فرض DNS المظلة ومنع التجاوز باستخدام قواعد جدار الحماية

المقدمة

يوضح هذا المستند كيفية منع تجاوز DNS وفرض أوجه حماية DNS Umbrella باستخدام قواعد جدار الحماية وسياسات الشبكة.

المتطلبات الأساسية

• جدار حماية الشبكة
• امتيازات الوصول إلى جدار الحماية
• معرفة تكوين جدار الحماية
  
  

فرض DNS المظلة - الطريقة الأكثر شيوعا

تتيح لك معظم الموجهات وجدران الحماية فرض جميع حركة مرور DNS عبر المنفذ 53، مما يتطلب أن تستخدم جميع أجهزة الشبكة إعدادات DNS المحددة على الموجه، والتي يجب أن تشير إلى خوادم DNS المظلة.

النهج المفضل هو إعادة توجيه جميع طلبات DNS من عناوين IP غير التابعة ل Umbrella إلى عناوين DNS IP المدرجة أدناه. تقوم هذه الطريقة بإعادة توجيه طلبات DNS بشفافية ومنع تكوين DNS اليدوي من الفشل ببساطة.

بدلا من ذلك، قم بإنشاء قاعدة جدار حماية للسماح ل DNS (TCP/UDP) فقط بمحاصرة خوادم DNS ومنع جميع حركة مرور DNS الأخرى إلى أي عناوين IP أخرى.

مثال على قاعدة جدار الحماية

1. إضافة هذه القاعدة إلى جدار حماية الحافة:
   • السماح بالوارد والصادر ل TCP/UDP 208.67.222.222 إلى المنفذ 53 أو 208.67.220.220 عليه.
   • حظر عناوين TCP/UDP الواردة والصادرة لجميع عناوين IP على المنفذ 53.

تعطى قاعدة السماح ل DNS Umbrella الأولوية على قاعدة الحظر. مسموح بطلبات DNS إلى Umbrella، بينما يتم حظر جميع طلبات DNS الأخرى.

على حسب واجهة تكوين جدار الحماية لديك، قم بتكوين قاعدة منفصلة لكل بروتوكول أو قاعدة واحدة تغطي كلا من TCP و UDP. تطبيق القاعدة على جهاز حافة الشبكة. يمكنك أيضا تطبيق قاعدة مماثلة على جدران الحماية البرمجية على محطات العمل، مثل جدار الحماية المضمن في Windows أو MacOS.

إذا كنت تستخدم نهج مجموعة عميل التجوال و Active Directory، ارجع إلى الوثائق الخاصة بقفل Enterprise Roaming Client باستخدام نهج المجموعة.

الإنفاذ ضد DNS عبر HTTPS (DoH)

التكوين الموصى به

1. في Umbrella، قم بتمكين فئات Proxy / AnonymousDoH / DoTcontent.
2. حظر عناوين IP الخاصة بموفري DoH المعروفين على جدار الحماية الخاص بك.

التفاصيل والخلفية

تدعم Umbrellause-application-dns.netالمجال، كما هو محدد بواسطة Mozilla، لمنع Firefox من تمكين DoH بشكل افتراضي. لمزيد من المعلومات حول Firefox و DoH، راجع الوثائق ذات الصلة.

حتى بعد حظر موفري DNS البديل، لا يزال من الممكن تجاوز DNS مع DoH. يقوم محلل DNS المحلي بترجمة طلبات DNS إلى HTTPS وإرسالها إلى نقطة نهاية باستخدام JSON أو POST/GET. تتجنب حركة المرور هذه عادة فحص DNS.

نظرا لأنه يمكن إستخدام DoH لتجاوز Umbrella، تتضمن Umbrella خوادم DoH المعروفة في فئة محتوى الوكيل / المجهول الهوية. ولهذه الآلية بعض القيود:

• لا يمكن أن يقوم بحظر موفري DoH الجدد غير المعروفين بعد.
• لا يمكن حظر DoH المستخدم مباشرة عبر عنوان IP.

ولمخاطبة موفري DoH الجدد، قم بمراقبة التحديثات وحظر المجالات التي تم عرضها حديثا لتحسين التغطية.

بالنسبة إلى DoH عبر عنوان IP، تكون السيناريوهات محدودة. ويعد برنامج Firefox مع CloudFlare مثالا بارزا على ذلك.

تحذير: لا تقم بإضافة مجالات Mozilla Kill Switch إلى قائمة الحظر. يؤدي حظر هذه المجالات إلى إنشاء سجل A لصفحات الحظر، ويتعامل Firefox مع هذا الأمر على أنه صحيح ويقوم تلقائيا بترقية إستخدام DoH الخاص به.

الإنفاذ ضد DNS عبر TLS (DoT)

حتى بعد حظر موفري DNS البديلة و DoH، يمكن تجاوز DNS عبر TLS، والتي تستخدم RFC7858 عبر المنفذ 853. على سبيل المثال، CloudFlare هو موفر DoT.

مثال على الإنفاذ

• حظر عناوين1.1.1.1IP1.0.0.1وعلى المنفذ 853 (CloudFlare).

إخلاء مسؤولية دعم جدار الحماية

يساعد هذا المستند مسؤولي الشبكة في فرض DNS ل Umbrella. لا يقدم دعم Cisco Umbrella المساعدة في تكوينات جدار الحماية أو الموجه الفردية، حيث إن كل جهاز لديه واجهة تكوين فريدة. راجع وثائق الموجه أو جدار الحماية أو اتصل بالشركة المصنعة للجهاز للتأكد من إمكانية حدوث هذه التكوينات.