이 문서에서는 DNS가 Cato Cloud와 함께 작동하는 방식과 계정에서 Cato DNS 서버 또는 신뢰할 수 있는 공용 DNS 서버 및 내부 DNS 서버를 사용하는 방법을 설명합니다
Cato는 계정에 대한 DNS 서비스를 제공할 수 있으며 DNS 서버로 작동합니다. DNS 쿼리가 Socket, IPsec 사이트 또는 Cato 클라이언트 뒤에서 전송될 때 PoP는 쿼리를 가로채고 검사하여 자체 DNS 캐시를 사용하여 쿼리를 해결하려고 시도합니다. 쿼리에 대해 DNS 캐시 항목이 없는 경우 PoP는 쿼리를 전역 신뢰할 수 있는 DNS 서버 중 하나로 전달합니다.
Cato DNS 서버를 사용하려면 Cato 관리 애플리케이션(CMA)에서 변경할 필요가 없습니다. 기본적으로 Cato는 계정에 DNS 서비스를 제공하며 DNS 서버로 작동합니다. Cato는 다음 DNS 서버를 사용합니다:
-
기본 서버: 10.254.254.1 (Cato DNS 서버)
-
보조 서버: 8.8.8.8 (Google DNS 서버)
DNS 설정 페이지에서 DNS 서버가 구성되지 않은 경우 이러한 구성이 적용됩니다.
계정이 사설 DNS 서버를 사용하도록 DNS 설정을 구성할 수 있습니다. Cato DNS 서비스를 사용하면 보안 보호 및 이점이 제공됩니다. 서비스는 모든 DNS 요청을 처리하고 응답을 생성하여 Cato가 DNS 보호 설정에 기반하여 요청을 검사할 수 있도록 합니다. 필요한 경우 DNS 쿼리는 8.8.8.8, 1.1.1.1 및 9.9.9.9를 포함하는 신뢰할 수 있는 글로벌 DNS 공급업체로 안전하게 전달됩니다.
참고
참고: Cato DNS 서버(10.254.254.1)로의 DNS 트래픽에 대한 방화벽 이벤트는 생성되지 않습니다.
CMA를 사용하여 Cato가 사설 DNS 서버를 해결하도록 구성할 수도 있습니다.
보안성이 확인된 글로벌 DNS 서비스는 Cato에 의해 신뢰할 수 있는 DNS 서버로 취급됩니다. 기타 DNS 공급업체는 신뢰할 수 없는 DNS 서버로 간주됩니다. 신뢰할 수 있는 DNS 서버와 신뢰할 수 없는 DNS 서버의 DNS 동작은 다릅니다. 자세한 내용은 신뢰할 수 있는 DNS 서버 사용을 참조하세요.
원격 사용자가 네트워크에 연결할 때 계정의 DNS 설정이 적용됩니다. DNS 정책을 사용하여 사용자 또는 사용자 그룹에 특정 DNS 설정을 적용할 수 있습니다.
클라이언트가 Cato 소켓 또는 IPsec 사이트 뒤에 있는 사무실에서 사용될 때, 자동으로 오피스 모드에 들어갑니다. 암호화된 터널을 사용하지 않고 사이트에 연결됩니다. 이 시나리오에서는 장치가 계정 또는 사이트에 구성된 DNS 설정을 사용합니다. 사용자가 장치에서 로컬 DNS 서버를 정의하면 로컬 DNS 서버가 대신 사용됩니다.
PoP가 소켓 DTLS 터널, IPsec 터널 또는 Cato 클라이언트 터널에서 DNS 쿼리를 수신하면, PoP는 쿼리의 목적지 IP 주소를 확인합니다. 쿼리의 목적지 IP 주소가 신뢰할 수 있는 DNS 서버와 일치하면, PoP는 계정에 대해 DNS 전달이 활성화되어 있는지 확인합니다. 그러면 PoP는 쿼리를 구성된 DNS 서버로 전달합니다.
DNS 전달을 사용하지 않는 계정의 경우, PoP는 자체 DNS 캐시를 사용하여 쿼리를 해결하려고 합니다. PoP가 쿼리를 해결할 수 있으면, DNS 대응을 생성합니다. 해당 쿼리에 대한 DNS 캐시 항목이 없을 경우, PoP는 쿼리를 전역 DNS 서버 중 하나에 전달하고 다음 작업을 수행합니다:
-
PoP는 쿼리의 목적지 IP 주소를 신뢰할 수 있는 DNS 서버에서 전역 DNS 서버 IP 주소로 수정합니다. UDP 포트는 변경되지 않습니다.
-
PoP는 쿼리의 소스 IP 주소에 대해 SNAT을 수행하여 자체 공인 IP 주소(Cato의 공인 범위)로 변환하여 소스 조직을 숨깁니다.
-
PoP가 전역 DNS 서버로부터 DNS 대응을 수신하면, 소스 및 목적지 IP 주소를 원래 값으로 수정하고 대응을 소스로 다시 전달합니다. PoP는 전역 DNS 서버로부터 수신한 A 또는 CNAME 유형의 대응을 캐시하며, TTL이 적용됩니다.
DNS 쿼리의 목적지 IP 주소가 신뢰할 수 있는 DNS 서버와 일치하지 않는 경우 및 내부 DNS 서버가 정의되지 않은 경우, PoP는 이 쿼리를 일반 WAN 또는 인터넷 트래픽으로 목적지 IP 주소에 보냅니다. 쿼리의 목적지 IP는 변경되지 않습니다.
공공 DNS 쿼리의 경우, PoP는 NAT를 사용하여 소스 IP 주소를 Cato의 공용 범위 IP 주소 중 하나로 변환합니다. 이 경우, PoP는 DNS 전달 또는 DNS 대응 캐싱을 수행하지 않습니다.
PoP의 캐시에서 DNS 쿼리가 유지되는 시간은 DNS 서버의 TTL에 따라 다릅니다. 예를 들어, TTL이 86400인 DNS 레코드는 24시간 동안 캐시됩니다.
DNS 전달이 활성화된 경우, PoP는 DNS 대응을 캐시하지 않습니다.
참고
참고: Cato Networks는 다음 DNS 유형을 지원하지 않습니다:
-
DNS over TLS
-
HTTPS를 통한 DNS
CMA의 다양한 객체에 DNS 설정을 구성할 수 있습니다. 예를 들어: 전체 계정 설정 및 특정 그룹 설정. 이러한 객체 간에 충돌이 발생하면, 사용자 호스트에 가장 가까운 엔터티가 우선 순위를 가집니다:
-
사용자 - 호스트에 가장 가까우며 우선순위가 가장 높음
-
사이트
-
그룹
-
계정 - 우선 순위가 가장 낮음
다시 말해서, 사이트 및 계정에 대한 서로 다른 DNS 설정이 있으면, 계정보다 우선 순위가 높은 사이트의 DHCP 설정이 사용됩니다.
DHCP 옵션은 계정, 관리자 그룹, 사이트 또는 사용자의 DNS 설정보다 우선하며 이를 덮어씁니다.
전체 계정에 대해 다음 DNS 설정을 구성할 수 있습니다:
-
DNS 설정 및 접미사
-
DNS 전달 (참조 DNS 전달 규칙 정의)
참고
참고: Cato Cloud 기본 서버를 사용자 정의 DNS 서버로 대체할 수 있습니다. 이 경우, 서비스 기능 유지를 위해 다음 DNS 레코드를 DNS 서버에 추가해야 합니다:
-
vpn.catonetworks.net- 10.254.254.5 (또는 사용자 정의 예약 서비스 범위 x.y.z.2 IP 주소) -
tunnel-api.catonetworks.com- 10.254.254.3 (또는 사용자 정의 예약 서비스 범위 x.y.z.7 IP 주소)
그러나 Cato Cloud를 통해 트래픽을 전송하는 사용자 정의 DNS 서버의 경우 이 DNS 레코드를 추가할 필요가 없습니다. Pops는 사용자 정의 서버의 DNS 쿼리를 해결할 수 있습니다.
Cato의 IPS 서비스에는 DNS 요청 및 응답을 분석하고 평판, 행동 기반 서명 및 휴리스틱을 기반으로 보호를 제공하는 DNS 보호가 포함됩니다. 악성 DNS 요청은 호스트와 악성 서버 간의 연결이 이루어지기 전에 차단됩니다 (TCP 또는 UDP 핸드셰이크 없음).
Cato는 악성 도메인, 피싱 캠페인, DNS 터널링 등 다양한 유형의 DNS 보호를 제공합니다. 더 많은 정보는 IPS의 DNS 보호 사용자 지정을 참조하십시오.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.