Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
521
Apresentações
3
Útil
0
Comentários

Cisco Umbrella DNS - Integração com Cisco Meraki MR

jonas.resende
VIP Alumni
VIP Alumni

‎12-30-2023 03:01 AM - editado ‎01-12-2024 02:56 PM

 

10.png

 

Introdução

 
Em complemento ao artigo anterior Cisco Umbrella DNS - Integração com Cisco Meraki MX, neste artigo será demonstrado como realizar a integração do Cisco Umbrella DNS com o Cisco Meraki MR, que é linha de produtos empresarial da Cisco Meraki que provê conexão de rede sem fio.
 
É necessário que antes de prosseguir para a integração do Umbrella com o MR, conferir que as configurações listadas abaixo foram concluídas. A configuração de cada um dos tópicos está mencionada no artigo anterior.
 
  • Criar a API Key no dashboard do Umbrella
  • Adicionar a API Key e Secret no Dashboard da Meraki
  • Criar a Group Policy (política de grupo) no Meraki, vincular com o Umbrella, e aplicar a política do Umbrella à Group Policy

Requerimentos para Integração

 
Para a integração entre as soluções devem ser atendidos os seguintes requerimentos.
 
  • Meraki MR deve possuir a licença Enterprise, para integração Manual. Para integração automática deve possuir a licença Advanced.
  • Meraki MR deve utilizar a versão de firmware 26.1+.
 
Para verificar os requerimentos acima, dentro do dashboard da Meraki navegue no menu Organization > Configure > License Info, e clique em License, e verifique o tipo de Licença aplicada ao dispositivo que deseja realizar a integração. Neste lab, vemos que a licença aplicada é a Enterprise.
 
jonasresende_1-1703931990539.png

 

 
Para verificar o firmware, utilize o menu Wireless > Monitor > Access Point e clique sobre o access-point, e ao final da página ao lado esquerdo, encontre a informação.
 
jonasresende_2-1703932050277.png

 

Ou navegue até Organization > Monitor > Firmware upgrade. Selecione a tab Schedule Upgrades, busque pelo nome da rede que está instalado o MR, selecione Access Point em Device Type, e mude o status para Any.
 
jonasresende_3-1703932163904.png
 

Vinculando o SSID à Política do Umbrella (somente para MR)

 

 
Antes de aplicar a política do Umbrella ao SSID da rede Wi-Fi, é necessário confirmar que ele já está configurado na rede Meraki. Para isso, navegue ao menu Wireless > Configure > SSIDs. Neste menu será listado todos os SSIDs existentes na rede.
 
No caso desse LAB, é possível observar que já existe o SSID Umbrella.
 

jonasresende_4-1703932227006.pngVincular SSID ao Umbrella

 

 
O processo de vincular o SSID ao Umbrella, é realizado atráves do menu Wireless > Configure > Firewall & traffic shaping. Confirme que o SSID que será aplicado a política está selecionado no campo SSID.
 
jonasresende_5-1703932285891.png

 

Navegue até o campo Block Applications and Content Categories e clique em Enable Umbrella Protection, e ao aparecer a mensagem informando que a proteção Cisco Umbrella será habilitada, clique em Yes.
 
jonasresende_6-1703932323036.png

 

Realizado esse processo, a primeira política DNS que estiver definida no Cisco Umbrella será apliacada automaticamente como padrão, e não é possível selecionar a política de sua preferência. Caso uma nova política seja adicionada, antes da política que está associada ao SSID, essa se torna a padrão. Vá ao fim da página e clique em Save.
 
Após associar o SSID ao Umbrella, é possível observar no dashboard do Umbrella no menu Deployments > Core Identities > Network Devices, que o SSID está como rede ativa.
 
jonasresende_7-1703932378214.png

 

Fluxo de Tráfego DNS

 
Após aplicada a integração com o Cisco Umbrella DNS o fluxo acontece a seguinte maneira.
 
jonasresende_8-1703932415446.png

 

  1. O cliente envia uma consulta DNS.
  2. A Meraki intercepta a consulta DNS e anexa um identificador para identificar em qual política Umbrella esta solicitação deve ser verificada.
  3. Meraki então criptografa a consulta DNS usando DNSCrypt, origina o pacote NAT para o IP de gerenciamento MR e o redireciona para o endpoint Umbrella apropriado.
  4. Depois de chegar ao endpoint do Umbrella, a consulta DNS é descriptografada e verificada em relação à política Umbrella apropriada (com base no identificador anexado) para determinar se deve ser permitida ou não.
  5. Se a solicitação for permitida, o Umbrella retornará uma resposta DNS criptografada com o IP apropriado.
  6. Se a solicitação for bloqueada, o Umbrella retornará uma resposta DNS criptografada apontando para a página de bloqueio do Umbrella.
  7. O cliente recebe a página da web solicitada com base na política aplicada.

Criando exclusão de tráfego para o SSID

 
Após vincular o SSID ao Umbrella, todas as solicitações DNS serão encaminhadas para o Cisco Umbrella. Se necessário ,exclusão de domínios podem ser aplicadas. A exclusão de domínio é recomendada somente para tráfego de domínios confiáveis. Assim que a exclusão é aplicada, o tráfego não mais é direcionado para a nuvem do Umbrella, e a resolução acontece pelo DNS configurado localmente.
 
A exclusão de domínio é configurada na página Wireless > Configure > Firewall & traffic shaping, caixa abaixo da Umbrella policy, e apenas é habilitada quando o SSID está configurado em bridge mode.
 
jonasresende_9-1703932526302.png

 

Para validar a exclusão de domínio, dentro do dashboard Umbrella navegue até Reporting > Core Reports > Activity Search. Filtre pelo domínio e observe que após aplicada a exclusão o tráfego não é mais filtrado pelo Umbrella.
 

Conclusão

 
Com a integração do Cisco Meraki MR e Cisco Umbrella, é possível trazer proteção para todos os clientes que estiverem conectados via rede Wi-Fi.
 
Espero que tenham aproveitado a leitura.
 
Deixem seu like ou kudo.
 
Obrigado!
Jonas Resende
Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Blogs de Segurança
Customers Also Viewed These Support Documents