Introducción
Este documento describe cómo configurar los filtros de contenido de Umbrella utilizando direcciones IP en lugar de nombres de host.
Overview
La mayoría de los sitios web pertenecen a un dominio que se resuelve en una única dirección IP, pero no es fácil ni a menudo posible "omitir" los filtros de contenido de Cisco Umbrella simplemente introduciendo la dirección IP de un sitio web en una barra de direcciones del navegador. Además, la mayoría del malware utiliza nombres de dominio para sus comandos y controles (C&C) en lugar de direcciones IP.
Qué hacer
Por motivos de seguridad, es mejor bloquear por nombre de host en lugar de por IP por los siguientes motivos:
- Mejor seguridad: los dominios inseguros saltan de IP a IP para evitar ser detenidos por varias soluciones de bloqueo de proxy/malware o por el ISP. Es muy difícil (y no es la forma correcta) estar al día con estos cambios a nivel de IP en lugar de a nivel de dominio
- Reducción de falsos positivos/negativos: miles de dominios comparten a veces una IP, y algunos de ellos son malintencionados. Bloquear todos ellos no es una buena idea ni tampoco lo es bloquear ninguno de ellos.
- Mejor visibilidad: el bloqueo de las IP impide el registro y el análisis de los dominios a los que el usuario o la máquina ha intentado acceder, que es la información que deben tener en cuenta los equipos de seguridad y cumplimiento.
Para el bloqueo de contenido es cierto que el acceso a un sitio web o host por dirección IP no requiere una búsqueda de DNS, por lo que técnicamente eso no se envía a los servidores de Umbrella para su evaluación.
Sin embargo, la mayoría de los sitios web actuales cuentan con soluciones de equilibrio de carga y alta disponibilidad, así como geolocalización (donde se utilizan varias IP y ubicaciones para mejorar el rendimiento para el usuario final). Tienen varios subdominios para funciones como la autenticación, el sitio web consta de varias IP de diferentes servidores y, en algunos casos, al introducir la IP, simplemente se le dirige al FQDN del sitio. Casi todos los servidores Web indican silenciosamente a los exploradores Web que descarguen su contenido de uno o varios dominios diferentes. Una vez establecida la conexión inicial, se envían varias solicitudes DNS adicionales a través del navegador del usuario en nombre del servidor, que se aplican de la forma habitual.
Como resultado, en la gran mayoría de los casos, simplemente escribir una dirección IP en un navegador no funciona porque la configuración en el lado del servidor web generalmente termina convirtiendo eso en un dominio y en ese momento recibimos una consulta DNS que se puede actuar. Como alternativa, puede recibir una página de inicio parcial o rota después de la cual ninguno de los enlaces, incluido el inicio de sesión, funciona sin una resolución de DNS adecuada en su lugar.
En ese momento, Umbrella puede interceptar la solicitud de resolución y realizar una evaluación de la seguridad o el contenido.
Si no está seguro del estado de un sitio determinado, realice una nslookup en el dominio, ingrese la dirección IP directamente en la barra de direcciones del navegador y vea cómo se comporta. Le animamos a que lo intente por sí mismo y vea cómo se comporta.
Comentarios