دریافت مقالات

امنیت

معرفی قابلیت های F5 BIG-IP DNS – قسمت دوم

135 مشاهده ۱۸ مرداد, ۱۳۹۶ 6

معرفی قابلیت های F5 BIG-IP DNS

میزان اهمیت DNS در سرویس‌های زیرساختی بر هیچکس پوشیده نیست و ایجاد اختلال در کارکرد این سرویس به معنی قطعی در کسب‌وکار می‌باشد. با توجه به اهمیت این سرویس بسیاری از هکر‌ها DNS را مورد هدف حملات خود قرار می‌دهند که همین موضوع تامین میزان حساسیت تامین امنیت این سرویس را روشن می‌سازد. با استفاده از F5 BIG-IP DNS می‌توان در برابر بسیاری از این حملات محافظت لازم را به وجود آورد. در قسمت اول از این سری مقالات به بررسی مزایای F5 BIG-IP DNS  و نحوه کارکرد آن پرداختیم.  در این مقاله  به بررسی سرویس‌های فایروال F5 DNS می‌پردازیم.

فایروال DNS

حملات DNS DDoS، LDNS Cache Poisoning، Volume Spike و سایر حملات ناخواسته DNS ممکن است منجر به قطعی DNS و کاهش بهره‌وری گردند. وقوع این حملات و افزایش ترافیک می‌تواند موجب افزایش قابل توجه در میزان ترافیک شده و از سرویس‌دهی سرورهای DNS جلوگیری نماید.

شرکت امن پایه ریزان کارن APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

BIG-IP DNS با بهره‌مندی از کارکردهای امنیت، عملکرد، کنترل و توسعه‌‌بخشی به ارائه مزایای فایروال DNS می‌پردازد. این تکنولوژی به محافظت از DNS در برابر حملات Reflection DDoS یا Amplification DDoS و سایرQuery ‌ها و پاسخ‌های نامناسب DNS که موجب کاهش عملکرد آن می‌شوند، می‌پردازد. به علاوه کاهش تهدیدات امنیتی پیچیده DNS با مسدود نمودن دسترسی به IP دامین‌های مخرب از طریق Response Policy Zone امکانپذیر می‌گردد. با استفاده از BIG-IP DNS می‌توان یک سرویس Third-Party برای فیلترینگ دامین مانند SURBL یا Spamhaus نصب نمود و علاوه بر پیشگیری از آلودگی Client، مانع ارسال پاسخ‌های آلوده به منابع شناخته‌شده‌ی بدافزاری و ویروس‌ها گردید. سرویس‌های فایروال F5 DNS موجب کاهش هزینه‌ها برای رفع آلودگی گردیده و بهره‌وری کاربران را افزایش می‌دهد.

معرفی قابلیت های F5 BIG-IP DNS

همچنین با استفاده از یک سرویس Domain Reputation مانند SURBL یا Spamhaus می‌توان دسترسی به IP دامین‌های مخرب را مسدود نمود و به این ترتیب ریسک ارتباطات بدافزاری و ویروسی و تهدیدات DNS را کاهش داد.

سرویس‌های فایروال F5 DNS عبارتند از:

  • بررسی و تایید اعتبار پروتکل
  • ACL مربوط به نوع رکورد DNS
  • DNS Authoritative با عملکرد بالا همراه با قابلیت توسعه‌ی پاسخ‌دهی
  • DNS Authoritative با قابلیت Hyperscale نمودن تا میزان 200 درصد که رفع حملات DDoS را امکانپذیر می‌نماید.
  • کاهش تاخیر و Hyperscale نمودن فرآیند DNS Caching
  • DNS Load Balancing
  • بررسی به صورت Stateful (پاسخ‌های درخواست‌نشده هیچگاه پذیرفته نمی‌شود)
  • ICSA Labs Certification (که قابل پیاده‌سازی در DMZ می‌باشد)
  • قابلیت توسعه‌پذیری در تمامی تجهیزات با استفاده از IP Anycast
  • پاسخ‌های ایمن (DNSSEC)
  • محدودیت نرخ پاسخ‌دهی DNSSEC
  • کنترل کامل DNS با استفاده از DNS iRules
  • اعلام هشدار DDoS Threshold
  • کاهش تهدیدات از طریق مسدود نمودن دسترسی IP دامین‌های مخرب
  • عملیات Logging و گزارش‌گیری DNS
  • کد تقویت‌شده‌ی F5 DNS

معرفی قابلیت های F5 BIG-IP DNS

BIG-IP DNS با استفاده از سرویس‌های فایروال که از زیرساخت DNS در برابر حملات با حجم بالا و Packet‌های دارای اختلال محافظت می‌نمایند، به حفظ دسترس‌پذیری برنامه‌های کاربردی می‌پردازد.

بررسی DNSSEC Signing به صورت کامل

با پشتیبانی BIG-IP DNSSEC، می‌توان پاسخ‌های Queryهای DNS را به صورت دیجیتال Sign و رمزگذاری نمود. بنابراین Resolver می‌تواند اعتبار پاسخ را تعیین نموده و از حملات DNS Hijacking و Cache Poisoning پیشگیری نماید. به علاوه اینکه می‌تواند در حین بهره‌مندی از تمام مزایای Load Balance نمودن سرور Global، امنیت پاسخ‌های مربوط به Queryها را تامین نماید. در صورتی که محدوده‌ای از قبل Sign شده باشد، BIG-IP DNS می‌تواند پاسخ‌های استاتیک DNSSEC را برای ارتقای عملکرد مدیریت نماید.

مدیریت کلید DNSSEC به صورت متمرکز

بسیاری از سازمان‌های IT متمایل به استانداردسازی تجهیزات سازگار با FIPS و تامین امنیت کلیدهای DNSSEC می‌باشند.  همچنینBIG-IP  امکان یکپارچه‌سازی و استفاده از ماژول‌های سخت‌افزاری امنیتیِ (HSM‌) متعلق به شرکت Thales را جهت پیاده‌سازی، مدیریت متمرکز و کنترل ایمن کلیدهای DNSSEC استفاده می‌نماید؛ بدین ترتیب هزینه‌های عملیاتی کاهش یافته و قابلیت سازگاری FIPS و امکان تجمیع فراهم می‌گردد.

پشتیبانی Top-Level Domain برای DNSSEC

در صورتی که مدیران DNS قصد انتقال به Sub-Domainهای ایمن را داشته باشند، با کمک BIG-IP DNS امکان مدیریت آسان DNSSEC به عنوان یک Top-Level Domain فراهم شده و به یک Parent Zone تبدیل می‌شود.

تایید اعتبار DNSSEC

DNS Resolver در اکثر شبکه‌ها به Offload نمودن درخواست‌های مربوط به رکوردهای DNSSEC و محاسبات رمزنگاری می‌پردازد تا Signing درست برای پاسخ‌های دریافتی DNS مورد تایید قرار گیرد. لازم به ذکر است که پاسخ‌های DNSSEC وارد شده به شبکه، نیاز به حجم بالایی از بار کاری CPU بر روی سرورهای Resolving DNS دارند. بنابراین مدیران با بهره‌مندی از قابلیت تایید اعتبار BIG-IP DNSSEC می‌توانند DNSSEC را از سمت Client و با استفاده از BIG-IP DNS به سادگی Offload و تایید اعتبار نمایند. به این ترتیب، بالاترین سطح عملکرد برای DNS ایجاد شده و افزایش قابل توجهی در پاسخ‌دهی سایت به کاربران رخ می‌دهد.

برنامه‌های کاربردی با دسترس‌پذیری جامع

BIG-IP DNS به ارائه قابلیت دسترس‌پذیری کلی و مانیتورینگ دقیق برای بررسی صحت عملکرد می‌پردازد و با پشتیبانی از طیف وسیعی از برنامه‌های کاربردی می‌تواند انعطاف‌پذیری لازم برای تسریع روند تطبیق‌پذیری و حفظ مزیت رقابتی در سازمان‌ها را فراهم نماید.

ویژگی‌های مربوط به دسترس‌پذیری جامع و مانیتورینگ برای صحت عملکرد عبارتند از:

  • تعدیل بار سراسری

 مدیریت برنامه‌های کاربردی به صورت جامع و با عملکرد بالا برای محیط‌های Hybrid با BIG-IP DNS فراهم می‌گردد.

  • Load Balancing به صورت Dynamic

تعیین مسیر به سمت بهترین منبع براساس سایت و شاخص‌های شبکه مانند تعداد Hop‌های بین Client و Local DNS با BIG-IP DNS برای کاربران صورت می‌گیرد.

  • تدوام اتصال در سطح گسترده

 برای تضمین اتصال مداوم کاربران به برنامه‌های کاربردی و دیتاسنترها، BIG-IP DNS به Synchronize نمودن داده‌ها و توزیع Local DNS پرداخته و صحت و درستی Sessionها را حفظ می‌نماید.

  • Load Balancing بر مبنای موقعیت جغرافیایی

BIG-IP DNSشامل یک پایگاه‌داده IP می‌باشد که موقعیت مکانی کاربران را بر اساس قاره، کشور و یا استان شناسایی می‌نماید تا به منظور دستیابی به بهترین عملکرد، کاربران را به نزدیک‌ترین سرویس یا برنامه کاربردی متصل ‌نماید.

  • ایجاد توپولوژی سفارشی

 سازمان‌ها با استفاده از BIG-IP DNS می‌توانند Topologyهای سفارشی را تنظیم و ارائه نمایند. کاربران با تعریف و گروه‌بندی سفارشی Zoneها می‌توانند توپولوژی را بر اساس Policy‌های اینترانت در ارتباط با ترافیک برنامه‌های کاربردی تنظیم نمایند که با زیرساخت‌های داخلی آنها مطابقت دارد.

  • مانیتورینگ زیرساخت

صحت عملکرد کلی زیرساخت با BIG-IP DNS بررسی می‌شود و بدین ترتیب Single Points of Failure حذف شده و ترافیک برنامه‌های کاربردی به خارج از سایت‌هایی با عملکرد ضعیف هدایت می‌شود.

معرفی قابلیت های F5 BIG-IP DNS

BIG-IP DNS این قابلیت را داراست که اتصال دائمی کاربران به بهترین سایت را به ترتیب زیر تضمین ‌نماید:

(1) کاربران به منظور Resolve نمودن نام دامین از Local DNS استفاده می‌کنند، Local DNS نیز از Big IP DNS استفاده می‌نماید.

(2) استفاده از شاخص‌های جمع‌آوری شده‌ برای هر سایت و شناسایی بهترین سرور

(3) پاسخ Big IP DNS به Local DNS با IP

(4) اتصال کاربر به وبسایت

ــــــــــــــــــــــــــــــــــــــ

معرفی قابلیت های F5 BIG-IP DNS – قسمت اول

معرفی قابلیت های F5 BIG-IP DNS – قسمت دوم

معرفی قابلیت های F5 BIG-IP DNS – قسمت سوم

معرفی قابلیت های F5 BIG-IP DNS – قسمت چهارم (پایانی)

مطلب مفید بود؟


?