Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
532
Apresentações
6
Útil
3
Comentários

Cisco Umbrella DNS - Integração com Cisco Meraki MX

jonas.resende
VIP
VIP

‎12-19-2023 09:32 AM - editado ‎12-25-2023 04:18 AM

Introdução

umbrella+meraki.png

A integração da rede Meraki com o Cisco Umbrella, permite aos clientes conectados ao Meraki MX (firewall) ou Meraki MR (access-point), obter toda a proteção de tráfego DNS proporcionado pelos serviços de DNS do Cisco Umbrella.

Nota: este artigo será focado para a integração do Cisco Umbrella com o Meraki MX.

Essa integração permite que os administradores apliquem e modifiquem regras de filtros para diferentes grupos de clientes, atribuindo uma política de filtragem à uma política de grupo ou em um SSID/rede Wi-Fi específico. Uma vez atribuídas, todas as solicitações DNS dos clientes incluídos nessa política dentro da rede Meraki serão redirecionadas para o Cisco Umbrella, onde o tráfego enviado será analisado pelas políticas criadas no dashboard do Cisco Umbrella.

Mesmo que a rede esteja protejida com o Cisco Meraki, adicionando o Cisco Umbrella traz uma camada acima de proteção, como criptografia de tráfego DNS, proteção contra ataques eavesdropping (espionagem) e man-in-the-middle, descriptografia SSL para identificar arquivos e tráfego malicioso, gerenciamento de todas as políticas para os componentes da rede de um só lugar no dashboard da Umbrella, entre outras funcionalidades. Além disso, com o Cisco Umbrella roaming, mesmo que o dispositivo não esteja conectado na LAN corporativa, ele continua protegido contra todas as ameaças na Internet. 

A integração do Cisco Umbrella com Cisco Meraki MX é o início da transformação e adaptação para a jornada de Secure Access Service Edge (SASE), visto que integra uma solução SD-WAN com uma de Segurança em Nuvem.

Requerimentos para Integração

Para a integração entre as soluções devem ser atendidos os seguintes requerimentos.

  • Meraki MX deve possuir a licença Advanced Security.
  • Meraki MX deve utilizar a versão de firmware 15.10+.

Para verificar os requerimentos acima, dentro do dashboard da Meraki navegue no menu Organization > Configure > License Info, e clique em License, e verifique o tipo de Licença aplicada ao dispositivo que deseja realizar a integração. Neste lab, vemos que a licença aplicada é o MX64-SEC (Advanced Security).

03.png

 

Para verificar o firmware, utilize o menu Security & SD-WAN > Monitor > Appliance Status, Verifique a versão de firmware na parte inferior do lado esquerdo da página.

 

04.png

Integração na prática

Antes que as políticas e filtros sejam aplicadas do Umbrella para a rede Meraki, ambos dashboards devem estar conectados através da API key (chave) gerada a partir do dashboard do Umbrella.

Criando a API Key no Umbrella

Como primeiro passo para a integração entre Umbrella e Meraki, é necessário criar uma API Key dentro do dashboard do Umbrella. Para criar a Key e Secret vá em Admin > API Keys > Legacy Keys > Umbrella Network Devices e clique em Generate Token.

01.png

Assim que a Key e a Secret forem geradas, copie o texto de ambas e guarde em um lugar seguro.

02.png

 

Adicionando API Key e Secret no Dashboard da Meraki

Para adicionar a API Key e secret no dashboard Meraki, navegue até Network-wide > Configure > General. Na parte inferior da página, existe a opção Cisco Umbrella Account.

Obtendo a API Key e Secret, o próximo passo é integrar no dashboard da Meraki. Clique em New Credentials, adicione a key e a secret previamente criados dentro do Umbrella, e clique em Save Changes.

05.png

 

06.png

 

Criando Group Policy no Meraki (Política de Grupo)

Após realizar o registro da API do Umbrella no dashboard da Meraki, é nececessário criar uma Política de Grupo no Meraki, para sincronizar a política do Umbrella junto ao Meraki.

Para criar a política, navegue ao menu Network-wide > Configure > Group Policies, e clique em Add a group.

07.png

Preencha o nome para a política e na opção Firewall and traffic and shaping, selecione por Custom network firewall & shaping rules. As demais configurações podem ser deixadas como padrão. Clique em Save changes no fim da página.

08.png

 

Nota: as demais configurações foram deixada padrão, pois está sendo demonstrado apenas como integrar o Meraki com o Umbrella, porém de acordo com as necessidades da rede, customizações podem ser realizadas.

Somente após criar a política é possível adicionar a política do Umbrella que será utilizada nessa Group Policy. Logo, é necessário editar a política que acabou de ser criada. Clique sobre a política criada, neste caso Umbrella_Policy.

09.png

Dentro das configurações da Group policy, clique sobre o botão Enable Umbrella Protecion, botão que não estava disponível quando a group policy foi criada.

10.png

 

Ao aparecer a mensagem de notificação, clique em Yes. Essa mensagem é informativa dizendo que a proteção Umbrella será ativada no dashboard da Meraki. Logo em seguida, é possível observar que todas as políticas que estiverem disponíveis no Cisco Umbrella, aparecerão dentro da group policy. Neste exemplo, temos somente a Default. Clique em Save Changes no fim da página.

11.png

 

Ao clicar em Save Changes, volte ao dashboard do Umbrella no menu Deployment > Core Identities > Network Devices, e alguns minutos depois aparecerá o dispositivo Meraki.

Nota: Neste caso como existem MX (firewall) e MR (access-point) na rede Meraki utilizada para este lab, ambos aparecem em Network Devices, porém neste artigo é mostrado a integração somente com o MX, e em outra aportunidade será demonstrado o MR.

12.png

 

O Status do Device é mostrado como Offline pois ainda não foi gerado tráfego da rede Meraki para o Umbrella, o que será demonstrado no próximo tópico.

Aplicando a Group Policy

A Group Policy pode ser aplicada de diferentes formas:

  • Em uma VLAN criada no MX (demonstrado no artigo)
  • Em um dispositivo cliente conectado a rede
  • Em um SSID da rede Wi-Fi

Aplicando a política em uma VLAN no MX

Para aplicar a política, navegue ao Security & SD-WAN > Configure> Addressing & VLANs. Vá na opção Routing e selecione a VLAN que deseja aplicar a Group policy, e em Group policy, selecione a política anteriormente criada. Cliquem em Next > Preview > Update, e no botão Save no fim da página.

13.png

 

14.png

 

15.png

A partir deste momento, qualquer dispositivo que estiver conectado na VLAN com a Group policy aplicada, será direcionado para o Cisco Umbrella e é possível observar isso no menu Reporting > Core Reports > Activity Search no dashboard Umbrella.

16.png

 

Note também que em Network Devices, o Appliance MX já encontra-se como Active, visto que a nuvem da Umbrella está recebendo tráfego desde o Meraki MX.

 

17.png

Um ponto importante, é que na integração entre o Meraki MX e o Umbrella, que é a aplicada por VLAN, as políticas funcionarão de forma adequada se o dispositivo estiver conectado via rede cabeada, ou seja, numa porta LAN do próprio MX ou do MS. Caso o dispositivo esteja conectado na VLAN com a group aplicada aplicada, porém via rede Wi-Fi, o tráfego não receberá as políticas do Umbrella de forma precisa.

Por este motivo, quando o caso de uso de rede Wi-Fi, é necessário que a group policy seja aplicada também no SSID, e não somente na VLAN, tópico este que será abordado em outro artigo.

Criando Exclusão DNS

Se necessário que algum tráfego não seja tratado pela nuvem do Umbrella, é possível criar uma exclusão no dashboard do Meraki.

Para isso, navegue até Security & SD-WAN > Configure > Threat Protection, e clique em Enable Umbrella Protection, clique em Yes e está pronto. Observe que a política Default Policy está selecionada e agora é possível especificar os domínios a não serem roteados para o Cisco Umbrella, neste caso meraki.com.

18.png

 

Nota: a exclusão de tráfego DNS só é possível quando a proteção Umbrella está ativa.

Essa exclusão tem como objetivo evitar que o tráfego de domínios seguros/confiáveis sejam direcionados para o Umbrella, e assim, a quantidade de tráfego para a nuvem do Umbrella é diminuida. Exemplo de tráfego, meraki.com, office365, entre outros.

Observe que antes de aplicar a exclusão de domínio, o tráfego é direcionado para a nuvem da Umbrella, após a exclusão ser aplicada o tráfego é tratado pelo DNS local.

Realize o troubleshooting no dashboard do Umbrella em Reporting > Core Reports > Activity.

Conclusão

Sendo assim, foi demonstrado como integrar um Meraki MX com o recurso de DNS do Cisco Umbrella.

Espero que tenham aproveitado a leitura.

Deixem seu like ou kudo.

Obrigado!

Jonas Resende

Comentários
MATHEUS EDUARDO DAMACENA
Level 1
Level 1
‎12-19-2023 09:46 AM

Parabéns por mais um how-to meu amigo!

cscarpa
Cisco Employee
Cisco Employee
‎12-20-2023 06:55 AM

Muito bom, Jonas! Próximo passo é SIGraki 

Sobre essa integração que você comentou, o MX não faz o enforcement dinâmico das group policies por VLAN ou SSID no meu caso... Acredito que só o MS faça enforcement via VLAN e o MR via SSID.

jonas.resende
VIP
VIP
‎12-20-2023 08:08 AM

Exato @cscarpa . No SSID mesmo que nao esteja com o Umbrella habilitado, o trafego é parcialmente direcionado para a nuvem do Umbrella, porém não recebe o enforcement de maneira precisa. Quando conectado via porta LAN, MX ou MS cabeada, o enforcement acontece de maneira precisa, testado no lab. Farei essa observação no artigo para não confundir os leitores.

Obrigado pelo feedback e por observar este tópico.

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Blogs de Segurança
Customers Also Viewed These Support Documents