소개
이 문서에서는 호스트 이름 대신 IP 주소를 사용하여 Umbrella의 콘텐츠 필터를 구성하는 방법에 대해 설명합니다.
개요
대부분의 웹 사이트는 단일 IP 주소로 확인되는 도메인에 속하지만, 브라우저 주소 표시줄에 웹 사이트의 IP 주소를 입력하기만 하면 Cisco Umbrella의 콘텐츠 필터를 "우회"하기가 쉽지 않거나 종종 불가능합니다. 또한 대부분의 악성코드는 IP 주소 대신 C&C(command and control)에 도메인 이름을 사용합니다.
할 일
보안을 위해 IP 대신 호스트 이름으로 차단하는 것이 다음과 같은 이유로 더 효과적입니다.
- 더 우수한 보안—안전하지 않은 도메인이 다양한 프록시/악성코드 차단 솔루션 또는 ISP에 의해 중지되는 것을 피하기 위해 IP에서 IP로 홉(hop)됩니다. 도메인 레벨이 아닌 IP 레벨에서 이러한 변경 사항을 따라잡는 것은 매우 어렵습니다(올바른 방법이 아님)
- 오탐/부정의 감소—IP 하나가 수천 개의 도메인에 의해 공유되는 경우가 있으며, 그중 일부는 악의적입니다. 그들을 모두 차단하는 것은 좋은 생각이 아니며 그들 중 어느 것도 차단하지 않습니다.
- 더 우수한 가시성—IP를 차단하면 사용자/머신이 어떤 도메인에 액세스하려고 했는지 로깅 및 분석할 수 없습니다. 이는 보안/규정 준수 팀이 반드시 고려해야 할 정보입니다.
콘텐츠 차단의 경우 IP 주소로 웹 사이트 또는 호스트에 액세스하는 데 DNS 조회가 필요하지 않으므로, Umbrella의 서버로 보내 평가를 받을 필요가 없습니다.
그러나 오늘날 대부분의 웹 사이트에는 로드 밸런싱 및 고가용성 솔루션뿐 아니라 지오로케이션(최종 사용자에게 더 나은 성능을 제공하기 위해 여러 IP 및 위치가 사용됨)도 있습니다. 인증과 같은 기능을 위한 여러 하위 도메인이 있습니다. 웹 사이트는 서로 다른 서버의 여러 IP로 구성되며, 경우에 따라 IP를 입력하면 사이트의 FQDN으로 연결됩니다. 거의 모든 웹 서버는 하나 이상의 다른 도메인에서 해당 콘텐츠를 다운로드하도록 웹 브라우저에 자동으로 지시합니다. 초기 연결이 설정되면 서버를 대신하여 사용자의 브라우저를 통해 여러 추가 DNS 요청이 전송되며, 이는 정상적으로 시행됩니다.
그 결과, 대부분의 경우, 웹 서버 측의 설정이 대개 도메인으로 변환되고 그 순간 작업이 가능한 DNS 쿼리를 받기 때문에 브라우저에 IP 주소를 입력하기만 하면 효과가 없습니다. 또는 일부 또는 깨진 홈페이지를 수신할 수 있으며, 그 이후에는 로그인을 비롯한 어떤 링크도 적절한 DNS 확인 없이 작동하지 않습니다.
이때 Umbrella는 해결 요청을 가로채고 보안 또는 콘텐츠에 대한 평가를 수행할 수 있습니다.
특정 사이트의 상태에 대해 잘 모르는 경우 도메인에 대한 nslookup을 수행하고 브라우저 주소 표시줄에 IP 주소를 직접 입력한 다음 작동 방식을 확인합니다. Cisco는 여러분이 직접 이 방법을 사용해 보고 어떻게 작동하는지 볼 것을 권장합니다.
피드백