تسهیل ارائهی DNS با تکنولوژی F5
در قسمت اول از این مقاله، در ابتدا به شرح تاریخچه و اهمیت مفهوم DNS پرداخته شد، سپس مشکلات امنیتی مربوط به DNS مطرح و راهکار قدیمی BIND برای پاسخگویی به این مشکلات بررسی گردید. در این قسمت به معرفی راهکار تازهی شرکت F5 در این زمینه و ویژگیهایی همچون مانند Scale On Demand، بهبود دسترسپذیری، استفاده از پلتفرم BIG-IP به عنوان فایروال در DMZ و خدمات DNS در Edge شبکه، خواهیم پرداخت.
راهکارهایی برای آیندهی رو به تغییر DNS
معماریIntelligent DNS Scale متعلق به F5، برای پاسخگویی و انعطافپذیری هوشمندانهتر به مقیاسهای مختلف Queryهای DNS به ارمغان آورده و شرایط و موقعیتهای متفاوتی از شبکه را مد نظر قرار داده است تا درخواستها و سرویسهای برنامه کاربردی را بر اساس Policyهای کسبوکار، شرایط دیتاسنتر، شرایط شبکه و عملکرد برنامه کاربردی توزیع نماید. بدین ترتیب کاربر میتواند به جای نگرانی درمورد قطعیهای DNS و خرید زیرساختهای سرور اضافه جهت راه اندازی DNS با هدف مقابله با ترافیکهای شدید شبکه، به سادگی یک دستگاه F5 BIG-IP را در DMZ متعلق به شبکهی خود نصب کرده و اجازه دهد تا این تجهیز از طرف سرور DNS اصلیاش به Queryها رسیدگی نماید.
انعطافپذیری در میزان تقاضای DNS
هر دستگاه BIG-IP میتواند به حداکثر 10 میلیون درخواست در ثانیه (RPS) پاسخ بدهد، این یعنی حتی ترافیکهای شدید درخواستهای DNS (از جمله موارد مخرب) روی محتوای کاربر یا دسترسپذیری برنامههای کاربردیِ حیاتی کاربران تاثیر نخواهد گذاشت. بدین ترتیب مدیران شبکه با دغدغه کمتری مواجه می باشند چراکه میدانند که سایت علاوه بر پاسخ به تمام Queryهای DNS، در زمان حمله نیز در دسترس خواهد ماند. این امر نام تجاری سازمان را حفظ نموده و شرکت را از رخدادهایی فاجعهآمیزی مانند از دسترس خارج شدن سایت محافظت مینماید.
بهبود دسترسپذیری با DNS Express
معماریIntelligent DNS Scale متعلق به F5 کمک میکند برنامههای کاربردی و محتوای کاربران دائما در دسترس مشتریان قرار داشته باشد. یکی از مهمترین بخشهای این معماری ویژگی پاسخ به Queryی F5 DNS Express با طراحی اختصاصی در Global Traffic Manager یا GTM متعلق به BIG-IP است که درخواستهای DNS معتبر را با انتقال Zoneها از سرور اصلی DNS به RAM مختص به خود، مدیریت مینماید.
BIG-IP GTM تنها لازم است یک بار DNS Query Packet را باز کند، به این شرط که درخواست برای آدرسی باشد که DNS Express به آن Zone انتقال یافته باشد؛ این امر فرایند را تسهیل کرده و عملکرد و زمان پاسخگویی سرویس DNS را به طور چشمگیری بهبود میبخشد.
با DNS Express، هستهی هر دستگاه BIG-IP میتواند به حدود 125.000 تا 200.000 درخواست در ثانیه پاسخ بدهد، که تا 10 میلیون درخواست در ثانیه Query افزایش مییابد و این میزان بیش از 12 برابر ظرفیت یک سرور DNS اصلی عادی میباشد.
پلتفرم BIG-IP به عنوان فایروال در DMZ
هر دستگاه BIG-IP به عنوان یک فایروال شبکه، دارای گواهی ICSA Labs است. دستگاه BIG-IP با ارزیابی هوشمندانهی اعتبار Hostهای اینترتی میتواند از اینکه مهاجمان با یک حملهی DNS DDoS، سرقت دادهها، در معرض خطر قرار دادن منابع سازمانی و یا ایجاد اختلال در کسبوکار به شیوهای دیگر، DNS کاربر را آفلاین نمایند پیشگیری کند. به علاوه، DNSSEC میتواند از زیرساختهای DNS از جمله پیادهسازیهای Cloud در مقابل حملات Cache Poisoning و Domain Hijacking محافظت نماید. با DNSSEC میتوان پاسخهای DNS Query خود را به صورت دیجیتال نشانهگذاری (Sign) و رمزگذاری نمود. این امر به Resolver این توانایی را میدهد که میزان صحت پاسخ را تعیین نموده و از این طریق از DNS Hijacking و Cache Poisoning جلوگیری نماید. سرویس F5 IP Intelligence با ندادن دسترسی به آدرسهای IP که معلوم شده است به بدافزار آلوده هستند، با نقاط توزیع بدافزار در ارتباطاند و یا دارای اعتبار اندکی هستند امنیت کلی کاربر را بهبود میبخشد.
خدمات DNS در Edge شبکه
معماری DNS هوشمند F5 با پاسخ به Queryهای DNS از Edge شبکه (نه از عمق زیرساختهای حیاتی کاربر) محتوا و برنامههای کاربردی وی را در دسترس نگه میدارد. زمانی که کاربر پاسخهای DNS را در پلتفرم BIG-IP، آفلود میکند، هیچ درخواستی به Back End شبکه نمیرسد و این امر توانایی توسعه و پاسخ به موجهای ترافیک DNS را افزایش داده و همچنین از زیرساخت DNS کاربر محافظت مینماید لازم به ذکر است که معماری Intelligent DNS Scale Reference ، با افزایش موارد زیر اطمینان حاصل مینماید که مشتریان سازمان و کاربران آن در زمان نیاز توانایی دسترسی به خدمات مهم وب، برنامهها و دیتابیس را داشته باشند:
- سرعت زیرساخت DNS
- دسترسپذیری زیرساخت DNS
- انعطافپذیری زیرساخت DNS
- امنیت زیرساخت DNS
ـــــــــــــــــــــ
ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت اول
