Menu

Region US

Grandmetric LLC
Brookfield Place Office
200 Vesey Street
New York, NY 10281
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

Region EMEA

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

  • en
  • pl
  • 3 modele wdrożenia Cisco Umbrella

    3 modele wdrożenia Cisco Umbrella

    Date: 07.02.2023

    Autor:


    O tym, że phishing to jedna z najczęściej wykorzystywanych metod ataków na przedsiębiorstwa, już nikogo nie trzeba przekonywać. W raporcie Data Breach Investigation Report z 2022r Verizon wskazuje na phishing jako drugie największe (po wyłudzeniu danych logowania) zagrożenie dla firm.  

    Warto więc zadać sobie pytanie czy istnieje jakiś mechanizm, który wyprzedzi atak z wykorzystaniem phishingu, np. pobieranie zainfekowanego pliku, a tym samym zablokuje połączenie Command & Control? Odpowiedź brzmi: tak. Etapem odpowiednim do zablokowania takiego zdarzenia może być DNS. 

    DNS jest mechanizmem, na którym oparta jest komunikacja w sieci Internet. To dzięki niemu możliwe jest przetłumaczenie zapytania o adres domeny, zrozumiały dla człowieka (np. Google.com) na konkretny adres maszyny (adres IP dla google.com to 142.251.39.46.). Jest to pierwsza i naturalna linia, która może posłużyć do weryfikacji domeny zainfekowanej, podejrzanej czy biorącej udział w atakach. Na podstawie klasyfikacji tej domeny, DNS może zwrócić nam informację czy domena, z którą próbujemy się połączyć jest zablokowana, czy możliwa do osiągnięcia.  

    Zobacz, jak firma produkcyjna zaczęła blokować malware i phishing już w 24h  od uruchomienia Cisco Umbrella

    DNS Security z Umbrella 

    Mechanizm weryfikacji adresów i zapytań DNS to fundament działania Cisco Umbrella. Skonfigurowana jako serwer DNS dla naszej firmy, Umbrella widzi wszystkie zapytania DNS o rozwiązania nazwy na adres IP, które pochodzą z naszej organizacji. Umbrella blokuje ataki przed ich wystąpieniem dzięki temu, że działa w pierwszej fazie każdego połączenia. 

    Cisco pomyślało też o przypadku, w którym użytkownik wychodzi poza sieć i łączy się z różnymi domenami poza chronioną siecią firmową. Bezpieczeństwo w tym przypadku zapewni tzw. Umbrella Roaming Client, lekka aplikacja zainstalowana na komputerze, która kontroluje wszystkie zapytania DNS. Taki model wdrożenia nazywa się off-net, a jego zaletą jest brak konieczności połączenia za pomocą VPN. 

    Cisco Umbrella DNS Security funkcje by Grandmetric
    Funkcje Cisco Umbrella

    Sama Umbrella jest kontynuacją projektu OpenDNS, przez co jest chyba najbardziej powszechnym rozwiązaniem na świecie w obszarze DNS Security. Dane, które codziennie przechodzą przez Umbrella osiągają wolumen na poziomie 200 miliardów zapytań od 100 milionów użytkowników. Z Umbrelli korzysta ponad 18 tysięcy firm z sektora Enterprise, a zapytania DNS pochodzą z ponad 190 krajów świata. 

     
    Sam system serwerów DNS Umbrella to serwery rozlokowane w 32 centrach przetwarzania danych na świecie. Istnieją praktycznie na każdym kontynencie co powoduje, że dostępność tych usług i opóźnienia w rozwiązywaniu nazw między użytkownikami a serwerami nazw są zminimalizowane.  

     
    Dodatkowo w zasadzie nieprzerwane działanie systemu Umbrella od 2006 roku (100% business uptime) spowodowane jest między innymi implementacją routingu typu Anycast. To oznacza, że wszystkie serwery DNS Umbrella widoczne są pod tym samym adresem IP, a routing Anycast zapewnia kierowanie pakietów z zapytaniami DNS do najbliższej lokalizacji serwera DNS od użytkownika. 

    Cisco Umbrella metody statystyczne by Grandmetric
    Metody statystyczne Cisco Umbrella

    Za całą klasyfikacją domen w bazie Cisco Umbrella  kryją się metody statystyczne, które pozwalają na skuteczną analizę przypadków i klasyfikacji domen zagrożonych. Dzięki temu Umbrella jest w stanie blokować odpowiedzi DNS, które normalnie kierowałyby użytkowników do groźnych domen.  

     
    Jedną z metod statystycznych jest tzw. współwystępowanie, czyli korelacja zdarzeń występujących w krótkim interwale czasowym i powiązanych z zainfekowaną domeną główną. To powoduje, że niektóre domeny nawet jeszcze przed klasyfikacją przez silniki anti-malware, czy antivirus mogą być wykryte przez Cisco Umbrella, a ataki mogą zostać udaremnione już na poziomie DNS. 

    Jak wdrożyć Umbrella? 3 modele 

    Szybkie wdrożenie – model łatwy 

    Analizując modele wdrożeniowe Umbrella możemy sprowadzić je do trzech punktów: 

    1. zarejestrowanie organizacji w panelu Umbrelli,  
    1. wskazanie adresu IP lub puli adresacji zewnętrznej publicznej naszej firmy,  
    1. przekierowanie zapytań DNS do DNS Cisco Umbrella. 

     
    W taki sposób jesteśmy w stanie wdrożyć Cisco Umbrella na potrzeby testów czy produkcyjnie nawet w ciągu kilkudziesięciu minut.   

    Łatwy model wdrożenia Cisco Umbrella by Grandmetric
    Łatwy model wdrożenia Cisco Umbrella

    Oczywiście pełne wdrożenie wymaga ścisłego dopasowania pewnych parametrów. W modelu najłatwiejszym ta zmiana sprowadza się do zmiany adresu serwera DNS w puli DHCP. Dzięki temu użytkownik od razu odpytuje serwer DNS Umbrella, a my widzimy wszystkie połączenia w dashboardzie. 

    Model dający więcej 

    Alternatywnym modelem, dającym jeszcze więcej informacji pochodzących z zapytań DNS jest wdrożenie z wykorzystaniem Umbrella Virtual Appliance. Jest to urządzenie wirtualne dostarczane przez producenta, kompatybilne z popularnymi wirtualizatorami takimi jak ESX, KVM czy Hyper-V. Umbrella VA przyjmuje rolę DNS proxy między użytkownikami a serwerem DNS wewnątrz firmy, a także serwerami Umbrella.  

    Model wdrożenia Cisco Umbrella by Grandmetric
    Model wdrożenia Cisco Umbrella „dający więcej”

    W momencie, kiedy zapytanie DNS dochodzi do urządzenia Virtual Appliance, to przekazuje dalej zapytania do Cisco Umbrella. Dzięki Virtual Appliance Umbrella jesteśmy w stanie zintegrować nasz DNS z serwerami AD przez AD Connector. To pozwala nam budować polityki bezpieczeństwa i raporty na poziomie DNS oparte na grupach domenowych lub nazwach użytkowników. Raporty pozwalają bardzo szybko dojść do tego, którzy użytkownicy pytają o zainfekowane strony. Mając te wiedzę możemy zweryfikować, czy sami nie są już zainfekowani. 

    Model “On the Go”, czyli pracownicy poza firmą 

    Trzeci model to wspomniany off-network z wykorzystaniem Umbrella Roaming Client. Jest to lekki klient, który zabezpiecza użytkowników końcowych przyjmując rolę DNS proxy do serwerów DNS Cisco Umbrella bez konieczności bycia wewnątrz firmy, a także bez konieczności zestawiania tuneli VPN typu Remote Access. Alternatywnie istnieje możliwość integracji Umbrella Roaming Client z klientem sieci VPN Remote Access Cisco AnyConnect. Jest to tzw. Roaming Security Module, który wykorzystywany jest w ramach AnyConnect i pełni identyczną rolę do Umbrella Roaming Client. 

    Model wdrożenia Cisco Umbrella on the go by Grandmetric
    Model wdrożenia Cisco Umbrella „on the go”

    Raporty, czyli co widać w Cisco Umbrella 

    Dashboard Cisco Umbrella już na pierwszy rzut oka pokazuje dane z ostatnich 24 godzin. Widzimy w szczególności wykres Security Blocks, który pokazuje wolumen zablokowanych zapytań DNS w ciągu ostatnich 24 godzin, wychodzących od naszych użytkowników.  

    Według jakich kryteriów Umbrella grupuje zablokowane zapytania? 

    • by destination, czyli według lokalizacji i sieci/podsieci 
    • by identity, czyli zapytania należące do konkretnych użytkowników 
    • by type, czyli według kategorii zagrożeń.  

    Jak wygląda dashboard Cisco Umbrella?

    Demonstracja live dashboardu Cisco Umbrella

    Dodatkowo w dashboardzie Overview widzimy wolumen zablokowanych zapytań  DNSowych o strony przenoszące malware w ciągu ostatnich 24 godzin, a także udaremnione próby zestawienia komunikacji z nośnikami zagrożeń typu Command and Control. 

     
    Raporty Umbrella pokazują też trendy związane z aktywnością zagrożeń i z zablokowanymi zapytaniami w rozbiciu na docelowe domeny: 

    • widzimy, jaka akcja została podjęta, 
    • skąd pochodziło zapytanie, 
    • z jakim adresem zewnętrznym wychodził użytkownik pytając o taką domenę, 
    • jaki był rezultat zapytania,  
    • kiedy dokładnie takie zapytanie nastąpiło, 
    • możemy też podejrzeć, co konkretnie zostało zablokowane. 

    Ponadto, korzystając z portalu Virus Total możemy zweryfikować też daną domenę wskazaną przez Umbrella jako nośnik malware i sprawdzić, które silniki anti-malware również zweryfikowały tę witrynę jako malware. 
    Możemy też filtrować lub sortować raporty m.in. po Top Destinations, czyli domenach z największą liczbą zablokowanych zapytań. To może wskazywać, że powinniśmy znalezioną domenę blokować gdzieś indziej w sieci. 

    Bezpłatne testy Cisco Umbrella 

    Z naszych doświadczeń wynika, że już w czasie większości testów Cisco Umbrella Klienci decydują się na wdrożenie tego rozwiązania nawet nie czekając do końca testów. To oznacza, że raporty, które Cisco Umbrella przedstawia Klientom na dashboardzie są wartościowe i już po kilku godzinach działania przekonują ich do wdrożenia tego rozwiązania w sieci jako dodatkowego elementu zabezpieczenia, de facto podstawowego na pierwszej linii. 

    Bezpłatne testy Cisco Umbrella

    Bądź na bieżąco w tematach, z którymi pracujesz na co dzień

    Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.

      Zapisując się na newsletter wyrażam zgodę na przetwarzanie udostępnionych danych osobowych na potrzeby prowadzonego newslettera, w ramach którego Grandmetric sp. z o.o. jako administrator danych przesyłać będzie informacje marketingowe, promocyjne, handlowe i informacyjne w obszarze prowadzonej działalności gospodarczej. Zapoznałam/em się z treścią Regulaminu oraz Polityki prywatności i akceptuję ich treść. Regulamin Polityka prywatności

      Autor

      Marcin Bialy

      Architekt systemów sieciowych i bezpieczeństwa IT. Prowadził duże projekty transformacyjne u klientów z branży bankowości, sektora enterprise, produkcji oraz instytucji państwowych. Spędził setki godzin przy konfiguracji, diagnostyce i projektowaniu sieci IP. Jest autorem kursów, workbook’ów do szkoleń autorskich Grandmetric i organizatorem inicjatyw takich jak Network & Wireless meetup zrzeszających społeczność specjalistów sieciowych. Jego specjalizacje obejmują obszar Network Security, Routing & Switching. Marcin posiada certyfikaty Cisco CCSI#35269, CCNP, CCNA. Był także był jednym z pierwszych inżynierów w Polsce uzyskując certyfikat FCNSP#7207 (dzisiejsza ścieżka NSE).

      Dodaj komentarz

      Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


      Grandmetric: Network & Security