عمليات نشر Cisco Umbrella الآمنة لأجهزة Virtual Appliance وموصل AD

المقدمة

يصف هذا المستند أفضل الممارسات والتوصيات حول عمليات نشر موصلات الجهاز الظاهري (VA) و Active Directory (AD) من Cisco Umbrella لتقليل مخاطر أي هجمات داخلية تنشأ من إستخدام هذه المكونات. 

تقوم إدارة الاتصال اللاسلكي (VA) بتشغيل إصدار متصل من نظام التشغيل Ubuntu Linux 20.04. يتم تزويد العملاء بإمكانية وصول مقيدة لأغراض التكوين واستكشاف الأخطاء وإصلاحها فقط. لا يمكن للعملاء نشر برامج أو برامج نصية إضافية على VA.

الجهاز الظاهري Cisco Umbrella

إدارة ملف .tar:

• يتم تنزيل برنامج Cisco Umbrella Virtual Appliance (VA) من لوحة معلومات Umbrella كملف .tar يحتوي على صورة VA الفعلية وتوقيع لهذه الصورة.
• توصي Cisco بالتحقق من صحة التوقيع للتحقق من سلامة صورة VA. 

تكوين المنافذ:

• بشكل افتراضي، عند النشر، يكون المنفذان 53 و443 فقط مفتوحين لحركة المرور الواردة.
• إذا كنت تقوم بتشغيل VA على Azure أو KVM أو Nutanix أو AWS أو GCP، فيتم أيضا تمكين المنفذ 22 بشكل افتراضي للسماح باتصالات SSH لتكوين VA.
• بالنسبة لحواجز التيار (VAs) التي تعمل على VMware و Hyper-V، يتم فتح المنفذ 22 فقط إذا تم تشغيل الأمر لتمكين SSH على VA.
• تقوم إدارة الاتصال (VA) بإجراء استعلامات صادرة عبر منافذ/بروتوكولات معينة إلى الوجهات المذكورة في وثائق Umbrella.
• توصي Cisco Umbrella بإعداد قواعد على جدار الحماية لحظر أي حركة مرور من نقاط الوصول الخاصة بك إلى جميع الوجهات الأخرى.

ملاحظة: يحدث كل اتصال HTTPS إلى/من VA عبر TLS 1.2 فقط. لا يتم إستخدام البروتوكولات الأقدم.

إدارة كلمات المرور:

• يتطلب تسجيل الدخول الأولي على VA تغيير كلمة المرور.
• توصي Cisco بتدوير كلمة المرور على VA بشكل دوري بعد تغيير كلمة المرور الأولي هذا. 

تخفيف هجمات DNS:

• لتخفيف خطر هجوم رفض الخدمة الداخلي على خدمة DNS التي تعمل على VA، يمكنك تكوين حدود معدل كل IP ل DNS على VA.
• لا يتم تمكين هذا بشكل افتراضي ويجب تكوينه بشكل صريح باستخدام التعليمات الموثقة في وثائق Umbrella. 

مراقبة نقاط الوصول lighweight (VAs) عبر بروتوكول SNMP:

• إذا كنت تقوم بمراقبة VAs الخاصة بك عبر SNMP، فإن Cisco Umbrella توصي باستخدام SNMPv3 مع المصادقة والتشفير.
• التعليمات الخاصة بنفس الإجراء موجودة في وثائق Umbrella.
• بمجرد تمكين مراقبة SNMP، يتم فتح المنفذ 161 على VA لحركة المرور الواردة.
• يمكنك مراقبة سمات مختلفة مثل وحدة المعالجة المركزية (CPU) والتحميل والذاكرة على VA عبر SNMP. 

إستخدام تكامل Cisco AD مع VAs:

• إذا كنت تستخدم نقاط الوصول (VA) مع دمج Cisco Umbrella Active Directory، فمن أفضل الممارسات ضبط (أو تعديل) مدة ذاكرة التخزين المؤقت للمستخدم على VA لمطابقة وقت تأجير DHCP الخاص بك.
• ارجع إلى التعليمات الموجودة في الجهاز الظاهري: ضبط وثائق إعدادات غلاف المستخدم. وهذا يقلل إلى الحد الأدنى من مخاطر نسب المستخدمين غير الصحيحة.

تكوين تسجيل التدقيق:

• يحتفظ VA بسجل تدقيق لجميع تغييرات التكوين التي تم تنفيذها على VA.
• يمكنك تكوين التسجيل عن بعد لسجل التدقيق هذا إلى خادم syslog لكل التعليمات الموجودة في وثائق Umbrella.

تكوين VAs:

• يجب تكوين نقطتين على الأقل لكل موقع Umbrella، ويمكن توزيع عنوان IP الخاص بهاتين النقطتين VAs كخوادم DNS إلى نقاط النهاية.
• للحصول على تكرار إضافي، يمكنك تكوين عنونة AnyCast على VA. وهذا يسمح لتعدد نقاط الوصول (VA) بمشاركة عنوان AnyCast واحد.
• لذلك، يمكنك نشر وحدات VA متعددة بشكل فعال أثناء الاستمرار في توزيع إثنين فقط من عناوين IP الخاصة بخادم DNS على كل نقطة نهاية. إذا فشلت أي VA، فإن AnyCast يضمن توجيه استعلامات DNS إلى VA الأخرى التي تشارك نفس عنوان IP AnyCast.
• اقرأ المزيد حول خطوات تكوين AnyCast على VA.

تكوين موصل Cisco Umbrella Active Directory

إنشاء اسم حساب مخصص:

• أحد أفضل الممارسات لموصل الإعلانات Cisco Umbrella AD Connector هو إستخدام اسم حساب مخصص بدلا من اسم OpenDNS_Connector الافتراضي.
• يمكن إنشاء هذا الحساب قبل نشر الموصل ومنح الأذونات المطلوبة.
• يجب تحديد اسم الحساب كجزء من تثبيت الموصل. 

تكوين LDAPs باستخدام موصل AD:

• يحاول Umbrella AD Connector إسترداد معلومات مجموعة المستخدمين عبر LDAPs (البيانات المرسلة عبر قناة آمنة)، وفي حالة الفشل يقوم بالتحويل إلى LDAP عبر Kerberos (تشفير مستوى الحزمة) أو LDAP عبر NTLM (المصادقة فقط، بدون تشفير) بهذا الترتيب.
• توصي Cisco Umbrella بإعداد LDAPs على وحدات تحكم المجال الخاصة بك حتى يمكن للموصل إسترداد هذه المعلومات عبر قناة مشفرة.

إدارة ملف .ldif:

• يقوم الموصل، بشكل افتراضي، بتخزين تفاصيل المستخدمين والمجموعات التي تم إستردادها من وحدات التحكم بالمجال في ملف .ldif محليا.
• نظرا لأن هذا قد يكون معلومات حساسة تم تخزينها في نص عادي، يمكنك تقييد الوصول إلى الخادم الذي يشغل الموصل.
• بدلا من ذلك، في وقت التثبيت، يمكنك إختيار عدم تخزين ملفات .ldif محليا. 

تكوين المنافذ:

• نظرا لأن الموصل هو خدمة Windows، فإنها لا تقوم بتمكين/تعطيل أي منافذ على الجهاز المضيف. توصي Cisco Umbrella بتشغيل خدمة Cisco Umbrella AD Connector على خادم Windows مخصص.
• كما هو الحال مع VA، يقوم الموصل بإجراء استعلامات صادرة عبر منافذ/بروتوكولات معينة إلى الوجهات المذكورة في وثائق Umbrella. توصي Cisco Umbrella بإعداد قواعد على جدار الحماية لحظر أي حركة مرور من موصلاتك إلى جميع الوجهات الأخرى.

ملاحظة: يتم إجراء جميع إتصالات HTTPS من/إلى الموصل عبر TLS 1.2 فقط. لا يتم إستخدام البروتوكولات الأقدم.

إدارة كلمة مرور الموصل:

• توصي Cisco بتدوير كلمة مرور الموصل بشكل دوري.
• يمكن القيام بذلك من خلال تغيير كلمة مرور حساب الموصل في Active Directory ثم تحديث كلمة المرور باستخدام أداة "PasswordManager" في مجلد الموصل. 

إستلام تعيينات IP للمستخدم:

• بشكل افتراضي، يقوم الموصل بالاتصال ب IP الخاص.
• يرسل AD تعيينات المستخدمين إلى VA عبر النص العادي.
• يمكنك إختيار تكوين VA والوصل للاتصال عبر قناة مشفرة وفقا للتعليمات الموثقة في مقالة قاعدة المعارف هذه.

إدارة الشهادات:

• إدارة الشهادات وإبطالها خارج نطاق VA، وأنت مسؤول عن ضمان وجود أحدث سلسلة شهادات/شهادات على VA والمصل حسب الاقتضاء.
• يؤثر إعداد قناة مشفرة لهذا الاتصال على أداء كل من VA والمصل.