HOME  /ZeroTrust
 /Cloudflare ZeroTrustのWARPを[Exclude]で運用する
2024年10月01日

Cloudflare ZeroTrustのWARPを[Exclude]で運用する


WARPの [Exclude] とは何か?は[WARP運用の[Exclude]と[Include]の違い]を参照して下さい。

 

ここでは下図の[Split Tunnels]を[Exclude]で利用する方法を解説します。

1.WARPの[Exclude]設定

2.PCでの使い方と評価

3.スマートデバイスでの使い方と評価

尚、推奨は[Include]運用ですが[Exclude]を使う企業の例は下記になります。

­ ­[Exclude]を利用した方が良い企業とは

①社内で利用するサーバが接続されているLANと、ユーザPCが接続されているLANのセグメントが違う企業

②スマホは企業からの貸与で、MDM等で管理している企業

③企業レベルで[Microsoft 365]、[Google Workspace]、[Slack]、[Dropbox]を利用しており、これを細かく管理する為にCloudflare CASBを利用したいと考えている企業(Enterpriseプランが必須です)

 

1.WARPの[Exclude]設定

1.WARP Clientを呼び出す

[Settings]の画面の中から[WARP Client]を開きます。

 

2.Device settingsを開く

[Device settings]欄にある[Default]をクリックして[Edit]で開きます。

 

3.WARPに[Exclude]設定を行う。

表示された設定項目を[Exclude]に沿った設定にします。重要項目は背景色を変更しています。

項目 解説と推奨設定

Captive portal detection

Free WiFiの検出です。  推奨設定:ON

空港、カフェ、図書館でのFree Wifi利用はインターネットに接続されてない状態でログイン画面がブラウザに表示され、これにログイン後、インターネットに接続される仕様になっています。

この設定が[ON]の場合はFree Wifiから再度、ログイン要求がきた時に、通信が切れたことを教えてくれるので、ここから再度ログインして継続利用ができます。

これが[OFF]の場合は、接続が切れたことを教えてくれないので、インターネットをアクセスした時に繋がってない事がわかり、始めから接続をやり直す使い方になります

Mode switch

WARPの接続方式選択 必須設定:ON

WARPとGatewayの接続には[Gateway with WARP]と[Gateway with DoH]、及び⑪の[Acsess Local netwark]があります。

これが[ON]の場合は、ユーザが上記のモード切替を行う事ができます。

[Exclude]運用の場合はこれを[ON]にしておかないと、ローカルリソースにアクセスができなくなります。

Device tunnel protocol

トンネルの方式

WireGuardがデフォルトで、MASQUEが最近追加されたトンネル方式です。

実績があるWireGuardで良いと思います。

Lock WARP switch

WARP ON/OFF スイッチのロック  推奨設定:OFF

[ON]にすると、ユーザーがWARPをON/OFFできなくなります。

運用が軌道に乗ったら[ON]で良いと思います。

Allow device to leave organization

セキュリティ空間からのログアウト  推奨設定:ON

[OFF]にするとログイン中の組織からユーザー操作でのログアウトができなくなります。

運用が軌道に乗ったら[OFF]で良いと思います。

Allow updates

WARPアプリの更新処理  推奨設定:ON

ユーザ自身でWARPクライアントのアップデートが行えます。

MDM等でWARPを管理している場合は[OFF]になります。

Auto connect

自動再接続 推奨設定:OFF

[ON]に設定するとユーザがWARPを[OFF]にしても、3分後には自動でONになります。

3分の時間設定は管理者が変更する事ができます。

運用が軌道に乗ったら、③が[OFF]で、この設定を[ON]にする運用も利用できます。

Support URL

URLリンク機能  推奨設定:https://チーム名.cloudflareaccess.com

WARP画面からアプリケーションランチャの起動ができる様になります


スマホの場合は下記になります。

メニュー → 詳細 → フィードバック送信

 

Service mode

WARPの接続モード   推奨設定:Gateway with WARP

デフォルトのWARPの接続モードを指定します。

HTTPポリシを利用するので[Gateway with WARP]を選定します。

Local Domain Fallback

ローカルドメインの登録テーブル

ローカルリソースをIPアドレスでアクセスするのでなく、ローカルドメインでアクセスしたい場合はここで設定します。

具体的な操作方法は[WARPの Local Domain Fallback]を参照して下さい。

Split Tunnels

Gatewayとの接続方式 ※最重要

[Exclude IPs and domains]に✓を付け[Manege]ボタンを挿入します。

[Include]から[Exclude]に切替えた時はデフォルト設定が無くなっています。

よってこの場合は[Restore default entries]ボタンでデフォルト設定を戻してください。

ここでローカルで利用するIPアドレスを利用可に変更します。

私の場合[192.168.1.0/24]と[192.168.10.0/24]を[セキュリティ空間]に接続させました。

そこでリスト一覧から[192.168.0.0/16]に✓を付け[Action]ボタンから削除します。

以上で[192.168.1.0/24]と[192.168.10.0/24]はGateWayでルーティングができる様になります。

次にWARP to WARPを利用する場合は[100.64.0.0/10]を選択し、同様に削除します。

Allow users to enable local network exclusion

指定時間だけローカル ネットワークの除外を有効にする。 推奨設定:ON

この設定を[ON]すると、WARP接続の[Gateway with WARP]の下に[Acsess Local netwark]というメニュが追加されます。

この[Acsess Local netwark]接続を選択すると、指定した時間だけローカルIPをトンネルから除外する事によりLAN内にあるプリンター等にアクセスできるようになります。

指定時間が終了すると自動で[Acsess Local netwark]接続は解除されます。

Directly route Office 365 traffic

推奨設定:OFF

Office 365を利用する場合は[ON]にします。

その結果、Office365関連の通信はチェックしないというポリシーが追加されます。

設定の変更を行った場合は、最後に必ず[Save Profile]を実行して下さい。

 

2.PCでの使い方と評価

1.接続モードの種類を知る

WARPの歯車をクリックする[Gateway with DoH]と[Gateway with WARP]が表示されます。

また[Gateway with WARP]をクリックすると[Acsess Local network]が表示されます。

これを切り替えると機能が変わる事を理解して下さい。

 

2.接続モードを切り替えた時に適用されるインターネットアクセスのポリシーの違いを知る

­ ­メモ

[Gateway with WARP]

[HTTPポリシー]→[DNSポリシー]でインターネットをアクセスします。

[Gateway with DoH]

[DNSポリシー]だけでインターネットをアクセスします。

 

3.接続モードを切り替えた時のローカルアクセスの違いを知る

接続モードを切り替えた時のローカルリソースの違いは下表になります。

接続種類 自分のLAN内リソース 自分のLAN外リソース
Gateway with WARP ×
      →Acsess Local network
Gateway with DoH ×

­ ­ローカルアクセスの結論

社内にPCがある時は[Gateway with WARP]で利用し、同一LANにある他のリソースにアクセスする時は[Acsess Local network]を利用します。

PCが社外にある時は[Gateway with WARP]で総ての社内リソースにアクセスできます。

 

4.PCへのインストールアプリ対策

インターネットにアクセスするのはブラウザだけではありません。

PCにインストールした[Thenderbird]、[秀丸メール]、[FFFTP]等のアプリケーションもインターネットアクセスします。

これらのアプリケーションは独自の証明書を利用してインターネットアクセスするので[TSL decryption]機能が働くとエラーになるのでHTTPポリシーに[Cert Pinning]の設定が必要になります。

[Thenderbird]は欧米製のソフトなのでデフォルトの[Cert Pinning]で機能しますが[秀丸メール]等は日本製なので自分で検査をしないポリシーを作成する必要があります。

 

5.結論

[Exclude]運用はHTTPポリシーが適用できるので細かな管理ができる反面、ローカルアクセスは、PCの接続環境によってWARPの接続設定を変更しなければならない。という面倒な操作になります。

尚、ここでは詳しく説明しませんがWEBアクセスをHTTPポリシー経由にすると、ブラウザの[HTTPS強制]がONになります。

その結果、HTTPサイトをHTTPSでアクセスしようとして証明書エラーがでる問題もあります。

対処方法は[HTTPの明示指定]又は[ブラウザの設定変更]です。

最終結論は[Include]運用に比べて面倒だ!です。

 

3.スマートデバイスでの使い方と評価

スマートデバイスの特徴は色々なアプリケーションをインストールして使う事です。

しかし[Exclude]運用は[メール]と[ブラウザ]は利用可能ですが、インストールした大半のアプリはエラーになり利用できません。

これはスマホのアプリが通信を行おうとすると[HTTPポリシー]に行きますが、ここで[TSL decryption]機能が働き通信エラーとなります。

対策は[Gateway with WARP]ではなく[Gateway with DoH]を利用する事です。

これを行うとアクセスは[HTTPポリシー]には行かずに[DNSポリシー]を経由してインターネットをアクセスする為にスマホのアプリでもエラーになりません。

しかしこれを行うとPCとスマホは別の管理を行う事を意味しています。

 

1.接続モードの種類を知る

右上のメニュから[Gateway with DoH]と[Gateway with WARP]を切り替えられます。

スマホアプリを利用する為には[Gateway with DoH]接続を利用します。

 

2接続モードを切り替えた時に適用されるインターネットアクセスのポリシーの違いを知る

[Gateway with DoH]接続で[DNSポリシー]は適用されます。

 

3.ローカルアクセス

PCの[Gateway with DoH]接続のアクセスと同じになります。

 

4.結論

[Exclude]運用はスマートフォンが企業からの貸与でメールやブラウザアクセスしか認めない運用か、スマホのポリシー管理はPCとは別にDNSポリシーで行うしかありません。

最終結論は[Include]運用に比べて面倒だ!です。

 

以上でこのドキュメントの説明は完了です。

関連ドキュメントは下記の関連記事一覧から探して下さい。


<関連記事一覧>

「zerotrust」に関連するドキュメントを表示しています。尚、このページネーションはJquryで制御しています。

Cloudflare ZeroTrustのGatewayで下記のアダルトコンテンツ制御ができます①検索エンジンのセーフサーチ機能をONにする。②コンテンツカテゴリでアダルトサイトをブロックする。③Youtubeを制限付きモードをONにする。

Cloudflare ZeroTrustのGatewayで[コンテンツカテゴリ]をブロックすると会社としてアクセスを許可したくないサイトのアクセスをブロックする事ができます。

Cloudflare ZeroTrustのGatewayでブロックされるサイトをアクセスできる様にするためにはDNSポリシーに許可ポリシーを作成するとアクセスできる様になります。

Cloudflare ZeroTrustのGatewayを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。

CloudflareのZero Trustを利用するとAIのスクールサイトが[Phishing]でブロックされる問題があり、解除申請を行った結果、解除されました。

CloudflareのZero Trustを利用するとタクシーの求人サイト[転職道]が[Anonymizer]でブロックされる問題があったが現在は解決している。

CloudflareのZero Trustを利用するとNHKプラスのログイン画面にDNSトンネルが張られている問題があったが現在は解決している。

少し前はCloudflareのZero Trustを利用すると地方自治体のHPがブロックされるという話題があったが現在は解決している

[Cloudflare Rader]がサイトをどの様に評価しているかはCloudflareの管理画面のセキュリティセンタから調べる事ができます。

Cloudflare ZeroTrustのGatewayで[セキュリティカテゴリ]をブロックするとデバイスに悪影響を及ぼす危険性があるサイトをアクセスする前にブロックする事ができるようになります。

Cloudflare ZeroTrustのGatewayのドメインブロックは①明示ブロックか②サイレントブロックを利用します。明示ブロックの場合はブロック画面をカスタマイズする事ができます。

Cloudflare Zero Trustの ­­Accessに Self-hosted は①公開DNSサーバにA/AAAAレコードで接続②トンネル経由のCNAMEレコードで公開DNSサーバと接続したWebサーバの管理者モード等を悪意のある第三者から守る為に利用します。

CloudflareのZero TrustのAccsessのPrivate networkは社内LANの中にあるルータ等の機器にアクセスする人を限定するアクセス方法で、WARPに設定されているIDで認証が評価されます。

CloudflareのZero TrustのAccsessのbookmarkでアプリランチャにアプリケーションを綺麗に並べるポイントは名前の付け方とCustumロゴを利用する事です。

Cludflare ZeroTrustのWARP環境下でSSH を利用する為には[Tera Term]を利用すると便利です。

Cludflare ZeroTrustのWARP環境下で WindowsでWebDAV を利用する為には、Windowsのレジストリを変更しHTTPでも利用できるようにする必要があります

CloudflareのZero trustのアプリランチャはAccesの中で定義したアプリを簡単にアクセスできる器で、利用できる人は[Settings]メニュの[Authentication]の[App Launcher]欄の設定で行います。

CloudflareのZero TrustでWARPのローカルアクセスをIPアドレスでなく、ローカルドメインでアクセスする為にはLocal Domain Fallbackを利用して設定します。

CloudflareのZero TrustのWARPは[Include]運用がお勧めです。これを利用するとデバイスが社内にあろうが外部に持ち出そうが関係なしに常にローカル環境にある様に操作できるようになります。

CloudflareのZero TrustのWARPの運用には[Split Tunnels]の[Exclude運用]と[Include運用]があります。中小企業では制限事項が少ない[Include運用]がお勧めです。

CloudflareのZero TrustはローカルネットワークをZero trustのセキュリティ空間に接続する事により、WARPクライアントからセキュアにアクセスする事ができる様になります。

CloudflareのWARPクライアントは[1.1.1.1]と{Zero Trust}は同一ソフトです。但し{Zero Trust}と接続する時はCloudflare証明書のインストールが必要となります。

CloudflareのWARPクライアントを[Zero Trust]と接続すると[TLS decryption]や[AV scanning]が働くようになりますが、これにはCloudflareの証明書が必須です。

CloudflareのZero TrustのWARPの利用ユーザの設定は[Settings]の[WARP Client]で行います。

CloudflareのZero TrustのGoogle認証は①認証に利用するGmailアドレスの場所②Google認証の挙動③Zero Trust側で管理される情報④WARPのセッションIDを変更する方法を理解する必要があります。

Zero Trust空間の認証にGoogle認証を利用する為にはIdPに[Google認証]を設定する事とZero Trust空間に入れるGmailユーザを限定する必要があります。

CloudflareのZero Trustの認証にGoogle認証を利用する場合は、管理者用のGmailアドレスのGoogle Cloudに[クライアントID]と[クライアントシークレット]を設定し、これを利用します。

無料のGmailを企業で利用するポイントはGmailアドレスの名称ルールを正しく理解し、ドットを上手く利用たアカウントを作成する事です。これによりCloudflareのZero Trustの認証に無償のGmailが利用できるようになります。

CloudflareのZero Trustとは、Cloudflareのネットワークに企業固有の[セキュリティ空間]を構築する事により[セキュアなローカルアクセス]や[ポリシーに基づくインターネットアクセス]ができる仕掛けで、キーはチーム名です。

これらの総てのキーが[チーム名]になります。