FortiGate IT ネットワーク

【2種類】インターネットブレークアウトのサービス識別方法【YouTube解説動画あり】

投稿日:

インターネットブレークアウトでは、
Microsoft365(旧Office365)やZoomといった対象となるサービスの指定を行います。
ネットワーク機器が様々な通信があるなか、
どのように対象となるサービスを識別しているのかという
サービスの識別方法についてご紹介します。

インターネットブレークについてとFortiGateの設定についてはこちら

※画像が見にくい場合はクリックすると拡大されますので、ぜひご利用ください

インターネットブレークのサービスを識別する方法

インターネットブレークのサービスを識別する方法は2種類あります。

  1. 宛先IPアドレスで識別する方法
  2. HTTPヘッダ・証明書のコモンネーム・SNIで識別する方法

それぞれを具体的にご紹介していきます。

方法①:宛先IPアドレスで識別する方法

Microsoft365やZoomなどの有名なサービスは使用するIPアドレスが公開されています。

Microsoft365

Zoom

ネットワーク機器内にサービスのIPアドレスの一覧(リスト)を保持しており、
このリストと宛先IPアドレスがマッチした場合に対象のサービスであると識別します。

宛先IPアドレスは日々更新されている

サービスのIPアドレスはセキュリティ対策などの観点で日々更新されています。
ネットワーク機器側としても宛先IPアドレスの一覧(リスト)を更新しなければなりません。

例えば、FortiGateの場合はISBDという宛先IPアドレスの一覧(リスト)を保持しています。
このISDBをFortiGuardというクラウド上から、
1日1回最新のものをダウンロードを行い更新が行われます。

このように自動更新をする仕組みをもつネットワーク機器もありますが、
自動更新の仕組みを持たない場合は、
手動で更新するか、スクリプトを作成するなど別途用意してあげる必要があります。

メリット

宛先IPアドレスで識別する方法のメリットは設定量が少ないということが挙げられます。
このタイプの識別方法のネットワーク機器では、
サービス名で宛先IPアドレスがパッケージ化されていることが多いです。

例えば、
Microsoft365と指定すればOutlookやExcelもブレークアウト対象となるということです。

デメリット

宛先IPアドレスで識別する方法のデメリットは、
サービス側の更新に間に合わず、
100%ブレークアウトすることができない場合があるということです。

先程記載したようにサービス側のIPアドレスは日々更新されています。
それに応じて機器側のリストも更新されますが、
サービス側の更新に間に合わず、100%ブレークアウトすることができない場合があります。
実際としては70%~80%程度が現実的かと思います。
70%~80%でも通信量を削減できるのであれば、
十分にインターネットブレークアウトの効果を期待することができます。

方法②:HTTPヘッダ・証明書のコモンネーム・SNIで識別する方法

ネットワーク機器に”office365″や”zoom.us”のように対象となるFQDNを指定します。
通信のHTTPヘッダ・証明書のコモンネーム・SNIのどれかで識別を行うというものです。

HTTPヘッダ:Hostヘッダ

HTTPヘッダの場合は、
GETリクエストの中に含まれるHostヘッダで指定したFQDNと一致しているかを識別します。

パケットキャプチャで見ていきましょう。


これはHTTPの場合です。
現在主流のHTTPSの場合はGETリクエストが暗号化されています。
HTTPSの場合は証明書のコモンネームもしくはSNIで識別を行います。

証明書のコモンネーム

証明書のコモンネームはパケットキャプチャで確認すると以下のようになります。


TLSv2までは証明書は暗号化されていませんので、
パケットキャプチャで確認したり、ネットワーク機器でも識別することができます。
TLSv3からは証明書自体が暗号化されていますので、
パケットキャプチャで確認したり、ネットワーク機器でも識別することができません。

次にご紹介するSNIで識別する方法が一般的かと思います。

SNI

TLSハンドシェイクで一番はじめに行われるClient Hello。
この中に含まれているSNI:Sever Name Indicationで識別を行います。

パケットキャプチャで確認していきます。

メリット

FQDNで設定する場合、特にサービスのドメインに関しては、
基本的に更新されませんので、100%ブレークアウトすることができます。

Office365からMicrosoft365にサービスの名称が変更されましたが、
ドメインに関してはまだoffice365.comが使用されています。
サービスの名称は変更してもドメインは変更しないことから、
ドメインがいかに更新されないものなのかがわかるかと思います。

小話ですがドメインにはドメインパワーという、
どれくらいドメインが強いのかという数値があります。
数値が高ければ、検索順位などで上位に表示されやすくなります。
ドメインパワーの評価基準の一つに、
ドメインを取得してからどれぐらい経過しているかということがあります。
ドメインを変更することで、一時的に検索順位が下がると、
クリック数・アクセス数が減り、企業の売上は大きく左右されますので、
ここからも変更できないとうことがわかるかと思います。

デメリット

デメリットはサービスで用いられるドメインは複数あるため、
設定量が多くなるということが挙げられます。

サービスで使用されているドメインに関しても、
宛先IPアドレスと一緒に公開されています。
閲覧してみると、office.com、office365.comのように多くのドメインが使用されています。

対象となるFQDNを1つ1つ設定していく必要がありますので、
設定したものは100%ブレークアウトすることができますが、
設定漏れが懸念されます。

中にはoutlook.office365.comのようなドメインもあります。
*.office365.comのように正規表現を用いることで、
ある程度設定量を抑えることができるかと思いますが、
それでもパッケージ化されているわけでないないので、
宛先IPアドレスで識別するタイプと比べると設定量は多くなるかと思います。

ネットワーク機器によってどちらで設定できるかは異なる

ネットワーク機器によってどちらで設定できるかは異なりますので、
メーカや販売代理店でご確認ください。

ちなみにFortiGateは宛先IPアドレスで識別するタイプです。

まとめ

  • 宛先IPアドレスで識別する方法
    • メリット:パッケージ化されているので設定量が少ない
    • デメリット:100%ブレークアウトできるわけではない
  • HTTPヘッダ・証明書のコモンネーム・SNIで識別する方法
    • メリット:100%ブレークアウトできる
    • デメリット:設定量が多くなる

YouTube解説動画

-FortiGate, IT, ネットワーク

Copyright© NWWブログ , 2021 All Rights Reserved Powered by STINGER.