CISCO UMBRELLA + INVESTIGATE w pytaniach i odpowiedziach

O CO CHODZI?

Cisco Systems poprzez monitorowanie zapytań DNS stworzyło nową możliwość ochrony reaktywnej. Znany wcześniej projekt OpenDNS, po komercyjnym przejęciu, zyskał na jakości i zakresie działania.

Poszczególne elementy systemu to:

• UMBRELLA – konfigurowalny system ochrony. Dostępny w postaci pulpitu unikalnego dla każdej instancji Klienta. Korzysta z elementu p. poniżej.
• INVESTIGATE – inteligencja systemu; zarówna ta ludzka jak i sztuczna. Funkcje analityczne. Rezultaty tych przetworzeń udostępniane są do systemu Umbrella. Dodatkowo – portal udostępniający wyczerpujące dane o interesującej nas domenie, wraz z jej ew. przepływami pomiędzy systemami AS, czy współwystępowaniem z innymi domenami.

ZAPRASZAMY DO TESTOWANIA – MASZ BEZPŁATNĄ I NIEZOBOWIĄZUJĄCĄ MOŻLIWOŚĆ SPRAWDZENIA SWOJEGO ZABEZPIECZENIA BRZEGOWEGO.

Umbrella i Investigate są to systemy działające na zewnątrz, a więc ich naturalnym środowiskiem jest chmura publiczna – i tam też się je konfiguruje, oraz śle zapytania. Jest to jak najbardziej naturalne, gdyż jakie może być inne środowisko dla publicznego serwisu DNS?

Został stworzony unikalny funkcjonalnie serwis nazw domenowych, który pod pewnymi, określonymi przez admina warunkami – po prostu odmówi odpowiedzi, a dodatkowo przy korzystaniu z serwisów www – wystawi użytkownikowi stronę z odnośną informacją.

JAKIE TO WARUNKI?

Z ograniczeń działania serwisów DNS można się domyślać, że granulacja ruchu może opierać się wyłącznie na publicznym adresie źródłowym, pod jakim nasza instalacja manifestuje się na zewnątrz. Oczywiście, może to również być pula tych adresów. Elementami filtra zaś są:

• kategorie kontekstu
• kategorie bezpieczeństwa (reputacyjne)
• białe i czarne listy dostępowe

Są to obiekty używane w politykach konfigurowanych przez administratora rozwiązania. Listy dostępowe tworzy admin i działają one na zasadzie wyjątków od kategoryzacji.

SKĄD BIORĄ SIĘ TE KATEGORIE?

Firma-córka Cisco Systems – TALOS – została powołana wyłącznie w celu kontroli, korelacji i raportowania zagrożeń sieciowych, a także określania ich wektorów poprzez wyznaczanie rankingu reputacyjnego. Jest to również serwis zajmujący się kategoryzacją światowych zasobów www. Oczywistą częścią tej działalności jest kategoryzacja i ranking security domen DNS, w oderwaniu od serwisów do nich przypiętych.

TALOS efektami swojej pracy zasila chmurę w której działa Umbrella i Investigate, jak również „pudełkowe” rozwiązania głębokiej inspekcji pakietu produkcji Cisco Systems.

Nietrudno zatem sobie wyobrazić, że wobec ścisłej kategoryzacji kontekstowej i reputacyjnej, możliwe jest blokowanie zarówno serwisów dotyczących np. alkoholu, czy hazardu, jak i tych niosących realne zagrożenia informatyczne (phishing, malware, ransomware, CnC, itd…).

Fakt, że ochrona jest realizowana na poziomie zapytań DNS implikuje dwa przyjemne dla chronionego fakty.

1. Nieistotne są parametry wyższych warstw modelu OSI ISO. Tym już zajął się Talos analizując odnośny ruch i przyznając domenie odpowiednie dla niej miejsce.
2. Raportowane są zagrożenia, które nawet nie osiągnęły brzegu chronionej sieci.

CZY ZATEM MOGĘ WYRZUCIĆ MÓJ FIREWALL BRZEGOWY?

NIE!

Twoje „pudełko” na brzegu, posiada znacznie bogatsze możliwości granulacji ruchu i przesyłania go pod odpowiednią obróbkę profilową. Raczej ma możliwość analizowania sygnaturalnego aplikacji. Może kategoryzować część URI z adresu URL – a więc działać w oderwaniu od kategorii przyznanej domenie. Prawdopodobnie ma, albo może mieć mechanizmy chroniące przed atakami wolumetrycznymi…

Generalnie – Twój firewall brzegowy w dalszym ciągu powinien Cię chronić przed zdarzeniami, które osiągnęły brzeg Twojej sieci, lub dzieją się wewnątrz niej.

Żaden producent nigdy i nikomu nie powie, że jego rozwiązanie security jest w 100% pewne, niezawodne i kompletne. Przy obecnym polimorfizmie, oraz złożoności zagrożeń – taka deklaracja nie miałaby żadnej wartości merytorycznej. Zatem wielce wskazaną praktyką jest stosowanie w strefie „perimeter” dodatkowej ochrony, od innego producenta, niż zasadnicza część stosowanych urządzeń ochrony klasy UTM, czy NGF.

Tak i tu, Umbrella może pełnić rolę komplementarną wobec pozostałych elementów ochrony. System wewnętrzny chcąc uzyskać połączenie z serwisem zewnętrznym śle najpierw zapytanie DNS o jego adres numeryczny. Brzegowy firewall takie pytanie oczywiście przepuści, bo tu ew. niebezpieczeństwo tkwi nie w serwisie jako takim, a w payloadzie pakietu. Istnieją oczywiście funkcjonalności typu DNS Sinkholing implementowane na rozwiązaniach sprzętowych, jednak ich dotychczasowa jakość praktycznie wyklucza ergonomię zarządzania i dlatego są one raczej niespotykane w praktyce. Zatem zakładając, że sprzęt na brzegu nie robi analizy zapytania DNS – pakiet jest przepuszczany do Name Services. Jeżeli okaże się, że jest to Umbrella, a otrzymane żądanie rozwiązania nazwy dotyczy zasobu przez nas zabronionego – transmisja zostanie zablokowana jeszcze przed jej faktycznym rozpoczęciem, a odpowiedni komunikat zostanie przekazany do zainteresowanego, bądź zalogowany w systemie. Jednak przecież w serwisach Cisco OpenDNS mogą pojawić się błędy typu nieprawidłowa kategoryzacja, jej brak, czy zbyt łagodny ranking reputacyjny… W tym momencie urządzenie brzegowe i jego bazy wiedzy mają pole do popisu – ale to już na ruchu rzeczywistym. Umbrella również nic nie pomoże w przypadku rozprzestrzeniania się treści szkodliwych wewnątrz struktury sieciowej.

Reasumując – Cisco Umbrella jest doskonałym uzupełnieniem firewalla brzegowego z głęboką inspekcją pakietu. Równie rozsądna jest dodatkowa ochrona brzegu poprzez Cisco Umbrella, co nieuzasadnione jest usuwanie rozwiązań klasy UTM/NGF z brzegów chronionych przez Umbrellę.

ALE…

Jeżeli jeszcze nie masz na swoim brzegu żadnych zabezpieczeń kontekstowo – reputacyjnych, to Cisco Umbrella jawi się jako najszybszy i najbardziej przyjazny sposób implementacji tychże.

Należy zwrócić uwagę, że wdrożenie Cisco Umbrella charakteryzuje się zerowymi kosztami wejścia w projekt. Aby korzystać z bazy wiedzy Talosa, nie potrzeba kupować żadnego pudełka. Również – co nie mniej istotne – koszty wyjścia z projektu są również zerowe. Jeśli przestanie nam być po drodze z Umbrellą – po prostu przestajemy płacić za usługę i nie zostaje nam żaden sprzęt, który bez subskrypcji jest mało funkcjonalny i tym samym przydatny. Niewątpliwie, jest to bardzo uczciwe podejście do osoby Nabywcy.

CZY MOŻNA ZOBACZYĆ, JAK TO DZIAŁA W RZECZYWISTOŚCI?

Oczywiście, zapraszamy do kontaktu z Działem Handlowym. Chętnie przeprowadzimy pokaz rzeczywistego wdrożenia na „żywej” sieci. Preferujemy platformę Cisco Webex.

CZY MOŻNA PRZETESTOWAĆ TO U SIEBIE?

Rzecz jasna.

Najprostszy sposób – Umbrella for Home https://www.opendns.com/home-internet-security/

Darmowa, bardzo okrojona wersja systemu Umbrella. Jednak działa poprawnie i do zastosowań domowych, przy niezbyt analitycznie nastawionym użytkowniku – wydaje się wystarczającą być… Można używać bezterminowo.

Istnieje również możliwość przetestowania profesjonalnej wersji Umbrelli. Należy wykonać następujące kroki:

1. Na wewnętrznym serwisie DNS przekierować zapytania do zewnętrznych (forwarded, parential) serwisów DNS na:

– 208.67.220.220
– 208.67.222.222

Przy czym należy usunąć dotychczasowe wpisy. Bez tego – ochrona Umbrelli będzie niekompletna. Można tego dokonać natychmiast, przed wszystkimi krokami rejestracyjnymi. DNS Umbrelli, dla niezarejestrowanych adresów działa jak NORMALNY serwis NS. Krok ten da pewność co do wydajności nowego zewnętrznego serwisu DNS.

2. Wypełnić formularz:

https://signup.umbrella.com/

To jest 6 prostych pozycji i jedna odpowiedź tak/nie na pytanie, czy Państwo są dostarczycielem, lub sprzedawcą usług IT.

Wygenerowany zostanie testowy pulpit zarządzania na 14 dni. Dane użyte do wypełnienia powyższego można od razu przesłać do NGE Polska – o ile jest zainteresowanie przedłużeniem okresu testowego do 30 dni.

3. Ustalić, pod jakim publicznym adresem/adresami Twoja sieć manifestuje się w internecie:

Info od Admina sieci
lub (np.) – https://www.whatismyip.com/
lub – Umbrella/Identities/Networks – klik w ikonkę „i”

Ale to dopiero po otrzymaniu informacji o założeniu konta wnioskowanego w p.2 i zalogowaniu się nań.

4. W menu Identities/Networks, ikonka „+” wpisać uzyskany adres, odznaczając jednocześnie checkbox „Dynamics”.
5. Istnieje możliwość, aby NGE Polska nadzorowało proces konfiguracji, lub żeby nasz inżynier skonfigurował rozwiązanie w obecności zainteresowanych. Istnieje również możliwość zlecenia zarządzania do NGE Polska, przy użyciu kont przypisanych do NGE.

Odnośne procedury zostaną przekazane zainteresowanym.

ZAPRASZAMY DO TESTOWANIA – DOSKONAŁA OKAZJA DO SPRAWDZENIA ZABEZPIECZENIA BRZEGOWEGO