المقدمة
يصف هذا المستند التغييرات التي طرأت على Umbrella من تحديثات iOS 14 و MacOS 11 التي تتضمن دعم DNS المشفر.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Security Connector (CSC)
- العميل المتجول (RC) الخاص بنظام التشغيل MacOS
- نظام التشغيل MacOS AnyConnect Client (تيار متردد)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
أعلنت شركة أبل بتاريخ 16 سبتمبر/أيلول 2020 عن طرح نظام التشغيل iOS 14. من بين التغييرات الأخرى، يتضمن نظام التشغيل iOS 14 و MacOS 11 دعم نظام أسماء المجالات المشفرة، وإمكانية قيام مالكي المجال بتعيين محلل DNS من إختيارهم. يؤثر هذا التغيير بشكل مباشر على قدرة Umbrella على حل بعض أسماء المجالات، مما يعني أن السياسة وإعداد التقارير الخاصة بتلك المجالات ستتأثر.
تتضمن التغييرات في نظام التشغيل iOS 14 و MacOS 11 ثلاثة تأثيرات أساسية:
1. يمكن للمستخدمين تحديد محلل DoH على مستوى النظام الذي يمكنه تجاوز محلل DNS الذي تم تعيينه بواسطة DHCP أو RA.
2. يمكن لمالكي المجال تعيين محددات DoH التي يمكنها تجاوز محلل DNS الذي تم تعيينه بواسطة DHCP أو RA للاستعلامات التي تم إجراؤها للمجال الخاص بهم.
3. يمكن للتطبيقات تحديد محلل DoH الذي يمكنه تجاوز محلل DNS الذي تم تعيينه بواسطة DHCP أو RA للاستعلامات التي تم إجراؤها من التطبيق. لا يمكن رؤية Umbrella في التطبيقات التي تقوم بذلك.
مع هذه التحديثات، لم تتضمن Apple آلية لاكتشاف محلل مشفر يشغل على IP نفسه مثل محلل الشبكة المزود، مما يعني أن الشبكات التي تعيد توجيه الاستعلامات إلى محللي Umbrella لا يمكن ترقيتها إلى خدمة DoH الخاصة ب Umbrella على doh.umbrella.com.
اعتبارا من 1 أكتوبر 2020، تمنع Umbrella اكتشاف محلل DoH الذي تم تعيينه بواسطة مالكي المجال، مما يمنع هذه المجالات من تجاوز حماية Umbrella. لا يمكن أن تمنع Umbrella التأثيرات #1 و #3 ما لم يتم تثبيت عميل Umbrella على الجهاز. يمكن للعملاء الذين يحتاجون إلى الحماية ضد هذه التأثيرات أن يفكروا في حجب عناوين IP الخاصة بمزودي خدمة DoH المعروفين كما هو موضح في هذه المقالة.
للحصول على تفاصيل كاملة حول التغييرات في نظام التشغيل iOS 14 و MacOS 11، استمر في قراءة هذا المقال.
التأثير على مستخدمي Umbrella
Cisco Security Connector (CSC)
لا يمكن أن يتأثر جهاز iOS الذي يستخدم CSC بهذا التغيير، حيث إنه يستخدم آلية وكيل DNS من Apple والتي لها أولوية على آلية اكتشاف محلل iOS.
العميل المتجول (RC) الخاص بنظام التشغيل MacOS
يمكن أن تتأثر أجهزة MacOS التي تستخدم RC بهذا التغيير، نظرا لأن RC في MacOS يشغل حاليا وكيل DNS على المضيف المحلي، والذي يتم عرضه بواسطة MacOS كحل غير مشفر. يستخدم RC تشفير DNSCrypt للاتصال بمحولات Umbrella.
قامت Umbrella بتوفير الدعم لفرضه ضد اكتشاف DoH في وحدة الأمان التجوال الخاصة بنا في AnyConnect (راجع AC أدناه) والتي تستخدم موفر وكيل DNS من Apple للتحكم في DNS. لم تتم جدولة هذا الدعم ليتم إدراجه في المنسق المقيم في الوقت الحالي. يتم ترخيص حزم Umbrella ل AC. انظروا مقالتنا.
نظام التشغيل MacOS AnyConnect Client (تيار متردد)
لا يمكن أن تتأثر أجهزة MacOS التي تستخدم AC بهذا التغيير، لأنها تستخدم حاليا آلية وكيل DNS من Apple والتي لها أولوية على آلية اكتشاف محلل MacOS.
أجهزة iOS أو MacOS خلف جهاز ظاهري (VA)
يمكن أن يتأثر هذا التغيير بنظام التشغيل iOS أو MacOS الذي لا يحتوي على CSC أو RC أو AC المثبت. وبالتالي، يمكن لمثل هذه الأجهزة الموجودة خلف نقطة الوصول (VA) إرسال استعلامات مباشرة إلى خوادم DoH التي تم تكوينها، مما يؤدي إلى تجاوز الجهاز الظاهري.
أجهزة iOS أو MacOS خلف شبكة مسجلة
لا يتأثر هذا التغيير بنظام التشغيل iOS أو نظام التشغيل MacOS الذي لا يحتوي على CSC أو RC أو AC المثبت. وبالتالي، يمكن لمثل هذه الأجهزة الموجودة خلف شبكة مسجلة إرسال استعلامات مباشرة إلى خوادم DoH التي تم تكوينها، متجاوزة إما المحلل المحلي أو Umbrella.
Umbrella و DNS المشفر
تدعم Umbrella بالكامل إستخدام نظام أسماء المجالات المشفر والمبادرات الرامية إلى النهوض باستخدام نظام أسماء المجالات المشفر. وقد دعمت محولات Umbrella تشفير DNSCrypt كوسيلة لتشفير حركة مرور DNS منذ عام 2011، وتدعم جميع برامج عميل Umbrella إستخدام تشفير DNSCrypt وتستخدمه في التكوينات الافتراضية الخاصة بها. وبالإضافة إلى ذلك، قمنا بدعم DNS عبر HTTPS (DoH) منذ فبراير 2020.
تقوم Umbrella بالإضافة إلى ذلك بالتحقق من صحة DNSSEC على الاستعلامات المرسلة إلى سلطات تدفق البيانات لضمان تكامل البيانات لجميع السجلات في ذاكرة التخزين المؤقت الخاصة بنا.
تغييرات DNS التفصيلية في iOS 14 و MacOS 11
يقدم iOS 14 و MacOS 11 آلية جديدة لاختيار محلل DNS. بينما يمكن للعملاء الذين يحتاجون إلى تفاصيل محددة التأكيد مع Apple، فإن فهم Cisco للآلية هو أنه يمكن تحديد محلل DNS مع الأولوية الموضحة هنا:
1. حل مناطق إختبار البوابة المقيدة باستخدام الشبكة التي توفرها أداة تحليل DNS
2. تكوينات وكيل VPN أو DNS (مثل Cisco Security Connector ل iOS) ومحولات DNS التي تم تعيينها بواسطة سياسات المؤسسة (مثل MDM أو OTA). (الرجاء مراجعة مورد MDM للحصول على تفاصيل حول إعداد سياسات DNS)
3. المحددات المشفرة على مستوى النظام التي يتم تكوينها مباشرة بواسطة مالكي الأجهزة
4. المحددات المشفرة المعينة من قبل مالكي المجال
5. محلل مشفر معين بواسطة التطبيقات
6. المحددات غير المشفرة (مثل المحددات المحددة عبر DHCP أو RA)
وعلى وجه الخصوص، فإننا نعتبر الأرقام 3 و 4 و 5 تغييرات مهمة لاختيار الحلول يمكن أن يكون لها تأثير مباشر على قدرة مسؤولي Umbrella على فرض إستخدام محولات Umbrella على شبكاتهم بشكل كامل.
المحولات المشفرة على مستوى النظام
يمكن للمستخدمين تثبيت تطبيق ملف تعريف تكوين من موفر DNS يسمح لهم بتكوين محلل مشفر على مستوى النظام. يمكن إستخدام هذا المحلل لجميع الاستعلامات، بغض النظر عن محلل DNS المحدد بواسطة الشبكة عبر DHCP أو RA.
حاليا، الطريقة الوحيدة المعروفة لمنع إستخدام هذه المحولات للأجهزة غير المدارة هي حظر عناوين IP الخاصة بموفري DoH المعروفين في جدار الحماية. وقد يؤدي القيام بذلك إلى تحذير لمستخدم جهاز iOS، ولا يمكن أن يرجع الجهاز إلى DNS غير المشفر، مما يعني أنه لا يمكنه حل أسماء مضيفات DNS.
المحددات المشفرة المعينة بواسطة مالكي المجال
يمكن لمالك منطقة DNS تعيين محلل محدد ليتم إستخدامه لحل منطقتها. في نظام التشغيل iOS 14 و MacOS 11، يمكن تعيين محللي DoH فقط. يتم إجراء هذا التعيين باستخدام نوع سجل DNS مخصص (النوع 65، المسمى "HTTPS")، وتم التحقق من صحته إما بواسطة DNSSEC أو URIs المعروفة جيدا.
بما أن مثل هذه التسميات قد تؤدي إلى استعلامات تتجاوز Umbrella، فإن محللي Umbrella يرجعون إستجابة مرفوضة للاستعلامات الخاصة بنوع سجل HTTPS DNS، مما يعني أن مثل هذه التسميات لن يتم اكتشافها.
تم تعيين محلل مشفر بواسطة التطبيقات
يمكن لمنشئ التطبيق تحديد محلل مشفر إحتياطي إذا لم يتم اكتشاف أي محلل مشفر آخر في أي من آليات الأولوية الأعلى. يمكن إستخدام هذا المحلل فقط إذا كان البديل هو إستخدام المحلل غير المشفر الذي تم تعيينه بواسطة DHCP أو RA.
حاليا، الطريقة الوحيدة المعروفة لمنع إستخدام هذه المحولات للأجهزة غير المدارة هي حظر عناوين IP الخاصة بموفري DoH المعروفين في جدار الحماية. ليس من المعروف بعد ما إذا كان يمكن ل iOS الرجوع إلى DNS غير المشفر في مثل هذا السيناريو.
التعليقات