اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

نحوه پشتیبانی پلتفرم Cisco Umbrella از DNSSEC

پلتفرم Cisco Umbrella

DNSSEC چیست؟

پسوندهای امنیتی DNS که بیشتر با عنوان DNSSEC از آن یاد می‌شود، تکنولوژی است که به منظور حفاظت درمقابل حملات Cache Poisoning توسعه یافته و این کار را با Signing دیجیتال داده‌ها انجام می‌دهد تا بتوان از صحت پاسخ DNS اطمینان حاصل کرد. DNSSEC از یک Signature رمزنگاری مشابه با GPE استفاده می‌کند تا یک ایمیل را Sign کند. این تکنولوژی هم صحت پاسخ  و هم هویت Signer را فراهم می‌کند. رکوردهای ویژه در DNS منتشر می‌شوند که به سرویس‌گیرندگان یا Resolverهای الگوریتمی امکان معتبرساختن Signatureها را می‌دهد. هیچگونه Certificate Authority مرکزی وجود ندارد اما بجای آن، Parent Zoneها اطلاعات Certificate Hash را برای محول ساختن فراهم کرده که امکان ارائه سند اعتبار را ایجاد می‌کند.     

پلتفرم Cisco Umbrella چگونه از DNSSEC پشتیبانی خواهد کرد

فاز 1 Security Aware Resolver

اولین فاز پشتیبانی پلتفرم Cisco Umbrella از DNSSEC، بر اعتباردهی به Queryهای ارسالی از Resolverها به مقامات بالاتر و اجرای نقش یک Resolver الگوریتمی امنیتی تمرکز دارد.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


به منظور کاهش مشکلات اجرای Authoritative DNSSEC، Cisco Umbrella همچنین از Anchorهای Negative Trust استفاده می‌کند که امکان باطل کردن اعتبارات دارای ایراد DNSSEC را فراهم می‌کند. علاوه بر آن، سرویس‌گیرندگان DNS قادر خواهند بود یک درخواست DNS را ثبت کنند تا طبق توضیحات موجود در RFC، اعتباردهی DNSSEC لغو شود و این کار را از طریق  تنظیمات bit CD (Checking Disabled) می‌توان انجام داد. نتایج حاصل از لغو درخواست‌های اعتباردهی بطور جداگانه Cache می‌شوند و هرگز به کاربری که بطور ویژه درخواست اعتباردهی DNSSEC را لغو نکرده، داده نمی‌شوند.

پلتفرم Cisco Umbrella همچنین در Queryهای دریافتی از بیت DO پشتیبانی می‌کند. این امر رکوردهای Signing DNSSEC را باز می‌گرداند تا به سرویس‌گیرندگان امکان پیگیری مشکلات با اعتباردهی DNSSEC را بدهد.

فاز 2 گزارش‌دهی و Logکردن

Umbrella قصد دارد تا در نسخه جدیدتر قابلیت دید مضاعفی بر Dashboard و Logکردن اضافه کند. این امر شامل دلایل خطا در اعتباردهی، اطلاعات زمانی استفاده از Negative Trust Anchor (NTA) و Logکردن می‌شود چه جستجو توسط DNSSEC معتبر شود یا خیر.

علاوه بر آن سیسکو قصد دارد تا برای خطاهای پسوندهای DNS نیز پشتیبانی تدارک ببیند تا اطلاعات و دلایل خطای اعتباردهی در پاسخ خود DNS مشخص شود. 

پشتیبانی از اعتباردهی سمت کلاینت

اجرای اعتباردهی DNSSEC نیازمند این است که Resolver اعتباردهنده دانش تمامی Signatureهای دامین‌های All Parent را برای یک جستجو داشته باشد. به این دلیل سرویس‌گیرندگان DNS Resolver معمولا خودشان اعتباردهی را انجام نمی‌دهند و ترجیح می‌دهند تا به یک Resolver الگوریتمی متکی باشند تا اعتباردهی را از جانب آنها انجام دهد. درحالی که ما از استفاده بیت DO  در Queryها استفاده می‌کنیم، Umbrella توصیه نمی‌کند که سرورهای Local DNS که به Resolverهای ما ارسال می‌شوند خودشان اعتباردهی DNSSEC را فعال کنند.

اعتباردهی به ترافیک میان سرویس‌گیرنده و پلتفرم Cisco Umbrella

برای مشتریانی که می‌خواهند مطمئن باشند که Query‌ها توسط Umbrella انجام شده‌ و مورد بازبینی قرار نگرفته‌اند ، استفاده از DNSCrypt را برای فراهم کردن روش رمزنگاری ایمن ارتباطی و اثبات هویت پیشنهاد می‌شود. هم Umbrella Roaming Client و هم Umbrella Virtual Appliance در پیکربندی پیش‌فرض خود از DNSCrypt استفاده می‌کنند.         

 

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK