プロキシ環境下で Meraki を導入することはおすすめできない

単刀直入に言うと、Meraki を導入したいと考えているのであれば、Meraki の機器がダッシュボードとやりとりする通信 (管理トラフィック) はプロキシサーバを通らなくてもインターネットへアクセスできるよう、ファイアーウォール (FW) の設定を変更することを推奨します。もちろんプロキシを通して使用することもできますが、プロキシを使用した時の制限事項により Meraki の良さが半減してしまいます。

プロキシ環境

Explicit プロキシを導入している多くの企業では、プロキシサーバの送信元 IP アドレスのみインターネットへのアクセスを許可する制限が FW に設定されているはずです。このような設定をすれば、直接インターネットにアクセスしようとするクライアントは自分自身の IP アドレスでインターネットにアクセスしようとするので、FW が通信を遮断します。Yahoo! JAPAN にアクセスしたいクライアントを例にこの動作を考えてみましょう。

proxy_traffic.png

クライアントの IP アドレスを 192.168.0.1、プロキシサーバを 10.0.0.100、Yahoo! Japan を 182.22.59.229 とします。なお、FW ではプロキシサーバの IP である 10.0.0.100 のみ許可し、それ以外は拒否しています。図の上の矢印のように、クライアントが Yahoo! JAPAN へ直接アクセスを試みると、FW に到達するパケットの送信元 IP は 192.168.0.1 になるので、FW で設定されたルールに基づいてパケットを落とします。逆に図の下の矢印のようにプロキシを経由すれば、クライアントが送信したパケットの送信元 IP はプロキシサーバの IP に書き換えられるので、FW のルール番号 1 に基づき許可され、クライアントは Yahoo! JAPAN にアクセスすることができます。

推奨設定

さて、このような環境で Meraki を導入したい場合どのようにすれば最適なのでしょうか。答えは簡単です。FW で Meraki の機器が所属する IP アドレスもしくはサブネットから送信される管理トラフィックを許可すればいいだけです。ここでは、公式ドキュメントでも推奨されている管理 virutal LAN (VLAN) を作成することにします。

meraki_proxy_firewall.png

管理 VLAN を 192.168.1.0/24 とします。管理トラフィックが使用する宛先 IP はダッシュボードの「ヘルプ > ファイアーウォール情報」から確認してください。2019 年の 2 月時点では 64.62.142.12/32、108.161.147.0/24、199.231.78.0/24、209.206.48.0/20 の 4 つでした。

meraki_firewall_info.png

管理トラフィックに使用されるプロトコルやポートも記載されているので、それらを FW のルールに追加することによってより厳しいルールを設定することも可能です。図ではルール番号 2 で 4 つの IP アドレスしか許可していませんが、導入している機器によって設定するルールの数は変化します。ファイアーウォール情報に記載されているものは FW で全て許可してください。

よくある懸念事項

推奨設定を説明すると、これではセキュリティが担保できないと言う人がちらほらいます。これまでに受けた反論は下記の通りです。

  1. Meraki が生成する管理トラフィックを監視していないと不安
  2. クライアントもプロキシを通らずにインターネットへアクセス可能

このような質問をされるとため息が出るのが正直な感想です。1 に関してはプロキシの役割を理解していません。今日では、どのクライアントがどのようなサイトにアクセスしているのかを監視するためにプロキシが導入されていますが、Meraki の機器は前もって定義されたトラフィックしか生成しません。宛先 IP が決まっています。プロトコルも決まっています。ポートも決まっています。このようなトラフィックを監視してもなんの意味もありません。2 に関しては FW のルールを理解していません。クライアントが Yahoo! JAPAN (182.22.59.229) にアクセスしようとする例では、クライアントの IP  アドレスは 192.168.0.1 でした。推奨設定の FW のルール 1 と 2 に該当しないため、192.168.0.1 のクライアントが 182.22.59.229 にアクセスしようとするとパケットは破棄されます。

非推奨設定

ここまで読んでいれば Meraki の機器はプロキシを通す必要がないことを理解できたかと思いますが、導入前の検証で必要になるかもしれません。各機器のローカルページからプロキシを設定できます。

mr_proxy_config.png

ただし、プロキシを設定した Meraki の機器は下記のような制限事項があることを覚えておいてください。

  • Service level agreement (SLA) が設けられていないバックアップクラウドへ接続
  • ダッシュボードで警告が表示される
  • Meraki authentication が利用不可
  • 設定反映の遅延
  • ライブツールの遅延
  • ファームウェア更新の遅延

上記の制限からも本番環境では proxy 経由での使用はやはり実用的ではないと思います。

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.