Android デバイスがインターネットに接続できるようにする方法
一部の Android デバイスでは、SSL/TLS 検査がオンになっていると、ワイヤレスネットワーク経由でインターネットに接続できません。
はじめに
一部の Android バージョンのモバイルデバイスでは、SSL/TLS インスペクションがオンになっているとインターネットに接続できません。また、Google Play ストアアプリをダウンロードまたは更新することもできません。
これらの Android クライアントは証明書ピン接続を使用します。証明書ピニングは、ホストサーバーを公開キーに関連付け、証明書をクライアントに保存します。クライアントがインターネット接続を確認すると、テスト接続を確立しようとします。この接続には、Google サーバーに接続するための証明書が必要です。
Sophos Firewall が SSL/TLS インスペクションのトラフィックを代行受信すると、中間者として動作し、宛先サーバーとネゴシエートします。ハンドシェイクが完了すると、Sophos Firewall は別の証明書を使用して Android クライアントとネゴシエートします。Android クライアントは、接続チェックを完了するために、固定された証明書を Google サーバーで直接検証できません。
これは、Android のモバイルデバイスの SSL/TLS インスペクションに関する既知の問題です。
これらのデバイスがインターネットに接続できるようにするには、Google ドメインにアクセスしようとするときに SSL/TLS インスペクションをバイパスする必要があります。これを行うには、次の方法を使用します。
- モバイルデバイスを含む VLAN またはワイヤレスネットワークを作成します。セキュリティを確保するには、許可リストを VLAN またはワイヤレスネットワークに制限し、これらのネットワークセグメントを機密リソースへのアクセスから分離します。
- 作成した VLAN またはワイヤレスネットワークと Google ドメインの間のトラフィックを復号化しないように、SSL/TLS インスペクションルールを作成します。または、Web プロキシを選択した状態でファイアウォールルールを使用することもできます。
次に、これらのドメインを許可するようにワイヤレスネットワークと SSL/TLS インスペクションを設定する例を示します。
Google URL の追加
Android システムがインターネット接続をテストするために接続する URL の FQDN ホストを作成します。
- 「ホストとサービス > FQDN ホストグループ」に移動し、「追加」をクリックします。
-
Google URL を追加する新しいグループ定義を作成します。
既存の Google グループに URL を追加するには、次の手順に進んでください。
-
「ホストとサービス > FQDN ホスト」に移動し、「追加」をクリックします。
-
次の各 FQDN のホストを作成します。
*.play.googlezip.net
*.gvt1.com
*.app-measurement.com
- ローカル Google ドメイン (例:
*.google.co.uk
)
注
前の手順で作成した FQDN ホストグループを選択して、グループに直接追加する URL を指定してください。
モバイルデバイス用の Wi‑Fi ネットワークの作成
モバイルデバイス用のワイヤレスネットワークを作成します。
企業の Wi‑Fi ネットワークでモバイルデバイスへのアクセスを許可する場合は、ネットワークの作成をスキップし、SSL/TLS インスペクションルールを作成して、それを企業の Wi‑Fi に適用できます。
- 「保護 > ワイヤレス > ワイヤレスネットワーク」の順に選択し、「追加」をクリックします。
-
モバイルデバイスの接続に使用する Wi‑Fi ネットワークの詳細を入力します。次の図に、設定例を示します。
-
「保存」をクリックします。
- 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
- 名前を入力します。
- 「IP バージョン」を「IPv4」に設定します。
- 「種類」を「ネットワーク」に設定します。
-
前に作成したワイヤレスネットワークのネットワーク IP アドレスとサブネットマスクを入力します。
次のスクリーンショットに、IP ホスト設定の例を示します。 -
「保存」をクリックします。
SSL/TLS インスペクションルールを作成する
Google ドメインの復号化を行わないように指定する SSL/TLS インスペクションルールを作成します。