Att kontrollera sitt eget WAN blir allt viktigare och Cisco SD-WAN är den ledande aktören på marknaden. Cisco Umbrella, en säkerhetsprodukt för DNS filtrering, sägs ofta vara den säkerhetsprodukt som är absolut enklast att komma igång med, och det är sant. Nu kan det, beroende på behov, bli ännu lättare.
Säker Local Internet Breakout med SD-WAN
Då Cisco har ett stort utbud av nätverksprodukter och säkerhetsprodukter, kan man utnyttja respektive produkts styrka för att bygga en ännu bättre helhet. Detta sker genom att integrera de olika produkterna.
I samband med att man bygger sitt SD-WAN, brukar internet få en allt större betydelse, och det är vanligt att man släpper ut denna trafik lokalt, istället för att transportera tillbaka den till sitt datacenter. Detta ställer andra krav på säkerheten än när trafiken passerar genom en central brandvägg.
DNS-filtrering med Cisco Umbrella
Att börja använda Umbrellas DNS-filtrering, är som jag nämnde enkelt, men det kräver att man ställer in sin DNS infrastruktur på att skicka DNS förfrågningar vidare till Umbrellas DNS servrar. Om AnyConnect är installerat, går det att förhindra att användare försöker kringgå Umbrellas DNS, men det går inte alltid att installera denna klient, beroende på vad är det för typ av enhet som används. Det kan till exempel vara ett operativsystem där det inte går att installera klienten.
Med kombinationen SD-WAN och Umbrella, går det att kombinera styrkan i respektive produkt för att bli ännu mer heltäckande. Det fungerar så här:
SD-WAN routern lyssnar efter alla inkommande DNS-förfrågningar. När den kommer in, ändrar den destinationsadressen till att bli en av Umbrellas DNS servrar oavsett tidigare destinationsadress. Detta ger följande fördelar:
- Enkelt att köra igång Umbrella på alla kontor med SD-WAN router
- Möjlighet att tillhandahålla Umbrella även för gästanvändare
- Kan fånga upp alla DNS-förfrågningar, även om användare har konfigurerat en egen DNS-server, eller inte kan köra AnyConnect
- Kan använda olika inställningar för olika VPN, det vill säga att till exempel skicka ut gästtrafik lokalt med DNS-uppslag via Umbrella, men anställdas trafik skall passera en brandvägg
Förutom DNS-filtrering, finns det också möjlighet till andra säkerhetsfunktioner i Ciscos ISR SD-WAN routrar. Detta innefattar brandväggsfunktionalitet, Intrusion Prevention System och Advanced Malware Protection. En bra start är dock att börja med DNS filtrering.
Läs här om du vill veta mer om Cisco Umbrella eller ladda ned vår gedigna SD-WAN-guide.
Eller se vårt Inspelade webinar om SD-WAN på riktigt – ditt nät, dina regler oavsett moln och plats.
Har du en fråga till en av våra certifierade nätverks- och säkerhetskonsulter – är det kanske dags att göra en analys av er säkerhet? Hör av dig!
Daniel Dib är en av två Cisco Design-certifierade experter på Conscia Netsafe (CCDE) och även CCIE samt AWS Solutions Architect Associate. Han är den enda svenska representanten på Cisco CCIE Advisory Council som driver och utvecklar CCIE-programmet. Daniel är en känd skribent i branschen som håller utbildningar åt Cisco på deras Cisco Learning Community och har fem år i rad blivit utsedd till Cisco Designated VIP för sina insatser. Han är en Cisco Learning Network VIP samt Cisco Champion. Daniel driver en av de mest populära bloggarna i nätverksbranschen, Lostintransit – från vilken vi fått låna ovan text. Daniel har även skrivit i Network Computing, i IDG/Techworld och i Ciscos egen blogg.
