Что такое Cato DNS?

Эта статья объясняет, как работает DNS с Cato Cloud и как вы можете использовать сервер Cato DNS или доверенные публичные DNS-серверы и внутренние DNS-серверы с вашей учетной записью

Обзор

Cato может предоставлять DNS-сервисы для вашей учетной записи и действовать в качестве DNS-сервера. Когда DNS-запрос отправляется из-за клиенты, IPsec площадки или Клиент Cato, PoP перехватывает, проверяет и пытается разрешить запрос, используя свой собственный кэш DNS. Если для запроса нет записи в кэше DNS, PoP перенаправляет запрос на один из своих глобальных доверенных DNS-серверов.

Для использования сервера Cato DNS, изменений в Приложении Управления Cato (CMA) не требуется. По умолчанию Cato предоставляет DNS сервис для вашей учетной записи и действует как ваш DNS сервер. Cato использует следующие DNS-серверы:

  • Основной сервер: 10.254.254.1 (сервер Cato DNS)

  • Вторичный сервер: 8.8.8.8 (сервер Google DNS)

Эти настройки применяются, если DNS-серверы не настроены на странице Настройки DNS.

Вы можете настроить настройки DNS таким образом, чтобы ваша учетная запись использовала частные DNS-серверы. Использование DNS сервиса Cato предоставляет безопасность и преимущества. Сервис обрабатывает все DNS-запросы и генерирует ответы, что позволяет Cato инспектировать запросы на основе вашей конфигурации защиты DNS. Если необходимо, DNS-запросы безопасно перенаправляются доверенным глобальным DNS провайдерам, которые включают 8.8.8.8, 1.1.1.1 и 9.9.9.9.

Примечание

Примечание: события Файервол не генерируются для DNS-трафика к серверу Cato DNS (10.254.254.1).

Вы также можете использовать Приложение Управления Cato, чтобы настроить Cato для разрешения частных DNS-серверов.

Доверенные и Недоверенные DNS Серверы

Глобальные DNS-услуги, которые проверены на безопасность, рассматриваются Cato как доверенные DNS-серверы. Другие DNS-провайдеры считаются недоверенными DNS-серверами. Поведение DNS отличается для доверенных и недоверенных DNS-серверов. Для получения дополнительной информации, смотрите Использование Доверенных DNS Сервисов.

Настройки DNS для Удаленных пользователей

Когда удаленный пользователь подключается к вашей сети, применяются настройки DNS вашей учетной записи. Вы можете применять специфические настройки DNS для пользователей или групп пользователей, используя Политику Настроек DNS.

Настройки DNS в Режиме развертывания офиса

Когда Клиент используется в офисе, находящемся за Cato Сокет или IPsec сайт, он автоматически переходит в Режим офиса. Он подключается к площадке без использования зашифрованного туннеля. В этой ситуации устройства используют настройки DNS, настроенные в учетной записи или лицензии на сайт. Если Пользователь определяет локальный DNS Сервер на своем Устройстве, будет использован локальный DNS Сервер.

Режим обхода всегда включен

Политика Всегда Включено определяет правила, когда Клиент всегда подключается к Cato Cloud. Если режим "Всегда включено" обойден, Устройства используют локальные Настройки DNS, так как трафик не маршрутизирован к облаку Cato.

Обработка DNS-запросов

Когда PoP получает DNS-запрос из туннеля Socket DTLS, туннеля IPsec или туннеля Клиент Cato, PoP проверяет IP-адрес назначения запроса. Когда IP-адрес назначения запроса совпадает с доверенным DNS-сервером, PoP проверяет, включено ли Перенаправление DNS для учетной записи. Затем PoP перенаправляет запрос на настроенный DNS-сервер(ы).

Для учетных записей, которые не используют Перенаправление DNS, PoP пытается разрешить запрос, используя свой собственный кэш DNS. Когда PoP может разрешить запрос, он генерирует реакцию DNS. Если для запроса нет записи в кэше DNS, PoP перенаправляет запрос на один из своих глобальных DNS-серверов и выполняет следующие действия:

  1. PoP изменяет IP-адрес назначения запроса с доверенного DNS-сервера на IP-адрес глобального DNS-сервера. Порт UDP не изменяется.

  2. PoP выполняет SNAT на IP-адрес источника запроса, заменяя его на собственный публичный IP-адрес (публичный диапазон Cato), тем самым скрывая организацию источника.

  3. Когда PoP получает DNS-ответ от глобального DNS-сервера, он изменяет исходные и целевые IP-адреса на их первоначальные значения и отправляет ответ обратно к источнику. PoP кэширует ответы типа A или CNAME, которые он получает от глобальных DNS-серверов, и их TTL применяется.

Если IP-адрес назначения для DNS-запроса не соответствует доверенному DNS-серверу и внутренний DNS-сервер не определен, тогда PoP отправляет этот запрос на IP-адрес назначения как обычный трафик WAN или Интернета. IP-адрес назначения запроса не изменяется.

Для публичных DNS-запросов PoP использует NAT для перевода IP-адреса источника на один из публичных IP-адресов Cato. В этом случае PoP не выполняет перенаправление DNS или кэширование ответов DNS.

Время, в течение которого DNS-запросы сохраняются в кэше PoP, зависит от TTL DNS-сервера. Например, DNS-запись с TTL 86400 будет кэшироваться в течение 24 часов.

Если перенаправление DNS включено, PoP не кэширует ответы DNS.

Примечание

Примечание: Cato Networks не поддерживает следующие типы DNS:

  • DNS через TLS

  • DNS через HTTPS

Работа с иерархией настроек DNS

Вы можете настроить настройки DNS на различных объектах в CMA, например: настройки для всего аккаунта и для конкретных групп. Когда возникает конфликт между этими объектами, приоритет отдается сущности, которая ближе всего к хосту для пользователя:

  1. Пользователи - ближе всего к хосту и наивысший приоритет

  2. Сайты

  3. Группы

  4. Аккаунт - низший приоритет

Другими словами, если для сайта и аккаунта разные настройки DNS, то используются настройки DHCP для сайта, так как сайт имеет более высокий приоритет, чем аккаунт.

Опции DHCP имеют приоритет и переписывают Настройки DNS для учетной записи, группы, площадки или пользователя.

Настройка DNS настроек для учетной записи

Вы можете настроить следующие DNS настройки для всего аккаунта:

DNS_Relay.png

Примечание

Примечание: Вы можете заменить стандартные серверы Cato Cloud на пользовательские DNS-серверы. В этом случае следующие DNS-записи должны быть добавлены на ваши DNS-серверы для поддержания функциональности сервиса:

  • vpn.catonetworks.net - 10.254.254.5 (или настройте IP-адрес из резервного диапазона сервисов x.y.z.2)

  • tunnel-api.catonetworks.com - 10.254.254.3 (или настройте IP-адрес из резервного диапазона сервисов x.y.z.7)

Однако для пользовательских DNS-серверов, которые отправляют трафик через Cato Cloud, вам не нужно добавлять эти записи DNS. PoP могут разрешать DNS-запросы для пользовательских серверов.

Защита Cato DNS

Сервис IPS Cato включает в себя защиту DNS, которая анализирует DNS-запросы и ответы и предоставляет защиту на основе репутации, поведенческих сигнатур и эвристики. Вредоносные DNS-запросы блокируются до установления соединения между хостом и вредоносным сервером (нет TCP или UDP handshake).

Cato предоставляет различные виды защиты DNS, например, в отношении вредоносных доменов, фишинг-кампаний, DNS-туннелирования и других угроз. Для получения дополнительной информации см. Настройка защиты DNS для IPS.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев