Introduction
Ce document décrit comment configurer les filtres de contenu d'Umbrella en utilisant des adresses IP au lieu de noms d'hôte.
Aperçu
La plupart des sites Web appartiennent à un domaine qui se résout en une adresse IP unique, mais il n'est pas facile ou souvent possible de « contourner » les filtres de contenu de Cisco Umbrella en saisissant simplement l'adresse IP d'un site Web dans une barre d'adresse de navigateur. En outre, la plupart des programmes malveillants utilisent des noms de domaine pour leurs commandes et leur contrôle (C&C) au lieu d'adresses IP.
Que faire ?
Pour des raisons de sécurité, le blocage par nom d'hôte au lieu d'IP est préférable pour les raisons suivantes :
- Sécurité renforcée : les domaines non sécurisés passent d’IP à IP afin d’éviter d’être bloqués par diverses solutions de blocage de proxy/programmes malveillants ou par le FAI. Il est très difficile (et ce n’est pas la bonne façon) de suivre ces changements au niveau IP plutôt qu’au niveau du domaine
- Réduction des faux positifs/négatifs - une adresse IP est parfois partagée par des milliers de domaines, dont un seul est malveillant. Les bloquer tous n'est pas une bonne idée ni n'en bloque aucun.
- Meilleure visibilité : le blocage des adresses IP empêche la journalisation et l'analyse du domaine auquel l'utilisateur/la machine a tenté d'accéder, qui est l'information dont les équipes de sécurité/conformité doivent se soucier.
Pour le blocage de contenu, il est vrai que l'accès à un site Web ou à un hôte par adresse IP ne nécessite pas de recherche DNS, donc techniquement cela ne sera pas envoyé aux serveurs d'Umbrella pour évaluation.
Cependant, la plupart des sites Web actuels disposent de solutions d'équilibrage de charge et de haute disponibilité, ainsi que de géolocalisation (plusieurs adresses IP et emplacements sont utilisés pour améliorer les performances de l'utilisateur final). Ils ont plusieurs sous-domaines pour des fonctionnalités telles que l'authentification, le site Web comprend plusieurs adresses IP de différents serveurs et, dans certains cas, l'entrée de l'adresse IP vous dirige simplement vers le nom de domaine complet du site. Presque tous les serveurs Web demandent silencieusement aux navigateurs Web de télécharger son contenu à partir d'un ou de plusieurs domaines différents. Une fois la connexion initiale établie, plusieurs requêtes DNS supplémentaires sont envoyées via le navigateur de l'utilisateur pour le compte du serveur, qui sont exécutées normalement.
Par conséquent, dans la grande majorité des cas, le simple fait de taper une adresse IP dans un navigateur ne fonctionne pas parce que la configuration côté serveur web finit généralement par convertir cela en un domaine et à ce moment-là, nous recevons une requête DNS qui peut être traitée. Vous pouvez également recevoir une page d'accueil partielle ou interrompue, après quoi aucun des liens, y compris la connexion, ne fonctionnera sans une résolution DNS appropriée.
À ce stade, Umbrella est en mesure d'intercepter la demande de résolution et d'effectuer une évaluation de la sécurité ou du contenu.
Si vous n'êtes pas sûr de l'état d'un site particulier, effectuez une nslookup sur le domaine, entrez l'adresse IP directement dans la barre d'adresse du navigateur et voyez comment il se comporte. Nous vous encourageons à essayer cela par vous-même et à voir comment il se comporte.
Commentaires