¿Qué es el DNS de Cato?

Este artículo explica cómo funciona el DNS con el Cato Cloud, y cómo puedes usar el servidor DNS de Cato o servidores DNS públicos de confianza y servidores DNS internos con tu cuenta

Resumen

Cato puede proporcionar servicios DNS para tu cuenta y actuar como el servidor DNS. Cuando se envía una consulta DNS desde detrás de un Socket, un sitio IPsec o el Cliente de Cato, el PoP intercepta, inspecciona e intenta resolver la consulta usando su propia caché DNS. Si no hay una entrada de caché DNS para la consulta, el PoP reenvía la consulta a uno de sus servidores DNS de confianza globales.

Para usar el servidor DNS de Cato, no se necesitan cambios en la Aplicación de Gestión Cato (CMA). Por defecto, Cato proporciona el servicio DNS para tu cuenta y actúa como tu servidor DNS. Cato utiliza los siguientes servidores DNS:

  • Servidor primario: 10.254.254.1 (servidor DNS de Cato)

  • Servidor secundario: 8.8.8.8 (servidor DNS de Google)

Estas configuraciones se aplican si no hay servidores DNS configurados en la página de Configuración DNS.

Puedes configurar la configuración DNS para que tu cuenta use servidores DNS privados. Usar el servicio DNS de Cato proporciona protecciones y ventajas de seguridad. El servicio procesa todas las solicitudes DNS y genera las respuestas, lo que permite a Cato inspeccionar las solicitudes según la configuración de protección DNS. Si es necesario, las consultas DNS se reenvían de forma segura a proveedores de DNS globales de confianza que incluyen 8.8.8.8, 1.1.1.1 y 9.9.9.9.

Nota

Nota: No se generan eventos de firewall para el tráfico DNS al servidor DNS de Cato (10.254.254.1).

También puedes usar el CMA para configurar que Cato resuelva servidores DNS privados.

Servidores DNS Confiables y No Confiables

Los servicios DNS globales que son verificados como seguros, son tratados por Cato como servidores DNS de confianza. Otros proveedores de DNS se consideran como servidores DNS no confiables. El comportamiento del DNS es diferente para servidores DNS confiables y no confiables. Para más información, vea Uso de Servidores DNS de Confianza.

Configuración de DNS para Usuarios Remotos

Cuando un usuario remoto se conecta a tu red, se aplican las configuraciones DNS de tu cuenta. Puedes aplicar configuraciones DNS específicas para usuarios o grupos de administradores usando la Política de Configuración de DNS.

Configuración de DNS en Modo Oficina

Cuando el Cliente se usa en una oficina que está detrás de un Socket Cato o un sitio IPsec, entra automáticamente en Modo Oficina. Se conecta al sitio sin usar el túnel cifrado. En este escenario, los dispositivos usan la Configuración de DNS configurada en la cuenta o licencia de sitio. Si un usuario define un servidor DNS local en su dispositivo, se utilizará el servidor DNS local en lugar del otro.

Modo de Omisión Siempre Activo

La política de Always-On define reglas para cuando el Cliente siempre se conecta a la nube de Cato. Si Siempre Activo se omite, los dispositivos utilizan la configuración local de DNS ya que el tráfico no se enruta hacia la nube de Cato.

Manejo de Consultas DNS

Cuando un PoP recibe una consulta DNS desde un túnel DTLS de Socket, túnel IPsec o túnel de Cliente de Cato, el PoP verifica la dirección IP del destino de la consulta. Cuando la dirección IP de destino de la consulta coincide con un servidor DNS confiable, entonces el PoP verifica si el Reenvío de DNS está habilitado para la cuenta. Luego el PoP reenvía la consulta a los servidores DNS configurados.

Para cuentas que no usan Reenvío DNS, el PoP intenta resolver la consulta usando su propia caché DNS. Cuando el PoP puede resolver la consulta, genera una respuesta DNS. Si no hay una entrada de caché DNS para la consulta, el PoP reenvía la consulta a uno de sus servidores DNS globales, y realiza las siguientes acciones:

  1. El PoP modifica la dirección IP de destino de la consulta de un servidor DNS de confianza a la dirección IP del servidor DNS global. El puerto UDP no se cambia.

  2. El PoP realiza SNAT en la dirección IP de origen de la consulta a su propia dirección IP pública (rango público de Cato), ocultando así la organización de origen.

  3. Cuando el PoP recibe la respuesta DNS del servidor DNS global, modifica las direcciones IP de origen y destino a los valores originales y reenvía la respuesta de vuelta a la fuente. El PoP almacena en caché las respuestas de tipo A o CNAME que recibe de los servidores DNS globales y se aplica su TTL.

Si la dirección IP de destino para la consulta DNS no coincide con un servidor DNS de confianza, y no se define un servidor DNS interno, entonces el PoP envía esta consulta a su dirección IP de destino como tráfico WAN o de Internet regular. La dirección IP de destino de la consulta no se cambia.

Para consultas DNS públicas, el PoP usa NAT para traducir la dirección IP de origen a una de las direcciones IP del rango público de Cato. En este caso, el PoP no realiza reenvío DNS ni almacenamiento en caché de respuestas DNS.

La cantidad de tiempo que las consultas DNS se mantienen en la caché del PoP depende del TTL del servidor DNS. Por ejemplo, un registro DNS con un TTL de 86400 se almacenará en caché durante 24 horas.

Si el reenvío DNS está habilitado, el PoP no almacena en caché las respuestas DNS.

Nota

Nota: Cato Networks no admite los siguientes tipos de DNS:

  • DNS sobre TLS

  • DNS sobre HTTPS

Trabajando con Jerarquía para Configuración de DNS

Puedes configurar las configuraciones DNS en diferentes objetos en el CMA, por ejemplo: configuraciones para toda la cuenta y para grupos específicos. Cuando hay un conflicto entre estos objetos, la precedencia es para la entidad más cercana al host para el usuario:

  1. Usuarios - más cercano al host y mayor precedencia

  2. Sitios

  3. Grupos

  4. Cuenta - menor precedencia

En otras palabras, si hay configuraciones DNS diferentes para un sitio y la cuenta, se usan las configuraciones DHCP para el sitio porque el sitio tiene mayor precedencia que la cuenta.

Las opciones DHCP tienen precedencia sobre y sobreescriben la configuración de DNS para la cuenta, grupo, sitio o usuario.

Configuración de DNS para la Cuenta

Puedes configurar las siguientes configuraciones DNS para toda la cuenta:

DNS_Relay.png

Nota

Nota: Puedes reemplazar los servidores predeterminados de la nube de Cato por servidores DNS personalizados. En este caso, los siguientes registros DNS deben añadirse a tus servidores DNS para mantener la funcionalidad del servicio:

  • vpn.catonetworks.net - 10.254.254.5 (o el rango de servicio de reserva personalizado dirección IP x.y.z.2)

  • tunnel-api.catonetworks.com - 10.254.254.3 (o el rango de servicio de reserva personalizado dirección IP x.y.z.7)

Sin embargo, para servidores DNS personalizados que envían tráfico a través de la nube de Cato, no necesitas añadir estos registros DNS. Los PoPs pueden resolver las consultas DNS para los servidores personalizados.

Protección de Seguridad DNS de Cato

El servicio IPS de Cato incluye Protección DNS que analiza las solicitudes y respuestas DNS y proporciona protecciones basadas en reputación, firmas de comportamiento y heurísticas. Las solicitudes DNS maliciosas se bloquean antes de que haya una conexión entre el host y el servidor malicioso (sin handshake TCP o UDP).

Cato proporciona varios tipos de Protección DNS, por ejemplo, Dominios Maliciosos, campañas de phishing, tunelización DNS y más. Para más información, vea Personalizando las Protecciones DNS para IPS.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios