Страницы

Правдивый обзор Cisco Umbrella


Cisco купила OpenDNS пару лет назад и выпустила новый продукт - фильтрующий DNS сервер (точнее облако) Cisco Umbrella.

Решил запилить свой обзор, с дырами и скелетами в шкафу, ибо достало уже :)



От обычного фильтрующего DNS сервера Umbrella отличается возможностью проксировать "подозрительные" домены через свои сервера. Это дает возможность заглядывать в HTTPS траффик, проверять скачиваемые файлы антивирусом и даже сканировать их в песочнице ThreatGrid с помощью AMP (Advanced Malware Prevention, общее имя для семейки подобных продуктов от Cisco).

Плохая новость тут в том, что по моим оценкам в "подозрительной" зоне оказывается примерно 0.7% от общего числа доменов в средневзвешенном офисном трафике. Пользователь никоим образом не может влиять на это число.

Т.е. Cisco напоминает тут рекламу Фанты с "натуральным апельсиновым соком". Да, они могут смотреть в HTTPS и искать угрозы в скачиваемых файлах, но только для 0.7% трафика. К тому же малварь, хранимая в облаках Microsoft, Dropbox, Google Drive, на крючек не попадёт никогда, так как эти все облака причислены к "known good".

Большая проблема в том, что Umbrella продается как продукт, сочетающий в себе фильтрующий DNS и web proxy (роль которого он не выполняет в 99% случаев). Внедряющие команды могут отказаться от корпоративных прокси в пользу Umbrella, чем совершат большую ошибку, ибо DNS сервер вещь, вообще-то, необязательная.

URL вида http://123.123.123.123 не сгенерируют DNS запрос => не будут проверены Umbrella (У Cisco есть фича под названием IP layer enforcement, которая создает IPSec туннель до серверов OpenDNS, но не все про нее знают и там полно подводных камней).

Если в локальном HOSTS файле есть нужный домен - Umbrella, опять-таки, окажется не у дел.

Ну и зная IP веб сервера, можно направить запрос ему напрямую, прикрутив нужный HOST хэдэр, вот так:

curl -k -H "HOST: dns.google.com" https://8.8.8.8/resolve?name=c2c.com

# Ещё пару особенностей Umbrella, о которых вам нужно знать. #
Хотя Umbrella - это просто DNS сервер, вам нужен толстый клиент на мобильных станциях, так как Umbrella использует протокол eDNS / DNSCRYPT для идентификации клиентов. Кстати eDNS поля в каждом пакете уверенно идентифицируют вас в общем потоке DNS траффика ;)

Сам протокол DNS не сохраняет адрес источника запроса. Если вы хотите видеть, кто полез на с2 домен, убедитесь, что DNS трафик от всех клиентов идёт напрямую в облако OpenDNS (через толстый клиент), либо что у вас в сети есть Umbrella Virtual Appliance (простой необслуживаемый DNS сервер с поддержкой протокола eDNS/DNSCRYPT). 

Даже если домен помечен как малварь - его MX/NS/SIG DNS записи всегда доступны. Если малварь будет искать именно их - всё пропало.

Кроме того Umbrella - это DNS сервис. Задержка суперкритична, поэтому решения принимаются очень быстро. Если домен подозрительный (например, zsnsflgib4anrkaghas1dli.tk), но его нет в базе Umbrella - трафик будет разрешен (!), домен с какой-то долей вероятности будет добавлен в список "на проверку" и возможно заблокирован, но не ранее чем через 5 минут.

Неизвестные DGA домены Umbrella детектит только как "Newly seen domains", куда попадает масса всего легитимного, поэтому Cisco сама рекомендует не блокировать эту категорию. Никаких алгоритмов оценки энтропии домена в реальном времени нет. Cisco уверяет, что они делают анализ DGA алгоритмов известной малвари на этапе расследования инцидентов. Но это поздно.

Каналы утечки через DNS Umbrella так же определять не умеет, за исключением фиксированного листа коммерческих сервисов, предоставляющих VPN-over-DNS (аля UltraSurf), и, вероятно, какого-то количества известных малварных серверов.

Umbrella не умеет детектить Tor (ибо Tor заворачивает DNS трафик в свой туннель).


Если у вас не стоит чекбокс "SSL inspection" - Umbrella не будет проксировать и HTTP траффик так как решение проксировать/не проксировать принимается на этапе DNS запроса, когда Umbrella ещё не знает, какую версию сайта вы решили открыть. Но с другой стороны SSL inspection можно спокойно включать с очень низким шансом что-то сломать, т.к. проверяется меньше 1% сайтов.

Umbrella не умеет проксировать что-то, отличное от 80 и 443. Трафик на любой другой порт будет просто дропаться.

Если вы ждёте, что Umbrella расскажет вам почему тот или иной файл был заблокирован - не ждите. AMP/Sophos AV не выдает ничего в логах, кроме названия малвари.

10-15 минутная задержка генерации логов. Для SIEM это очень критично, потому что эти логи нельзя коррелировать в реальном режиме времени.

Толстый клиент сообщает имя хоста в облако. Очень удобно! Советую не отключать его даже внутри корпоративной сети.

# Резюме #
Umbrella - хорошее решение для защиты мобильных пользователей, быстрый и продуманный интерфейс с минимум лишних деталей (очень нетипично для Cisco), хорошая поддержка. Минусы - неправильно позиционируется как "secure gateway", являясь, по сути, всего лишь фильтрующим DNS сервером с парочкой рюшечек для красивых слайдов.

2 комментария:

  1. Довольно-таки тенденциозный комментарий.
    Ключевое слово данного обзора - «по моим оценкам». Разумеется, ожидать от сервиса Umbrella функциональности FP не стоит, так как он заточен только на DNS уровень. Самое главное его преимущество то, что для можно использовать для базовой защиты мобильных клиентов или контентной фильтрации, как первый эшелон защиты, в остальных пунктах он будет проигрывать перед специализированными решениями защиты.
    На самом деле Umbrella просматривает весь DNS трафик, предназначенный для внешних ресурсов (внутренний домен он не проверяет) и для каждого url выносится решение - разрешить/блокировать/проксировать. И вот про «проксировать» скорее всего и имеется ввиду. Смысла проксировать весь трафик нет, были бы значительные задержки. А вот проксировать трафик для URL, про который мы ничего не знаем (домен был недавно зарегистрирован) или если знаем, но за ним замечена подозрительная активность (ранее участвовал в общении с заведомо плохими доменами, шаблон активности запросов соответствует вредоносному паттерну), то такой трафик проксируется и проверяется антивирусами и AMP.
    Ещё как преимущество можно сказать то, что при нажатии на URL для скачивания вредоносного файла, он блокируется Umbrella, даже не начиная скачивания. В отличии от FP который сначала установит сессию и начнёт передачу файла и только после этого блокируется AMP’ом.

    ОтветитьУдалить
    Ответы
    1. Дело в том, что Cisco позиционирует Umbrella как Secure Gateway (так написано на главной странице продукта), чем он никак не является.

      Это просто фильтрующий DNS сервер, верно.

      Смысл проксировать весь трафик ещё как есть, к серьезным задержкам это не приводит. Именно так работал предыдущий продукт Cisco - Cloud Web Security (aka ScanSafe) и ничего, сотни корп.клиентов не жаловались.

      Основная проблема с Umbrella - невозможность проксировать нужный мне домен (я вот очень хочу проксировать весь траффик OneDrive, так как там куча малвари, а нельзя!).

      Обход Сиско Umbrella как для пользователя так и для малвари - дело тривиальное

      Удалить