12-19-2023 09:32 AM - editado 12-25-2023 04:18 AM
A integração da rede Meraki com o Cisco Umbrella, permite aos clientes conectados ao Meraki MX (firewall) ou Meraki MR (access-point), obter toda a proteção de tráfego DNS proporcionado pelos serviços de DNS do Cisco Umbrella.
Nota: este artigo será focado para a integração do Cisco Umbrella com o Meraki MX.
Essa integração permite que os administradores apliquem e modifiquem regras de filtros para diferentes grupos de clientes, atribuindo uma política de filtragem à uma política de grupo ou em um SSID/rede Wi-Fi específico. Uma vez atribuídas, todas as solicitações DNS dos clientes incluídos nessa política dentro da rede Meraki serão redirecionadas para o Cisco Umbrella, onde o tráfego enviado será analisado pelas políticas criadas no dashboard do Cisco Umbrella.
Mesmo que a rede esteja protejida com o Cisco Meraki, adicionando o Cisco Umbrella traz uma camada acima de proteção, como criptografia de tráfego DNS, proteção contra ataques eavesdropping (espionagem) e man-in-the-middle, descriptografia SSL para identificar arquivos e tráfego malicioso, gerenciamento de todas as políticas para os componentes da rede de um só lugar no dashboard da Umbrella, entre outras funcionalidades. Além disso, com o Cisco Umbrella roaming, mesmo que o dispositivo não esteja conectado na LAN corporativa, ele continua protegido contra todas as ameaças na Internet.
A integração do Cisco Umbrella com Cisco Meraki MX é o início da transformação e adaptação para a jornada de Secure Access Service Edge (SASE), visto que integra uma solução SD-WAN com uma de Segurança em Nuvem.
Para a integração entre as soluções devem ser atendidos os seguintes requerimentos.
Para verificar os requerimentos acima, dentro do dashboard da Meraki navegue no menu Organization > Configure > License Info, e clique em License, e verifique o tipo de Licença aplicada ao dispositivo que deseja realizar a integração. Neste lab, vemos que a licença aplicada é o MX64-SEC (Advanced Security).
Para verificar o firmware, utilize o menu Security & SD-WAN > Monitor > Appliance Status, Verifique a versão de firmware na parte inferior do lado esquerdo da página.
Antes que as políticas e filtros sejam aplicadas do Umbrella para a rede Meraki, ambos dashboards devem estar conectados através da API key (chave) gerada a partir do dashboard do Umbrella.
Como primeiro passo para a integração entre Umbrella e Meraki, é necessário criar uma API Key dentro do dashboard do Umbrella. Para criar a Key e Secret vá em Admin > API Keys > Legacy Keys > Umbrella Network Devices e clique em Generate Token.
Assim que a Key e a Secret forem geradas, copie o texto de ambas e guarde em um lugar seguro.
Para adicionar a API Key e secret no dashboard Meraki, navegue até Network-wide > Configure > General. Na parte inferior da página, existe a opção Cisco Umbrella Account.
Obtendo a API Key e Secret, o próximo passo é integrar no dashboard da Meraki. Clique em New Credentials, adicione a key e a secret previamente criados dentro do Umbrella, e clique em Save Changes.
Após realizar o registro da API do Umbrella no dashboard da Meraki, é nececessário criar uma Política de Grupo no Meraki, para sincronizar a política do Umbrella junto ao Meraki.
Para criar a política, navegue ao menu Network-wide > Configure > Group Policies, e clique em Add a group.
Preencha o nome para a política e na opção Firewall and traffic and shaping, selecione por Custom network firewall & shaping rules. As demais configurações podem ser deixadas como padrão. Clique em Save changes no fim da página.
Nota: as demais configurações foram deixada padrão, pois está sendo demonstrado apenas como integrar o Meraki com o Umbrella, porém de acordo com as necessidades da rede, customizações podem ser realizadas.
Somente após criar a política é possível adicionar a política do Umbrella que será utilizada nessa Group Policy. Logo, é necessário editar a política que acabou de ser criada. Clique sobre a política criada, neste caso Umbrella_Policy.
Dentro das configurações da Group policy, clique sobre o botão Enable Umbrella Protecion, botão que não estava disponível quando a group policy foi criada.
Ao aparecer a mensagem de notificação, clique em Yes. Essa mensagem é informativa dizendo que a proteção Umbrella será ativada no dashboard da Meraki. Logo em seguida, é possível observar que todas as políticas que estiverem disponíveis no Cisco Umbrella, aparecerão dentro da group policy. Neste exemplo, temos somente a Default. Clique em Save Changes no fim da página.
Ao clicar em Save Changes, volte ao dashboard do Umbrella no menu Deployment > Core Identities > Network Devices, e alguns minutos depois aparecerá o dispositivo Meraki.
Nota: Neste caso como existem MX (firewall) e MR (access-point) na rede Meraki utilizada para este lab, ambos aparecem em Network Devices, porém neste artigo é mostrado a integração somente com o MX, e em outra aportunidade será demonstrado o MR.
O Status do Device é mostrado como Offline pois ainda não foi gerado tráfego da rede Meraki para o Umbrella, o que será demonstrado no próximo tópico.
A Group Policy pode ser aplicada de diferentes formas:
Para aplicar a política, navegue ao Security & SD-WAN > Configure> Addressing & VLANs. Vá na opção Routing e selecione a VLAN que deseja aplicar a Group policy, e em Group policy, selecione a política anteriormente criada. Cliquem em Next > Preview > Update, e no botão Save no fim da página.
A partir deste momento, qualquer dispositivo que estiver conectado na VLAN com a Group policy aplicada, será direcionado para o Cisco Umbrella e é possível observar isso no menu Reporting > Core Reports > Activity Search no dashboard Umbrella.
Note também que em Network Devices, o Appliance MX já encontra-se como Active, visto que a nuvem da Umbrella está recebendo tráfego desde o Meraki MX.
Um ponto importante, é que na integração entre o Meraki MX e o Umbrella, que é a aplicada por VLAN, as políticas funcionarão de forma adequada se o dispositivo estiver conectado via rede cabeada, ou seja, numa porta LAN do próprio MX ou do MS. Caso o dispositivo esteja conectado na VLAN com a group aplicada aplicada, porém via rede Wi-Fi, o tráfego não receberá as políticas do Umbrella de forma precisa.
Por este motivo, quando o caso de uso de rede Wi-Fi, é necessário que a group policy seja aplicada também no SSID, e não somente na VLAN, tópico este que será abordado em outro artigo.
Se necessário que algum tráfego não seja tratado pela nuvem do Umbrella, é possível criar uma exclusão no dashboard do Meraki.
Para isso, navegue até Security & SD-WAN > Configure > Threat Protection, e clique em Enable Umbrella Protection, clique em Yes e está pronto. Observe que a política Default Policy está selecionada e agora é possível especificar os domínios a não serem roteados para o Cisco Umbrella, neste caso meraki.com.
Nota: a exclusão de tráfego DNS só é possível quando a proteção Umbrella está ativa.
Essa exclusão tem como objetivo evitar que o tráfego de domínios seguros/confiáveis sejam direcionados para o Umbrella, e assim, a quantidade de tráfego para a nuvem do Umbrella é diminuida. Exemplo de tráfego, meraki.com, office365, entre outros.
Observe que antes de aplicar a exclusão de domínio, o tráfego é direcionado para a nuvem da Umbrella, após a exclusão ser aplicada o tráfego é tratado pelo DNS local.
Realize o troubleshooting no dashboard do Umbrella em Reporting > Core Reports > Activity.
Sendo assim, foi demonstrado como integrar um Meraki MX com o recurso de DNS do Cisco Umbrella.
Espero que tenham aproveitado a leitura.
Deixem seu like ou kudo.
Obrigado!
Jonas Resende
Parabéns por mais um how-to meu amigo!
Muito bom, Jonas! Próximo passo é SIGraki
Sobre essa integração que você comentou, o MX não faz o enforcement dinâmico das group policies por VLAN ou SSID no meu caso... Acredito que só o MS faça enforcement via VLAN e o MR via SSID.
Exato @cscarpa . No SSID mesmo que nao esteja com o Umbrella habilitado, o trafego é parcialmente direcionado para a nuvem do Umbrella, porém não recebe o enforcement de maneira precisa. Quando conectado via porta LAN, MX ou MS cabeada, o enforcement acontece de maneira precisa, testado no lab. Farei essa observação no artigo para não confundir os leitores.
Obrigado pelo feedback e por observar este tópico.
Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.
Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: