DNS прокси

Fireware XTM предоставляет вам два способа управления DNS трафиком: пакетный фильтр DNS и политика DNS прокси. Важно понимать, что настройки DNS прокси будут использовать эффективно только если DNS запрост будет маршрутизироваться через ваш Firebox.

Если вы создадите новый конфигурационный файл, то в файл автоматически добавится политика пакетного фильтра Outgoing, которая разрешает все TCP и UDPподключения из ваших Trusted и Optional сетей во внешнюю сеть. Это позволяет вашим пользователям подключаться к внешнему DNS серверу через стандартные порты TCP 53 и UDP 53. Так как Outgoing – это пакетный фильтр, то он не сможет вас защиить от UDP троянов, DNS эксплойтов и других проблем, связанными с разрешением всего UDP трафика из вашей Trusted сети.

Действий прокси DNS-Outgoing имеет средства защиты вашей сети от атак такого типа. Если вы используете внешние DNS серверы для вашей сети, то набор правил DNS-Outgoing предлагает дополнительные способы управления сервисами, доступными пользователям вашей сети.

Затем при необходимости в диалоговом окне New/EditPolicyPropertiesвы можете изменить параметры прокси. Поля в этом окне разделены на три закладки: Policy, Properties и Advanced. Вдобавок закладка Propertiesсодержит иконку для настройки действия прокси.

Закладка Policy

• DNS-proxy connections are — Allowed (Разрешены), Denied (Заблокированы) или Denied (send reset) (Заблокированы, отправлять TCP RESET). Укажите, кто будет в списках From и To (закладка Policy в настройках прокси)
• Usepolicy-basedrouting— Маршрутизация на базе политики.
• Вы также можете настроить статическую NATили балансировку нагрузки

Закладка Properties

• Из выпадающего списка Proxyactionукажите для кого вы создаете действие: клиента или сервера. Для настройки журнала нажмите Loggingи выполните необходимые настройки
• Если в выпадающем списке Сonnectionsare (закладка Policy) вы выберете Deniedили Denied(sendreset), вы можете заблокировать сайты, которые пытаются использовать DNS.

Прокси WatchGuard имеют предустановленные наборы правил, которые обеспечивают необходимый уровень доступности и безопасности для большинства инсталляций. Если набор правил по умолчанию не соответствует вашим требованиям, вы можете создать новый набор правил, или изменить существующий. Для того чтобы изменить параметры правил для действия прокси выполните следующее:

1. Нажмите
2. Выберите категорию:
   
   * DNSproxy: Generalsettings
   
   * DNSproxy: OPcodes
   
   * DNSproxy: Querytypes
   
   * DNSproxy: Querynames
   
   * Обнаружение проникновений в прокси
   
   * Тревоги прокси и AV. SNMP ловушки и уведомления отключены по умолчанию.
3. Сохраните сделанные изменения.

Закладка Advanced

В этой закладке вы можете настроить следующее:

• Созданий расписаний для действийFirebox
• Добавление действия TrafficManagement к политике
• Настройка обработкиICMP ошибок
• Применение правилNAT
• Включение QoS маркирования или настроек приоритизации для политики
• Настройка длительности sticky соединения для политики

DNSproxy: Generalsettings

На странице General(первая страница, которая открыватеся после того, как вы нажмете иконку View/EditProxy) вы можете изменить параметры двух правил обнаружения аномалий протокола. Мы не рекомендуем изменять значения по умолчанию.

NotofclassInternet

Выберите этот параметр, если вы хотите чтобы действие выполнялось при проверке DNS трафика, который не принадлежит к Интернет-классу. По умолчанию такой трафик не пропускается. Мы рекомендуем не изменять используемое по умолчанию действие.

Badlyformattedquery

Действие выполняется при проверке DNS трафика, который использует неправильный формат.

Alarm

Тревога – это механизм уведомления пользователей о том, что передаваемый ими трафик был обработан правилом прокси. Для того чтобы настроить тревогу для этого события включите опцию Alarm. Для того чтобы настроить параметры тревоги выберите ProxyAlarmиз списка Categoriesв левой части окна ProxyConfiguration. Вы можете использовать SNMP ловушку, электронное письмо или всплывающее окно.

Log

Опция записи события в журнал.

Turnonloggingforreports

Создает запись в журнале для каждой транзакции. Эта опция создает большой файл журнала, но эта информация очень важна. Если вы не включите эту опцию, то в отчетах вы не сможете посмотреть подробную информацию об DNS подключениях через прокси.

DNSproxy: OPcodes

DNSOPcodes (operationcodes) – это команды, которые даются на DNS сервере для выполнения каких-либо действий: запрос (Query), инверсный запрос (IQuery) и запрос статуса сервера (STATUS). Вы можете разрешить, запретить или заблокировать определенные команды DNSOPcodes.

1. В секции Categories выберите OPCodes.
2. Для того чтобы включить правило, напротив него включите опцию Enabled

Если вы используете ActiveDirectory и ваша конфигурации ActiveDirectory требует динамических обновлений, то вам необходимо разрешить DNSOPcodes в правилах ваших действий прокси DNS-Incoming. Это создаст угрозу вашей системе безопасности, однако для корректной работы ActiveDirectory это необходимо.

Добавление правилаOPcodes

1. Нажмите Add.
   Откроется диалоговое окно NewOPCodesRule.
2. Введите имя для правила.
   Имена правил не должны превышать 200 символов.
3. Значение DNS OPcodes является целым числом. При помощи стрелок установите необходимое значение OPCode.
   Для более подробной информации о значениях DNSOPcodes, см. RFC 1035.

Удаление или изменение правил

1. Добавьте, удалите или измените правила, как описано в “Добавление, редактирование или изменение правил”
2. Если вы хотите изменить параметры для одной или нескольких категорий, см. раздел по этой категории далее в этом документе.
3. После того, как вы закончите, нажмите OK.
4. Если вы внесли изменения в предопределенное действие прокси, то вам необходимо скопировать ваши настройки в новое действие.
5. Введите имя нового действия и нажмите OK.
   ОткроетсядиалоговоеокноNew Policy Properties.

DNSproxy: Querytypes

Здесь вы можете настроить типы DNS запросов – запрос для обычных записей (CNAME или TXT) или специфичный запрос типа AXFR-запрос на трансфер зоны. Здесь вы можете разрешить, запретить, блокировать определенные типы DNS запросов.

1. ВсекцииCategories выберитеQuery Types

1. Для того включить правило включите опцию Enabled напротив него.

Добавление нового правила типа запроса

1.     Для того чтобы добавить новое правило для типов запроса нажмитеAdd.
Откроется окно NewQueryTypesRule.

1. Введите название правила.
   Названия правил могут содержать не более 200 символов.
2. У типов DNS-запросов есть параметр RR(Resource Record – Запись ресурса). При помощи стрелок установите необходимое значение параметра.
   Для более подробной информации о значениях типов DNS-запросов.
3. Добавьте, удалите или измените правила, как описано в “”
4. Если вы хотите изменить параметры для одной или нескольких категорий, см. раздел по этой категории далее в этом документе.
5. После того, как вы закончите, нажмите OK.
6. Если вы внесли изменения в предопределенное действие прокси, то вам необходимо скопировать ваши настройки в новое действие.
7. Введите имя нового действия и нажмите OK.
   ОткроетсядиалоговоеокноNew Policy Properties.

DNSproxy: Querynames

Имя DNS-запроса относится к определенному доменному имени, которое отображается как Полное Доменное Имя (FQDN). Вы можете добавлять, удалять и редактировать правила.

1. ВсекцииCategoriesвыберитеQueryNames

1. Добавьте, удалите или измените правила, как описано в“Добавление, редактирование или изменение правил”
2. Если вы хотите изменить параметры для одной или нескольких категорий, см. раздел по этой категории далее в этом документе.
3. После того, как вы закончите, нажмите OK.
4. Если вы внесли изменения в предопределенное действие прокси, то вам необходимо скопировать ваши настройки в новое действие.
5. Введите имя нового действия и нажмите OK.
   ОткроетсядиалоговоеокноNew Policy Properties.

MX (MaileXchange) записи

MX (MaileXchange) запись – это тип DNS записи, которая возвращает один или несколько имен хостов серверов электронной почты, которые отвечают за получение электронной почты в этом домене. Если MX запись содержит несколько имен хостов, то каждому имени присваивается номер, который определяет приоритеты хостов.

Поиск MXзаписи

Когда сервер электронной почты отправляет письмо, он сначала отправляет DNS запрос на для MX записи домена получателя этого письма.  После того, как сервер получит ответ, он будет знать имена авторизованных хостов для обмена почтой в домене получателя письма. Для того чтобы получить IP адрес одного из этих хостов сервер электронной почты отправляет второй DNS запрос для A записи имени хоста. DNS сервер возвращает IP адрес, соответствующий этому имени хоста.

ReverseMXlookup

Большинство анти-спам решений, включая те, которые используются большинством ISP или провайдерами электронной почты (AOL, MSN и Yahoo!) используют реверсивный MX поиск. Используются различные виды реверсивного поиска, однако цель у них одна: сервер получателя хочет проверить, чтобы электронное письмо не пришло с какого-либо постороннего адреса и что сервер, с которого пришло это письмо, является авторизованным хостом для этого домена.

Для проверки является ли сервер отправителя авторизованным сервером электронной почты, сервер получателя пытается найти MX запись, которая соответствует домену отправителя. Если такая запись не найдена, то электронная почта считается спамом и блокируется.

Имя домена, которое ищет сервер получателя, может быть:

• Именем домена в заголовке From: электронного письма
• Именем домена в заголовке Reply-To: электронного письма
• Имя домена, которое сервер отправителя использует в качестве FROM параметра команды MAIL. (SMTP команда отличается от заголовка электронного письма. Сервер отправителя шлет команду MAILFROM: серверу получателя для того, чтобы он понял от кого это электронное сообщение)
• Именем домена, которое возвращается в ответ на DNS запрос  IP адреса источника. Сервер получателя иногда запрашивает PTR запись, которой соответствует определенный IP адрес. Запись PTRDNS – это запись, которая привязывает IP адрес к имени домена (Обычная Aзапись привязывает имя домена к IP адресу).

Перед тем как продолжить транзакцию сервер получателя отправляет DNS запрос для проверки, существует ли валидная MX запись для домена отправителя. Если для домена отправителя нет валидной DNSMX записи, тогда отправитель считается невалидным и его сообщение считается спамом и блокируется сервером получателя.

MX записи и multi-WAN

Так как при использовании multi-WAN исходящие пакеты устройства Firebox могут содержать различные IP адреса источника, вам необходимо убедиться что ваш DNS записи содержат MX записи для каждого внешнего IP адреса, который используется в качестве адреса источника при отправке электронной почты. Если список хостов в вашей MX записи домена не содержит записи для каждого External интерфейса Firebox, то возможно некоторые удаленные серверы электронной почты будут блокировать вашу почту.

Например, у компании XYZ есть Firebox с несколькими External интерфейсами. Firebox использует метод multi-WAN переключения. Запись MX компании XYZ содержит только одно имя хоста. Это имя хоста имеет A запись, которая соответствует IP адресу основного External интерфейса Firebox.

Когда компания XYZ отправляет электронное письмо на test@yahoo.com, оно передается через основной external интерфейс. Это письмо попадает на один серверов электронной почты Yahoo. Этот сервер выполняет реверсивный поиск MX записи для идентификации компании XYZ. Реверсивный поиск MX записи выполнен успешно и электронное письмо доставляется получателю.

В случае WAN переключения на Firebox, все исходящие соединения осуществляться через резервный external интерфейс. В этом случае почтовый сервер Yahoo опять выполняет реверсивный поиск MX и не находит IP адреса компании в MX и A записях компании XYZ. В результате электронное письмо блокируется. Для того чтобы решить эту проблему вам необходимо следующее:

• MX запись содержит несколько имен хостов, по крайней мере один для каждого External интерфейса Firebox.
• По крайней мере одно имя хоста должно иметь DNSAзапись, которая содержит IP адрес, присвоенный каждому интерфейсу Firebox.

Добавление имени хоста в MX запись

MX записи хранятся, как часть ваших DNS записей домена. Для более подробной информации о настройке MX записей, свяжитесь с вашим хост-провайдером DNS или посмотрите документацию по вашему DNS серверу.