Roaming policy что это
Roaming Aggressiveness — что это? (Wi-Fi)
Roaming Aggressiveness — настройка, позволяющая выбрать уровень чувствительности для поиска лучшего качества Wi-Fi сети.
Простыми словами: устройство принимает Wi-Fi сеть, как только она ухудшится — функция начнет искать более лучшую сеть. Уровень приема, при котором функция будет искать новую сеть — как раз и задается настройкой Roaming Aggressiveness.
Другие названия опции:
Бывает ситуация, когда вы подключены к одной сети. Связь хорошая. Однако рядом присутствует еще сеть — более быстрая и стабильная (качество условно 5 баллов). Если в опции Roaming Aggressiveness выставить высокий уровень чувствительности, то если прием текущей сети незначительно ухудшится (например 4 балла) — то технология отключит устройство от текущей беспроводной сети и попытается найти лучше, уровень приема которой выше (например 5 баллов).
То есть в некотором смысле это интеллектуальная технология, которая следит, чтобы вы были подключены к качественной и стабильной сети. Но есть приличный минус — если выставить высокий уровень чувствительности, а сетей больше нет, тогда при малейшем ухудшении качества — беспроводной адаптер будет стараться найти сеть лучше, постоянно отключаясь от текущей, на практике мы видим это как постоянные дисконнекты.
Вот когда вы находитесь в окружении десятки Wi-Fi сетей, к которым имеете спокойный доступ, например они просто без пароля — тогда польза от Roaming Aggressiveness может быть. Указав уровень чувствительности высокий — функция будет постоянно искать вариант с наилучшим качеством приема, обеспечивая вас максимально стабильным соединением. Вот только на практике такие ситуации, а уж тем более потребности — встречаются редко, чтобы вокруг было много беспарольных сетей. А если есть пароли — такое еще реже встречается, ведь они должны быть сохранены в устройстве.
Roaming Aggressiveness — устанавливаем значение
Сперва зажмите кнопки Win + R, появится окошко Выполнить, вставьте следующую команду:
Нажмите ОК. Откроется диспетчер устройств — найдите беспроводной Wi-Fi адаптер, нажмите правой кнопкой > выберите пункт Свойства, далее активируйте вкладку Дополнительно:
Выбираем опцию, как уже было сказано выше — она может называться по-разному, например Использование роуминга:
Рассмотрим возможные варианты значений:
Рекомендуется выбирать первый пункт, то есть Автоматически.
Улучшить сигнал wifi
Всем привет, сегодня поговорим о том, как улучшить сигнал wifi в помещении, где вы находитесь. Я не буду просить вас применять специальные технические средства, будем использовать только то, что есть у каждого из нас. Потому все советы не есть панацея, однако порой парочка советов позволяет улучшить сигнал wifi до приемлемого уровня.
Некоторым помогает, попробуйте и вы. Программная настройка чувствительности роуминга — тот показатель, которого придерживается ваше устройство при переключении с одного передатчика WiFi на другой — при смене самих точек, если их множество, или при смене сеанса windows (приходя с работы домой, например). Ведь системе предписано «обращать внимание» прежде всего на качество сигнала, так как расстояние до точки WiFi она корректно измерять не умеет (хотя настройка есть). Если вы обладатель ноутбука, к настройке стоит присмотреться. Помимо того, советую проверить и остальные настройки карты, тем более, если WiFi передатчик встроен в мобильный компьютер.
Два крупнейших производителя беспроводных устройств связи Intel и Ralink (этого знают все хакеры мира) обзывают искомую настройку по-разному. Вам она может встретиться и как Roaming Aggressiveness и как Roaming Sensitivity. Итак, если вы столкнулись со слабым приёмом сигнала, задача — усилить его до максимальной производительности. Отправляемся в Диспетчер устройств командой hdwwiz.cpl из строки поиска Windows и находим в списке устройств своё беспроводное. Оно в составе сетевых адаптеров. Выделите его и через правый щелчок мыши найдите в меню Свойств вкладку Дополнительно:
Выбираем значение показания из списка:
Раз уж мы здесь, проверим остальные твики. Выставляем:
ВНИМАНИЕ. Контролируйте температуру мобильного компьютера. Не допускайте перегрева устройства!
Да, ноутбук или планшет, работающие от аккумуляторов, автоматически переходят в режим энергосбережения, обеспечивая производительность. По умолчанию «пострадает» и модуль wifi, который скинет мощность приёма. Так что это «нормально», если wifi ноутбука при отсоединении от внешнего блока питания, слабеет в своём сигнале. Виноват энергосберегающий протокол 802.11. – а точнее ваши устройства, которые его не понимают. Вот что об этом говорит сама компания Microsoft.
Это легко проверить, подключая и отключая внешнее питание от ноутбука. Если нет изменений, переходите к следующему пункту. Ваша проблема в другом. Однако следует проверить настройки энергопотребления и сменить план электропитания, выставив значение Высокая производительность:
Смена плана питания может помочь.
Так, совсем нетрудно прикинуть расположение по квартире или дому принимающих устройств. Просто установите роутер так, чтобы географически он располагался в равномерной удалённости от всех устройств.
Дальше. Если роутер предполагает съёмные антенны или установку дополнительной или усиленной, появившейся в продаже, следующий ваш шаг предопределён – в магазин. На моей практике смена всенаправленной антенны (да, она растрачивает часть сигнала впустую) на нереверсивную меняла положение вещей с сигналом.
Никто не отменял репитеры – они призваны усиливать сигналы сотовой связи, расширение её зоны покрытия в локальном пространстве. Если выход в сеть осуществляется через форматы 3G и 4G, стоит задуматься о покупке устройства.
Не забывайте и о том, что сигнал от роутера – это радиволны. Трансляция идёт на частоте 2,4 Ггц – любимой частоте других устройств. На ней работают, например, беспроводные клавиатура и мышь. И чтобы попробовать улучшить сигнал wifi можно попытаться сократить до минимума список таких устройств. Выключайте из сети беспроводные принтеры и другие девайсы, если с ними не работаете.
Что делать, если моё беспроводное устройство не переподключается между беспроводным маршрутизатором/точкой доступа и усилителем сигнала?
Recommend Products
N300 Усилитель Wi-Fi сигнала
AV600 Комплект Wi‑Fi Powerline‑адаптеров
AC1750 Усилитель Wi-Fi сигнала
Подписаться на рассылку Мы с ответственностью относимся к вашим персональным данным. Полный текст политики конфиденциальности доступен здесь.
These cookies are necessary for the website to function and cannot be deactivated in your systems.
Site Selection Popup
SMB Product Selection System
tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple
__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID
VISITOR_INFO1_LIVE, YSC, LOGIN_INFO, PREF, CONSENT, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC
Analysis and Marketing Cookies
Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.
The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.
Google Analytics & Google Tag Manager & Google Optimize
_gid, _gat, _gat_global, _ga, _gaexp
Google Ads & DoubleClick
NID, IDE, test_cookie, id, 1P_JAR
fr, spin, xs, datr, c_user, sb, _fbp
_ce.s, _CEFT, _gid, cean, _fbp, ceac, _drip_client_9574608, cean_asoc
_hjKB, _fbp, ajs_user_id, _BEAMER_LAST_UPDATE_zeKLgqli17986, _hjid, _gcl_au, _ga, ajs_anonymous_id, _BEAMER_USER_ID_zeKLgqli17986, _hjAbsoluteSessionInProgress, _hjFirstSeen, _hjIncludedInPageviewSample, _hjTLDTest
Hm_lpvt_33178d1a3aad1dcf1c9b345501daa675, Hm_lvt_33178d1a3aad1dcf1c9b345501daa675, HMACCOUNT_BFESS
lms_analytics, AnalyticsSyncHistory, _gcl_au, liap
Обзор Cisco Umbrella: защита на уровне DNS и не только
Мы постоянно тестируем новые решения для наших проектов и недавно решили разобраться, что под капотом у Cisco Umbrella. Сам вендор заявляет, что это облачное решение для защиты угроз со стороны интернета из пяти компонентов:
защищенный рекурсивный DNS;
веб-прокси с возможностью отправки подозрительных файлов на анализ в песочницу;
L3/L4/L7 межсетевой экран (Cloud Delivery Firewall);
Cloud Access Security Broker (CASB);
инструмент для проведения расследований.
Желающих узнать, что же находится под капотом каждого из этих компонентов, приглашаю под кат.
Защищенный рекурсивный DNS
Когда мы пытаемся попасть на какой-то ресурс по доменному имени, вне зависимости от протокола, мы резолвим доменное имя, то есть преобразуем его в IP-адрес.
Можно ограничивать доступ к ресурсам на основе URL (фактически уже HTTP-трафик), а можно делать это на шаг раньше — исходя из DNS-запроса.
Cisco Umbrella в данном случае выступает как облачный рекурсивный DNS.
Решение может детектировать и блокировать DNS-обращения по таким категориям:
связь с серверами управления (C2C);
Malware и Phishing;
построение DNS-туннелей (DNS Exfiltration).
С точки зрения архитектуры, это выглядит так:
Нам нужно защитить пользователей на площадках и, что более важно в условиях массового перехода на удаленку, удаленных пользователей.
Пользователей как-то нужно перенаправить в облако для анализа их DNS-запросов, и здесь есть два способа.
1) У пользователей на площадках прописан локальный DNS (обычно адрес домен-контроллера). Нам достаточно просто прописать адреса Cisco Umbrella в настройках DNS Forwarders:
2) Удаленным пользователям достаточно установить AnyConnect (модуль Roaming Client) или Umbrella Lightweight Client, в котором будут прописаны адреса DNS и подцеплен профиль организации.
Доступность указанных адресов 208.67.222.222 и 208.67.220.220 обеспечивается с помощью BGP Anycast (когда одни и те же маршруты анонсируются из разных географических точек).
Таким образом, при обращении на эти адреса для уменьшения задержек вы будете направлены в ближайший ЦОД в зависимости от своего географического расположения.
Если провести небольшой тест измерения задержки утилитой dig при обращениях через Cisco Umbrella и публичный Google DNS (8.8.8.8), то получим следующие результаты.
Таблица 1. Результаты измерения задержки через Umbrella
Таблица 2. Результаты измерения задержки через Google
Как видно, Cisco Umbrella не вносит каких-то значительных дополнительных задержек по сравнению с публичными DNS.
Дашборд управления настройками располагается по адресу /#/overview»>https://dashboard.umbrella.com/o/ /#/overview, где — это персональный номер вашей организации, выданный Cisco.
Со стороны Cisco Umbrella достаточно добавить ваш белый IP (адрес или несколько адресов, с которых площадка выходит в интернет) в список Networks, для roaming clients (удаленных пользователей) ничего дополнительно добавлять не надо.
Если у вас несколько домен-контроллеров, то скрипт автоконфигурирования (регистрации в Cisco Umbrella) и настройки DNS Forwarders необходимо будет настроить на них всех, а OpenDNS AD Connector (о нем позже) поставить только на отдельных VM.
Когда на домен-контроллере настроены DNS-forwarders, а у удаленных пользователей установлен Roaming Client, можно проверить, что вы находитесь под защитой Umbrella, перейдя по адресу https://welcome.umbrella.com.
Всё, вы под защитой!
Что же идет по умолчанию в этой защите? Посмотрим Default Policy.
Политика по умолчанию и её основные компоненты
Вот так выглядит основное меню настройки политики по умолчанию:
Applied to All Identities значит, что политика применяется ко всем, кто посылает запросы через Umbrella (в пределах вашей организации). Если делать свою политику, то можно указать много разных типов, к чему ее применять: AD группы пользователей, Roaming Computers, IP-адреса и др.
Security Setting Applied означает блокируемые категории:
Следует отметить, что DNS-политика по умолчанию не строится по принципу implicit deny (все запрещено), блокируются только категории Malware, C2C, Phishing Attacks.
Content Setting Applied подразумевает, какие DNS-запросы блокируются на основе содержащегося контента.
Если домен категоризирован как содержащий Drugs, он будет целиком попадать в эту категорию, даже если по ссылке www.example.com/Sports будет располагаться спортивный вестник о последних достижениях местной команды. А вот если блокировка на основе контента будет применяться в Web Policy, а не DNS Policy, то здесь как раз будет разграничение в зависимости от конкретного URL.
Application Settings Applied означает блокировку в зависимости от используемого приложения.
Destination list — блокировка по конкретному FQDN, IP-адресу, URL (для Web-Policy).
Если вы добавили что-то в Global Allow List в виде IP-адреса или, например, FQDN, то это этот ресурс по категории или контенту уже не будет блокироваться (если он подпадает под эту категорию/контент).
Настройка File Analysis доступна, если вы включили в Advanced Settings функцию Intelligent Proxy. По умолчанию она отключена.
Intelligent Proxy предназначен для работы с так называемыми grey доменами, когда на них может быть размещен нежелательный контент или вредоносные файлы, но целиком блокировать домен нельзя или нет необходимости. В обычном режиме работы Umbrella либо возвращает в DNS-ответе адрес целевого ресурса, либо вот такую блокирующую страницу:
При включенной же опции Intelligent Proxy Umbrella будет возвращать вам адрес облачной прокси, через который будет проксироваться трафик с сертификатом Cisco (нужно установить сертификат Cisco в доверенные и включить опцию SSL Decryption). Большое количество очень популярных доменов, например, Google или Facebook, не проксируются из-за низкой вероятности размещения там вредоносного контента.
Grey домены включают в себя домены одновременно с нормальным и вредоносным контентом, поэтому Cisco категоризирует их как risky domains.
Самостоятельно категоризировать какой-то домен как «серый» нельзя, можно только исключить определенный домен из раскрытия трафика и проксирования.
При включенной настройке файлы будут отправляться на анализ в облачную песочницу Threat Grid Malware Analysis (для веб-политик) либо анализироваться статически в случае применения в DNS-политиках.
Например, при попытке скачать eicar файл у меня появилась надпись «Этот сайт был заблокирован прокси Сisco Umbrella»:
Block Page — веб-страница, которая будет отображаться у пользователя при блокировке запроса. Настроить отображаемую страницу можно в разделе «Block Page Appearance».
Можно модифицировать страницу блокировки, например, отразить, что запрос заблокирован из-за отнесения к конкретной категории или содержащегося контента, указать e-mail админа для контакта.
Создание политики на основе пользователей Active Directory
В большинстве организаций политики как на межсетевых экранах, так и на прокси, сейчас пишутся на основе пользователей групп Active Directory.
Cisco Umbrella тоже пошла по этому пути: интеграция с AD возможна путем установки OpenDNS коннектора на виртуальную машину для отправки LDAP-запросов к домен-контроллеру, либо на сам домен-контроллер.
Домен-контроллер регистрируется в дашборде Cisco Umbrella автоматически (путем запуска wsf-скрипта на домен-контроллере):
Я установил OpenDNS-коннектор на домен-контроллер. После этого в политиках, в разделе Identity, можно указать конкретного пользователя или группу, для которых будет применяться политика:
Попробую разрешить пользователю категорию Malware, а на уровне всей сети запрещу её.
Политики выполняются, как обычно, сверху вниз. Есть удобный инструмент для проверки уже созданных политик — Policy Tester.
Для пользователя Barney получаю результат «Разрешено»:
Для обращения с домен-контроллера или любого другого пользователя получаю результат «Запрещено»:
Обращения к внутренним доменам обычно не нужно подвергать дополнительной проверке, поэтому их можно исключить из проверки средствами Umbrella двумя способами:
1) Через управление доменом в дашборде Umbrella.
2) Через установку отдельной VM — Umbrella Virtual Appliance:
Umbrella Virtual Appliance выступает в роли DNS-forwarder, локальные DNS-запросы отправляет на локальный DNS, внешние DNS запросы — в Cisco Umbrella.
VA внедряет уникальные идентификаторы для каждого пользователя, которые Umbrella в свою очередь использует для контроля и детальной видимости:
А так выглядит лог без VA (локальные IP-адреса не видны):
Защита удаленных пользователей (Roaming Users) обеспечивается либо включением модуля Umbrella Roaming в Cisco AnyConnect, либо установкой Lightweight Umbrella roaming-клиента.
Интересный факт: Сisco Umbrella можно обойти, если прописать на рабочей станции нужные записи до закрытых ресурсов в hosts.
Лучшие практики при работе с DNS-политиками
1) Политики надо делать неперекрывающимися. Например, если вы сделаете явно allow destination list, а по категории у вас он вредоносный, трафик будет разрешен.
2) Последняя политика должна быть наиболее запрещающей. В ней нужно запретить как можно больше категорий, контента и приложений. В более специфичных политиках (выше по списку) нужно наоборот что-то разрешать.
3) Политики нужно строить снизу верх от широких к узким. То есть в целом для одной группы пользователей запрещена категория «облачные хранилища», но для отдельных пользователей вверху списка она разрешена.
4) Используйте в политиках группы «All Networks», «All Roaming Computers». Когда появится новый Roaming Computer, он просто автоматически подпадет под эту политику. Также желательно сделать разные политики для локальной сети и для Roaming Computers. Когда пользователь будет уходить из офиса, он будет подпадать под другую политику безопасности (возможно, более строгую).
Эти рекомендации применимы также и к работе с веб-политиками, которые я разберу ниже.
Работа в режиме веб-прокси
Решение может работать не только как рекурсивный DNS, но и как облачный веб-прокси.
Трафик в облачный веб-прокси от пользователей направляется точно так же, как и в земной — с помощью PAC-файлов (proxy auto-config). Сам PAC-файл можно разместить в Umbrella. Проксируется только HTTP/HTTPS-трафик (TCP 80/443).
Вы можете задаться вопросом: «А как аутентифицировать пользователей в облачном прокси? Ведь мы не можем здесь применить Kerberos/NTLM».
Ответ на него кроется как раз на картинке выше — SAML.
В качестве IDP (Identity Provider) можно использовать как раз земной AD (ADFS) с установленным AD-коннектором, который я рассматривал в разделе защиты DNS.
В веб-политиках можно использовать все то же самое, что и в DNS-политиках, а также:
1) Антивирусная защита файлов с помощью движка Cisco AMP (Advanced Malware Protection) и отправка их в песочницу Threat Grid Malware Analysis. Ограничения здесь — максимум 200 файлов в день с размером файла не более 50 Мб.
2) Контроль по типам файлов (File Type Control). Позволяет блокировать скачивание в зависимости от категории (исполняемые файлы, изображения, аудио и т.п.) и конкретного расширения (js, jpeg, exe и т. п.).
Вот так будет выглядеть попытка скачать файл из заблокированной категории Executables:
3) Tenant Control (CASB) позволяет явно разрешить использование корпоративного тенанта и запретить использование личного доступа для облачных сервисов Office 365, Google G Suit, Slack. То есть, например, пользователям надо ходить в облачный офис 365 по корпоративным нуждам, но по личным нам надо его прикрыть. Классический Application Control здесь не сработает, поэтому:
Tenant Control работает просто: Umbrella смотрит в authentication request, и если видит там корпоративный домен, явно разрешенный в политике, то пропускает трафик.
Вот так выглядит меню настройки:
Я добавил в список разрешенных доменов свой тестовый домен в Office 365 mx365x986845.onmicrosoft.com. Все остальные домены по умолчанию запрещены.
Попробую зайти в Office 365.
После корректного ввода пароля я успешно попадаю на главную страницу Office 365:
А теперь я попробую зайти в свою корпоративную учетную запись:
После ввода пароля я получил обескураживающее сообщение: «Невозможно добраться отсюда туда»:
Причем сообщение от Microsoft, а не от Cisco Umbrella. Немного погуглив это сообщение на английском языке, я нашел следующее в документации Microsoft: «You can’t get there from here. This message means your organization has put a policy in place that’s preventing your device from accessing your organization’s resources». Прелести русификации я оценил 🙂
Из недостатков данного облачного веб-прокси можно отметить отсутствие IPS-профилей.
Cloud Delivery Firewall
Решение может также дополнительно выступать в роли L3/L4/L7 межсетевого экрана в облаке, для этого потребуется завернуть трафик с площадки через IPSec-туннель.
Важное ограничение: в политиках МСЭ можно писать только приватные IP-адреса в поле Source и публичные адреса в поле Destination и никак иначе. То есть применение здесь вполне конкретное — только ограничение доступа для внутренних ресурсов наружу.
Еще один нюанс: максимально допустимая полоса на каждый туннель 250 Mбит/с. Если потребуется передавать больше трафика, нужно будет строить дополнительные туннели и балансировать между ними нагрузку (например, ECMP).
В политиках можно добавлять Applications, но добавлять группы пользователей AD нельзя.
Пример настроенного правила:
Такой МСЭ может в принципе подойти организациям, на площадках которых нет своего МСЭ и есть только каналы в интернет (т.е. нет выделенных каналов до ЦОД, где можно централизованно выпускать пользователей в интернет).
Работа с отчетностью и расследованиями
В Umbrella представлен довольно хороший функционал для проведения расследований и анализа отчетности.
Можно смотреть как общее состояние по компании:
Так и детальное (кто-куда-когда-почему):
Имеется много разных типов отчетов (App Discovery, Threats, Top Destinations и другие). Отчеты можно выгружать в форматах csv и pdf, выгрузку отчетов можно делать автоматически, например, еженедельно, с отправкой на почту.
Пример выдержки из отчета App Discovery:
Функционал для помощи в расследованиях располагается на отдельном ресурсе https://investigate.umbrella.com/.
Работает это очень просто: вводите FQDN, ASN, IP, hash и получаете риск-скоринг и другую полезную информацию:
данные записей WHOIS;
репутация доменов и IP;
анализ вредоносных файлов;
связи между доменами;
обнаружение аномалий (DGA, FFN);
шаблоны запросов DNS.
Вот так выглядит риск-скоринг домена по версии Cisco:
WHOIS-информация и геолокация:
Семплы, собранные Cisco AMP Threat Grid и ассоциированные с данным хостом, приведены ниже и кликабельны внутри дашборда:
Можно сразу провести анализ по хешу:
В части работы с логами в SIEM вас ждет разочарование: выгрузка логов возможна с задержкой в 10 мин только в Amazon S3 bucket, а уже оттуда в SIEM.
Итоги
С момента покупки OpenDNS Cisco неплохо прокачала функционал этого решения и добавила много новых фич: веб-прокси, CASB, отправка файлов на анализ в песочницу. Решение занимает нишу защиты от угроз со стороны интернета и ограничения доступа к внешним ресурсам. Архитектура позволяет использовать решение как для удаленных, так и для on-site пользователей.