下図は[Zero Trust]に接続されたWARPクライアントの概念図です。
■Cloudflere社は全世界のインターネット通信を常時監視しており、そのレポートを[Cloudflare Rader]として公開しています。
またここでは総てのWEBサイトを[セキュリティカテゴリ]と[コンテンツカテゴリ]で分類しています。
■[WARP]クライアントが貴方の[セキュリティ空間]に[認証]され接続されると、[WARP]クライアントと[Gateway]間がVPN接続されます。
■この[Gateway]では下記の仕掛けが利用できます。
①[Cloudflare Rader]の[セキュリティカテゴリ]情報を利用して、セキュリティリスクがあるサイトをブロックする。
②[Cloudflare Rader]の[コンテンツカテゴリ]情報を利用して、会社として許可しないカテゴリをブロックする。
③ブラウザ分離機能[TLS decryption]を利用して、セキュリティリスクがあるサイトを無害化する。
④[AV scanning]機能を利用して、アップロードやダウンロードするファイルのウィルスチェックをする。
⑤貴方のセキュリティ空間専用のDNSリゾルバ[DNS Locations]を作成する。
ここでは上記の①の[Cloudflare Rader]が分類した[セキュリティカテゴリ]を使ったブロック方法を解説します。
1.[セキュリティカテゴリ]のブロック運用を理解する
セキュリティカテゴリには下記のサブカテゴリがあります。
サブカテゴリ名 | 1.1.1.2 | 解説 |
Anonymizer | [アノニマイザ]とは、ユーザーが匿名でインターネットを閲覧できるサイト | |
Brand Embedding | [ブランド エンベッディング]とは、ブランドを偽造するサイト | |
Command and Control & Botnet | 〇 | [コマンドアンドコントロールとボットネット]とは、情報を漏洩させる為に、ネットワーク内の他のデバイスに感染させるためのクエリが実行されるサイト |
Cryptomining | 〇 | [クリプトマイニング]とは、ユーザーのコンピューティング リソースを乗っ取って暗号通貨をマイニングさせるサイト |
DGA Domains | [DGAドメイン]とは、マルウェアに見られるドメイン生成アルゴリズムを使っていると判断されたドメイン | |
DNS Tunneling | [DNSトンネリング]とは、DNSトンネリングアクティビティが検出されたドメイン | |
Malware | 〇 | [マルウェア]とは、悪意のあるコンテンツやその他の侵害されたWebサイトをホストするサイト |
Phishing | 〇 | [フィッシング]とは、個人情報を盗むことで知られるドメイン |
Private IP Address | [プライベートIPアドレス]が返されるドメイン | |
Spam | 〇 | [スパム]とは、不要な懸賞、アンケート、広告でユーザーをターゲットにすることで知られるサイト |
Spyware | [スパイウェア]とは、望ましくない広告を表示するコード、またはユーザーの知らないうちにユーザー情報を収集するコードを配布または含むことが知られているサイト |
※汎用DNSリゾルバの[1.1.1.2]は上記のサブカテゴリの中の一部を使ったブロックになります。
上記のセキュリティカテゴリでアクセスをブロックするという事は、デバイスをインターネットの脅威から守る事を意味します。
しかし、セキュリティカテゴリのブロック運用を行っていると、アクセスが必要なサイトがこれでブロックされる事があります。
この様な場合は[ブロックされるサイトのアクセス許可]を行うとアクセスは可能になりますが、このサイトに危険なコードが仕込まれているとデバイスが危険に晒されます。
ここに登場するのが[TLS decryption]機能です。
[Split Tunnels]を[Include]で運用している場合は、この機能を働かせる為に[Include設定のSplit Tunnels]で上記で許可するサイトのドメインを追加します。
これによりアクセス許可されたサイトに危険なコードが書かれていても、Cloudflareがユーザに代わってアクセスしてくれるのでデバイスを守る事ができます。
また恒久対策としてブロックされるサイトを[Cloudflare Raderのサイト評価]で内容を確認し、[Cloudflare Rader]にセキュリティカテゴリーの変更申請を行う事もできます。
これを行うと[Cloudflare Rader]はサイトを再評価して、問題がない場合はセキュリティカテゴリの評価を変更してくれます。
具体的な事例は[4.セキュリティカテゴリのブロック事例]を参照して下さい。
2.セキュリティカテゴリのブロック方法
ここでは[Split Tunnels]を[Include]で運用する事を想定しています。
よって、セキュリティカテゴリのブロックは[DNSポリシー]で行います。
1.ポリシー設定画面の起動
[Gateway → Firewall Policies]を実行します。
下図の[DNS]タブを選択し、[+ Add a Policy]ボタンを挿入します。
2.ポリシーの設定
①ポリシー名の設定
下図の[Name your policy]の[Policy name]欄でどの様なポリシーかが判る名前を付けます。
例)セキュリティカテゴリ
■上記で設定した名前が一覧リストに表示されます。
②どのカテゴリをブロックするのか条件を設定します。
[Build an expression]の下図の[Traffic]欄にブロックする条件を設定します。
・Selector:▼から[Security Categories]を選択
・Operator:▼から[in]を選択
・Value:[All security risks]で検索し✓します。
■上記はセキュリティカテゴリ全体でブロックする設定例ですが、サブカテゴリ単位で設定しても問題ありません。
③ブロックの指定
下図の[Select an action]の[Action]欄の▼で[Block]を選択します。
④ブロック方法の設定
[Configure policy settings]欄で下記を設定します。
・Filter by resolved IP category :ON
(グローバルIP指定の場合は逆引きでドメインを探して検査する)
・Ignore CNAME domain categories :ON
(CNAMEで指定されているドメインは無視する)
・Display block page :ON
[Show a custom message]に✓し[Custom message]欄にブロックした時に表示するメッセージを入力します。(この機能を働かせる為には[ブロック画面のカスタマイズ]が必要です)
例)DNSポリシーのセキュリティカテゴリでブロックされました。
その他のブロックオプション
・Display block notification for WARP Client
この機能はブロックの情報をもっと詳細に連絡できる機能ですが、Enterprise版が必須で、無償版では利用できません。
⑤保存する
画面の右下の[Save Policy]ボタンを挿入すると下図が表示されます。
3.ブロックできたのか?を確認する方法
Cloudflareでは設定が上手く機能しているのか?を調べる為に下記のテストサイトを用意しています。
カテゴリ | URL |
Anonymizer | https://anonymizer.testcategory.com |
Brand Embedding | https://brandembedding.testcategory.com |
Command and Control & Botnet | https://commandandcontrolandbotnet.testcategory.com |
Cryptomining | https://cryptomining.testcategory.com |
DGA Domains | https://dgadomains.testcategory.com |
DNS Tunneling | https://dnstunneling.testcategory.com |
Malware | https://malware.testcategory.com |
Phishing | https://phishing.testcategory.com |
Private IP Address | https://privateipaddress.testcategory.com |
Spam | https://spam.testcategory.com |
Spyware | https://spyware.testcategory.com |
上記をアクセスしてブロックされる場合は、下記画面が表示されます。
失敗した時は下図が表示されます。
4.セキュリティカテゴリのブロック事例
セキュリティカテゴリのブロック運用を行った結果、判ったことを下記で解説します。
1.[DNS Tunneling]でブロックされる事例
セキュリティカテゴリでブロックされるのはこの[DNS Tunneling]が多いです。
DNS Tunnelingとは
DNS(Domain Name System)とはアクセスしたいURLをグローバルIPに変換してくれる仕掛けです。
この通信は通常は暗号化されないUDPでポート53でクライアントとDNS間で通信されます。
DNS Tunnelは悪意ある第3者がこの通信にトンネルを仕掛けて、ユーザIDやパスワードを盗んだり、マルウェアをクライアント側に送り込む等のハッキング手法に利用されます。
最近の状況は[DNSに対する脅威の進化状況]レポートを参照して下さい。
①東北地方の自治体HP
2023年以前は東北地方の自治体のHPの多くが[DNS Tunneling]でブロックされていましたが、2024年2月以降は解除されました。
詳細は[自治体HPの[DNS Tunneling]問題]を参照して下さい。
②NHK+
NHK+のログインページも、これでブロックされていましたが2024年7月に解除されました。
詳細は[NHKプラスの [DNS Tunneling] 問題]を参照して下さい。
2.[Anonymizer]でブロックされる事例
①タクシー求人サイト
タクシー求人サイトが[Anonymizer]でブロックされた事例ですが2024年7月に解除されました。
詳細は[タクシー求人サイトの[Anonymizer]問題]を参照して下さい。
3.[Phishing]でブロックされる事例
①株式会社SHIFT AI
AI副業が学べるスクールが[Phishing]でブロックされた事例ですが2024年9月に解除されました。
詳細は[AIのスクールサイトの[Phishing]問題]を参照して下さい。
結論
セキュリティカテゴリでブロックされた場合、下記の2つの対策が考えられます。
①[ブロックされるサイトのアクセス許可]と[Include設定のSplit Tunnels]でブロックされたサイトを許可してアクセスする。
②[Cloudflare Raderの評価]からブロック理由を調査し、許可申請を行う。
今までの経験ではこれで解決する事例が多い様です。
よって当面の対策は①で、恒久対策として②を利用する運用になると思います。