- Introdução
- O que é o Cisco Umbrella Roaming Client?
- Como é o funcionamento do Umbrella Roaming Client?
- Domínios Interno
- Download e Instalação do Roaming Client
- Verificando o Roaming Computer
- Roaming Computer e/ou Rede Protegida pelo Umbrella
- Demo
- Validando o funcionamento do Roaming Computer
- Conclusão
Introdução
Este artigo tem como objetivo demonstrar o que é o Cisco Umbrella Roaming Client, suas funcionalidades e como utilizá-lo na prática.
O que é o Cisco Umbrella Roaming Client?
O Cisco Umbrella roaming client é um cliente DNS que roda em computadores Windows ou macOS. O roaming client não é um cliente VPN ou um mecanismo antivírus local. Ele permite que a segurança Umbrella e a proteção baseada em políticas, incluindo o proxy inteligente, sejam aplicadas independentemente da rede à qual o dispositivo está conectado. Sendo assim, mesmo que o dispositivo esteja conectado em alguma rede que não esteja com a proteção Umbrella ativa, como em sua casa, em uma rede de hotel ou em uma cafeteria, o roaming client possibilita que este dispositivo esteja protejido da mesma maneira como se estivesse conectado na rede corporativa.
Com o roaming client é possível que o administrador da rede crie políticas customizadas para o dispositivo em questão.
Como é o funcionamento do Umbrella Roaming Client?
No sistema operacional Windows, o cliente se conecta ao endereço IP 127.0.0.1:53 (endereço IP local para IPv4) e [::1]:53 (endereço IP local para IPv6), e automaticamente o dispositivo se define como o servidor de DNS para todas as coneções de rede do computador, e então, todas as solicitações DNS são direcionadas para o data center da Cisco Umbrella mais próximo, e isso acontece para domínios públicos. No caso de algum donímio interno/privado, o tráfego é gerenciado localmente, porém é necessário a configuração de domínio bypass. Para dispositivos macOS, o Umbrella roaming client se conecta apenas ao 127.0.0.1:53 (endereço IP local para IPv4).
Todas as consultas DNS enviadas para o Umbrella são criptografas, autenticadas, e sujeitas ä segurança e filtragem de conteúdo conforme as políticas configuradas pelo administrador da organização. Como demonstrado no artigo Cisco Umbrella - Políticas para tráfego DNS, caso o dispositivo tente acessar um domínio considerado inseguro pelo Umbrella ou pelo administrador da rede, o navegador do computador será direcionado para uma página de bloqueio.
Abaixo uma imagem demonstrando o funcionamento do Umbrella Roaming Client.
Configurando o Roaming Client para Windows
Antes de iniciar a instalação do Roaming client, é necessário verificar alguns pré-requisitos, como:
Sistema operacional compatível:
- Windows 10 with .NET 4.6.2 (x86 or x64)
- Windows 11 with .NET 4.8 (x86 or x64)
Protocolo Transported Layer Security (TLS) compatível:
- TLS 1.2 - Para verificar que o TLS 1.2 está disponível no dispositivo, basta acessar a URL https://www.ssllabs.com/ssltest/viewMyClient.html, e não sessão protocolos confirm que que está marcado como Yes para TLS 1.2.
Regras de Firewall e Acesso a Rede
Assegure que não exista bloqueios através de firewall ou proxy impendindo a comunicação do dispositivo. Tabela abaixo.
| Porta | Protocolo | Destino | Funcionalidade |
| 53 | UDP/TCP | 208.67.222.222 / 208.67.220.220 2620:119:53::53 / 2620:119:35::35 | Tráfego DNS UDP/TCP IPv4 e IPv6 destinado para os servidores DNS do Umbrella. |
| 443 | UDP/TCP | 208.67.222.222 / 208.67.220.220 2620:119:53::53 / 2620:119:35::35 | Opcional - Tráfego HTTPS UDP/TCP IPv4 e IPv6 para criptografia com o Umbrella. |
| 80 | TCP | crl3.digicert.com crl4.digicert.com ocsp.digicert.com | Tráfego de comunicaçào do Roaming Client com as APIs do Umbrella, para:
|
| 443 | TCP | 146.112.255.101, 67.215.71.201, 67.215.92.210 146.112.255.152/29 (8 IPs) sync.hydra.opendns.com IPv6: 2620:0:cc1:115::210 IPv6: 2a04:e4c7:ffff::20/125 (8 IPs) | Tráfego de comunicaçào do Roaming Client com as APIs do Umbrella, para:
|
Na tabela cima, o tráfego destinado para a Umbrella API, os endereços IPs resolvem para:
- disthost.umbrella.com
- api.opendns.com
- disthost.opendns.com
Os domínios Digicert resolvem para diferentes endereços IPs baseado na CDN.
- 192.229.211.108
- 192.229.221.95
- 152.195.38.76
- 192.16.49.85
sync.hydra.opendns.com resolve para múltiplos endereços IPs, todos no range 146.112.63.0/24.
Resolução de DNS externo
O Umbrella Roaming cliente funciona apenas em redes onde existe resolução DNS externa. Valide a comunicação do dispositivo com os domínios de DNS abaixo.
- disthost.umbrella.com
- api.opendns.com
- disthost.opendns.com
- crl3.digicert.com
- crl4.digicert.com
- ocsp.digicert.com
Além disso, o domínio a seguir deve receber uma resposta a uma consulta de registro TXT.
- debug.opendns.com
Domínios Interno
Após configurar o Umbrella Roaming client, todo o tráfego DNS é diretamente resolvido pela nuvem da Umbrella. Sendo assim, é de grande importância configurar os domínios interno, para garantir que as requisições internas sejam resolvidas pelo servidor DNS local.
Para isso, vá em Deployments > Configuration > Domain Management e clique no botão Add ao canto superior direito da página. Adicione todos os domínios que devem ser resolvidos pelo servidor DNS interno.
O roaming client sincroniza com a nuvem do Umbrella periodicamente via API e recebe todos os domínios que deve fazer o bypass.
Download e Instalação do Roaming Client
Aqui é demonstrado o download e instalação manual para um dispositivo, porém caso seja necessário a instalação em larga escala, o mesmo pode ser aplicado através de GPO do Active Directory. Vale lembrar que o download da aplicação é permitido somente aos administradores com privilégio write/read (escrita e leitura) no dashboard do Cisco Umbrella.
- Passo 1 - Vá em Deployments > Core Identities > Roaming Computers e clique em Roaming Client.
- Passo 2 - Na opção Download, clique em Windows. Este é o método mais prático de instalação do Roaming Client
Após o download do arquivo, extrair o arquivo .zip e executar o arquivo Setup.
- Passo 03 - A primeira tela após executar o arquivo setup, é demonstrada abaixo.
Clique no botão Next, Next, Install, e depois em Finish.
Observe que na barra de tarefas na bandeja de ícones ocultos aparecerá o aplicativo, e ao clicar sobre, mostrará as informações do dispositivo.
Verificando o Roaming Computer
Após concluir a instalação, volte ao menu onde realizou o download que o novo dispositivo já estará disponível.
Este foi renomeado para MyNetwork-Computer, e é possivel observar informações como:
- Status
- DNS Layer Encryption
- A Last Active Policy - a última política que foi acionada para o tráfego do dispositivo.
É possível também ter um resumo da quantidade de Roaming Clients ativos na organização atráves do menu Overview.
Roaming Computer e/ou Rede Protegida pelo Umbrella
Existem alguns questionamentos sobre qual abordagem utilizar quando está utilizando o roaming computer e ao mesmo tempo o dispositivo está conectado em uma rede já protegida pelo Umbrella. Para esse questionamento, a resposta é que existem diferentes cenários.
1 - Quando o dispositivo está conectado na rede protegida, o Umbrella roaming client é automaticamente desativado e recebe as políticas dessa rede, e somente recebe as políticas para o dispositivo quando estiver em uma rede externa.
2 - O Umbrella roaming client pode continuar ativo mesmo que esteja em um rede protegida, e continuará recebendo as mesmas políticas na rede protegida ou na rede externa. Este modelo pode ser aplicado caso:
- O administrador sempre ter o nome do dispositivo identificado nos relatórios.
- O tráfego DNS é criptografado.
Para esse laboratório seguiremos com o cenário 1, para demonstrar o dispositivo conectado na rede protegida e em uma rede rede desprotegida.
Demo
Para isso é necessário criar duas políticas, uma para a Identidade Network e a outra para a Identidade Roaming Computer. No artigo Cisco Umbrella - Políticas para tráfego DNS é mencionado como criar uma política e associar à uma identidade. Na imagem abaixo, observe que já existem ambas políticas, previamente adicionado ao Umbrella, e a política de Network deve preceder a política de Roaming Computer.
Políticas
Política Identidade Network
Política Identidade Computador
Após a configuração das políticas e organizá-las da forma adequada, vá no menu Deployments > Core Identities > Roaming Computers, e clique em Settings no canto direito superior da página.
Selecione Cisco Secure Roaming Client, e então selecione a opção Disabled DNS Redirection on Umbrella Protected Networks, para ficar marcado como Enabled.
Quando selecionado essa opção, significa que o roaming client desativará o agente de proteção do dispositivo quando se conectar em uma rede protegida pelo Umbrella, e o tráfego será encaminhado diretamente pela política de Network ao invés da política de Roaming Computer.
Validando o funcionamento do Roaming Computer
Para validar o funcionamento do Roaming Computer, na política MyNetwork_Policy foi criado o bloqueio para cisco.com, enquanto na MyComputer_Policy está permitido o tráfego.
Observe que ao tentar acessar o web site da rede protegida, a página de bloqueio do Umbrella é imediatamente exibida.
Navegando ao menu Reporting > Core Reports > Activity Search e filtrando pela URL, é possível observar a ação de bloqueio, como também o External IP que originou o tráfego, e note que tanto a Identity quanto a Policy or Ruleset Identity, mostra que o tráfego foi originado de MyNetwork.
Agora o teste a ser realizado será de conectar o dispositivo a um hotspot, processo conhecido como Roaming/off-network, e realizar o mesmo processo. Após conectar no hotspot, observe que a página carregará normalmente pois o tráfego foi permitido no Umbrella.
Note também que a Identity e a Policy or Ruleset Identity estão associadas ao MyNetwork-Computer, e o endereço IP que originou o tráfego é diferente. Isso significa que o tráfego recebeu a política apropriada e o Roaming Client funcionando perfeitamente, com o computador protegido pelo Umbrella mesmo conectado em uma rede não segura.
Uma outra maneira de saber se o dispositivo está protegido pela rede ou pelo roaming client, é olhar o ícono do Umbrella na bandeja próximo ao relógio do Windows.
O IPv4 de LAN mudou, como também o status. Quando conectado na Rede Protegida, aparece como Protected by Network, e via Roaming Client como Protected apenas, e a diferença de Unencrypted para Encrypted.
Se desejável ter o Roaming Client no modo Always On (sempre ativo), ou seja, conectado na rede protegida ou em qualquer outra rede sempre receberá a mesma política, altere a ordem das políticas, para que as políticas do Roaming Client preceda as de Network. Abaixo o exemplo.
Conclusão
Dessa forma é possível entender o que é o Cisco Umbrella Roaming, quais as funcionalidades e o seu funcionamento.
Espero que tenham aproveitado a leitura.
Jonas Resende
