Introdução
Este documento descreve como combinar sua solução DNS com sua política de domínio de registro CNAME e relatórios.
Problema
Ao usar um servidor de cache do Sistema de Nome de Domínio (DNS), como BIND (com cache habilitado) ou Infoblox, sua resolução DNS não corresponde à política e aos relatórios esperados para seus domínios de registro CNAME. Uma solicitação de registro A permitida é respondida por uma referência CNAME para outro registro A em um domínio bloqueado diferente.
Por exemplo, domain.com é permitido e blocked.com é bloqueado, enquanto domain.com é um registro CNAME que aponta para blocked.com, que tem um registro A. Esse problema se apresenta como um domínio permitido sendo bloqueado sem que nenhum evento seja registrado no painel.
Solução
Há vários métodos para resolver esse problema:
- Desabilitar cache de DNS para DNS encaminhado ao Umbrella. Isso evita que esse problema ocorra.
- Permita o CNAME de destino no Umbrella Dashboard à medida que ele surgir.
- Evite armazenar em cache o tipo de registro CNAME ou, seletivamente, não armazene em cache os domínios afetados de forma reativa.
Causa
A causa raiz desse problema é o cache DNS para registros CNAME que apontam para um domínio diferente, onde o domínio de destino é bloqueado. Como o domínio é permitido, os resolvedores de Umbrella sinalizam toda a consulta como permitida, carregando a cadeia CNAME. Isso resulta em uma consulta permitida.
Como diferentes domínios variam em TTL, e os registros de blocos Umbrella para categorias mal-intencionadas têm um TTL igual a zero, o cache interfere.
Este é um cenário em que domain.com é permitido e blocked.com é bloqueado e domain.com é um registro CNAME que aponta para blocked.com que tem um registro A.
Consulta inicial:
Registro A para domain.com: Lista de permissões, CNAME para blocked.com -> Consulta de registro A para blocked.com, proveniente de um CNAME, bit de permissão passado dentro do Umbrella - Registro A para blocked.com retornado.
Análise: Consultas feitas ao Umbrella: domain.com -> blocked.com. Resultado: Permitido. A Umbrella registra domain.com como permitido, blocked.com como permitido.
Consulta subsequente:
Registro A para domain.com: CACHED - é um CNAME para blocked.com -> consulta de registro A para blocked.com: CACHED - Um registro para blocked.com foi retornado.
Análise: Consultas feitas ao Umbrella: Nenhum. Sem registros de guarda-chuva.
Consulta futura (dispara o problema):
Registro A para domain.com: CACHED - é um CNAME para blocked.com -> Consulta de registro A para blocked.com (consulta autônoma - o CNAME foi armazenado em cache) - bloqueado.
Análise: Consultas feitas ao Umbrella: blocked.com. Resultado: Bloqueado. A Umbrella registra blocked.com como bloqueada.
Informações adicionais
Feedback