Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Criar um novo artigo
1244
Apresentações
8
Útil
0
Comentários

Cisco Umbrella - Políticas para tráfego DNS

jonas.resende
VIP Alumni
VIP Alumni

‎10-28-2023 08:09 AM - editado ‎10-31-2023 06:47 AM

Introdução

Este artigo tem como objetivo demonstrar o que são as políticas de tráfego DNS e como implementá-las no Cisco Umbrella.

O que são as políticas?

As políticas são as que ditam as regras de segurança. É através de uma política que é realizado o filtro de conteúdo do que pode ou não ser acessado de uma determinada rede, isso não somente com o intuito de bloquear um tráfego, porém de mitigar riscos de a rede ser infectada por algo malicioso.

A política traz a possibilidade de o administrador permitir ou bloquear tráfegos para diferentes entidades na rede, e neste caso tratando do Cisco Umbrella, para a Internet. Essas entidades podem ser, um computador, grupos ou usuários de domínio, dispositivo móvel, entre outros.

As políticas são compostas pelas Policy Components, onde estão as Destinantion Lists, Content Categories, Application Settings, entre outros. De acordo com o nível de licença adquirida, existirão mais ou menos recursos na Policy Components.

Como praticado nos firewalls, as políticas são aplicadas em ordem decrescente, ou seja, top<>down (cima para baixo). Como por exemplo:

  • Política 1
  • Política 2
  • Política 3

O tráfego será analisado por todas as políticas até conciliar com uma delas. Por exemplo, se o tráfego coincidir com a Política 1, ele não será analisado pelas demais, caso contrário, ele é analisado até que coincida com alguma das políticas e a ação pertinente ao tráfego seja tomada.

Para ter acesso as políticas no dashboard do Cisco Umbrella, navegue no menu Policy > Management > All Policies.

Existe uma política criada por padrão no Cisco Umbrella, a Default Policy.

politica default.png

 Nos tópicos a seguir haverá uma demonstração de como criar as políticas.

Policy Components

Destination Lists (Listas de Destino)

Destinations lists, são listas que permitem filtrar o tráfego baseado em URLs ou em um nome de domínio específico.
Exemplo: criar uma lista com a ação bloqueio, e adicionar a URL google.com/maps, o bloqueio será específico para a URL. Porém, se criar uma lista e adicionar o domínio google.com, todo o tráfego que tenha google.com na URL será bloqueado.
Logo, antes de adicionar ou criar uma regra bloqueando um determinado domínio, é importante analisar que nenhum tráfego para o domínio seja utilizado dentro da coorporação.

Configurando uma Destination List

Veja abaixo como criar uma Destination List.

  1. Vá ao menu Policies > Policy Components > Destination Lists e clique em Add
  2. Dê um nome para a Destination List 
  3. Seleciona a ação a ser tomada (Blocked or Allowed).
  4. Adicione a URL ou domínio que deseja bloquear, e clique em Save.

criando destination list.png

Pronto, a Destination List está criada junto as listas padrão pré-existente.

jonasresende_0-1698433219998.png

Content Categories (Conteúdo por Categorias)

Traz a possibilidade de criar bloqueios de acesso por categorias de websites, ou seja, grupos de sites de temas similares, como por exemplo, esportes, games, adulto, álcool, entre outros.
As categorias de conteúdo são baseados nos níveis de Alto, Moderado, Baixo e Customizado.

  • Alto - Bloqueia conteúdos adultos, atividade ilegal, rede social, site de compartilhamento de vídeos, entre outros, e inclui também as categorias moderada e baixa.
  • Moderado - bloqueia conteúdos adultos e atividade ilegal.
  • Baixa - Bloqueia pornografia e navegação anônima.
  • Customizado - o administrador do Cisco Umbrella pode customizar a lista de conteúdo de acordo com o necessário..

Abaixo um tabela de categorias para cada nível, e mais detalhes podem ser encontrado nesse link.

 

 
jonasresende_1-1698433459916.png

Configurando uma Content Categories

Observe que para Content Categories, já existe a categoria padrão, que é predefinida pela Cisco Umbrella.

Veja abaixo como criar uma Content Category

  1. Vá no menu Policies > Policy Components > Content Categories e clique em Add.
  2. Insira o nome, e se deseja copiar de uma categoria pré-existente. Para o caso abaixo, foi selecionado High e automaticamente todas as categorias relacionadas a este nível foram adicionadas. Se desejar, pode selecionar algumas categorias e customizar a Content Category conforme a necessidade.
  3. Clique em Save.

jonasresende_2-1698433972011.png

Application Settings

As Application Settings (Configurações de Aplicativos) organizam destinos baseados nos tipos de aplicativos, como exemplo, rede social, P2P, games, serviços financeiros, entre outros. Sendo assim, quando criado uma lista baseado em Aplicação, todo o tipo de tráfego DNS para tais aplicações receberão a tratativa de acordo com a Política criada.

Configurando uma Application Settings

Veja abaixo como criar uma Application Settings

  1. Vá no sub-menu Application Settings, e clique em Add.i
  2. Insira um nome
  3. Selecione o grupo de aplicativo que deseja bloquear, ou um aplicativo específico dentro do grupo. Se necessário, pode ser realizada a busca pelo nome do aplicativo também. Para este caso, foi selecionado o aplicativo Spotify, que está dentro do grupo Media.
  4. Clique em Save.

jonasresende_3-1698434307903.png

Uma nota importante é que para Application Setting a ação é sempre block.

Security Settings

Cisco Umbrella agrupa DNS de destinos que são prejudiciais em categorias de ameaças, e permite controlar o acesso de identidade a esses destinos por meio de políticas.

Entre as categorias de ameaças estão.

  • Malware - Websites e servidores que armazenam software maliciosos.
  • Newly Seen Domains - domínios que foram adicionados recentemente.
  • Command and Control Callbacks - Para a prevenção de comunicação com infrastruturas de atacantes.
  • Phishing Attacks - Websites fraudulentos.
  • Dynamic DNS - Bloqueia sites que hospedam conteúdos de DNS dinâmico.
  • Potentially Harmful Domains - Domínios com comportamento suspeito que pode fazer parte de um ataque.
  • DNS Tunneling VPN - Serviços VPN que permitem aos usuários disfarçar seu tráfego encapsulando-o através do protocolo DNS. Eles podem ser usados para contornar as políticas corporativas relativas ao acesso e à transferência de dados.
  • Cryptomining - Bloqueio de tráfego de criptomineradores, ou seja, tráfego que rastrea a navegação do usuário com o intuitos de criar perfis sobre o interesse do usuário.

Para essa categoria será utilizada somente a Default, pré-configurada com Malware, Command and Control Callbacks, e Phishing Attacks.

jonasresende_4-1698434699197.png

Criando uma Política

Por padrão, já existe uma política pré-definida pela Cisco Umbrella. Essa políticas está configurada com os componentes padrão.

Veja abaixo como criar uma nova política.

1. Vá ao menu Policies > Management > All Policies e clique em Add.

2. Selecione a Identity (identidade) a ser utilizada para essa policy. Neste caso, foram selecionadas todas as identidades, porém isso pode ser customizado de acordo com a necessidade da poítica a ser criada.

jonasresende_0-1698435355785.png

3. Selecione os componentes da política, e clique em Next. Neste momento desmarque a opção Inspect Files.

jonasresende_1-1698435572403.png

A partir de agora, é iniciado o processo de configuração para quais as listas ou componentes de cada categoria criada nos passos anteriores.

4. Para Security, utilize a Default.

jonasresende_2-1698435694874.png

5. Para Content, selecione Custom e ao lado direito a Content Category criada Content_Category_High_Level. Apesar de a Content_Category_High_Level ser uma lista de Alto nível, ela foi criada para exemplificar como adicionar uma categoria customizada dentro da política. Se fosse seleciona a opção High, faria o mesmo efeito.

jonasresende_3-1698435788218.png

6. Em Applications, selecione Application_Setting_Customizada.

jonasresende_4-1698435836979.png

7. Em Destination, selecione Destination_List_Customizada, e clique em next.

jonasresende_5-1698435896581.png

8. Em Block_Page, utiliza a padrão definida pelo Umbrella, que é Use Umbrella's Default Appearance, e clique em Next.

jonasresende_0-1698437835843.png

9. Para finalizar, dê um nome a Política e clique em Save. Observe que a última tela representa um resumo da política criada.

jonasresende_8-1698436070838.png

Vale lembrar, que sempre quando for criar uma nova política ou aplicar uma nova regra, validar que isso não trará impacto para a rede em produção.

Sendo assim, com a política criada, é o momento de realizar os testes.

Testes da Política

Para realizar o teste das políticas, basta tentar acessar qualquer aplicação de algum dispositivo da rede, e analisar qual será o resultado aplicado para o tráfego em questão.

Para Security Settings, a Cisco Umbrella disponibiliza algumas URLs para teste. Basta acessar este link

Abaixo um resumo dos conteúdos dentro da política e as URLs a serem utilizadas para teste.

 

Destination Listtwitter.com
Content Categorynível Alto - https://exampleadultsite.com
Aplication Settingsspotify.com
Security Settings

Ao tentar acessar qualquer das URLs ou aplicações via navegador, você receberá um aviso que a Conexão não é privada ou que Não consegue chegar a página.

jonasresende_9-1698436519397.png

jonasresende_10-1698436557556.png

Habilitando Intelligent Proxy

Com o Intelligent Proxy, o Umbrella evita a necessidade de fazer proxy de solicitações para domínios que já são conhecidos como seguros ou ruins. A maioria das ameaças de phishing, malware, ransomware e outras ameaças estão hospedadas em domínios classificados como maliciosos. É simples: o Umbrella bloqueia essas ameaças na camada DNS, sem necessidade de proxy. Se um domínio não representa uma ameaça, como um domínio de transporte de conteúdo (CDN) para Netflix ou YouTube, a Umbrella permite o domínio e, novamente, nenhum proxy é necessário.

Para isso, é necessário habilitar o Intelligent Proxy dentro da política como também o File Analysis, que fará a inspeção do tráfego, e se for algo identificado como malicioso, fará o bloqueio sem a necessidade de uma regra específica.

Importante também habilitar a opção SSL Decryption. O SSL Decryption permite o Intelligent proxy inspecionar todo tráfego sobre HTTPS e bloquiar URLs customizadas nas listas de destino, e também permite a página URL HTTPS de bloqueio. Porém, ao habililtar SSL Decryption, é necessário instalar o Root Certificate do Cisco Umbrella.

Para isso, volte a política criada anteriormente e habilite as opções File Analysis Enabled, Enable Intelligent Proxy, e SSL Decryption.

jonasresende_11-1698436837970.png

jonasresende_12-1698436848965.png

Clique abaixo em Root Certificate, e faça o download do certificado Root e o instale na máquina local.

jonasresende_13-1698437069852.png

Passo a passo para instalar o certificado

jonasresende_14-1698437090607.png

  1. Após o download do arquivo, duplo clique no Certificado salvo na máquina local.
  2. Clique em Instalar Certificado
  3. Selecione Máquina Local
  4. Selecionar Colocar todos os certificados no repositório e procurar pela pasta Autoridades de Certificação Raiz Confiáveis
  5. Clique em Avançar e Concluir.

Nota: Numa rede corporativa, o certificado é instalado nas máquinas através de GPO dentro AD.

Observe que agora ao tentar acessar as páginas, é recebida a notificação da página de bloqueio do Umbrella.

jonasresende_15-1698437148768.png

jonasresende_16-1698437171614.png

Simulem outros tráfegos e vejam o resultado apresentado.

Análise das Atividades

Para realizar uma análise das atividades, e verificar como cada tráfego está sendo tratado, vá no menu Reporting > Core Reports > Activity Search.

Para facilitar a leitura, selecione Blocked ao lado direito em Response.

jonasresende_17-1698437333164.png

Observe que todos os tráfegos explícitos dentro da política estão recebendo a devida tratativa conforme a política criada e aplicada.

Note também nas colunas o tipo de requisição que é DNS, a Origem que é MyNetwork (ip adicionado no menu Deployments > Core Identities > Networks a ação tomada, categoria do tráfego, entre outras informações. Faça um tour pela página para um apronfudamento.

Conclusão

Dessa maneira, concluímos a configuração dos Componentes e de uma Política no Cisco Umbrella, e uma ação de troubleshooting dentro do Cisco Umbrella.

Espero que tenham aproveitado a leitura.

Jonas Resende.

 

 

 

Primeiros Passos

Encontre respostas, faça perguntas e conecte-se com nossa comunidade de especialistas da Cisco de todo o mundo.

Estamos felizes por você estar aqui! Participe de conversas e conecte-se com sua comunidade.

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Pergunte aos Especialistas Blogs de Segurança
Customers Also Viewed These Support Documents