はじめに
本記事はゼットスケーラー株式会社としては初のAdvent Calender 2023の一つとして投稿しています。以下の免責事項をご理解の上、記事を読んで頂けると幸いです。
本記事は、ネタ的には何度もコスった少し古いものですが、今でも遜色なく利用ができるので改めてこの場でもご紹介させて下さい。検証データも2021年のものになります。
免責事項
本記事のコンテンツや情報において、可能な限り正確な情報を掲載するよう努めておりますが、 誤情報が入り込んだり、情報が古くなったりすることもあり、必ずしもその内容の正確性および完全性を保証するものではございません。そのため、本記事をエビデンスとしたゼットスケーラーへの問い合わせなどはご対応致しかねることをご理解頂けると幸いです。掲載内容はあくまで個人の意見であり、ゼットスケーラーの立場、戦略、意見を代表するものではありません。当該情報に基づいて被ったいかなる損害について、一切責任を負うものではございませんのであらかじめご了承ください。
iOS端末におけるZscalerへの接続方法
基本的にはiOSでZscalerへの接続を行うには、Zscaler Client Connector(ZCC)を利用することを推奨しています。
このZCCには転送モードがいくつかあるのですが、iOSの場合は Tunnelモード がメインとなり、Tunnel With Local Proxy(TWLP)のような少し複雑なことは出来ません。(参照)
原因として、ZCCからPushするForwarding Profile PACをiOSでは認識できないことです。
実際のユースケースでも多い、PACを使って実現するDomainベースのBypassであったり、一部の通信をオンプレのProxyに指定するような要件を満たせなくなります。
ZCCのトラフィック転送モードについてはこちらのリンクをご参照下さい。
iOS端末でPACを読み込ませるには
ここで諦めてはいけません。iOSにはGlobal HTTP Proxyというものがあります。
これは、iOSのProfileにProxyの設定が可能なので、ここにPACファイルのURLを指定すれば良いのです。
今回はこれを使って、TWLPのモードを擬似的に再現してみたいと思います。
準備
プロファイルなどの設定ツールを利用可能ですが、今回はラボ用なので、Apple Configuratorを使いました。
• Apple Bussiness Manager (企業向け)
https://support.apple.com/ja-jp/guide/apple-business-manager/welcome/web
• Apple Configurator (個人、検証向け)
https://support.apple.com/ja-jp/guide/apple-configurator-2/welcome/mac
• Apple School Manager (学校向け)
https://support.apple.com/ja-jp/guide/apple-school-manager/welcome/web
Step1
Apple Configuratorを使って、iOS端末をSupervised Deviceに変更します。
参照
https://support.apple.com/en-us/HT202837
Step2
Global HTTP Proxy のProxy PAC URLにPACファイルのURLを添付します。これでiOS側のProxy設定はおしまいです。
実際のPACの設定は、検証結果に記載します。
Step3
iOS端末にZCCをインストールして、実際の通信をみてみます。
全体のフロー
ここで全体のトラフィックフローのイメージを説明します。
まず、アプリケーション(ブラウザなど)から出たトラフィックは一度Global HTTP Proxyの設定を見にゆきます。このときに、PACの記載でDirectと記載があるものは、ZCCで拾いZIAへと流されます。
ここで、PACでOn-Premise Proxyを指定している場合は、そのまま指定されたon-premise Proxyへ転送されます。
ZCCが起動していなければ、そのままDirectでインターネットに抜けてゆきます。
ZCCに入った通信も、App Profile PACやZCCポータルのVPN GW Bypassで、ZIAへ転送されずにBypassすることが可能です。
テスト結果&PACの設定
テスト結果です。全体の絵を見ながらPACでどんな設定を入れたかを見てゆきます。
テスト環境では、AWS上にSquidを立てて、Global HTTP Proxyで読み込ませたPACには、送信元のGlobal IPを見るサイト① Browserleaks.comをこのProxy当ての通信として設定します。このとき、SquidはデフォルトのTCP3128を利用したのですが、iOSのZCCはWebポートのTCP80/443のみZIA転送の対象とするので、ここではそのままDirectで抜けます。
そして、App Profile PACには、おなじみの②cman.jpをDirect指定します。
これにより、以下のトラフィックフローを実現することが出来ました。
①Browserleaks.comは、AWSのSquid経由で通信を確認
②cman.jpはZCCからダイレクトでインターネットへ出ていったことを確認。150.91.165.81はテスト環境のGlobal IP。
③その他のインターネット通信はZIAを経由
注意点
こちらの構成のご利用にあたり、いくつか注意点があります。
・Trusted/Untrusted の条件が使えないので、Forwarding Profile PACの切り替えが出来ない
その他注意事項
• Zscaler の Root Certificate の配布は、MDM 経由実施する必要がある。(リンさんの記事を参照)
• VPNとの併用は、異なるVPNの種類であれば可能。(Per-app, personalなど) Zscaler Help より。
おまけ
よくありそうな、IDPの通信をオンプレProxy経由にしてみる。以下はokta.comを指定。
iOS端末は、WiFi接続してSwitchを繋いでいたので、Networkでパケットキャプチャを実施。
IDPのオンプレProxy転送の設定を入れたPACファイルの設定。
まとめ
Zscalerの良さの一つであるトラフィック転送方法の柔軟さがiOSではうまく出せていないことが課題でした、今回は、条件があえばPCのような柔軟な使い方が可能であることをお伝えしました。