップ 4

end

例:
Device(config-profile)# end

特権 EXEC モードに戻ります。

UDP セッションのタイムアウトの設定

手順
  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:
Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

parameter-map type umbrella global

例:
Device(config)# parameter-map type umbrella global

Umbrella グローバル パラメータ マップを作成します。
ステップ 3

udp-timeout timeout_value

例:
Device(config-profile)# udp-timeout 2

UDP セッションのタイムアウト値を設定します。

timeout_value の範囲は 1 ~ 30 秒です。

(注)   

public-key および resolver パラメータマップ オプションには、デフォルト値が自動的に入力されます。したがって、変更する必要はありません。

ステップ 4

end

例:
Device(config-profile)# end

特権 EXEC モードに戻ります。

WLAN でのパラメータ マップ名の設定(GUI)

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Policy] を選択します。

ステップ 2

[Policy Profile Name] をクリックします。[Edit Policy Profile] ウィンドウが表示されます。
ステップ 3

[Advanced] タブを選択します。

ステップ 4

[Umbrella] 設定で、[Umbrella Parameter Map] ドロップダウンリストからパラメータマップを選択します。
ステップ 5

[Flex DHCP Option for DNS] および [DNS Traffic Redirect]トグルボタンを有効または無効にします。
ステップ 6

[Update & Apply to Device] をクリックします。

WLAN でのパラメータ マップ名の設定

手順

  コマンドまたはアクション 目的
ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。
ステップ 2

wireless profile policy profile-name

例:

Device(config)# wireless profile policy default-policy-profile

WLAN のポリシー プロファイルを作成します。

profile-name はポリシー プロファイルのプロファイル名です。

ステップ 3

umbrella-param-map umbrella-name

例:

Device(config-wireless-policy)# umbrella-param-map global

WLAN の Umbrella OpenDNS 機能を設定します。
ステップ 4

end

例:

Device(config-wireless-policy)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

Cisco Umbrella 設定の確認

Umbrella 設定の詳細を表示するには、次のコマンドを使用します。

Device# show umbrella config
Umbrella Configuration
========================
Token: 5XXXXXXABXXXXXFXXXXXXXXXDXXXXXXXXXXXABXX
API-KEY: NONE
OrganizationID: xxxxxxx
Local Domain Regex parameter-map name: dns_bypass
DNSCrypt: Not enabled
Public-key: NONE
UDP Timeout: 5 seconds
Resolver address:
1. 10.1.1.1
2. 5.5.5.5
3. XXXX:120:50::50
4. XXXX:120:30::30

Umbrella DNSCrypt の詳細を表示するには、次のコマンドを使用します。

Device# show umbrella dnscrypt
DNSCrypt: Enabled
   Public-key: B111:XXXX:XXXX:XXXX:3E2B:XXXX:XXXX:XXXE:XXX3:3XXX:DXXX:XXXX:BXXX:XXXB:XXXX:FXXX
   Certificate Update Status: In Progress

Umbrella グローバル パラメータ マップの詳細を表示するには、次のコマンドを使用します。

Device# show parameter-map type umbrella global

正規表現パラメータ マップの詳細を表示するには、次のコマンドを使用します。

Device# show parameter-map type regex <parameter-map-name>

AP の Umbrella の詳細を表示するには、次のコマンドを使用します。

AP#show client opendns summary
Server-IP role
208.67.220.220 Primary
208.67.222.222 Secondary

Server-IP role
2620:119:53::53 Primary
2620:119:35::35 Secondary

Wlan Id DHCP OpenDNS Override Force Mode
0 true false
1 false false
...

15 false false
Profile-name Profile-id
vj-1 010a29b176b34108
global 010a57bf502c85d4
vj-2 010ae385ce6c1256
AP0010.10A7.1000#

Client to profile command

AP#show client opendns address 50:3e:aa:ce:50:17
Client-mac Profile-name
50:3E:AA:CE:50:17 vj-1
AP0010.10A7.1000#