Saltar al contenido

Flujos DNS

A continuación se ofrece una descripción general de cómo funciona DNS al acceder a una aplicación mediante ZTNA. Puede acceder a una aplicación con el agente ZTNA o a través del navegador.

Haga clic en la ficha del tipo de despliegue de la puerta de enlace a continuación.

Flujo DNS con agente

Flujo DNS con agente.

  1. El usuario remoto intenta acceder a una aplicación privada, app.mycompany.net, a través de su navegador.

  2. La solicitud DNS es interceptada y se reenvía al agente ZTNA.

    Nota

    El agente ZTNA resuelve el FQDN de la aplicación privada en la dirección IP de la red de traducción de direcciones de red a gran escala (CGN) y también gestiona todo el tráfico destinado al FQDN de la aplicación privada.

    1. Tan pronto como se intercepta la solicitud DNS, el agente ZTNA concede una dirección IP en el rango 100.64.x.x a la aplicación. Ejemplo: 100.64.0.4.
    2. El navegador envía un paquete TCP-SYN a la aplicación (dirección IP: 100.64.0.4).
    3. La IP de destino del paquete SYN es 100.64.0.4, que está en el rango de subred del adaptador virtual (100.64.x.x), por lo que el paquete SYN va al adaptador virtual.

  3. El agente ZTNA envía una solicitud DNS al servidor DNS público para la dirección IP de la puerta de enlace ZTNA. Esto es necesario para establecer el túnel con la puerta de enlace ZTNA.

    Nota

    El servidor DNS público tiene una entrada de registro A para la puerta de enlace ZTNA que apunta a la IP de la puerta de enlace.

  4. El servidor DNS público envía la dirección IP de la puerta de enlace ZTNA (203.0.113.20) de vuelta al agente ZTNA.

  5. El cifrado TLS mutuo se realiza entre el agente ZTNA y la puerta de enlace ZTNA, y se establece un túnel. Toda la comunicación con la puerta de enlace ZTNA se realiza a través del túnel seguro.

  6. El agente envía el tráfico de aplicación para app.mycompany.net a la puerta de enlace ZTNA a través del túnel.

  7. La puerta de enlace ZTNA envía la consulta DNS para app.mycompany.net al servidor DNS privado para averiguar dónde se encuentra la IP del servidor de aplicaciones específico.

  8. El servidor DNS privado devuelve la dirección IP del servidor de aplicaciones (192.168.1.20) y la puerta de enlace ZTNA reenvía el tráfico al servidor de aplicaciones.

  9. El usuario remoto puede acceder a la aplicación privada a través del túnel.

Nota

El usuario solo puede acceder a la aplicación privada después de la autenticación y autorización, pero no se incluyen en este tema.

Nota

La instalación del agente ZTNA cambia el adaptador TAP predeterminado. Si utiliza nslookup para realizar una búsqueda de DNS, ahora utiliza el adaptador TAP de ZTNA de forma predeterminada. Las búsquedas de aplicaciones que no están detrás de la puerta de enlace ZTNA fallarán. Debe añadir el adaptador de red correspondiente al comando nslookup. Por ejemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Esto se aplica a los escenarios de trabajo tanto local como remoto.

Flujo DNS sin agente

Flujo DNS sin agente.

  1. El usuario remoto intenta acceder a una aplicación privada, app.mycompany.net, a través de su navegador.

  2. La solicitud DNS se envía desde el navegador del usuario remoto al servidor DNS público, que resuelve el nombre de la aplicación privada en el nombre y la dirección IP de la puerta de enlace ZTNA.

    Nota

    El servidor DNS público tiene un registro CNAME para la aplicación privada, que apunta al FQDN de la puerta de enlace ZTNA. También tiene un registro A para la puerta de enlace ZTNA, que apunta a la dirección IP de la puerta de enlace.

  3. El servidor DNS público envía la dirección IP de la puerta de enlace ZTNA (203.0.113.20) al navegador del usuario.

  4. A continuación, se envía una solicitud web desde el navegador del usuario a la puerta de enlace ZTNA.

  5. La puerta de enlace ZTNA envía la solicitud DNS para app.mycompany.net al servidor DNS privado.

  6. El servidor DNS privado devuelve la dirección IP de app.mycompany.net (192.168.1.20).

  7. La puerta de enlace ZTNA reenvía la solicitud (app.mycompany.net) al servidor de aplicaciones.

  8. El usuario puede conectarse a la puerta de enlace ZTNA para acceder a la aplicación privada.

Nota

El usuario solo puede acceder a la aplicación privada después de la autenticación y autorización, pero no se incluyen en este tema.

Flujo DNS con agente

Flujo DNS con agente para Sophos Cloud.

  1. El usuario remoto intenta acceder a una aplicación privada, app.mycompany.net, a través de su navegador.

  2. La solicitud DNS es interceptada y se reenvía al agente ZTNA.

    Nota

    El agente ZTNA resuelve el FQDN de la aplicación privada en la dirección IP de la red de traducción de direcciones de red a gran escala (CGN) y también gestiona todo el tráfico destinado al FQDN de la aplicación privada.

    1. Tan pronto como se intercepta la solicitud DNS, el agente ZTNA concede una dirección IP en el rango 100.64.x.x a la aplicación. Ejemplo: 100.64.0.4.
    2. El navegador envía un paquete TCP-SYN a la aplicación (dirección IP: 100.64.0.4).
    3. La IP de destino del paquete SYN es 100.64.0.4, que está en el rango de subred del adaptador virtual (100.64.x.x), por lo que el paquete SYN va al adaptador virtual.

  3. La solicitud DNS se envía desde el agente ZTNA al servidor DNS público.

  4. El servidor DNS resuelve el nombre de la aplicación privada al dominio de alias al que está asignada.

  5. El dominio de alias redirige la solicitud DNS desde el navegador del usuario remoto al punto de presencia de Sophos Cloud y luego a la puerta de enlace ZTNA. El cifrado TLS mutuo se realiza entre el agente ZTNA y la puerta de enlace ZTNA, y se establece un túnel. Toda la comunicación con la puerta de enlace ZTNA se produce a través del túnel seguro mediante el punto de presencia de Sophos Cloud.

    Nota

    Si tiene una puerta de enlace de Sophos Firewall, todas las comprobaciones de seguridad, como la autenticación y la autorización, se realizan en Sophos Cloud, por lo que el túnel se establece entre el agente ZTNA y el punto de presencia de Sophos Cloud.

  6. El agente envía el tráfico de aplicación para app.mycompany.net a la puerta de enlace ZTNA a través del túnel mediante el punto de presencia de Sophos Cloud.

  7. La puerta de enlace ZTNA envía la consulta DNS para app.mycompany.net al servidor DNS privado para averiguar dónde se encuentra la IP del servidor de aplicaciones específico.

  8. El servidor DNS privado devuelve la dirección IP del servidor de aplicaciones (192.168.1.20) y la puerta de enlace ZTNA reenvía el tráfico al servidor de aplicaciones a través del punto de presencia de Sophos Cloud.

  9. El usuario remoto puede acceder a la aplicación privada a través del túnel.

Nota

El usuario solo puede acceder a la aplicación privada después de la autenticación y autorización, pero no se incluyen en este tema.

Nota

La instalación del agente ZTNA cambia el adaptador TAP predeterminado. Si utiliza nslookup para realizar una búsqueda de DNS, ahora utiliza el adaptador TAP de ZTNA de forma predeterminada. Las búsquedas de aplicaciones que no están detrás de la puerta de enlace ZTNA fallarán. Debe añadir el adaptador de red correspondiente al comando nslookup. Por ejemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Esto se aplica a los escenarios de trabajo tanto local como remoto.

Flujo DNS sin agente

Flujo DNS sin agente para Sophos Cloud.

  1. El usuario remoto intenta acceder a una aplicación privada, app.mycompany.net, a través de su navegador.

  2. La solicitud DNS se envía desde el navegador del usuario remoto al servidor DNS público, que resuelve el nombre de la aplicación privada en el dominio de alias al que está asignada.

  3. El servidor DNS público envía el dominio de alias del recurso al navegador del usuario.

  4. El alias redirige la solicitud DNS desde el navegador del usuario remoto al punto de presencia de Sophos Cloud.

    Nota

    Cuando se añade un recurso sin agente, se establece un nuevo túnel entre la puerta de enlace ZTNA y el punto de presencia de Sophos Cloud. El túnel se inicia desde la puerta de enlace ZTNA en el puerto 443. Se establece un nuevo túnel para cada nuevo recurso.

  5. El punto de presencia de Sophos envía la solicitud DNS a través del túnel a la puerta de enlace correspondiente utilizando la información del dominio de alias.

  6. La puerta de enlace ZTNA envía la solicitud DNS para app.mycompany.net al servidor DNS privado.

  7. El servidor DNS privado devuelve la dirección IP de app.mycompany.net (192.168.1.20).

  8. La puerta de enlace ZTNA reenvía la solicitud (app.mycompany.net) al servidor de aplicaciones.

  9. El usuario puede conectarse a la puerta de enlace ZTNA a través del punto de presencia de Sophos Cloud para acceder a la aplicación privada.

    Nota

    El usuario solo puede acceder a la aplicación privada después de la autenticación y autorización, pero no se incluyen en este tema.