簡介
本文檔介紹有關Cisco Umbrella虛擬設備(VA)和Active Directory(AD)聯結器部署的最佳實踐和建議,以減輕因使用這些元件而引發的任何內部攻擊的風險。
VA運行的是強化版Ubuntu Linux 20.04。客戶僅能有限地訪問配置和故障排除。客戶不能在VA上部署其他軟體或指令碼。
思科雨傘虛擬裝置
管理.tar檔案:
- Cisco Umbrella Virtual Appliance(VA)軟體從Umbrella Dashboard下載為.tar檔案,其中包含實際的VA映像和該映像的簽名。
- 思科建議驗證簽名以驗證VA映像的完整性。
配置埠:
- 預設情況下,在部署時,只有埠53和443對入站流量開放。
- 如果您在Azure、KVM、Nutanix、AWS或GCP上運行VA,則預設情況下還啟用port 22,以允許配置VA的SSH連線。
- 對於在VMware和Hyper-V上運行的VA,僅當在VA上運行啟用SSH的命令時,才會開啟埠22。
- VA通過特定埠/協定向Umbrella文檔中提到的目標發出出站查詢。
- Cisco Umbrella建議在防火牆上設定規則,以阻止從您的VA到所有其他目的地的任何流量。
附註:與VA之間的所有HTTPS通訊僅通過TLS 1.2進行。不使用較早的協定。
管理密碼:
- 首次登入VA時需要更改密碼。
- 思科建議在此初始密碼更改後定期在VA上旋轉密碼。
減輕DNS攻擊:
- 要降低在VA上運行的DNS服務發生內部拒絕服務攻擊的風險,您可以為VA上的DNS配置每個IP速率限制。
- 預設情況下,此功能未啟用,必須使用Umbrella文檔中記錄的說明進行明確配置。
使用SNMP監控VA:
- 如果您正在通過SNMP監控VA,Cisco Umbrella建議使用具有驗證和加密功能的SNMPv3。
- 相關說明見Umbrella文檔。
- 啟用SNMP監控後,VA上的埠161將針對入站流量開啟。
- 您可以通過SNMP監控VA上的各種屬性,例如CPU、負載和記憶體。
使用Cisco AD與VA的整合:
- 如果將VA與Cisco Umbrella Active Directory整合配合使用,則最佳實踐是調整(或調整)VA上的使用者快取持續時間,以與您的DHCP租用時間相匹配。
- 請參閱虛擬裝置中的說明:調整使用者機箱設定文檔。這樣可最大程度降低錯誤使用者屬性的風險。
配置審計日誌記錄:
- VA維護在VA上執行的所有配置更改的稽核日誌。
- 根據Umbrella文檔中的說明,您可以配置此稽核日誌到系統日誌伺服器的遠端日誌記錄。
配置VA:
- 每個Umbrella站點至少必須配置兩個VA,並且這兩個VA的IP地址可以作為DNS伺服器分發到終端。
- 為了獲得更多冗餘,您可以在VA上配置任播定址。這允許多個VA共用一個任播地址。
- 因此,您可以有效地部署多個VA,同時仍然只向每個端點分發兩個DNS伺服器IP。如果任何VA失敗,任播可確保將DNS查詢路由到共用相同任播IP的另一個VA。
- 瞭解更多有關在VA上配置任播的步驟。
配置Cisco Umbrella Active Directory聯結器
建立自定義帳戶名稱:
- Cisco Umbrella AD Connector的最佳實踐之一是使用自定義帳戶名稱而不是預設的OpenDNS_Connector。
- 可以在聯結器部署之前建立此帳戶並授予所需的許可權。
- 需要在聯結器安裝過程中指定帳戶名。
使用AD聯結器配置LDAPS:
- Umbrella AD聯結器嘗試通過LDAPS(通過安全通道傳輸的資料)檢索使用者組資訊,但未能成功,它以該順序通過Kerberos切換到LDAP(資料包級別加密)或通過NTLM切換到LDAP(僅身份驗證,無加密)。
- Cisco Umbrella建議在域控制器上設定LDAPS,以便聯結器能夠通過加密通道檢索此資訊。
管理.ldif檔案:
- 預設情況下,聯結器將從域控制器中檢索到的使用者和組的詳細資訊儲存在.ldif本地檔案中。
- 由於該資訊可能是儲存在純文字檔案中的敏感資訊,因此您可以限制對運行聯結器的伺服器的訪問。
- 或者,在安裝時,可以選擇不在本地儲存.ldif檔案。
配置埠:
- 由於聯結器是Windows服務,因此它不會啟用/禁用主機上的任何埠。Cisco Umbrella建議在專用的Windows伺服器上運行Cisco Umbrella AD聯結器服務。
- 與VA類似,聯結器會通過特定埠/協定向Umbrella文檔中提到的目標發出出站查詢。Cisco Umbrella建議在防火牆上設定規則,以阻止從聯結器到所有其他目的地的任何流量。
附註:與聯結器的所有HTTPS通訊僅通過TLS 1.2進行。不使用較早的協定。
管理聯結器密碼:
- 思科建議定期旋轉聯結器密碼。
- 要完成此操作,請在Active Directory中更改聯結器帳戶密碼,然後使用聯結器資料夾中的「PasswordManager」工具更新密碼。
接收使用者 — IP對映:
- 預設情況下,聯結器會傳送私有IP。
- AD通過明文向VA傳送使用者對映。
- 您可以選擇根據此知識庫文章中記錄的說明配置VA和聯結器以通過加密通道進行通訊。
證書管理:
- 證書管理和吊銷超出了VA的範圍,並且您負責確保VA和聯結器上存在相關的最新證書/證書鏈。
- 為此通訊設定加密通道會影響VA和聯結器的效能。