Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Правдивый обзор Cisco Umbrella

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()

Cisco купила OpenDNS пару лет назад и выпустила новый продукт - фильтрующий DNS сервер (точнее облако) Cisco Umbrella.

Решил запилить свой обзор, с дырами и скелетами в шкафу, ибо достало уже :)



От обычного фильтрующего DNS сервера Umbrella отличается возможностью проксировать "подозрительные" домены через свои сервера. Это дает возможность заглядывать в HTTPS траффик, проверять скачиваемые файлы антивирусом и даже сканировать их в песочнице ThreatGrid с помощью AMP (Advanced Malware Prevention, общее имя для семейки подобных продуктов от Cisco).

Плохая новость тут в том, что по моим оценкам в "подозрительной" зоне оказывается примерно 0.7% от общего числа доменов в средневзвешенном офисном трафике. Пользователь никоим образом не может влиять на это число.

Т.е. Cisco напоминает тут рекламу Фанты с "натуральным апельсиновым соком". Да, они могут смотреть в HTTPS и искать угрозы в скачиваемых файлах, но только для 0.7% трафика. К тому же малварь, хранимая в облаках Microsoft, Dropbox, Google Drive, на крючек не попадёт никогда, так как эти все облака причислены к "known good".

Большая проблема в том, что Umbrella продается как продукт, сочетающий в себе фильтрующий DNS и web proxy (роль которого он не выполняет в 99% случаев). Внедряющие команды могут отказаться от корпоративных прокси в пользу Umbrella, чем совершат большую ошибку, ибо DNS сервер вещь, вообще-то, необязательная.

URL вида http://123.123.123.123 не сгенерируют DNS запрос => не будут проверены Umbrella (У Cisco есть фича под названием IP layer enforcement, которая создает IPSec туннель до серверов OpenDNS, но не все про нее знают и там полно подводных камней).

Если в локальном HOSTS файле есть нужный домен - Umbrella, опять-таки, окажется не у дел.

Ну и зная IP веб сервера, можно направить запрос ему напрямую, прикрутив нужный HOST хэдэр, вот так:

curl -k -H "HOST: dns.google.com" https://8.8.8.8/resolve?name=c2c.com

# Ещё пару особенностей Umbrella, о которых вам нужно знать. #
Хотя Umbrella - это просто DNS сервер, вам нужен толстый клиент на мобильных станциях, так как Umbrella использует протокол eDNS / DNSCRYPT для идентификации клиентов. Кстати eDNS поля в каждом пакете уверенно идентифицируют вас в общем потоке DNS траффика ;)

Сам протокол DNS не сохраняет адрес источника запроса. Если вы хотите видеть, кто полез на с2 домен, убедитесь, что DNS трафик от всех клиентов идёт напрямую в облако OpenDNS (через толстый клиент), либо что у вас в сети есть Umbrella Virtual Appliance (простой необслуживаемый DNS сервер с поддержкой протокола eDNS/DNSCRYPT). 

Даже если домен помечен как малварь - его MX/NS/SIG DNS записи всегда доступны. Если малварь будет искать именно их - всё пропало.

Кроме того Umbrella - это DNS сервис. Задержка суперкритична, поэтому решения принимаются очень быстро. Если домен подозрительный (например, zsnsflgib4anrkaghas1dli.tk), но его нет в базе Umbrella - трафик будет разрешен (!), домен с какой-то долей вероятности будет добавлен в список "на проверку" и возможно заблокирован, но не ранее чем через 5 минут.

Неизвестные DGA домены Umbrella детектит только как "Newly seen domains", куда попадает масса всего легитимного, поэтому Cisco сама рекомендует не блокировать эту категорию. Никаких алгоритмов оценки энтропии домена в реальном времени нет. Cisco уверяет, что они делают анализ DGA алгоритмов известной малвари на этапе расследования инцидентов. Но это поздно.

Каналы утечки через DNS Umbrella так же определять не умеет, за исключением фиксированного листа коммерческих сервисов, предоставляющих VPN-over-DNS (аля UltraSurf), и, вероятно, какого-то количества известных малварных серверов.

Umbrella не умеет детектить Tor (ибо Tor заворачивает DNS трафик в свой туннель).


Если у вас не стоит чекбокс "SSL inspection" - Umbrella не будет проксировать и HTTP траффик так как решение проксировать/не проксировать принимается на этапе DNS запроса, когда Umbrella ещё не знает, какую версию сайта вы решили открыть. Но с другой стороны SSL inspection можно спокойно включать с очень низким шансом что-то сломать, т.к. проверяется меньше 1% сайтов.

Umbrella не умеет проксировать что-то, отличное от 80 и 443. Трафик на любой другой порт будет просто дропаться.

Если вы ждёте, что Umbrella расскажет вам почему тот или иной файл был заблокирован - не ждите. AMP/Sophos AV не выдает ничего в логах, кроме названия малвари.

10-15 минутная задержка генерации логов. Для SIEM это очень критично, потому что эти логи нельзя коррелировать в реальном режиме времени.

Толстый клиент сообщает имя хоста в облако. Очень удобно! Советую не отключать его даже внутри корпоративной сети.

# Резюме #
Umbrella - хорошее решение для защиты мобильных пользователей, быстрый и продуманный интерфейс с минимум лишних деталей (очень нетипично для Cisco), хорошая поддержка. Минусы - неправильно позиционируется как "secure gateway", являясь, по сути, всего лишь фильтрующим DNS сервером с парочкой рюшечек для красивых слайдов.
Оцените материал:
Total votes: 79
 
Комментарии в Facebook
 

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.