APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

【Zscaler】ZIAのフィルタリングが適用されない!?IPv6非対応編

#1 はじめに

本記事は Zscaler Advent Calendar 2024 18日目 の投稿です。

こんにちは、エーピーコミュニケーションズ 0-WANの島田です。ZIAの設定をテストしていると、想定通りにフィルタリングされず困った経験をお持ちの方は多いのではないでしょうか。そこで今回は、ZIAでIPv6を有効化していない場合に陥るケースについてご紹介したいと思います。

#2 ZIAとIPv6

ZIAはデフォルトでIPv4のみをサポートしています。そのため、IPv6通信は素通りしてインターネットへ抜けていき、当然URL Filteringなどの各種ポリシーも全て適用されません。IPv6はサポートに連絡することで有効化してもらうことができます。

To have IPv6 support provisioned for your organization, contact Zscaler Support. When IPv6 support is provisioned, IPv6-related configurations are made available in the ZIA Admin Portal and Zscaler Client Connector Portal.

デフォルトでZIAを経由するのはIPv4のみ

ZIAでは、一部のデータセンターがまだIPv6に対応していません。IPv6を使用するにはIPv6対応のデータセンターのみにトラフィックを転送する必要があるなど、IPv6の有効化だけでは利用できない可能性があるのが現状です。そのため、IPv6通信とZscaler経由の両方が不可欠な要件がない限りは、基本的にIPv4のみで運用するケースが多い状況です。

help.zscaler.com

#3 Happy Eyeballs

IPv6とIPv4で並列に通信を開始し、先に接続が確立した方を使用する仕組みをHappy Eyeballsと言います。これにより、IPv6で接続に失敗してからIPv4で接続し直す、フォールバック方式よりも早く処理を進めることができます。詳細は割愛しますが、現在は Happy Eyeballs Version 2(RFC8305)まで出ていて、HTTPSレコードなども加味したVersion3が提案されていますね。

これはIPv6とIPv4の早い者勝ちのように見えて、Aレコードの応答を先に受けてもAAAAレコードを短時間待つという形でIPv6優位な仕組みとなっているため、結果的にはIPv6で接続される可能性の方が高くなっています。すると上述の通り、ZIAでIPv6を有効化しておらず、デバイス側でもIPv6を制限していなければ、Zscalerを経由せずにインターネットへ抜けていってしまうわけです。

とはいえ偶然IPv4の方に繋がることもあり得ます。これによって、時々URL Filteringされたりされなかったりといった不思議な挙動が観測されることもあります。

www.rfc-editor.org

#4 環境によってIPv6対応状況が異なることを念頭に

複数人がそれぞれ別の環境からテストした場合、拠点によってはそもそもIPv6に対応しておらず、テスト結果に差異が出てきます。特に在宅環境からテストした場合、この差が顕著に現れやすいのでご注意を。

逆に、組織によっては貸与PCのキッティング時点でルートテーブルからIPv6の宛先を削除するなどして、IPv6を使わないように設定しているなど、デバイス側で設定が変わっているケースもあります。「支社やグループ会社毎に個別でPCを調達し、Zscalerのテナント自体は共同利用」といった複雑なケースの場合、多角的な視点で切り分けていかないとハマる可能性があり、特に気を付ける必要があります。

#5 IPv6が不要であれば無効化してしまう手も

PCの設定変更となると少々身構えてしまいますが、ZCCがインストールされているWindows/masOSのデバイスであれば、Forwarding Profile の Drop IPv6 in Dual Stack Network を有効にすることで、IPv6を落としてIPv4で通信させることができます。デフォルトのForwarding Profileではこれが無効になっていますので、必要に応じて有効にしているForwarding Profileの設定をご検討ください。

Drop IPv6 in Dual Stack Network

#6 おわりに

指定したカテゴリに属しているWebサイトのはずなのに、URL Filteringが適用されず、どこのログにも出てこない...リロードを繰り返すとたまにフィルタされる...なんてことを初期に経験したことがあります。まさにこのIPv6で繋がるかどうかが分岐点だったのですが、今思えばIPやブラウザを取り巻く仕組みから製品の仕様を推測するという、面白い出来事だったと思います。今回もお読みいただきありがとうございました!

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。

問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp