Einleitung
In diesem Dokument wird beschrieben, wie die Umbrella-Content-Filter mithilfe von IP-Adressen anstelle von Hostnamen konfiguriert werden.
Überblick
Die meisten Websites gehören zu einer Domäne, die zu einer einzigen IP-Adresse aufgelöst wird. Es ist jedoch nicht einfach oder häufig möglich, die Content-Filter von Cisco Umbrella zu umgehen, indem die IP-Adresse einer Website einfach in eine Adressleiste des Browsers eingegeben wird. Darüber hinaus verwenden die meisten Malware Domänennamen für ihre Command-and-Control (C&C) anstelle von IP-Adressen.
Vorgehensweise
Aus Sicherheitsgründen ist das Blockieren nach Hostname anstelle von IP tatsächlich aus folgenden Gründen besser:
- Höhere Sicherheit - unsichere Domänen wechseln von IP zu IP, um zu verhindern, dass sie von verschiedenen Proxy-/Malware-Blockierungslösungen oder vom ISP gestoppt werden. Es ist sehr schwierig (und nicht der richtige Weg), mit diesen Änderungen auf der IP- statt auf der Domänenebene Schritt zu halten
- Weniger Fehlalarme: Eine IP-Adresse wird manchmal von Tausenden von Domänen gemeinsam genutzt, von denen einige schädlich sind. Sie alle zu blockieren ist keine gute Idee, noch blockiert es irgendeine von ihnen.
- Höhere Transparenz - Das Blockieren von IPs verhindert die Protokollierung und Analyse der Domäne, auf die der Benutzer/Computer zugreifen wollte. Dies sind die Informationen, die den Sicherheits-/Compliance-Teams wichtig sind.
Für die Blockierung von Inhalten ist es wahr, dass der Zugriff auf eine Website oder einen Host über eine IP-Adresse keine DNS-Suche erfordert, sodass dies technisch gesehen nicht an die Server von Umbrella zur Auswertung gesendet wird.
Die meisten Websites bieten heute jedoch Lösungen für Lastenausgleich und Hochverfügbarkeit sowie Geolokalisierung (d. h. mehrere IPs und Standorte werden für eine bessere Leistung für den Endbenutzer verwendet). Sie haben mehrere Subdomänen für Funktionen wie Authentifizierung, die Website besteht aus mehreren IPs von verschiedenen Servern und in einigen Fällen, die Eingabe der IP führt Sie einfach zu FQDN für die Website. Fast alle Webserver weisen Webbrowser stillschweigend an, ihre Inhalte von einer oder mehreren verschiedenen Domänen herunterzuladen. Nachdem die erste Verbindung hergestellt wurde, werden im Namen des Servers mehrere zusätzliche DNS-Anfragen über den Browser des Benutzers gesendet, die wie gewohnt durchgesetzt werden.
Daher funktioniert es in den allermeisten Fällen nicht, einfach eine IP-Adresse in einen Browser einzugeben, da die Konfiguration auf der Seite des Web-Servers diese normalerweise in eine Domain umwandelt und wir in diesem Moment eine DNS-Abfrage erhalten, auf die reagiert werden kann. Alternativ können Sie eine teilweise oder defekte Homepage erhalten, nach der keiner der Links, einschließlich der Anmeldung, ohne eine ordnungsgemäße DNS-Auflösung funktioniert.
An diesem Punkt kann Umbrella die Problemlösungsanfrage abfangen und eine Sicherheits- oder Inhaltsbewertung durchführen.
Wenn Sie sich über den Status einer bestimmten Site nicht sicher sind, führen Sie einen nslookup auf der Domain aus, geben Sie die IP-Adresse direkt in die Adressleiste des Browsers ein und sehen Sie, wie sie sich verhält. Wir empfehlen Ihnen, dies selbst auszuprobieren und zu sehen, wie es sich verhält.
Feedback