Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Créer un nouveau blog
988
Visites
0
Compliment
0
Commentaires

Les types de deploiments de la solution Cisco Umbrella

Meddane
VIP
VIP
‎01-01-2022 12:06 PM

Tout commence par le DNS.

1.png

Qu’est-ce que Cisco Umbrella ?

Cisco Umbrella est un service de sécurité précédemment connu sous le nom OpenDNS. Il remplace votre DNS standard par une base de données en constante évolution cataloguant le plus d’URL malveillantes possible.

Cisco Umbrella est la solution Security Web qui remplace l’ancienne solution Cloud Web Security CWS.Normalement, lorsqu’un utilisateur entre un URL dans son navigateur Web, le navigateur envoie cette information à un serveur DNS interne qui fait matcher l’URL avec une adresse IP.

Avec Cisco Umbrella, l’utilisateur enverra une requête DNS au cloud Umbrella au lieu au serveur DNS local de l’entreprise ou bien au serveur DNS Publique comme 8.8.8.8 si elle ne possède pas de serveur DNS interne.

Le déploiement de la solution Umbrella nécessite tout simplement de rediriger les requêtes DNS au Cloud Umbrella. Si un serveur DNS interne n’existe pas, il suffit de parametrer le serveur DHCP de l’entreprise pour fournir l’IP Umbrella comme serveur DNS 208.67.222.222 ou 208.67.220.220. Dans le cas d’une entreprise possédant déjà un serveur DNS interne et avec le serveur DHCP qui fournit l’IP de se serveur, il suffit de reconfigurer les forwarders dans le DNS interne pour rediriger les requêtes DNS au Cloud Umbrella.

Une fois la requête DNS est parvenue au Cloud Umbrella, l’administrateur peut configurer des policies qu’ont la même logique que le Cloud Web Security CWS afin de contrôler d’abord l’accés ou non a une certaine catégories de sites, Social Networking, Gaming, Gambling etc…

Mais y’a plus encore comme solution de déploiement qu’on décortiquera ci-dessous.

Maintenant Pourquoi le DNS?

1-Port Agnostique UDP/53
2-Largement utilisé
3-Les malwares se basent sur le DNS pour contacter un serveur CnC par exemple.

Le DNS précède l’exécution du fichier et l’établissement de la connexion IP.

Le DNS est donc la première ligne de défense. Si un domaine est classifié malveillant (CnC, Physhing, Malware etc…), la requête DNS est bloqué. L’utilisateur recevra une page signifiant ceci:

2.png

 

Le dilemme d’un attaquant

1-Comment rediriger vers un serveur malveillant?
Exploiter une vulnérabilité via:

-Pop-up
-Physhing email/Spam
-Malvertising

2-Comment contacter un serveur CnC?

La plupart des hôtes infectés utilisent le DNS pour contacter un serveur CnC.

3-Que va-t-il faire avec un hôte infecté?

-Crypter les fichiers (Ransomware)
-Espionnage
-Docs Leaking
etc…

3.png

Umbrella n’est pas qu’un service DNS!!

Il fournit:

-Threat Prevention
-Protects On & Off Network
-Bloque par Domaines, IPs & URLs sur tous les ports
-Proxy et inspection des fichiers (Intelligent proxy, SSL Decryption)

En réalité CWS est appelé dans Cisco Umbrella Intelligent Proxy. Plus exactement CWS est integré dans Cisco Umbrella, en d’autres termes, CWS est une partie de Cisco Umbrella.

Finalement Cisco Umbrella est plus qu’un service DNS, non seulement il bloque ou autorise les requêtes DNS selon les policies configurées mais également il joue le rôle de Proxy Web dans le Cloud à l’image de CWS. Il fait aussi le SSL Decryption comme le CWS.

Les différents types de déploiement:

Déploiement sans serveur DNS interne

Le serveur DNS des PC est Umbrella tout court.

4.png

La seule visibilité est l’adresse publique des utilisateurs. Conséquence une seule policy pour tout le monde.

Déploiement avec serveur DNS interne

Le serveur DNS interne route les requêtes DNS externes (Les forwarders) vers Umbrella.

5.png

Considérations:

La seule visibilité est l’adresse publique des utilisateurs. Conséquence une seule policy pour tout le monde.

Déploiement avec une appliance virtuelle umbrella VA

Virtual Appliance umbrella (VA) est le serveur DNS des users.
Les résolutions DNS internes et externes passent par la VA
La VA ajoute l’IP interne host dans les requêtes DNS.

 6.png

Considérations

Policy basée sur l’adresse IP interne. Plus de granularité.

Déploiement avec une VA umbrella et Active Directory

Synchronisation des groupes AD/Users AD avec Umbrella

7.png

Considérations

Des policy basées sur les groupes AD/Users AD.

Déploiement avec un client Umbrella

Protection OFF-Network (Télétravail) et On-Network

8.png

Un client umbrella installé dans le PC, les requêtes DNS sont redirigées vers umbrella. L’utilisateur est protégé même chez lui en télétravail. Le client bypasse le serveur DNS de la carte réseau.

Considérations
Des policy basées sur le nom des machines.

Deux clients peuvent être déployés:
1-Umbrella Roaming Client
2-Roaming Security Anyconnect Module

 

Étiquettes :
0 Compliments
Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :

Articles Populaires
Customers Also Viewed These Support Documents