MerakiではMXによるURL Filtering等様々なセキュリティ機能が提供されていますが、今回は同じCisco製品通しでのインテグレーションである、MerakiとUmbrellaの連携方法についてまとめておきます。
MerakiとUmbrellaの連携について
MerakiとUmbrellaの連携には大きく分けて2つ存在します。
一つはDNS Securityで、もう一つはSIGとなります。
DNS Securityは、クライアントからのDNSクエリーをMerakiデバイス(MX or MR)を通過したこと検知すると、強制的にUmbrella DNSサーバに対してリダイレクトするというものです。
厳密には単純にリダイレクトしているだけではなく、MerakiデバイスはUmbrellaの利用者情報を付与および暗号化し、TCPでUmbrellaに送信しています。
SIG連携は、Umbrella DCとMeraki MXをAuto-VPNで接続し、全てのインターネットトラフィックをUmbrella DC上のSWG(Secure Web Gateway)等のチェックを行なって通過させるというものです。
今回はDNS Securityにフォーカスして説明します。
Umbrella APIキーの生成、Meraki dashboardに登録
Umbrellaサイトにアクセスし、APIキーを生成します。
「管理 > APIキー > レガシーキー」へ移動します。
「Umbrellaネットワークデバイス」から「Umbrellaキー」と「シークレット」を生成します。
次に作成したAPIキーをMeraki Dashboardに登録します。
「ネットワーク全体 > 設定 > 一般」へ移動します。
「Cisco Umbrella アカウント」で「Umbrellaキー」、「Umbrellaシークレット」を入力します。
事前設定はこれで終了です。
MerakiのDNS Security Integrationの適用イメージ
MerakiでUmbrella DNS Sec連携を設定する上で適用パターンが複数存在します。
・MRのSSID単位で適用
・MX全体で適用
・MX VLAN単位で適用
・デバイス(クライアント)単位で適用
それぞれの方式について設定方法をまとめます。
1.Meraki MR SSID単位で適用する方法
「ワイヤレス > 設定 > Firewall&トラフィックシェーピング」へ移動します。
設定を行うSSIDを選択し、DNSレイヤ保護(Cisco Umbrella)を有効にします。
UmbrellaのAPIを使って連携が行われます。
連携が完了すると、Umbrellaポリシーを選択します。
今回はUmbrellaポリシーに関しては割愛します。
2.Meraki MX全体で適用する方法
「セキュリティ&SD-WAN > 設定 > 脅威からの保護」へ移動します。
「Umbrellaによる保護」で「Umbrellaの保護を有効化」します。
3.Meraki MX VLAN単位で適用する方法
この方法を実現するために最初にGroup Policyを作成します。
「ネットワーク全体 > 設定 > グループポリシー」へ移動します。
「グループの追加」で新しいグループポリシーを作成します。
グループポリシー内で「DNSレイヤ保護」から「Umbrellaの保護を有効化」にします。
次に「セキュリティ&SD-WAN > 設定 > アドレス&VLAN」へ移動します。
設定を行いたいVLANを編集し、上記で作成したグループポリシーを割り当てます。
4.クライアント単位で適用する方法
この方式もグループポリシーを利用します。
「ネットワーク全体 > 監視 > クライアント」へ移動し、適用したいクライアントを選択します。
クライアントページ内で、「デバイスポリシー」から「グループポリシー」を選択します。
Umbrellaで確認
Meraki Dashboardで設定を行った後、Umbrella側で設定が行われているか確認を行います。
「導入 > コアアイデンティティ > ネットワークデバイス」へ移動します。
Merakiから設定が自動で行われ、ネットワークデバイスとして登録されていることが確認できます。
次に実際にDNSトラフィックを生成させてログを確認してみます。
「レポート > コアレポート > アクティビティ検索」へ移動します。
MerakiデバイスからUmbrellaに転送されたDNSクエリの一覧が表示されます。
まとめ
流石Meraki、流石Cisco通しのIntegrationということで、簡単に設定を行うことが可能であると分かったと思います。
UmbrellaのDNS Secを使うことにより、全てのDNSクエリーを監視下におくことができますので非Webトラフィックにおいてもフィルタリングを行うことが可能になりますので(費用はかかりますが)お試しください。