فهم معلومات اكتشاف VPN من إنتاج جهة خارجية باستخدام عميل Umbrella Roaming Client

المقدمة

يصف هذا المستند تحليلات اكتشاف VPN الخاصة بعميل Umbrella من جهة خارجية.

معلومات أساسية

قام عميل Umbrella بتنفيذ آليات اكتشاف مؤتمتة للرد على تغييرات VPN لضمان الحفاظ على وظائف DNS. وقد يتسبب ذلك في بقاء العميل غير محمي مؤقتا أثناء اتصال الشبكة الخاصة الظاهرية (VPN). نلخص هذه الآليات أدناه.

استعلامات اكتشاف VPN من الطرف الثالث

يناقش هذا المستند ثلاث اكتشافات عامة مختلفة يستخدمها عميل Umbrella Roaming Client (URC) لاكتشاف نشاط VPN على نظام Windows لإيقاف نشاط حماية DNS مؤقتا لتجنب التعارض مع عميل VPN. يدخل عميل حماية متجول متوقف مؤقتا إلى الحالة غير المحمية.

الحالة 1: يقوم عميل شبكة VPN بإعداد قائمة من محللي DNS باستخدام عنوان IP الخاص به ل DNS

عندما يقوم URC بإعادة توجيه حركة مرور البيانات إلى محلل Umbrella، فإنه يتم تعيين مهايئات الشبكة المختلفة الموجودة على النظام لاستخدام 127.0.0.1 أو ::1 كخادم DNS الخاص بها (يقوم URC بتشغيل وكيل DNS محلي على عنوان IP هذا، مع الاستماع إلى المنفذ 53).  عندما يتم اكتشاف حدث شبكة، ويتم تغيير إعدادات DNS، يبحث URC عن 127.0.0.1 أو ::1 (حسب مكدس الشبكة، 127.0.0.1 ل IPv4 و:1 ل IPv6) في قائمة عناوين IP الخاصة ب DNS لكل محول شبكة. في حالة العثور عليه، وفي حالة تعيين عنوان IP مسبقا (على سبيل المثال، 10.0.0.23 و 192.168.2.23 و 127.0.0.1 إعدادات DNS)، يقوم URC بتعليق الحماية.  تظل هذه الحالة سارية المفعول حتى يتغير عدد واجهات الشبكة النشطة ويعيد تعيين حالة العميل.

الحالة 2: يقوم عميل شبكة VPN بمراقبة عناصر تحليل DNS وإعادة تعيينها عند تغييرها

بعض عملاء VPN، بعد تعيين تكوين DNS، لمراقبة هذه الإعدادات بشكل نشط، وإعادة ضبطها إذا انحرفت عن التكوين المحدد من قبل عميل VPN.  يراقب URC انعكاس عنوان DNS، وإذا حدث التراجعات 3 مرات خلال 20 ثانية، يقوم URC بتعليق الحماية. هذا يغطي أي إرتداد يحدث على الإيقاع كل 5 ثواني أو أقل. ويظل هذا الوضع ساريا إلى أن يتغير عدد واجهات الشبكة النشطة ويقوم العميل بإعادة الضبط.

الحالة 3: يعترض عميل شبكة VPN سجلات A و AAA في طبقة الشبكة ويعيد توجيهها

يتعارض بعض عملاء شبكات VPN مع السجلات A و AAA (بمعنى أنهم يقومون بإعادة توجيه أنواع السجلات هذه فقط) أثناء ترك أنواع السجلات الأخرى وحدها.  في هذه الحالة، تتصل URC مع محلل Umbrella بدون مشاكل ل TXT، والمزيد. سجلات، ولكن لا يتم تطبيق أي حماية فعليا لأنه لا يتم الرد على السجلات A و AAA عبر محلل Umbrella. قبل التطبيق الفعلي لحماية DNS، يتحقق URC من تداخل سجل A و AAA عن طريق إرسال بعض سجلات الاختبار إلى Umbrella. إذا لم يعد الرد أو لم يكن ما هو متوقع، فإن "مركز إعادة التأهيل المجتمعي" يعلق الحماية.  نظرا لعدم تشغيل أي أحداث شبكة في هذه الحالة، يتحقق URC بشكل دوري من هذا الشرط. يمكن أن يتم تشغيل هذه الآلية أيضا في وجود وكيل برنامج مثل Netskope.

حالات أخرى

يحتوي بعض عملاء الشبكات الخاصة الظاهرية (VPN) على توافق واضح مضاف بواسطة Umbrella. ويعد هذا الدعم صريحا لعميل الشبكة الخاصة الظاهرية (VPN) (Aventail) من Dell وعميل Pulse Secure في المستقبل.