DNS Doctoring on ASA Configuration Example

introdução

este documento mostra como o DNS Doctoring é usado no Adaptive Security Appliance (ASA) para alterar os endereços IP incorporados nas respostas do Domain Name System (DNS) para que os clientes possam se conectar ao endereço IP correto dos servidores.

pré-requisitos

requisitos

o Doctoring DNS requer configuração de tradução de endereço de rede (NAT) no ASA, bem como ativação da inspeção DNS.

componentes usados

as informações neste documento são baseadas no dispositivo de segurança adaptável.

as informações neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração limpa (padrão). Se sua rede estiver ativa, certifique-se de entender o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de dicas técnicas da Cisco para obter mais informações sobre convenções de documentos.

DNS Medicar Exemplos

Servidor de DNS no Interior da ASA

Figura 1

dns-doctoring-asa-config-01.gif

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns

Na Figura 1, o servidor de DNS é controlado pelo administrador local. O servidor DNS deve distribuir um endereço IP privado, que é o endereço IP real atribuído ao servidor de aplicativos. Isso permite que o cliente local se conecte diretamente ao servidor de aplicativos.

Infelizmente, o cliente remoto não pode acessar o servidor de aplicativos com o endereço privado. Como resultado, o Doctoring DNS é configurado no ASA para alterar o endereço IP incorporado dentro do pacote de resposta DNS. Isso garante que, quando o cliente remoto faz uma solicitação DNS para www.abc.com, a resposta que eles recebem é para o endereço traduzido do servidor de aplicativos. Sem a palavra-chave DNS na instrução NAT, o cliente remoto tenta se conectar ao 10.1.1.100, que não funciona porque esse endereço não pode ser roteado na internet.

Servidor de DNS no lado de Fora da ASA

Figura 2

dns-doctoring-asa-config-02.gif

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns!policy-map global_policy class inspection_default inspect dns

Na Figura 2, o servidor de DNS é controlado pelo ISP ou similar fornecedor de serviços. O servidor DNS deve distribuir o endereço IP público, ou seja, o endereço IP traduzido do servidor de aplicativos. Isso permite que todos os usuários da internet acessem o servidor de aplicativos pela internet.

Infelizmente, o cliente local não pode acessar o servidor de aplicativos com o endereço público. Como resultado, o Doctoring DNS é configurado no ASA para alterar o endereço IP incorporado dentro do pacote de resposta DNS. Isso garante que, quando o cliente local fizer uma solicitação DNS para www.abc.com, a resposta recebida é o endereço real do servidor de aplicativos. Sem a palavra-chave DNS na instrução NAT, o cliente local tenta se conectar ao 198.51.100.100. Isto não trabalha porque este pacote é enviado ao ASA, que deixa cair o pacote.

VPN Nat e DNS Doctoring

Figura 3

dns-doctoring-asa-config-03.gif

considere uma situação em que existem redes que se sobrepõem. Nesta condição, o endereço 10.1.1.100 vive no lado remoto e no lado local. Como resultado, você precisa executar NAT no servidor local para que o cliente remoto ainda possa acessá-lo com o endereço IP 192.1.1.100. Para que isso funcione corretamente, é necessário o Doctoring DNS.

o Doctoring DNS não pode ser executado nesta função. A palavra-chave DNS só pode ser adicionada ao final de um NAT objeto ou NAT fonte. O NAT duas vezes não suporta a palavra-chave DNS. Existem duas configurações possíveis e ambas falham.

Configuração Com Falha 1: Se você configurar o resultado final, ele traduz 10.1.1.1 para 192.1.1.1, não apenas para o cliente remoto, mas para todos na internet. Desde 192.1.1.1 não é roteável na internet, ninguém na internet pode acessar o servidor local.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dnsnat (inside,outside) source static 10.1.1.100 192.168.1.100 destination REMOTE_CLIENT REMOTE_CLIENT

configuração com falha 2: Se você configurar a linha Nat Doctoring DNS após a linha NAT duas vezes necessária, isso causa uma situação em que a Doctoring DNS nunca funciona. Como resultado, o cliente remoto tenta acessar www.abc.com com o endereço IP 10.1.1.100, que não funciona.

Leave a Reply