Qu'est-ce que le DNS Cato ?

Cet article explique comment le DNS fonctionne avec le Cato Cloud et comment vous pouvez utiliser le serveur DNS Cato ou des serveurs DNS publics de confiance et des serveurs DNS internes avec votre compte

Vue d'ensemble

Cato peut fournir des services DNS pour votre compte et agir en tant que serveur DNS. Lorsqu'une requête DNS est envoyée depuis un Socket, un site IPsec ou le Client Cato, le PoP intercepte, inspecte et tente de résoudre la requête en utilisant son propre cache DNS. S'il n'y a pas d'entrée de cache DNS pour la requête, le PoP transfère la requête à l'un de ses serveurs DNS globaux de confiance.

Pour utiliser le serveur DNS Cato, aucun changement n'est nécessaire dans l'Application de Gestion Cato (CMA). Par défaut, Cato fournit un service DNS pour votre compte et agit en tant que votre serveur DNS. Cato utilise les serveurs DNS suivants :

  • Serveur principal : 10.254.254.1 (serveur DNS Cato)

  • Serveur secondaire : 8.8.8.8 (serveur DNS de Google)

Ces configurations sont appliquées si aucun serveur DNS n'est configuré sur la page des Paramètres DNS.

Vous pouvez configurer les paramètres DNS pour que votre compte utilise des serveurs DNS privés. L'utilisation du service DNS Cato offre des protections et des avantages en matière de sécurité. Le service traite toutes les requêtes DNS et génère les réponses, ce qui permet à Cato d'inspecter les requêtes en fonction de votre configuration de protection DNS. Si nécessaire, les requêtes DNS sont transférées en toute sécurité à des fournisseurs de DNS globaux de confiance qui incluent 8.8.8.8, 1.1.1.1 et 9.9.9.9.

Note

Remarque : Aucun événement de pare-feu n'est généré pour le trafic DNS vers le serveur DNS Cato (10.254.254.1).

Vous pouvez également utiliser le CMA pour configurer Cato afin de résoudre des serveurs DNS privés.

Serveurs DNS de confiance et non fiables

Les services DNS globaux qui sont vérifiés comme sécurisés, sont traités par Cato comme des serveurs DNS de confiance. D'autres fournisseurs DNS sont considérés comme un serveur DNS non fiable. Le comportement DNS est différent pour les serveurs DNS de confiance et non fiables. Pour plus d'informations, voir Utilisation de serveurs DNS de confiance.

Paramètres DNS pour les utilisateurs distants

Lorsqu'un utilisateur distant se connecte à votre réseau, les paramètres DNS de votre compte sont appliqués. Vous pouvez appliquer des paramètres DNS spécifiques pour les utilisateurs ou les groupes d'utilisateurs en utilisant la Politique des Paramètres DNS.

Paramètres DNS en mode bureau

Lorsque le Client est utilisé dans un bureau qui se trouve derrière un Socket Cato ou un site IPsec, il passe automatiquement en Mode Bureau. Il se connecte au site sans utiliser le tunnel chiffré. Dans ce scénario, les appareils utilisent les paramètres DNS configurés dans le compte ou le site. Si un utilisateur définit un serveur DNS local sur son appareil, le serveur DNS local sera utilisé à la place.

Mode de contournement Toujours activé

La politique Always-On définit des règles pour quand le Client se connecte toujours au Cato Cloud. Si Toujours actif est contourné, les appareils utilisent les paramètres DNS locaux puisque le trafic n'est pas routé vers le Cato Cloud.

Gestion des requêtes DNS

Lorsque un PoP reçoit une requête DNS depuis un tunnel Socket DTLS, un tunnel IPsec ou un tunnel Client Cato, le PoP vérifie l'adresse IP de destination de la requête. Lorsque l'adresse IP de destination de la requête correspond à un serveur DNS de confiance, le PoP vérifie alors si le Transfert DNS est activé pour le compte. Ensuite, le PoP transfère la requête aux serveurs DNS configurés.

Pour les comptes qui n'utilisent pas le transfert DNS, le PoP tente de résoudre la requête en utilisant son propre cache DNS. Lorsque le PoP peut résoudre la requête, il génère une réponse DNS. S'il n'y a pas d'entrée de cache DNS pour la requête, le PoP transfère la requête à l'un de ses serveurs DNS globaux et effectue les actions suivantes :

  1. Le PoP modifie l'adresse IP de destination de la requête d'un serveur DNS de confiance à l'adresse IP du serveur DNS global. Le port UDP n'est pas modifié.

  2. Le PoP effectue SNAT sur l'adresse IP source de la requête à sa propre adresse IP publique (plage publique de Cato), cachant ainsi l'organisation source.

  3. Lorsque le PoP reçoit la réponse DNS du serveur DNS global, il modifie les adresses IP source et de destination aux valeurs originales et renvoie la réponse à la source. Le PoP met en cache les réponses de type A ou CNAME qu'il reçoit des serveurs DNS globaux et leur TTL est appliqué.

Si l'adresse IP de destination pour la requête DNS ne correspond pas à un serveur DNS de confiance, et aucun serveur DNS interne n'est défini, alors le PoP envoie cette requête à son adresse IP de destination comme trafic WAN ou Internet régulier. L'adresse IP de destination de la requête n'est pas modifiée.

Pour les requêtes DNS publiques, le PoP utilise NAT pour traduire l'adresse IP source en l'une des adresses IP de la plage publique de Cato. Dans ce cas, le PoP ne réalise pas de transfert DNS ni de mise en cache des réponses DNS.

La durée pendant laquelle les requêtes DNS sont maintenues dans le cache du PoP dépend du TTL du serveur DNS. Par exemple, pour un enregistrement DNS avec un TTL de 86400, il sera mis en cache pour 24 heures.

Si le transfert DNS est activé, le PoP ne met pas en cache les réponses DNS.

Remarque

Remarque : Cato Networks ne prend pas en charge les types de DNS suivants :

  • DNS sur TLS

  • DNS sur HTTPS

Travailler avec la hiérarchie des paramètres DNS

Vous pouvez configurer les paramètres DNS sur différents objets dans le CMA, par exemple : paramètres pour l'ensemble du compte et pour les groupes spécifiques. Lorsqu'il y a un conflit entre ces objets, la priorité est pour l'entité la plus proche de l'hôte pour l'utilisateur :

  1. Utilisateurs - plus proche de l'hôte et plus haute priorité

  2. Sites

  3. Groupes

  4. Compte - moindre priorité

En d'autres termes, s'il y a des paramètres DNS différents pour un site et le compte, les paramètres DHCP pour le site sont utilisés car le site a une priorité supérieure au compte.

Les options DHCP prennent la priorité et remplacent les paramètres DNS pour le compte, le groupe des administrateurs, le site ou l'utilisateur.

Configurer les paramètres DNS pour le Compte

Vous pouvez configurer les paramètres DNS suivants pour l'ensemble du compte :

DNS_Relay.png

Remarque

Remarque : Vous pouvez remplacer les serveurs par défaut du Cato Cloud par des serveurs DNS personnalisés. Dans ce cas, les enregistrements DNS suivants doivent être ajoutés à vos serveurs DNS pour maintenir la fonctionnalité du service :

  • vpn.catonetworks.net - 10.254.254.5 (ou la plage de service de réserve personnalisée adresse IP x.y.z.2)

  • tunnel-api.catonetworks.com - 10.254.254.3 (ou la plage de service de réserve personnalisée adresse IP x.y.z.7)

Cependant, pour les serveurs DNS personnalisés qui envoient du trafic via le Cato Cloud, vous n'avez pas besoin d'ajouter ces enregistrements DNS. Les PoPs peuvent résoudre les requêtes DNS pour les serveurs personnalisés.

Protection DNS de Cato

Le service IPS de Cato inclut une protection DNS qui analyse les requêtes et réponses DNS et fournit des protections basées sur la réputation, les signatures comportementales et les heuristiques. Les requêtes DNS malveillantes sont bloquées avant qu'il n'y ait une connexion entre l'hôte et le serveur malveillant (pas de handshake TCP ou UDP).

Cato fournit différents types de protection DNS, par exemple, domaines malicieux, campagnes de phishing, tunneling DNS, et plus encore. Pour plus d'informations, voir Personnalisation des protections DNS pour IPS.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire