コンテンツにスキップ

Android デバイスがインターネットに接続できるようにする方法

一部の Android デバイスでは、SSL/TLS 検査がオンになっていると、ワイヤレスネットワーク経由でインターネットに接続できません。

はじめに

一部の Android バージョンのモバイルデバイスでは、SSL/TLS インスペクションがオンになっているとインターネットに接続できません。また、Google Play ストアアプリをダウンロードまたは更新することもできません。

これらの Android クライアントは証明書ピン接続を使用します。証明書ピニングは、ホストサーバーを公開キーに関連付け、証明書をクライアントに保存します。クライアントがインターネット接続を確認すると、テスト接続を確立しようとします。この接続には、Google サーバーに接続するための証明書が必要です。

Sophos Firewall が SSL/TLS インスペクションのトラフィックを代行受信すると、中間者として動作し、宛先サーバーとネゴシエートします。ハンドシェイクが完了すると、Sophos Firewall は別の証明書を使用して Android クライアントとネゴシエートします。Android クライアントは、接続チェックを完了するために、固定された証明書を Google サーバーで直接検証できません。

これは、Android のモバイルデバイスの SSL/TLS インスペクションに関する既知の問題です。

これらのデバイスがインターネットに接続できるようにするには、Google ドメインにアクセスしようとするときに SSL/TLS インスペクションをバイパスする必要があります。これを行うには、次の方法を使用します。

  • モバイルデバイスを含む VLAN またはワイヤレスネットワークを作成します。セキュリティを確保するには、許可リストを VLAN またはワイヤレスネットワークに制限し、これらのネットワークセグメントを機密リソースへのアクセスから分離します。
  • 作成した VLAN またはワイヤレスネットワークと Google ドメインの間のトラフィックを復号化しないように、SSL/TLS インスペクションルールを作成します。または、Web プロキシを選択した状態でファイアウォールルールを使用することもできます。

次に、これらのドメインを許可するようにワイヤレスネットワークと SSL/TLS インスペクションを設定する例を示します。

Google URL の追加

Android システムがインターネット接続をテストするために接続する URL の FQDN ホストを作成します。

  1. ホストとサービス > FQDN ホストグループ」に移動し、「追加」をクリックします。
  2. Google URL を追加する新しいグループ定義を作成します。

    既存の Google グループに URL を追加するには、次の手順に進んでください。

  3. ホストとサービス > FQDN ホスト」に移動し、「追加」をクリックします。

  4. 次の各 FQDN のホストを作成します。

    1. *.play.googlezip.net
    2. *.gvt1.com
    3. *.app-measurement.com
    4. ローカル Google ドメイン (例: *.google.co.uk)

    前の手順で作成した FQDN ホストグループを選択して、グループに直接追加する URL を指定してください。

モバイルデバイス用の Wi‑Fi ネットワークの作成

モバイルデバイス用のワイヤレスネットワークを作成します。

企業の Wi‑Fi ネットワークでモバイルデバイスへのアクセスを許可する場合は、ネットワークの作成をスキップし、SSL/TLS インスペクションルールを作成して、それを企業の Wi‑Fi に適用できます。

  1. 保護 > ワイヤレス > ワイヤレスネットワーク」の順に選択し、「追加」をクリックします。
  2. モバイルデバイスの接続に使用する Wi‑Fi ネットワークの詳細を入力します。次の図に、設定例を示します。

    モバイルデバイスの Wi‑Fi 設定。

  3. 保存」をクリックします。

  4. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  5. 名前を入力します。
  6. IP バージョン」を「IPv4」に設定します。
  7. 種類」を「ネットワーク」に設定します。
  8. 前に作成したワイヤレスネットワークのネットワーク IP アドレスとサブネットマスクを入力します。
    次のスクリーンショットに、IP ホスト設定の例を示します。

    IP ホストの設定。

  9. 保存」をクリックします。

SSL/TLS インスペクションルールを作成する

Google ドメインの復号化を行わないように指定する SSL/TLS インスペクションルールを作成します。

  1. ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「追加」をクリックします。
  2. アクション」として、「復号化しない」を選択します。
  3. 復号化のプロファイル」を「可能な限り復号化」に設定します。
  4. 送信元ゾーン」で「Wi‑Fi」を選択します。
  5. 送信元ネットワークとデバイス」で先ほど作成したワイヤレスネットワーク IP ホスト定義を選択します。
  6. 宛先ゾーン」で「WAN」を選択します。
  7. 宛先ネットワーク」の Google IP ホストグループを選択します。
  8. 保存」をクリックします。
    SSL/TLS インスペクションルールの例を次のスクリーンショットに示します。

    SSL/TLS インスペクションルール。