Cisco Umbrella для громад

Інструкція

громадам по логіну

до особистого кабінету сервісу безпеки

Cisco Umbrella та підключення пристроїв


Вихідні дані

На поточний момент на контактну адресу електронної поштової скриньки громади повинен був надійти лист із запрошенням доєднатись до сервісу Cisco Umbrella. У всіх подальших формах необхідно вписувати саме ту контактну адресу електронної пошти, на яку прийшов лист (рис. 2 та рис. 3).

Якщо лист не отримано – радимо перевірити папку зі спамом. Для полегшення пошуку можна пошукати лист у поштовій скриньці. Відправник листа [email protected]

Також ви можете заповнити дану форму і ми згенеруємо вам лист запрошення повторно.

Вхід в особистий кабінет

Зовнішній вигляд листа показаний на рис 1. Підкреслено посилання, за яким треба перейти для подальших дій.

Рис 1. Лист із запрошенням доєднатись до сервісу.

Після переходу за посиланням у листі вам буде запропоновано заповнити дані профілю. Наголошуємо на тому, що в поле “Email” слід вписувати саме ту пошту, на яку прийшло посилання.

Зовнішній вигляд листа вказано на рис 2.

Рис 2. Форма заповнення профілю.

Після натиснення на кнопку Reset password ви будете перенаправлені на сторінку логіну, як показано на рис 3.

Рис 3. Сторінка логіну.

При цьому на електронну поштову скриньку прийде лист про успішне встановлення паролю. Його вигляд вказано на рис. 4.

Рис 4. Лист про успішне встановлення паролю.

Після успішного логіну із вказаними даними ви потрапите в особистий кабінет хмарної панелі керування (далі – панель керування).

Варіанти встановлення Cisco Umbrella

Подальші дії можуть включати наступні пункти (за вашим вибором, в залежності від кількості та типу ваших пристроїв, а також архітектури мережі та відповідної технічної можливості проводити налаштування):

  • додавання мережі (визначення зовнішньої IP адреси, її додавання в панелі керування та налаштування роутеру)
  • встановлення клієнту на робочі місця. При цьому в особистий кабінет вони додаються автоматично.
  • централізоване налаштування DNS у вашій організації

Нижче наведено інструкції із виконання відповідних налаштувань.

Додавання мережі

Для цього слід виконати три прості дії:

  1. уточнити чи у вас використовується внутрішній (локальний) домен.
  2. змінити налаштування служби DNS на вашому роутері (а вже роутер за протоколом DHCP роздасть ці налаштування клієнтам, в тому числі Wi-Fi)
  3. додати зовнішню IP адресу вашої громади в панелі керування

Уточнити чи використовується внутрішній домен.

Якщо не використовується (до прикладу hromada.int), то можемо рухатись далі.

Якщо використовуються домени типу .local, то їх додавати не потрібно.

Якщо внутрішні домени використовуються, то слід перейти до пунктів Встановлення клієнту Cisco Secure Client на робочі місця або Централізоване налаштування DNS у вашій організації, а локально адресу ДНС серверу не міняти.

Змінити налаштування служби DNS на мережевому обладнанні.

Для цього слід змінити налаштування DHCP на вашому мережевому обладнанні та вписати наступні DNS сервери замість існуючих:

  • 208.67.222.222
  • 208.67.220.220

Інструкції із відповідними налаштуваннями під різні операційні системи доступні за наступним посиланням:

https://support.opendns.com/hc/en-us/sections/206253647-Computer-Configuration

Інструкції із відповідними налаштуваннями під різні роутери доступні за наступним посиланням:

https://support.opendns.com/hc/en-us/sections/206253667-Individual-Router-Configurations

Додати зовнішню IP адресу вашого поточного робочого місця (чи усієї громади) в особистому кабінеті.

Якщо уся громада отримує доступ до мережі Інтернет використовуючи одну спільну зовнішню IP адресу, то дане налаштування потрібно зробити лише 1 раз.

Для цього необхідно спершу визначити поточну зовнішню IP адресу робочого місця (вона може бути одна для всієї громади) та вписати її в особистий кабінет.

Для визначення IP адреси поточного робочого місця можна скористатись сайтом https://www.whatismyip.com/

Для додавання визначеної адреси в особистий кабінет потрібно:

  • вибрати  меню Core Identities > Networks
  • натиснути на кнопку  «+» в новому вікні
  • вказати Network Name для полегшення подальшої ідентифікації трафіку
  • якщо у вас динамічна адреса, то необхідно встановити відповідну галочку “This network has a dynamic IP address” (що робити далі окремо описано нижче, а також доступно за посиланням https://safe-hromada.com.ua/docs/add-dynamic-ip/)
  • додати визначену зовнішню IP-адресу, якщо її ще немає в списку.

Рис 5. Додавання мережевої адреси в особистому кабінеті.

Якщо ви спробуєте додати мережу, відмінну від тієї, що використовується для доступу до інформаційної панелі Umbrella, Umbrella може запропонувати вам звернутися до служби підтримки для ручної перевірки. Якщо це станеться, вам також знадобиться ручна перевірка від служби підтримки для діапазонів IPv4, більших за мережу /29.

Після введення інформації  про мережеві адреси – служба підтримки відправляє лист на електронну адресу, який вводиться в пункт Email компанії при реєстрації на порталі. Після підтвердження зі сторони служби підтримки вказана зовнішня IP адреса активується, і ви починаєте отримувати статистику і активуються механізми безпеки.

У випадку використання динамічної IP адреси ви можете скористатись наступним посиланням (https://support.opendns.com/hc/en-us/articles/227987867-What-is-the-OpenDNS-Dynamic-IP-updater-client) для встановлення спеціального додатку OpenDNS Updater, який автоматизує оновлення цієї адреси для Cisco Umbrella. Додаток необхідно встановити хоча б на один компʼютер в мережі.

Детально процедура налаштувань, якщо у вас динамічна IP адреса, вказано на спеціальній сторінці а посиланням https://safe-hromada.com.ua/docs/add-dynamic-ip/

Особливості роботи спеціального додатку OpenDNS Updater:

  • він повинен бути постійно запущеним на стаціонарному комп’ютері
  • його не бажано ставити на комп’ютери, які можуть бути переміщені в інший сегмент мережі чи в який співробітники можуть забрати додому
  • при логіні слід вводити свій логін та пароль в панель керування Cisco Umbrella

Для перевірки правильності налаштувань слід скористатись настановами пункту Перевірка захисту пристрою

Встановлення клієнту Cisco Secure Client на робочі місця

В цілому є 2 варіанти встановлення клієнтів на робочі місця:

  1. Встановлення Cisco Secure Client із модулем Cisco Umbrella – рекомендований варіант від компанії Cisco
  2. Встановлення Umbrella Roaming Client (якщо у вас Windows 7/8 або ж ви хочете використовувати більш легкий клієнт)

Варіант 1. Встановлення Cisco Secure Client із модулем Cisco Umbrella

Варіант 2. Встановлення Umbrella Roaming Client

Централізоване налаштування DNS у вашій організації

Розгортання Umbrella як служби безпеки в мережі організації дозволяє захиститися від можливих запитів шкідливих програм на C&C та інші підозрілі сервери шляхом аналізу DNS-запитів, що надходять з мережі організації в Інтернет. Безпека – не єдина функція Umbrella, система може використовувати користувацькі політики доступу, які аналізують категорію кожного DNS-запиту і блокують/дозволяють його відповідно до політик доступу, вибірково перенаправляючи найбільш підозрілі DNS-запити на хмарний веб-проксі. Додатково Umbrella можна використовувати як повноцінний проксі-сервер, який аналізує всі HTTP-запити, так і як хмарний Firewall з можливістю фільтрації трафіку на рівнях L3/L4. Цей документ зосереджено на використанні Umbrella як DNS-сервера безпеки та політиках, заснованих на DNS-запитах.

Щоб використовувати Cisco Umbrella / OpenDNS в якості DNS-сервера організації, потрібно зробити кілька простих кроків.

Крок перший. Додавання Forwarders

Крок перший. Додайте адреси серверів Cisco Umbrella як Forwarders. Якщо використовуються сервери Google, то потрібно замінити адреси 8.8.8.8 і 8.8.4.4 на адреси 208.67.222.222 і 208.67.220.220. Якщо використовуються адреси серверів провайдера, то необхідно замінити адресу DNS-сервера провайдера адресами 208.67.222.222 і 208.67.220.220. Якщо ви використовуєте кореневі DNS-сервери, то вам потрібно зробити наступне:

  • Для Bind9 або bind8 у файлі named.conf має бути встановлена така інформація:

Параметри

{

forwarders { 208.67.222.222; 208.67.220.220};

}

  • Для Bind v4 використовується наступна директива:

forwarders 208.67.222.222 208.67.220.220

  • Для Windows Servers дотримуйтесь наступних інструкцій
    • Відкрийте диспетчер DNS
    • У дереві консолі натисніть на відповідний DNS-сервер
    • У меню Дія виберіть пункт Settings
    • на  вкладці Forwarders ()  у розділі  DNS Domain (DNS Domain) виберіть ім’я домену
    • У розділі Selected domain’s forwarder IP address list введіть IP-адреси 208.67.222.222 і 208.67. 220.220

Після виконання цих операцій необхідно перезапустити DNS-сервери. Перезапуск зазвичай дуже швидкий і не перериває процес проходження DNS трафіку у мережі

Крок другий. Додавання мережевих адрес

Після успішної реєстрації на порталі OpenDNS / Umbrella необхідно додати відповідні зовнішні мережеві адреси (публічні IP-адреси компанії), щоб на порталі відображалися DNS-запити, що надходять з DNS-серверів компанії і можна було застосувати відповідні політики. Для цього потрібно

  • вибрати  меню Deployments>Core Identities > Networks,
  • натиснути на кнопку  «+» в новому вікні
  • додати блок публічних IP-адрес.

Рис . Додавання мережевої адреси в особистому кабінеті.

Після введення інформації служба підтримки відправляє лист на електронну адресу, який вводиться в пункт Email компанії при реєстрації на порталі. Після підтвердження система активується, і ви починаєте отримувати статистику і активуються механізми безпеки.

Для перевірки правильності налаштувань слід скористатись настановами пункту Перевірка захисту пристрою

Перевірка захисту пристрою

Для перевірки того, що поточний пристрій використовує DNS налаштування глобальної мережі Cisco Umbrella потрібно у браузері відкрити наступну адресу:

https://welcome.umbrella.com/

У разі використання Cisco Umbrella повинна відобразитись наступна сторінка

Рис . Ваш ДНС трафік під захистом.

Сповіщення про знайдені фішингові сайти

В рамках взаємодії громад між собою та для посилення рівня кіберзахищеності громадян України, просимо повідомляти команду реагування на кіберінциденти Національного банку України CSIRT-NBU про фішингові та інші посилання на шахрайські ресурси, які надходять до громад у вигляді поштових повідомлень, або в будь-який інший спосіб.

Фішингові (шахрайські) ресурси використовують айдентику легітимного ресурсу і таким чином маскуються під нього та виманюють у громадян персональну інформацію та банківські реквізити, найчастіше це сторінки авторизації онлайн-банків, фінансових установ, державні та міжнародні організації, що надають фінансову допомогу.

Для повідомлення про шахрайські ресурси необхідно у листі вказати повне посилання на цей ресурс і надіслати на email: [email protected]

Додавання внутрішніх доменів

У разі використання внутрішніх локальних доменів в громаді необхідно додати їх в особистому кабінеті у список доменів, які використовуються вашою організацією для доступу до локальних ресурсів, перебуваючи в мережі організації (у фізичному розташуванні або підключені через VPN). Домени типу *.local додані в особистий кабінет автоматично, тобто якщо ви використовуєте домен hromada.local, то його додавати не треба. Нові додані домени синхронізуються з роумінговими клієнтами Umbrella приблизно протягом однієї години.

Для додавання домену необхідно

  • вибрати  меню Deployments>Configuration > Domain Management,
  • натиснути на кнопку  «+» в новому вікні
  • додати адресу домену.

Заключні кроки

Нарешті, потрібно налаштувати політики доступу (https://docs.umbrella.com/deployment-umbrella/docs/customize-your-policies-1) і за необхідності їх редагувати.

Додаткові налаштування та рекомендації

  • Рекомендації, пов’язані з правильним налаштуванням Firewall для роботи з Umbrella, описані в наступному документі: https://docs.umbrella.com/deployment-umbrella/docs/2-prerequisites-1. У зв’язку з тим, що вони можуть змінюватися, рекомендується скористатися посиланням
  • Щоб уникнути ситуації, коли користувачі намагаються використовувати власні DNS-сервери та обійти механізми безпеки Umbrella, рекомендується зробити наступні налаштування Firewall:
    • Дозволити доступ до серверів 208.67.222.222 і 208.67.220.220 через порт tcp/udp/53 і заблокувати доступ до всіх інших серверів на порту 53
    • ДОЗВОЛИТИ ВХІД/ВИХІД TCP/UDP до 208.67.222.222 або 208.67.220.220 на порту 53
    • БЛОКУВАТИ ВХІД/ВИХІД TCP/UDP всі IP-адреси на P
  • Блокувати DNS через HTTP/S (DoH).
    • У Umbella заблокуйте категорію Проксі-сервери/Анонімайзери
    • Блокування адрес 1.1.1.1 і 1.0.0.1 на Firewall
  • Блокування DNS через TLS
    • Блокування адрес 1.1.1.1 і 1.0.0.1, порт 853 на Firewall
  • Регулярно оновлювану інформацію щодо запобігання обходу механізмів безпеки Umbrella можна знайти за посиланням: https://support.umbrella.com/hc/en-us/articles/230904088-Preventing-Circumvention-of-Cisco-Umbrella-with-Firewall-Rules

Umbrella і поштовий сервер

На даний момент ми не рекомендуємо використовувати Umbrella фільтрацію для вирішення запитів, що надходять від MTA (поштових серверів). Якщо ви використовуєте цю конфігурацію, ви можете отримати неочікувані результати:

  • Фільтрування за категоріями може блокувати справжню пошту. Наприклад, якщо ввімкнути фільтрацію за категорією “Social”, усі сповіщення буде заблоковано з facebook.com
  • Фільтрація безпеки. Домен може бути заблоковано як загрозу, але все одно може виникнути потреба в надсиланні пошти для цього домену.

Детальний опис рекомендацій для поштового сервера можна знайти за посиланням https://support.umbrella.com/hc/en-us/articles/230563707-Umbrella-and-your-email-server