Cato DNSとは?

この記事では、DNSがCato Cloudとどのように連携するか、およびアカウントでCato DNSサーバーや信頼できるパブリックDNSサーバーと内部DNSサーバーをどのように使用できるかを説明します

概要

CatoはアカウントのためにDNSサービスを提供し、DNSサーバーとして機能できます。 DNSクエリがソケット、IPsec サイト、またはCatoクライアントの背後から送信されると、PoPはクエリを傍受し、検査して自らのDNSキャッシュを使用してクエリ解決を試みます。 クエリにDNSキャッシュエントリがない場合、PoPはクエリを信頼されたグローバルDNSサーバーの1つに転送します。

Cato DNSサーバーを使用するには、Cato管理画面 (CMA) で変更を加える必要はありません。 デフォルトでは、CatoはアカウントのためにDNSサービスを提供し、DNSサーバーとして機能します。 Catoは次のDNSサーバーを使用します:

  • プライマリサーバー: 10.254.254.1 (Cato DNSサーバー)

  • セカンダリサーバー: 8.8.8.8 (Google DNSサーバー)

DNS設定 ページでDNSサーバーが設定されていない場合、これらの設定が適用されます。

アカウントがプライベートDNSサーバーを使用するようにDNS設定を構成できます。 Cato DNSサービスを使用することで、セキュリティ保護と利点が提供されます。 このサービスはすべてのDNSリクエストを処理し、レスポンスを生成します。これによりCatoはDNS保護構成に基づいてリクエストを検査できます。 必要な場合、DNSクエリは8.8.8.8、1.1.1.1、および9.9.9.9を含む信頼できるグローバルDNSプロバイダーに安全に転送されます。

注意

注意: Cato DNSサーバー (10.254.254.1) へのDNSトラフィックに対しては、ファイアウォールイベントが生成されません。

Cato管理画面を使用して、プライベートDNSサーバーを解決するためにCatoを構成することもできます。

信頼されたDNSサーバーと信頼されていないDNSサーバー

セキュリティが確認されたグローバルDNSサービスは、Catoによって信頼されたDNSサーバーとして扱われます。 その他のDNSプロバイダーは、信頼されていないDNSサーバーと見なされます。 信頼されたDNSサーバーと信頼されていないDNSサーバーでは、DNSの動作が異なります。 詳細については信頼されたDNSサーバーの使用を参照してください。

リモートユーザーのためのDNS設定

リモートユーザーがネットワークに接続すると、アカウントのDNS設定が適用されます。 DNSポリシー設定を使用して、ユーザーまたはユーザーグループに特定のDNS設定を適用できます。

オフィスモードでのDNS設定

クライアントがCatoソケットまたはIPsecサイトの背後にあるオフィスで使用される場合、自動的にオフィスモードに入ります。 暗号化されたトンネルを使わずにサイトに接続します。 このシナリオでは、デバイスはアカウントまたはサイトで設定されたDNS設定を使用します。 ユーザーがデバイスにローカルDNSサーバーを定義した場合、そのローカルDNSサーバーが使用されます。

常時オンバイパスモード

常時オンポリシーは、クライアントが常にCato Cloudに接続する際のルールを定義します。 常時強制がバイパスされた場合、トラフィックがCato Cloudにルーティングされないため、デバイスはローカルのDNS設定を使用します。

DNSクエリの処理

PoPがSocket DTLSトンネル、IPsecトンネル、またはCatoクライアントトンネルからのDNSクエリを受信すると、PoPはクエリの宛先IPアドレスを確認します。 クエリの宛先IPアドレスが信頼されたDNSサーバーと一致する場合、PoPはアカウントにDNSフォワーディングが有効になっているかどうかを確認します。 次に、PoPはクエリを設定済みのDNSサーバーに転送します。

DNSフォワーディングを使用しないアカウントの場合、PoPは独自のDNSキャッシュを使用してクエリを解決しようとします。 PoPがクエリを解決できる場合、DNS応答を生成します。 クエリにDNSキャッシュエントリがない場合、PoPはクエリをグローバルDNSサーバーの1つに転送し、次のアクションを実行します:

  1. PoPはクエリの宛先IPアドレスを信頼されたDNSサーバーからグローバルDNSサーバーのIPアドレスに変更します。 UDPポートは変更されません。

  2. PoPはクエリの送信元IPアドレスに対して自社の公開IPアドレス(Catoの公開範囲)にSNATを実施し、送信元の組織を隠します。

  3. PoPがグローバルDNSサーバーからDNS応答を受信すると、送信元および宛先IPアドレスを元の値に修正し、応答を送信元に戻します。 PoPは、グローバルDNSサーバーから受信したAまたはCNAME種別の応答をキャッシュし、そのTTLを適用します。

DNSクエリの宛先IPアドレスが信頼されたDNSサーバーに一致せず、内部DNSサーバーが定義されていない場合、PoPはこのクエリを通常のWANまたはインターネットトラフィックとしてその宛先IPアドレスに送信します。 クエリの宛先IPは変更されません。

パブリックDNSクエリの場合、PoPはNATを使用して送信元IPアドレスをCatoのパブリックレンジIPアドレスの1つに変換します。 この場合、PoPはDNSフォワーディングやDNS応答キャッシュを実行しません。

DNSクエリがPoPのキャッシュに保持される時間は、DNSサーバーのTTLに依存します。 例として、TTLが86400のDNSレコードは24時間キャッシュされます。

DNSフォワーディングが有効になっている場合、PoPはDNS応答をキャッシュしません。

注意

注意:Cato Networksは以下のDNS種類をサポートしていません:

  • TLS上のDNS

  • DNS over HTTPS

DNS設定の階層構造での作業

CMAの異なるオブジェクトでDNS設定を構成できます。例えば、アカウント全体の設定や特定のグループの設定です。 これらのオブジェクト間で競合がある場合、ユーザーのホストに最も近いエンティティが優先されます:

  1. ユーザー - ホストに最も近く、優先度が最も高い

  2. サイト

  3. グループ

  4. アカウント - 最も低い優先度

つまり、サイトとアカウントで異なるDNS設定がある場合、サイトの優先度がアカウントより高いため、サイトのDHCP設定が使用されます。

DHCPオプションは、アカウント、管理者グループ、サイト、またはユーザーのDNS設定より優先され、上書きします。

アカウント用のDNS設定の構成

アカウント全体のための次のDNS設定を構成できます:

DNS_Relay.png

注意

注意:カスタムDNSサーバーでCato Cloudのデフォルトサーバーを置き換えることができます。 この場合、サービスの機能を維持するために、次のDNSレコードをDNSサーバーに追加する必要があります:

  • vpn.catonetworks.net - 10.254.254.5(またはカスタマイズされた予約サービス範囲x.y.z.2 IPアドレス)

  • tunnel-api.catonetworks.com - 10.254.254.3(またはカスタマイズされた予約サービス範囲x.y.z.7 IPアドレス)

しかし、Cato Cloudを介してトラフィックを送信するカスタムDNSサーバーの場合、これらのDNSレコードを追加する必要はありません。 ポップはカスタムサーバーのDNSクエリを解決できます。

Cato DNSセキュリティ保護

CatoのIPSサービスには、DNS要求と応答を分析し、評判、振る舞い署名、ヒューリスティックスに基づいて保護を提供するDNS保護が含まれています。 悪意のあるDNSリクエストは、ホストと悪意のあるサーバー間で接続が確立される前にブロックされます(TCPやUDPのハンドシェイクはありません)。

Catoは、悪意のあるドメイン、フィッシングキャンペーン、DNSトンネリングなど、さまざまな種類のDNS保護を提供します。 詳細については、IPSのDNS保護のカスタマイズを参照してください。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント