DNS(Domain Name System)는 공격에 자주 사용되는 인터넷 프로토콜입니다. 악성코드의 90%가 DNS를 사용합니다(출처: Cisco Security Research 보고서). 하지만 많은 조직에서는 DNS를 모니터링하거나 DNS 중심 보안을 사용하지 않습니다.

Cisco Umbrella는 인터넷 기반 위협에 대한 여러 수준의 방어를 제공하는 클라우드 기반 보안 인터넷 게이트웨이 플랫폼입니다. Umbrella는 DNS 레이어 보안, CASB(Cloud Access Security Border) 기능, 클라우드 제공 방화벽 및 보안 웹 게이트웨이를 통합하여 브랜치 리소스와 무관하게 확장성이 뛰어난 보안을 제공합니다. 인터넷 바인딩 트래픽은 인터넷에 대한 액세스가 허용되거나 거부되기 전에 검사를 위해 브랜치에서 가장 가까운 Umbrella 접속 지점으로 자동 전송될 수 있습니다.

릴리스 7.3부터 Secure Firewall Management Center는 Umbrella SIG(Secure Internet Gateway) 통합을 위한 자동 터널 구성을 지원합니다. 이 구성을 사용하면 네트워크 디바이스에서 SIG 터널을 통한 검사 및 필터링을 위해 DNS 및 웹 트래픽을 Umbrella SIG에 전달할 수 있습니다.

Cisco Umbrella 내에 정의된 DNS 및 웹 정책을 Secure Firewall을 통한 연결에 적용할 수 있습니다. 도메인 이름을 기준으로 요청을 적용하고 검증할 수 있습니다.

관리 센터는 이 터널을 구축할 수 있도록 새롭게 간소화된 직관적인 마법사 기반 인터페이스를 제공하므로 Firewall Threat Defense 및 Cisco Umbrella에서 설정 단계가 최소화됩니다.

관리 센터는 Umbrella API를 활용하여 Cisco Umbrella 연결 설정의 매개변수를 사용하여 네트워크 터널을 설정합니다. 그런 다음 관리 센터는 Umbrella 데이터 센터 목록을 가져와 SASE 토폴로지에서 허브로 선택할 수 있도록 사용자 인터페이스에 이를 표시합니다. 네트워크 터널은 위협 방어 디바이스에 구축되고, 관리 센터에서 구축이 완료되고 나면 Cisco Umbrella에서 자동으로 생성됩니다. 이렇게 하면 온프레미스 사용자와 로밍 사용자에게 균일한 DNS 및 웹 정책을 적용할 수 있습니다.

Cisco Umbrella를 사용하여 인터넷 트래픽을 보호하면 다음과 같은 이점이 있습니다.

• 연결을 설정하기 전에 DNS 레이어에서 사용자와 애플리케이션을 보호하면 그에 따른 패킷 처리가 감소하여 보호 속도가 빨라집니다.

• 균일한 DNS 제어 정책이 하이브리드 사용자(온프레미스 사용자 및 로밍 사용자)에 적용됩니다.

• Umbrella는 연결이 설정되기 전에도 웹 요청은 물론 멀웨어, 랜섬웨어, 피싱 시도 및 봇넷에 대한 요청을 차단하여 위협이 네트워크 또는 엔드포인트에 도달하기 전에 차단합니다. 따라서 교정해야 하는 감염 및 알림 수가 크게 감소합니다.

• URL 필터링 및 TLS 암호 해독과 같은 고급 방화벽 기능에 대한 필요성을 제거합니다.

• 자동 터널을 설정하려면 관리 센터에서 최소한의 설정이 필요합니다.

• Umbrella 대시보드의 자동 네트워크 터널 구성입니다.

Umbrella SASE 자동 터널 구성의 대상은 조직의 네트워크 인프라 관리 및 보안을 책임지는 IT 팀, 네트워크 관리자, 보안 전문가입니다. 이들은 보안 원격 액세스를 위한 고급 솔루션을 탐색하고 보안 터널의 설정 및 관리를 간소화하는 데 관심이 있습니다. Umbrella SASE 자동 터널 설정 설명은 네트워크 보안을 강화하고, 원격 연결을 간소화, 조직의 원격 인력에 대한 전반적인 사용자 환경을 개선하고자 하는 사용자의 관심을 끌 수 있습니다.

IT 관리자인 Alice는 조직의 IT 인프라 관리 및 보안 보장을 담당합니다. Alice는 사이버 공간에서 증가하는 위협을 인지하고 있으며, 악성코드, 랜섬웨어, 피싱과 같은 잠재적인 사이버 공격을 방지하기 위한 강력한 보안 조치를 구현하고자 합니다.

Sally는 지사에서 근무하며 조직의 네트워크를 사용하여 업무 관련 활동을 위해 인터넷에 액세스하는 직원입니다.

어떤 위험이 있습니까?

적절한 보안 조치가 없으면 직원이 의도치 않게 악의적인 웹사이트에 액세스하여 유해한 소프트웨어를 다운로드하여 조직의 네트워크 보안 및 데이터 개인 정보를 침해할 수 있습니다.

SIG 통합이 문제를 어떻게 해결합니까?

Alice는 브랜치 방화벽과 Cisco Umbrella를 사용하여 2레이어 보안 접근 방식을 구현했습니다. 방화벽은 웹 및 비 웹 기반 공격으로부터 네트워크에 대한 인바운드 보안을 제공했습니다. Umbrella는 DNS 및 웹 레이어에서 악의적인 도메인, IP 및 URL을 차단하여 아웃바운드 보안을 제공합니다.

Sally는 일부 웹사이트가 현재 방화벽과 Umbrella에 의해 차단되고 있는 것을 확인합니다.

온프레미스 사용자 및 원격 사용자 모두 Umbrella 대시보드 내에 정의된 것과 동일한 DNS 및 웹 정책의 적용을 받습니다. 이 구현의 결과로, 조직의 네트워크는 이제 더욱 안전해지고 잠재적인 사이버 공격으로부터 보호됩니다.

이 토폴로지에서 위협 방어 디바이스는 브랜치 위치에 구축됩니다. 아래 그림에서 내부 클라이언트 또는 브랜치 워크스테이션은 WKST BR 레이블로 표시되고 브랜치 위협 방어는 NGFWBR1 레이블로 표시됩니다. SIG 자동 터널은 NGFWBR1과 Cisco Umbrella 사이에 설정됩니다.

모든 DNS 및 웹 트래픽은 SIG 터널을 통해 Cisco Umbrella로 전송되어 Umbrella DNS 및 웹 정책에 따라 검증 및 허용 또는 차단됩니다. 이는 두 가지 보호 레이어를 제공합니다. 하나는 Cisco Secure Threat Defense에 의해 로컬로 적용되고 다른 레이어는 Cisco Umbrella에 의해 클라우드에서 제공됩니다.

DNS 트래픽의 경우:

1. Cisco Umbrella는 분류되지 않은 도메인에 대한 DNS 요청을 탐지하는 경우 도메인의 평판을 쿼리합니다.
2. 도메인이 악의적인 것으로 분류된 경우 DNS 요청이 차단되고 최종 사용자는 웹사이트에 액세스할 수 없습니다.
3. 도메인이 안전한 것으로 분류되는 경우 DNS 요청이 확인되며 최종 사용자가 웹사이트에 액세스할 수 있습니다.

• 관리 센터에서 기본 라이선스가 내보내기 제어 기능으로 활성화되어 있는지 확인합니다.

• 인터넷과 연결되는 위협 방어 인터페이스의 경우에는 outside로 이름을 지정하거나 접두사를 지정하는 것이 좋습니다.

• SASE 토폴로지에 대해 Umbrella 구축이 실행 중인 경우 SASE 토폴로지를 수정하거나 삭제하지 마십시오.

• 백업 Umbrella DC를 구성하려면 백업 Umbrella DC를 사용하여 동일한 위협 방어 엔드포인트로 동일한 토폴로지를 복제합니다.

• 위협 방어 엔드포인트에서 백업 인터페이스를 구성하려면 백업 인터페이스에서 VTI를 사용하여 동일한 Umbrella DC와 동일한 위협 방어 엔드포인트로 동일한 토폴로지를 복제합니다.

• 디바이스 관리자를 사용하여 위협 방어 초기 구성 완료

• 매니지드 디바이스에 라이선스 할당

• 인터넷 액세스용 경로를 추가합니다. 고정 경로 추가를 참조하십시오.

• Threat Defense NAT 구성

• 기본 액세스 제어 정책 만들기

• Cisco Umbrella SIG(Secure Internet Gateway) Essentials 서브스크립션 또는 무료 SIG 평가판이 있어야 합니다.

• 관리 센터에서 Umbrella의 터널을 구축하려면 내보내기 제어 기능을 사용하여 스마트 라이선스 어카운트를 활성화해야 합니다.

• http://login.umbrella.com에서 Umbrella에 로그인하고 Cisco Umbrella 연결을 설정하는 데 필요한 정보를 얻습니다. 관리 센터가 management.api.umbrella.com에 연결할 수 있는지 확인합니다.

• 관리 센터에 Cisco Umbrella 조직을 등록하고 Cisco Umbrella 연결 고급 설정에서 관리 키 및 관리 암호를 구성해야 합니다. 이렇게 하면 Cisco Umbrella 클라우드에서 데이터 센터 세부 정보를 가져옵니다. 또한 Cisco Umbrella 연결 일반 설정에서 조직 ID, 네트워크 디바이스 키, 네트워크 디바이스 암호 및 레거시 네트워크 디바이스 토큰을 구성해야 합니다.

  자세한 내용은 다음 링크를 참조하십시오.

  • Cisco Umbrella 연결 설정 구성

  • Management Center Umbrella 매개변수 및 Cisco Umbrella API 키 맵

• 위협 방어에서 Umbrella 데이터 센터에 연결할 수 있는지 확인합니다.

• 위협 방어가 로컬 터널 ID 지원(버전 7.1.0 이상)을 통해 경로 기반 VPN을 지원하는지 확인합니다. 관리 센터 버전 7.3.0 이상에서 로컬 터널 ID가 지원되는 SASE 터널을 구축할 수 있습니다.

다음 순서도에는 Secure Firewall Management Center에서 SASE 터널을 구성하는 워크플로우가 나와 있습니다.

단계	설명
	(사전 요건) Cisco Umbrella에서 API 키를 생성하고 복사합니다. Management Center Umbrella 매개변수 및 Cisco Umbrella API 키 맵을 참조하십시오.
	(사전 요건) Cisco Umbrella 연결을 구성합니다. Cisco Umbrella 연결 설정 구성을 참조하십시오.
	SASE 터널을 생성하고 위협 방어에 대한 구성을 구축합니다. Umbrella용 SASE 터널 구성의 내용을 참조하십시오.
	고정 경로를 구성합니다. 고정 경로 구성의 내용을 참조하십시오.
	DNS 및 웹 트래픽에 대한 확장 ACL 개체를 구성합니다. DNS 및 웹 트래픽용 확장 ACL 구성의 내용을 참조하십시오.
	DNS 및 웹 트래픽에 대한 PBR 정책을 구성합니다. DNS 및 웹 트래픽용 PBR 정책 구성의 내용을 참조하십시오.
	구성을 위협 방어에 구축합니다. 컨피그레이션 구축의 내용을 참조하십시오.
	터널 구축을 확인합니다. SASE Umbrella 터널 구축 확인의 내용을 참조하십시오.

관리 센터에서 위협 방어 디바이스(NGFWBR1)에서 Umbrella 터널 구축 및 정책 구축 상태를 확인하려면 Notifications(알림) - Task(작업)로 이동합니다.

관리 센터에서 SASE 자동 터널 상태를 확인하려면 Devices(디바이스) → VPN(VPN) → Site To Site(사이트 간)를 선택합니다.

관리 센터에서 업데이트된 SASE 토폴로지를 확인하려면 Devices(디바이스) > VPN > Site To Site(사이트 간) > Edit SASE Topology(SASE 토폴로지 편집)를 선택합니다. 로컬 터널 ID는 Umbrella에 구축 후 업데이트됩니다.

관리 센터에서 Site To Site VPN(사이트 간 VPN) 대시보드를 보려면 Overview(개요) > Dashboard(대시보드) > Site to Site VPN(사이트 간 VPN)을 선택합니다.

위협 방어에 대한 SASE Umbrella 터널을 확인하려면 다음 CLI 명령을 사용합니다.

• SASE 터널의 세부 정보를 확인하려면 다음 명령을 사용합니다.

  > show running-config interface tunnel 1​
  !​
  interface Tunnel1​
   nameif Outside_static_vti_1​
   ip address 169.254.2.1 255.255.255.252 ​
   tunnel source interface Outside​
   tunnel destination 146.112.117.8​
   tunnel mode ipsec ipv4​
   tunnel protection ipsec profile FMC_IPSEC_PROFILE_1​

• IPSec 프로파일 및 관련 제안을 확인하려면 다음 명령을 사용합니다.

  > show running-config crypto ipsec​
  crypto ipsec ikev2 ipsec-proposal CSM_IP_1​
   protocol esp encryption aes-gcm-256​
   protocol esp integrity sha-256​
  crypto ipsec profile FMC_IPSEC_PROFILE_1​
   set ikev2 ipsec-proposal CSM_IP_1​
   set ikev2 local-identity email-id FTDvChandigarh@41xxxxx-xxxxxxxxx-umbrella.com​
   set reverse-route​
  crypto ipsec security-association pmtu-aging infinite​

• IKEV2 정책 집합을 확인하려면 다음 명령을 사용합니다.

  > show running-config crypto ikev2​
  crypto ikev2 policy 15​
   encryption aes-gcm-256​
   integrity null​
   group 20 19​
   prf sha256​
   lifetime seconds 86400​
  crypto ikev2 enable Outside​

• Tx 및 Rx 데이터를 포함한 터널 통계를 확인하려면 다음 명령을 사용합니다.

  > show vpn-sessiondb l2l​
  Session Type: LAN-to-LAN​
  Connection   : 146.112.117.8​
  Index        : 19                     IP Addr      : 146.112.117.8​
  Protocol     : IKEv2 IPsecOverNatT​
  Encryption   : IKEv2: (1)AES-GCM-256  IPsecOverNatT: (1)AES-GCM-256​
  Hashing      : IKEv2: (1)none  IPsecOverNatT: (1)none​
  Bytes Tx     : 234                      Bytes Rx     : 446​
  Login Time   : 19:14:51 UTC Thu Apr 27 2023​
  Duration     : 0h:55m:16s​
  Tunnel Zone  : 0​

• 터널 상태를 확인하려면 다음 명령을 사용합니다.

  > show interface ip brief​
  
  Interface                  IP-Address      OK? Method Status                Protocol​
  Internal-Control0/0        127.0.1.1       YES unset  up                    up  ​
  Internal-Control0/1        unassigned      YES unset  up                    up  ​
  Internal-Data0/0           unassigned      YES unset  down                  up  ​
  Internal-Data0/0           unassigned      YES unset  up                    up  ​
  Internal-Data0/1           169.254.1.1     YES unset  up                    up  ​
  Internal-Data0/2           unassigned      YES unset  up                    up  ​
  Management0/0              203.0.113.130   YES unset  up                    up  ​
  TenGigabitEthernet0/0      172.16.2.10     YES manual up                    up  ​
  TenGigabitEthernet0/1      172.16.3.10     YES manual up                    up  ​
  TenGigabitEthernet0/2      unassigned      YES unset  administratively down up  ​
  Tunnel1                    169.254.2.1     YES manual up                    up ​

• VTI 터널과 연결된 IPSec SA를 확인하려면 다음 명령을 사용합니다.

  > show crypto ipsec sa
  interface: outside_static_vti_1
      Crypto map tag: __vti-crypto-map-Tunnel1-0-1, seq num: 65280, local addr: 198.18.128.81
  
        Protected vrf (ivrf): Global
        local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
        current_peer: 146.112.117.8
  
  
        #pkts encaps: 705, #pkts encrypt: 705, #pkts digest: 705
        #pkts decaps: 743, #pkts decrypt: 743, #pkts verify: 743
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 705, #pkts comp failed: 0, #pkts decomp failed: 0
        #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
        #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
        #TFC rcvd: 0, #TFC sent: 0
        #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
        #send errors: 0, #recv errors: 0
  
        local crypto endpt.: 198.18.128.81/4500, remote crypto endpt.: 146.112.117.8/4500
        path mtu 1500, ipsec overhead 63(44), media mtu 1500
        PMTU time remaining (sec): 0, DF policy: copy-df
        ICMP error validation: disabled, TFC packets: disabled
        current outbound spi: C76F91B4
        current inbound spi : 64907273
  
      inbound esp sas:
        spi: 0x2BF92601 (737748481)
           SA State: active
           transform: esp-aes-gcm-256 esp-null-hmac no compression
           in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
           slot: 0, conn_id: 32, crypto-map: __vti-crypto-map-Tunnel1-0-1
           sa timing: remaining key lifetime (kB/sec): (4331520/27987)
           IV size: 8 bytes
           replay detection support: Y
           Anti replay bitmap:
            0x00000000 0x00000001
      outbound esp sas:
        spi: 0xCA2DC006 (3391995910)
           SA State: active
           transform: esp-aes-gcm-256 esp-null-hmac no compression
           in use settings ={L2L, Tunnel,  NAT-T-Encaps, IKEv2, VTI, }
           slot: 0, conn_id: 32, crypto-map: __vti-crypto-map-Tunnel1-0-1
           sa timing: remaining key lifetime (kB/sec): (4101072/27987)
           IV size: 8 bytes
           replay detection support: Y
           Anti replay bitmap:
            0x00000000 0x00000001
  

Umbrella에서 SASE 터널을 보려면 Cisco Umbrella에 로그인하고 Deployments(구축) - Core Identities(코어 ID) - Network Tunnel(네트워크 터널)로 이동합니다. 위협 방어에서 Umbrella로의 네트워크 터널이 아래 그림과 같이 표시됩니다.

터널의 상세정보를 보려면 섹션을 확장합니다.

구축 후 다음 CLI를 사용하여 Secure Firewall Threat Defense에서 Umbrella 자동 터널과 관련된 문제를 디버깅합니다.

참고	프로덕션 환경의 위협 방어 디바이스에서 디버그 명령을 실행할 때는 주의하십시오. 자세한 정보 표시 출력이 있을 수 있는 디바이스에서 다양한 디버그 레벨을 설정할 수 있습니다.