Tout commence par le DNS.
Qu’est-ce que Cisco Umbrella ?
Cisco Umbrella est un service de sécurité précédemment connu sous le nom OpenDNS. Il remplace votre DNS standard par une base de données en constante évolution cataloguant le plus d’URL malveillantes possible.
Cisco Umbrella est la solution Security Web qui remplace l’ancienne solution Cloud Web Security CWS.
Normalement, lorsqu’un utilisateur entre un URL dans son navigateur Web, le navigateur envoie cette information à un serveur DNS interne qui fait matcher l’URL avec une adresse IP.
Avec Cisco Umbrella, l’utilisateur enverra une requête DNS au cloud Umbrella au lieu au serveur DNS local de l’entreprise ou bien au serveur DNS Publique comme 8.8.8.8 si elle ne possède pas de serveur DNS interne.
Le déploiement de la solution Umbrella nécessite tout simplement de rediriger les requêtes DNS au Cloud Umbrella. Si un serveur DNS interne n’existe pas, il suffit de parametrer le serveur DHCP de l’entreprise pour fournir l’IP Umbrella comme serveur DNS 208.67.222.222 ou 208.67.220.220. Dans le cas d’une entreprise possédant déjà un serveur DNS interne et avec le serveur DHCP qui fournit l’IP de se serveur, il suffit de reconfigurer les forwarders dans le DNS interne pour rediriger les requêtes DNS au Cloud Umbrella.
Une fois la requête DNS est parvenue au Cloud Umbrella, l’administrateur peut configurer des policies qu’ont la même logique que le Cloud Web Security CWS afin de contrôler d’abord l’accés ou non a une certaine catégories de sites, Social Networking, Gaming, Gambling etc…
Mais y’a plus encore comme solution de déploiement qu’on décortiquera ci-dessous.
Maintenant Pourquoi le DNS?
1-Port Agnostique UDP/53
2-Largement utilisé
3-Les malwares se basent sur le DNS pour contacter un serveur CnC par exemple.
Le DNS précède l’exécution du fichier et l’établissement de la connexion IP.
Le DNS est donc la première ligne de défense. Si un domaine est classifié malveillant (CnC, Physhing, Malware etc…), la requête DNS est bloqué. L’utilisateur recevra une page signifiant ceci:
Le dilemme d’un attaquant
1-Comment rediriger vers un serveur malveillant?
Exploiter une vulnérabilité via:
-Pop-up
-Physhing email/Spam
-Malvertising
2-Comment contacter un serveur CnC?
La plupart des hôtes infectés utilisent le DNS pour contacter un serveur CnC.
3-Que va-t-il faire avec un hôte infecté?
-Crypter les fichiers (Ransomware)
-Espionnage
-Docs Leaking
etc…
Umbrella n’est pas qu’un service DNS!!
Il fournit:
-Threat Prevention
-Protects On & Off Network
-Bloque par Domaines, IPs & URLs sur tous les ports
-Proxy et inspection des fichiers (Intelligent proxy, SSL Decryption)
En réalité CWS est appelé dans Cisco Umbrella Intelligent Proxy. Plus exactement CWS est integré dans Cisco Umbrella, en d’autres termes, CWS est une partie de Cisco Umbrella.
Finalement Cisco Umbrella est plus qu’un service DNS, non seulement il bloque ou autorise les requêtes DNS selon les policies configurées mais également il joue le rôle de Proxy Web dans le Cloud à l’image de CWS. Il fait aussi le SSL Decryption comme le CWS!!
Les différents types de déploiement:
Déploiement sans serveur DNS interne
Le serveur DNS des PC est Umbrella tout court.
Considérations
La seule visibilité est l’adresse publique des utilisateurs. Conséquence une seule policy pour tout le monde.
Déploiement avec serveur DNS interne
Le serveur DNS interne route les requêtes DNS externes (Les forwarders) vers Umbrella.
Considérations:
La seule visibilité est l’adresse publique des utilisateurs. Conséquence une seule policy pour tout le monde.
Déploiement avec une appliance virtuelle umbrella VA
Virtual Appliance umbrella (VA) est le serveur DNS des users.
Les résolutions DNS internes et externes passent par la VA
La VA ajoute l’IP interne host dans les requêtes DNS.
Considérations
Policy basée sur l’adresse IP interne. Plus de granularité.
Déploiement avec une VA umbrella et Active Directory
Synchronisation des groupes AD/Users AD avec Umbrella
Considérations
Des policy basées sur les groupes AD/Users AD.
Déploiement avec un client Umbrella
Protection OFF-Network (Télétravail) et On-Network
Un client umbrella installé dans le PC, les requêtes DNS sont redirigées vers umbrella. L’utilisateur est protégé même chez lui en télétravail. Le client bypasse le serveur DNS de la carte réseau.
Considérations
Des policy basées sur le nom des machines.
Deux clients peuvent être déployés:
1-Umbrella Roaming Client
2-Roaming Security Anyconnect Module