دليل نشر وحدة الأمان التجوال ل AnyConnect OpenDNS

المقدمة

يصف هذا المستند خطوات التثبيت والتكوين واستكشاف أخطاء الوحدة النمطية تجوال OpenDNS (Umbrella) وإصلاحها. في AnyConnect 4.3.x والإصدارات الأحدث، يتوفر الآن عميل OpenDNS المتجول كوحدة نمطية مدمجة. وتعرف أيضا باسم وحدة أمان السحابة ويمكن نشرها مسبقا إلى نقطة النهاية باستخدام مثبت AnyConnect، أو يمكن تنزيلها من جهاز الأمان القابل للتكيف (ASA) عبر نشر الويب.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Cisco AnyConnect Secure Mobility
• وحدة OpenDNS/Umbrella Roaming Module
• ASA من Cisco

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• ASA الإصدار 9.3(3)7 من Cisco
• Cisco AnyConnect Secure Mobility Client 4.3.01095
• الوحدة النمطية المتجولة OpenDNS 4.3.01095
• مدير أجهزة حلول الأمان المعدلة (ASDM) 7.6.2 من Cisco أو إصدار أحدث
• نظام التشغيل Microsoft Windows 8.1
• ملاحظة: الحد الأدنى لمتطلبات نشر وحدة OpenDNS Umbrella هو:
  - AnyConnect VPN Client الإصدار 4.3.01095 أو إصدار أحدث
  - ASDM 7.6.2 أو إصدار أحدث من Cisco
  الوحدة النمطية للتجوال OpenDNS غير مدعومة حاليا على منصة Linux.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أوامر أو تكوين.

معلومات أساسية

OrgInfo.json

لكي تعمل الوحدة النمطية تجوال OpenDNS بشكل صحيح، يجب تنزيل ملف orgInfo.json من لوحة معلومات OpenDNS أو دفعه من ASA قبل إستخدام الوحدة النمطية. عند تنزيل الملف لأول مرة، يتم حفظه في مسار معين يعتمد على نظام التشغيل.

بالنسبة لنظام التشغيل Mac OS X، يتم تنزيل orgInfo.json إلى /opt/cisco/anyconnect/Umbrella.
بالنسبة لأنظمة التشغيل Microsoft Windows، يتم تنزيل OrgInfo.json إلى موقع الويب C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella.

{
"organizationId" : "XXXXXXX",
"fingerprint" : "XXXXXXXXXXXXXXXXXXXXXXXXXX",
"userId" : "XXXXXXX"
}

كما هو موضح، يستخدم الملف ترميز UTF-8 ويحتوي على OrganizationId، وبصمة الأصابع، و userId. يمثل معرف المؤسسة معلومات المؤسسة للمستخدم الذي تم تسجيل دخوله حاليا إلى لوحة معلومات OpenDNS. معرف المؤسسة ثابت وفريد وتم إنشاؤه تلقائيا بواسطة OpenDNS لكل مؤسسة. يتم إستخدام بصمة الإصبع للتحقق من صحة ملف OrgInfo.json أثناء تسجيل الجهاز، ويمثل معرف المستخدم معرف فريد للمستخدم الذي قام بتسجيل الدخول.

عند بدء تشغيل الوحدة النمطية المتجولة على Windows، يتم نسخ ملف orgInfo.json إلى دليل البيانات الموجود تحت دليل Umbrella ويتم إستخدامه كنسخة عاملة. في Mac OS X، يتم حفظ المعلومات من هذا الملف إلى updater.plist في دليل البيانات تحت دليل Umbrella. بمجرد نجاح الوحدة النمطية في قراءة المعلومات من ملف OrgInfo.json، فإنها تحاول التسجيل باستخدام OpenDNS باستخدام واجهة برمجة تطبيقات (API) خاصة بالسحابة. يؤدي هذا التسجيل إلى تعيين OpenDNS لمعرف جهاز فريد للجهاز الذي حاول التسجيل. إذا كان معرف الجهاز من التسجيل السابق متاحا بالفعل، فإن الجهاز يتخطى التسجيل.

بعد اكتمال التسجيل، تقوم الوحدة النمطية للتجوال بتنفيذ عملية مزامنة من أجل إسترداد معلومات النهج لنقطة النهاية. يعد معرف الجهاز ضروريا لكي تعمل عملية المزامنة. تتضمن بيانات المزامنة SyncInterval، ونطاقات التجاوز الداخلية، وعناوين IP من بين أمور أخرى. يقصد ب Sync interval عدد الدقائق التي يجب بعدها أن تحاول الوحدة النمطية إعادة المزامنة.

سلوك التحقق من DNS

عند نجاح التسجيل والمزامنة، ترسل الوحدة النمطية المتجولة استكشافات نظام اسم المجال (DNS) إلى المحددين المحليين التابعين لها. تتضمن طلبات DNS استعلامات TXT هذه ل debug.opendns.com. استنادا إلى الاستجابة، يمكن للعميل تحديد ما إذا كان هناك جهاز ظاهري (VA) محلي ل OpenDNS في الشبكة.

إذا كان أحد الأجهزة الظاهرية (VA) موجودا، فإنه يتم تحويل العميل إلى وضع "خلف-VA"، ولا يتم تنفيذ DNS على نقطة النهاية. يعتمد العميل على نقطة الوصول (VA) لتنفيذ نظام أسماء المجالات (DNS) على مستوى الشبكة.

في حالة عدم وجود VA، يرسل العميل طلب DNS إلى المحددات العامة ل OpenDNS (208.67.222.222) باستخدام UDP/443.

تشير إستجابة إيجابية إلى أن تشفير DNS ممكن. إذا تم تلقي إستجابة سلبية، يرسل العميل طلب DNS إلى الحلول العامة ل OpenDNS باستخدام UDP/53.

تشير إستجابة إيجابية لهذا الاستعلام إلى إمكانية حماية DNS. إذا تم تلقي إستجابة سلبية، يقوم العميل بإعادة محاولة الاستعلام في بضع ثوان.

عند تلقي مجموعة من الاستجابات السلبية، ينتقل العميل إلى حالة الفشل المفتوح. تعني حالة الفشل المفتوحة أن تشفير DNS و/أو حمايته غير ممكن. بمجرد انتقال الوحدة النمطية للتجوال بنجاح إلى حالة محمية و/أو مشفرة، يتم إرسال جميع استعلامات DNS لمجالات البحث خارج مجالات البحث المحلية ومجالات التجاوز الداخلي إلى تحليلات OpenDNS لحل الاسم. مع تمكين حالة التشفير، يتم تشفير جميع حركات DNS بواسطة عملية DNSCRYPT.

سلوك DNS مع أوضاع AnyConnect النفقي

1. Tunnel-all (أو Tunnel-all-DNS enabled)

ملاحظة: كما هو موضح، يكون السلوك الافتراضي هو أن تقوم الوحدة النمطية الجوالة بتعطيل حماية DNS بينما يكون نفق VPN بتكوين tunnel-all نشطا. لكي تكون الوحدة النمطية نشطة أثناء تكوين AnyConnect tunnel-all، يجب إلغاء تحديد خيار تعطيل عميل التجوال بينما جلسات VPN ذات النفق الكامل نشطة على مدخل OpenDNS. تتطلب القدرة على تمكين هذه الميزة مستوى اشتراك متقدم باستخدام OpenDNS. تفترض المعلومات التالية أن حماية DNS عبر الوحدة النمطية المتجولة ممكنة.

جزء المجال الذي تم الاستعلام عنه من قائمة التجاوز الداخلي

يتم السماح بطلبات DNS التي تنشأ من محول النفق وإرسالها إلى خوادم DNS الخاصة بالنفق، عبر نفق VPN. سيظل الاستعلام غير محلول إذا تعذر حله بواسطة خوادم DNS النفقية.

المجال الذي تم الاستعلام عنه ليس جزءا من قائمة التجاوز الداخلي

يتم السماح بطلبات DNS التي تنشأ من مهايئ النفق، وسيتم تكليفها بعمليات الحل العامة ل OpenDNS عبر الوحدة النمطية المتجولة وإرسالها عبر نفق VPN. بالنسبة لعميل DNS، سيظهر الأمر كما لو كان تحليل الاسم قد حدث عبر خادم VPN DNS. إذا لم ينجح تحليل الاسم بواسطة OpenDNS، تفشل الوحدة النمطية المتجولة في الوصول إلى خوادم DNS التي تم تكوينها محليا، بدءا من مهايئ VPN (وهو المهايئ المفضل أثناء تشغيل النفق).

2. Split-DNS (Tunnel-all-DNS يعجز)

ملاحظة: تتم إضافة جميع مجالات Split-DNS تلقائيا إلى قائمة التجاوز الداخلي للوحدة النمطية الجوالة عند إنشاء نفق. ويتم القيام بذلك لتوفير آلية معالجة DNS متسقة بين AnyConnect والوحدة النمطية المتجولة. تأكد من أنه في تكوين DNS المنقسم (مع اتصال Split-include النفقي) لا يتم تضمين المحددات العامة ل OpenDNS في شبكات Split-include.

ملاحظة: في Mac OS X، إذا تم تمكين Split-DNS لكل من بروتوكولات IP (IPv4 و IPv6) أو تم تمكينها فقط لبروتوكول واحد ولا يوجد تجمع عناوين تم تكوينه للبروتوكول الآخر، يتم فرض True Split-DNS مماثل ل Windows.
إذا تم تمكين Split-DNS لبروتوكول واحد فقط وتم تعيين عنوان عميل للبروتوكول الآخر، يتم فرض وضع DNS الاحتياطي للاتصال النفقي المنقسم فقط. هذا يعني أن AnyConnect يسمح فقط لطلبات DNS التي تطابق مجالات DNS المقسمة عبر النفق (يتم الرد على الطلبات الأخرى بواسطة AC مع رفض الاستجابة لفرض تجاوز الفشل على خوادم DNS العامة)، ولكن لا يمكنه فرض أن الطلبات التي تطابق مجالات DNS المقسمة لا يتم إرسالها في الخلاء عبر المهايئ العام.

جزء المجال الذي تم الاستعلام عنه من قائمة التجاوز الداخلي وكذلك جزء من مجالات Split-DNS

يتم السماح بطلبات DNS التي تنشأ من محول النفق وإرسالها إلى خوادم DNS الخاصة بالنفق، عبر نفق VPN. سيتم الاستجابة لجميع الطلبات الأخرى لمطابقة المجالات من المحولات الأخرى من قبل برنامج تشغيل AnyConnect الذي لا يحمل "هذا الاسم" لتحقيق انقسام DNS حقيقي (منع تعيين DNS إحتياطيا). لذلك، تتم حماية حركة مرور DNS غير النفق فقط بواسطة الوحدة النمطية المتجولة.

جزء المجال الذي تم الاستعلام عنه من قائمة التجاوز الداخلي، ولكن ليس جزء من مجالات Split-DNS

يتم السماح بطلبات DNS التي تنشأ من المهايئ الفعلي وإرسالها إلى خوادم DNS العامة، خارج نفق VPN. ستتم الاستجابة لجميع الطلبات الأخرى لمطابقة المجالات من محول النفق بواسطة برنامج تشغيل AnyConnect الذي لا يحمل "هذا الاسم" لمنع إرسال الاستعلام عبر نفق VPN.

المجال الذي تم الاستعلام عنه ليس جزءا من قائمة التجاوز الداخلي أو مجالات Split-DNS

يتم السماح بطلبات DNS التي تنشأ من المهايئ الفعلي ووضعها تحت الوكيل إلى محولات OpenDNS العامة، ويتم إرسالها خارج نفق VPN. بالنسبة لعميل DNS، سوف تظهر كما لو كان تحليل الاسم قد حدث عبر خادم DNS العام. في حالة فشل تحليل الاسم عبر حزم OpenDNS، تفشل الوحدة النمطية المتجولة في الوصول إلى خوادم DNS التي تم تكوينها محليا، باستثناء الخوادم التي تم تكوينها على محول VPN. ستتم الاستجابة لجميع الطلبات الأخرى لمطابقة المجالات من محول النفق بواسطة برنامج تشغيل AnyConnect الذي ليس له هذا الاسم لمنع إرسال الاستعلام عبر نفق VPN.

3. نفق Split-Include أو Split-Exclude (لا يوجد تقسيم DNS و tunnel-all-DNS معطل)

جزء المجال الذي تم الاستعلام عنه من قائمة التجاوز الداخلي

يقوم محلل نظام التشغيل الأصلي بتنفيذ دقة DNS بناء على ترتيب مهايئات الشبكة، ويعتبر AnyConnect المحول المفضل عندما تكون الشبكة الخاصة الظاهرية (VPN) نشطة. سوف تنشأ طلبات DNS أولا من محول النفق ويتم إرسالها إلى خوادم DNS النفق، عبر نفق VPN. إذا تعذر حل الاستعلام بواسطة خوادم DNS للنفق، فسيحاول محلل OS حل المشكلة عبر خوادم DNS العامة.

المجال الذي تم الاستعلام عنه ليس جزءا من قائمة التجاوز الداخلي

يقوم محلل نظام التشغيل الأصلي بتنفيذ دقة DNS بناء على ترتيب مهايئات الشبكة، ويعتبر AnyConnect المحول المفضل عندما تكون الشبكة الخاصة الظاهرية (VPN) نشطة. سوف تنشأ طلبات DNS أولا من محول النفق ويتم إرسالها إلى خوادم DNS النفق، عبر نفق VPN. إذا تعذر حل الاستعلام بواسطة خوادم DNS للنفق، فسيحاول محلل OS حل المشكلة عبر خوادم DNS العامة.

إذا كانت المحددات العامة ل OpenDNS جزءا من قائمة split-include أو ليست جزءا من قائمة split-exclude، يتم إرسال طلب الوكيل عبر نفق VPN.

إذا لم تكن المحولات العامة ل OpenDNS جزءا من قائمة Split-include أو جزءا من قائمة Split-Exclude، يتم إرسال طلب الوكيل خارج نفق VPN.

إذا لم ينجح تحليل الاسم بواسطة OpenDNS، تفشل الوحدة النمطية المتجولة في الوصول إلى خوادم DNS التي تم تكوينها محليا، بدءا من مهايئ VPN (وهو المهايئ المفضل أثناء تشغيل النفق). في حالة عدم نجاح الاستجابة النهائية التي تم إرجاعها بواسطة الوحدة النمطية للتجوال (ووضعها كوكيل مرة أخرى إلى عميل DNS الأصلي)، سيحاول العميل الأصلي إستخدام خوادم DNS الأخرى، إذا كانت متوفرة.

تثبيت وحدة Umbrella Roaming Module وتكوينها

من أجل دمج الوحدة النمطية تجوال OpenDNS مع عميل AnyConnect VPN، يلزم تثبيت الوحدة النمطية إما من خلال أسلوب النشر المسبق أو أسلوب نشر الويب:

أسلوب (يدوي) ما قبل النشر

يتطلب النشر المسبق التثبيت اليدوي للوحدة النمطية المتجولة ل OpenDNS ونسخ ملف orgInfo.json على جهاز المستخدم. تتم عمليات النشر واسعة النطاق بشكل نموذجي باستخدام أنظمة إدارة البرامج الخاصة بالمؤسسات (SMS).

نشر الوحدة النمطية تجوال OpenDNS

أثناء تثبيت حزمة AnyConnect، أختر وحدات الأمان التجوال AnyConnect VPN وAnyConnect Umbrella:

نشر OrgInfo.json

لتنزيل ملف OrgInfo.json، أكمل الخطوات التالية: 

1. قم بتسجيل الدخول إلى لوحة معلومات OpenDNS.
2. أختر تشكيل > هويات > أجهزة الكمبيوتر المتجولة.
3. انقر فوق علامة +.
4. قم بالتمرير إلى أسفل واختر ملف تعريف الوحدة النمطية في قسم وحدة أمان التجوال AnyConnect Umbrella كما هو موضح في هذه الصورة:

بمجرد تنزيل الملف، يجب حفظه في أحد هذه المسارات، والذي يعتمد على نظام التشغيل.

بالنسبة لنظام التشغيل Mac OS X: /opt/cisco/anyconnect/Umbrella
لأنظمة التشغيل Windows: C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella

أسلوب نشر الويب

نشر الوحدة النمطية تجوال OpenDNS

تنزيل حزمة AnyConnect Security Mobility Client (أي، AnyConnect-win-4.3.02039-k9.pkg) من موقع Cisco على الويب وتحميلها إلى ذاكرة ASA المؤقتة. أختر ما إن يتم تحميلها، في ASDM، نهج المجموعة > متقدم > AnyConnect Client > وحدات العميل الاختيارية للتنزيل ثم أختر Umbrella Roaming Security (أمان حماية التجول).

مكافئ واجهة سطر الأوامر

group-policy <Group_Policy_Name> attributes
 webvpn
  anyconnect modules value umbrella

نشر OrgInfo.json

1. قم بتنزيل ملف OrgInfo.json من لوحة معلومات OpenDNS وتحميله إلى ذاكرة ASA المؤقتة.

2. قم بتكوين ASA لدفع ملف OrgInfo.json إلى نقاط النهاية البعيدة.

webvpn
 anyconnect profiles OpenDNS disk0:/OrgInfo.json
!
!
group-policy <Group_Policy_Name> attribute
 webvpn
  anyconnect profiles value OpenDNS type umbrella 

ملاحظة: يمكن تنفيذ هذا التكوين فقط من خلال واجهة سطر الأوامر. لاستخدام ASDM لهذه المهمة، يلزم تثبيت الإصدار 7.6.2 من ASDM أو إصدار أحدث على ASA.

بمجرد تثبيت Umbrella Roaming Client (عميل حماية التجول) عبر إحدى الطرق التي تمت مناقشتها، يجب أن يظهر كوحدة نمطية مدمجة في واجهة المستخدم الرسومية (GUI) من AnyConnect كما هو موضح في هذه الصورة:

لن تتم تهيئة الوحدة النمطية للتجوال Umbrella حتى يتم نشر OrgInfo.json على نقطة النهاية في الموقع الصحيح.

التكوين

يعرض القسم نموذج لأجزاء تكوين واجهة سطر الأوامر (CLI) الضرورية لتشغيل الوحدة النمطية المتجولة ل OpenDNS باستخدام أوضاع AnyConnect المختلفة.

!--- ip local pool for vpn
ip local pool vpn_pool 198.51.100.1-198.51.100.9 mask 255.255.255.224

!--- Optional NAT Hairpin configuration to reach OpenDNS servers through VPN tunnel
object network OpenDNS
 subnet 198.51.100.0 255.255.255.0
nat (outside,outside) source dynamic OpenDNS interface
! 
same-security-traffic permit intra-interface

!--- Global Webvpn Configuration 
webvpn
 enable outside
 anyconnect image disk0:/anyconnect-win-4.3.01095-k9.pkg 1
 anyconnect profiles Anyconnect disk0:/anyconnect.xml
 anyconnect profiles OpenDNS disk0:/OrgInfo.json
 anyconnect enable
 tunnel-group-list enable
 
!--- split-include Configuration
access-list Split_Include standard permit <host/subnet>
 
group-policy OpenDNS_Split_Include internal
group-policy OpenDNS_Split_Include attributes
 wins-server none
 dns-server value 198.51.100.11
 vpn-tunnel-protocol ssl-client ssl-clientless
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Split_Include
 split-dns value 
     
      (Optional Split-DNS Configuration)
 webvpn
 anyconnect profiles value AnyConnect type user
 anyconnect profiles value OpenDNS type umbrella
!
tunnel-group OpenDNS_Split_Include type remote-access
tunnel-group OpenDNS_Split_Include general-attributes
 address-pool vpn_pool
 default-group-policy OpenDNS_Split_Include
tunnel-group OpenDNS_Split_Include webvpn-attributes
 group-alias OpenDNS_Split_Include enable


!--- Split-exclude Configuration
access-list Split_Exclude standard permit <host/subnet>

group-policy OpenDNS_Split_Exclude internal
group-policy OpenDNS_Split_Exclude attributes
 wins-server none
 dns-server value 198.51.100.11
 vpn-tunnel-protocol ssl-client ssl-clientless
 split-tunnel-policy excludespecified
 split-tunnel-network-list value Split_Exclude
 webvpn
 anyconnect profiles value AnyConnect type user
 anyconnect profiles value OpenDNS type umbrella
!
tunnel-group OpenDNS_Split_Exclude type remote-access
tunnel-group OpenDNS_Split_Exclude general-attributes
 address-pool vpn_pool
 default-group-policy OpenDNS_Split_Exclude
tunnel-group OpenDNS_Split_Exclude webvpn-attributes
 group-alias OpenDNS_Split_Exclude enable


!--- Tunnelall Configuration
group-policy OpenDNS_Tunnel_All internal
group-policy OpenDNS_Tunnel_All attributes
 wins-server none
 dns-server value 198.51.100.11
 vpn-tunnel-protocol ssl-client ssl-clientless
 split-tunnel-policy tunnelall
 webvpn
 anyconnect profiles value AnyConnect type user
 anyconnect profiles value OpenDNS type umbrella
!
tunnel-group OpenDNS_Tunnel_All type remote-access
tunnel-group OpenDNS_Tunnel_All general-attributes
 address-pool vpn_pool
 default-group-policy OpenDNS_Tunnel_All
tunnel-group OpenDNS_Tunnel_All webvpn-attributes
 group-alias OpenDNS_Tunnel_All enable

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

الخطوات الخاصة باستكشاف أخطاء AnyConnect ذات الصلة وإصلاحها هي:

1. تأكد من تثبيت وحدة أمان التجوال Umbrella Roaming Security Module مع AnyConnect Secure Mobility Client.
2. تأكد من وجود OrgInfo.json على نقطة النهاية في المسار الصحيح استنادا إلى نظام التشغيل وبالتنسيق المحدد في هذا المستند.
3. إذا كان الغرض من استعلامات DNS إلى تحليلات OpenDNS هو المرور فوق نفق AnyConnect VPN، فتأكد من تكوين دبوس الشعر على ASA للسماح بإمكانية الوصول إلى تحليلات OpenDNS.
4. قم بتجميع التقاط الحزم (بدون أي عوامل تصفية) على المحول الظاهري والمهايئ الفعلي ل AnyConnect في آن واحد ولاحظ المجالات التي تفشل في الحل.
5. إذا كانت الوحدة النمطية تجوال تعمل في حالة مشفرة، فقم بتجميع التقاط الحزم بعد حظر UDP 443 محليا، لأغراض أستكشاف الأخطاء وإصلاحها فقط. بهذه الطريقة تكون هناك رؤية لحركات DNS.
6. قم بتشغيل AnyConnect DART وتشخيصات Umbrella ولاحظ وقت فشل DNS. راجع كيفية تجميع حزمة DART ل AnyConnect للحصول على مزيد من المعلومات.
7. تجميع سجلات تشخيص Umbrella وإرسال عنوان URL الناتج إلى مسؤول OpenDNS الخاص بك. يمكنك أنت ومسؤول OpenDNS فقط الوصول إلى هذه المعلومات.

   بالنسبة لنظام التشغيل Windows: C:\Program Files (x86)\Cisco\AnyConnect Secure Mobility Client\UmbrellaDiagnostic.exe
   بالنسبة إلى Mac OSX: /opt/cisco/anyconnect/bin/UmbrellaDiagnostic

معلومات ذات صلة

• معرف تصحيح الأخطاء من Cisco CSCvb34863: زمن الوصول في حل DNS عند تكوين AnyConnect لنفق تقسيم-include
• الدعم التقني والمستندات - Cisco Systems