My Home NW Lab

逸般の誤家庭のネットワーク

Meraki MXのHTTPS Inspection機能の現状 (2022年09月頃の情報)

Meraki

Meraki MXのHTTPS Inspectionは、HTTPS通信のSSL復号化を担う機能で、本記事の執筆時点でBeta機能であるためサポートへの有効化依頼が必要になります。

HTTPS Inspection のドキュメントの非公開化

Meraki MXのHTTPS InspectionのドキュメントのURLは下記になりますが、本記事の執筆時点で非公開になっています。

https://documentation.meraki.com/MX/Content_Filtering_and_Threat_Protection/HTTPS_Inspection

非公開時の画面キャプチャ (2022年09月13日時点)

ドキュメントが閲覧可能だった時点 (2021年02月29日)のInternet ArchiveのURLも記載しておきます。

https://web.archive.org/web/20210228064724/https://documentation.meraki.com/MX/Content_Filtering_and_Threat_Protection/HTTPS_Inspection

非公開になった背景は、HTTPS InspectionがBeta版で仕様自体を随時更新する可能性があり、既存機能やネットワークの安定性に大きな影響をもたらす可能性があるため実導入にはリスクが高いので外部向けには公開が中止されている旨をサポートから回答を得ています。(2022年03月頃)

一般的にSSL復号化はデバイスのパフォーマンスに大きな影響を与えるので、Meraki MXの場合はデバイスの安定性を維持するために、同じCisco社の製品であるUmbrella SIGにSSL復号化処理をオフロードする案が考えられます。 MX Sizing Principles のドキュメントでもその点は言及されてます。

https://meraki.cisco.com/product-collateral/mx-sizing-guide/?file
MX Sizing Principle のドキュメントは随時更新される可能性があります。下記は2022年09月13日時点の情報より引用です。

2022年09月13日時点のMX Sizing Principle

The performance impact of HTTPS inspection will be high on any appliance on the market. An alternative could be to consider moving the HTTPS inspection workload to the cloud with Cisco Umbella SIG.

ただし、トラフィックがInternet側にあるSASE Platform (Umbella SIG)へ抜けていく前提感が出てくるため、拠点からData CenterのようなSASE Platformを折り返したくない頻繁な通信が走るような環境では特性的に向かない可能性があります。 そのため、HTTPS Inspectionの機能をUmbrella SIGで代用しようとすると設計に跳ねるので、簡単に代案として提示できるものではない点に注意してください。

筆者の検証時の情報

筆者はHTTPS Inspectionをサポートに依頼して有効化していますが、Beta版でありドキュメントが公開されていない以上は正確な仕様を掴めないため実質的に正確な検証が行えてません。

特にその理由の一端になっているのが、筆者の環境でHTTPS Inpsectionを有効化すると、HTTPS通信がSSL復号化の対象であるか否かに関わらずに行えなくなりました。

下記の画面キャプチャでは、L7 Allow listSSL復号化の"除外"対象にしているのにも関わらず、HTTPS通信が Connection refused で弾かれたものです。

HTTPS Inspectionの無効化 (Disabled)時 - HTTPS通信が可能 (想定通り)

HTTPS Inspectionの有効化 (Enabled)時 - SSL復号化の除外対象のHTTPS通信が不可能 (想定外)

次にSSL復号化の対象に変えてみても、SSL復号化の"除外"時と同じく Connection refused となりました。HTTPS Inspectionが動作していれば、Meraki MXがSSL復号化に用いた際の証明書の情報が表示されるのが期待動作ですが、通信自体が成立しませんでした。

HTTPS Inspectionの有効化 (Enabled)時 - SSL復号化対象のHTTPS通信が不可能 (想定外)

Meraki Communityでも同様の挙動の情報が2019年時点 (06-05-2019 02:13 PM)であったので、筆者の環境も該当している可能性がありました。

community.meraki.com

after a month of waiting the support finally enabled the ssl inspection. now my question is what kind of certificate I need to upload? I created the root certificate with the private key using openssl uploaded it but it doesnt work - no https page loads.

なお、HTTPS Inspectionを使用するには、メニュー: Organization > SettingsHTTPS Inspection セクションにある HTTPS certificateMeraki MXデバイスSSL復号化に用いる証明書をアップロードしておく必要があります。 その上で、メニュー: Security & SD-WAN > Threat protectionHTTPS Inspection セクションの各種項目を適宜設定します。

HTTPS InspectionのHTTPS cerificateの設定