O que é o DNS Cato?

Este artigo explica como o DNS funciona com a Nuvem Cato, e como você pode usar o servidor DNS da Cato ou servidores DNS públicos confiáveis e servidores DNS internos com sua conta

Visão geral

A Cato pode fornecer serviços DNS para sua conta e atuar como o servidor DNS. Quando uma consulta DNS é enviada de trás de um Socket, site IPsec ou o Cliente Cato, o PoP intercepta, inspeciona e tenta resolver a consulta usando seu próprio cache DNS. Se não houver entrada de cache DNS para a consulta, o PoP encaminha a consulta para um de seus servidores DNS globais confiáveis.

Para usar o servidor DNS da Cato, não são necessárias alterações no Aplicativo de Gerenciamento Cato (CMA). Por padrão, a Cato fornece serviço DNS para sua conta e atua como seu servidor DNS. A Cato utiliza os seguintes servidores DNS:

  • Servidor Principal: 10.254.254.1 (servidor DNS Cato)

  • Servidor Secundário: 8.8.8.8 (servidor DNS do Google)

Essas configurações são aplicadas se nenhum servidor DNS for configurado na página de Configurações DNS.

Você pode configurar as configurações DNS para que sua conta use servidores DNS privados. Usar o serviço DNS da Cato oferece proteções e vantagens de segurança. O serviço processa todas as solicitações DNS e gera as respostas, o que permite à Cato inspecionar as solicitações com base na sua configuração de proteção DNS. Se necessário, as consultas DNS são encaminhadas de forma segura para provedores globais de DNS confiáveis que incluem 8.8.8.8, 1.1.1.1, e 9.9.9.9.

Nota

Nota: Não são gerados eventos de firewall para tráfego DNS para o servidor DNS da Cato (10.254.254.1).

Você também pode usar o CMA para configurar a Cato para resolver servidores DNS privados.

Servidores DNS Confiáveis e Não Confiáveis

Os serviços DNS globais que são verificados como seguros são tratados pela Cato como servidores DNS confiáveis. Outros provedores de DNS são considerados como um servidor DNS não confiável. O comportamento do DNS é diferente para servidores DNS confiáveis e não confiáveis. Por exemplo, para mais informações, veja Uso de Servidores DNS Confiáveis.

Configurações DNS para Usuários Remotos

Quando um usuário remoto se conecta à sua rede, as configurações de DNS de sua conta são aplicadas. Você pode aplicar configurações DNS específicas para usuários ou grupos de usuários usando a Política de Configurações de DNS.

Configurações DNS em Modo Escritório

Quando o Cliente é usado em um escritório que está por trás de um Socket Cato ou site IPsec, ele entra automaticamente no Modo de Escritório. Ele se conecta ao site sem usar o túnel criptografado. Neste cenário, os dispositivos usam as configurações DNS configuradas na conta ou site. Se um Usuário definir manualmente um servidor DNS local no seu Dispositivo, o Servidor DNS local será usado em vez disso.

Modo de Desvio Sempre Ativo

A política de Sempre Ativo define regras para quando o Cliente sempre se conecta à Nuvem Cato. Se o Sempre Ativo for ignorado, Dispositivos usam as Configurações DNS locais, pois o Tráfego não é roteado para o Cato Cloud.

Lidando com Consultas DNS

Quando um PoP recebe uma consulta DNS de um túnel Socket DTLS, túnel IPsec ou túnel Cliente Cato, o PoP verifica o Endereço IP de Destino da consulta. Quando o Endereço IP de Destino da consulta corresponde a um servidor DNS confiável, então o PoP verifica se o Encaminhamento DNS está ativado para a conta. Então o PoP encaminha a consulta para o(s) servidor(es) DNS configurado(s).

Para contas que não usam Encaminhamento DNS, o PoP tenta resolver a consulta usando seu próprio cache DNS. Quando o PoP consegue resolver a consulta, ele gera uma resposta DNS. Se não houver entrada de cache DNS para a consulta, o PoP encaminha a consulta para um de seus servidores DNS globais, e realiza as seguintes ações:

  1. O PoP modifica o endereço IP de destino da consulta de um servidor DNS confiável para o endereço IP do servidor DNS global. A porta UDP não é alterada.

  2. O PoP realiza o SNAT no endereço IP de origem da consulta para seu próprio endereço IP público (faixa pública da Cato), assim ocultando a organização de origem.

  3. Quando o PoP recebe a resposta DNS do servidor DNS global, ele modifica os endereços IP de origem e de destino para os valores originais e encaminha a resposta de volta à origem. O PoP armazena em cache as respostas de tipo A ou CNAME que recebe dos servidores DNS globais e seu TTL é aplicado.

Se o endereço IP de destino da consulta DNS não corresponder a um servidor DNS confiável, e não houver servidor DNS interno definido, então o PoP envia esta consulta para seu endereço IP de destino como tráfego WAN ou Internet regular. O IP de Destino da consulta não é alterado.

Para consultas DNS públicas, o PoP usa NAT para traduzir o endereço IP de origem para um dos endereços IP do intervalo público da Cato. Nesse caso, o PoP não realiza encaminhamento DNS ou cache de resposta DNS.

A quantidade de tempo que as consultas DNS são mantidas no cache do PoP depende do TTL do Servidor DNS. Por exemplo, para um registro DNS com um TTL de 86400 será armazenado em cache por 24 horas.

Se o Encaminhamento DNS estiver ativado, o PoP não faz cache de respostas DNS.

Nota

Nota: Cato Networks não suporta os seguintes tipos de DNS:

  • DNS sobre TLS

  • DNS sobre HTTPS

Trabalhando com Hierarquia para Configurações DNS

Você pode configurar as Configurações DNS em diferentes Objetos na CMA, por exemplo: configurações para toda a Conta, e para Grupos específicos. Quando há conflito entre esses Objetos, a Precedência é para a Entidade mais próxima do Host para o usuário:

  1. Usuários - mais próximo do Host e maior Precedência

  2. Locais

  3. Grupos

  4. Conta - menor Precedência

Em outras palavras, se houver diferentes Configurações DNS para um Local e a Conta, as Configurações DHCP para o Local são usadas porque o Local tem Precedência mais alta que a Conta.

As Opções DHCP têm precedência sobre e sobrepõem as Configurações DNS para a Conta, Grupo de Administradores, Site ou Usuário.

Configurando Configurações DNS para a Conta

Você pode configurar as seguintes Configurações DNS para toda a Conta:

DNS_Relay.png

Nota

Nota: Você pode substituir os Servidores padrão do Cato Cloud por Servidores DNS Personalizados. Nesse caso, os seguintes Registros DNS precisam ser adicionados aos seus Servidores DNS para manter a funcionalidade do Serviço:

  • vpn.catonetworks.net - 10.254.254.5 (ou o Intervalo de Serviço reserva Personalizado endereço IP x.y.z.2)

  • tunnel-api.catonetworks.com - 10.254.254.3 (ou o Intervalo de Serviço reserva Personalizado endereço IP x.y.z.7)

No entanto, para Servidores DNS Personalizados que enviam Tráfego pelo Cato Cloud, você não precisa adicionar esses Registros DNS. Os PoPs podem resolver as Consultas DNS para os Servidores Personalizados.

Proteção de Segurança DNS Cato

O Serviço IPS da Cato inclui Proteção DNS que analisa as Solicitações e Respostas DNS e fornece Proteções baseadas em Reputação, Assinaturas Comportamentais, e heurísticas. Solicitações DNS Maliciosas são bloqueadas antes de haver uma Conexão entre o Host e o Servidor Malicioso (sem handshake TCP ou UDP).

Cato fornece vários tipos de Proteção DNS, por exemplo, Domínios Maliciosos, campanhas de Phishing, tunelamento DNS, e mais. Para mais informações, veja Personalizando as Proteções DNS para IPS.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário