Вопрос или проблема
Организация, в которой я работаю, использует OpenDNS/Cisco Umbrella. Я запутался, почему я вижу запросы на SSL-трафик, разрешенные на
146.112.255.155
146.112.250.83
146.112.250.64
146.112.250.87
146.112.250.73
Это адреса IP для подмены? Я думал, что адреса IP для блокировки – это эти: https://support.opendns.com/hc/en-us/articles/227986927-What-are-the-Cisco-Umbrella-Block-Page-IP-Addresses-
Кажется, я просто запутался в том, как это все работает. Я пытался читать поддержку OpenDNS, но она не ответила на мои вопросы по вышеуказанным IP-адресам.
Это похоже на то, что ваша компания использует Cisco Umbrella Intelligent Proxy (Выборочный прокси) или Secure Web Gateway (Полный прокси) и отключает шифрование SSL-трафика.
Это туннелирует весь веб-трафик через центры обработки данных Umbrella и создает MITM (человек посередине) SSL-соединение между вами и доменом HTTPS.
Поэтому ваши сертификаты будут выданы из центров обработки данных Umbrella, а не от домена назначения.
https://docs.umbrella.com/umbrella-user-guide/docs/cisco-umbrella-data-centers
Ответ или решение
Судя по вашему описанию, вы наблюдаете запросы SSL-трафика, которые разрешаются на IP-адреса OpenDNS (Cisco Umbrella), такие как 146.112.255.155 и другие перечисленные вами. Это может вызывать путаницу, особенно если вы ожидали увидеть IP-адреса для блокировочных страниц OpenDNS.
Причина, по которой вы видите такие IP-адреса, вероятнее всего заключается в том, что ваша организация использует функции Cisco Umbrella Intelligent Proxy или Secure Web Gateway, которые обеспечивают проксирование SSL-трафика. Это означает, что вся веб-активность туннелируется через дата-центры Umbrella, что создает соединение «человек посередине» (MITM) между вашим устройством и целевым доменом, защищенным HTTPS.
При этом сертификаты, используемые для шифрования SSL, выдает Umbrella, а не конечный ресурс, к которому вы обращаетесь. Это позволяет Umbrella анализировать и фильтровать трафик для обеспечения безопасности, предотвращения доступа к нежелательным ресурсам и соблюдения политик безопасности вашей компании.
Если вам требуется больше информации о дата-центрах Cisco Umbrella и их функциональности, вы можете ознакомиться с документацией по ссылке: Cisco Umbrella Data Centres.
Что касается вопроса о том, являются ли указанные IP-адреса адресами для «sinkhole», это маловероятно. Ваша организация может использовать их для проксирования. Sinkhole используется для перенаправления нежелательного трафика, чтобы предотвратить вредоносные активности, тогда как указанные IP-адреса в вашем случае, скорее всего, являются частью инфраструктуры Cisco Umbrella, обеспечивающей безопасный доступ и фильтрацию.
Если у вас есть дополнительные вопросы или вам нужна более детальная информация о конкретных функциях Cisco Umbrella, рекомендую обратиться в техническую поддержку вашего поставщика услуг или проконсультироваться с администратором безопасности вашей сети для получения подробных разъяснений.