tag:blogger.com,1999:blog-7340782444852839278.post2062228287826131433..comments2023-10-09T11:52:56.599+03:00Comments on ИБ2.0: Правдивый обзор Cisco UmbrellaArtem Ageevhttp://www.blogger.com/profile/11188931211885446895noreply@blogger.comBlogger2125tag:blogger.com,1999:blog-7340782444852839278.post-1822512521707958472018-10-09T16:49:10.787+03:002018-10-09T16:49:10.787+03:00Дело в том, что Cisco позиционирует Umbrella как S...Дело в том, что Cisco позиционирует Umbrella как Secure Gateway (так написано на главной странице продукта), чем он никак не является. <br /><br />Это просто фильтрующий DNS сервер, верно. <br /><br />Смысл проксировать весь трафик ещё как есть, к серьезным задержкам это не приводит. Именно так работал предыдущий продукт Cisco - Cloud Web Security (aka ScanSafe) и ничего, сотни корп.клиентов не жаловались. <br /><br />Основная проблема с Umbrella - невозможность проксировать нужный мне домен (я вот очень хочу проксировать весь траффик OneDrive, так как там куча малвари, а нельзя!).<br /><br />Обход Сиско Umbrella как для пользователя так и для малвари - дело тривиальноеArtem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.comtag:blogger.com,1999:blog-7340782444852839278.post-71926726137030326512018-10-09T16:34:30.083+03:002018-10-09T16:34:30.083+03:00Довольно-таки тенденциозный комментарий.
Ключевое ...Довольно-таки тенденциозный комментарий.<br />Ключевое слово данного обзора - «по моим оценкам». Разумеется, ожидать от сервиса Umbrella функциональности FP не стоит, так как он заточен только на DNS уровень. Самое главное его преимущество то, что для можно использовать для базовой защиты мобильных клиентов или контентной фильтрации, как первый эшелон защиты, в остальных пунктах он будет проигрывать перед специализированными решениями защиты. <br />На самом деле Umbrella просматривает весь DNS трафик, предназначенный для внешних ресурсов (внутренний домен он не проверяет) и для каждого url выносится решение - разрешить/блокировать/проксировать. И вот про «проксировать» скорее всего и имеется ввиду. Смысла проксировать весь трафик нет, были бы значительные задержки. А вот проксировать трафик для URL, про который мы ничего не знаем (домен был недавно зарегистрирован) или если знаем, но за ним замечена подозрительная активность (ранее участвовал в общении с заведомо плохими доменами, шаблон активности запросов соответствует вредоносному паттерну), то такой трафик проксируется и проверяется антивирусами и AMP.<br />Ещё как преимущество можно сказать то, что при нажатии на URL для скачивания вредоносного файла, он блокируется Umbrella, даже не начиная скачивания. В отличии от FP который сначала установит сессию и начнёт передачу файла и только после этого блокируется AMP’ом. <br />Ak47https://www.blogger.com/profile/15773658446602710269noreply@blogger.com