Pular para o conteúdo

Fluxos de DNS

Esta é uma visão geral de como o DNS funciona quando você acessa um aplicativo usando o ZTNA. Você pode acessar um aplicativo com o agente ZTNA ou através do seu navegador.

Clique na guia do tipo de implantação do seu gateway abaixo.

Fluxo de DNS com agente

Fluxo do agente DNS.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é interceptada e encaminhada ao agente ZTNA.

    Nota

    O agente ZTNA resolve o FQDN do aplicativo privado para o IP da rede CGN (Carrier Grade Network Address Translation) e também lida com todo o tráfego destinado para o FQDN do aplicativo privado.

    1. Assim que a solicitação de DNS é interceptada, o agente ZTNA arrenda um endereço IP 100.64.x.x no intervalo para o aplicativo. Exemplo: 100.64.0.4.
    2. O navegador envia um pacote TCP-SYN para o aplicativo (endereço IP: 100.64.0.4).
    3. O IP de destino do pacote SYN é 100.64.0.4, que está no intervalo de sub-rede do adaptador virtual (100.64.x.x), de modo que o pacote SYN vai para o adaptador virtual.

  3. O agente ZTNA envia uma solicitação de DNS ao servidor DNS público para o endereço IP do gateway ZTNA. Isso é necessário para estabelecer o túnel com o gateway ZTNA.

    Nota

    O servidor DNS público tem uma entrada de registro A para o gateway ZTNA que aponta para o IP do gateway.

  4. O servidor DNS público envia o endereço IP do gateway ZTNA (203.0.113.20) de volta ao agente ZTNA.

  5. A criptografia TLS mútua é executada entre o agente ZTNA e o gateway ZTNA, e um túnel é estabelecido. Toda a comunicação com o gateway ZTNA acontece através do túnel seguro.

  6. O agente envia o tráfego do aplicativo app.mycompany.net para o gateway ZTNA através do túnel.

  7. O gateway ZTNA envia a consulta DNS do app.mycompany.net para o servidor DNS privado para descobrir onde está o IP do servidor do aplicativo específico.

  8. O servidor DNS privado retorna o endereço IP do servidor do aplicativo (192.168.1.20) e o tráfego é encaminhado pelo gateway ZTNA para o servidor do aplicativo.

  9. O usuário remoto pode acessar o aplicativo privado pelo túnel.

Nota

O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.

Nota

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão. Você precisa adicionar o adaptador de rede correspondente ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Isso se aplica a ambos os cenários de trabalho local e remoto.

Fluxo sem agente de DNS

Fluxo sem agente de DNS.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é enviada do navegador do usuário remoto para o servidor DNS público, que resolve o nome do aplicativo privado para o nome e o endereço IP do gateway ZTNA.

    Nota

    O servidor DNS público tem um registro CNAME para o aplicativo privado, que aponta para o FQDN do gateway ZTNA. Ele também tem um registro A para o gateway ZTNA, que aponta para o endereço IP do gateway.

  3. O servidor DNS público envia o endereço IP do gateway ZTNA (203.0.113.20) de volta para o navegador do usuário.

  4. Uma solicitação da Web é enviada do navegador do usuário para o gateway ZTNA.

  5. O gateway ZTNA envia a solicitação de DNS do app.mycompany.net para o servidor DNS privado.

  6. O servidor DNS privado retorna o endereço IP de app.mycompany.net (192.168.1.20).

  7. O gateway ZTNA encaminha a solicitação (app.mycompany.net) para o servidor do aplicativo.

  8. O usuário pode se conectar ao Gateway ZTNA para acessar o aplicativo privado.

Nota

O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.

Fluxo de DNS com agente

Fluxo de agente DNS para Sophos Cloud.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é interceptada e encaminhada ao agente ZTNA.

    Nota

    O agente ZTNA resolve o FQDN do aplicativo privado para o IP da rede CGN (Carrier Grade Network Address Translation) e também lida com todo o tráfego destinado para o FQDN do aplicativo privado.

    1. Assim que a solicitação de DNS é interceptada, o agente ZTNA arrenda um endereço IP 100.64.x.x no intervalo para o aplicativo. Exemplo: 100.64.0.4.
    2. O navegador envia um pacote TCP-SYN para o aplicativo (endereço IP: 100.64.0.4).
    3. O IP de destino do pacote SYN é 100.64.0.4, que está no intervalo de sub-rede do adaptador virtual (100.64.x.x), de modo que o pacote SYN vai para o adaptador virtual.

  3. A solicitação de DNS é enviada do agente ZTNA para o servidor DNS público.

  4. O servidor DNS resolve o nome do aplicativo privado para o domínio de alias para o qual está mapeado.

  5. O domínio alias redireciona a solicitação DNS do navegador do usuário remoto para o ponto de presença do Sophos Cloud e, em seguida, para o gateway ZTNA. A criptografia TLS mútua é executada entre o agente ZTNA e o gateway ZTNA, e um túnel é estabelecido. Toda a comunicação com o gateway ZTNA acontece através do túnel seguro pelo ponto de presença do Sophos Cloud.

    Nota

    Se você tem um gateway Sophos Firewall, todas as verificações de segurança, como autenticação e autorização, são feitas no Sophos Cloud, de modo que o túnel é estabelecido entre o Agente ZTNA e o ponto de presença do Sophos Cloud.

  6. O agente envia o tráfego do aplicativo de app.mycompany.net para o gateway ZTNA através do túnel pelo ponto de presença do Sophos Cloud.

  7. O gateway ZTNA envia a consulta DNS do app.mycompany.net para o servidor DNS privado para descobrir onde está o IP do servidor do aplicativo específico.

  8. O servidor DNS privado retorna o endereço IP do servidor do aplicativo (192.168.1.20) e o tráfego é encaminhado pelo gateway ZTNA para o servidor do aplicativo pelo ponto de presença do Sophos Cloud.

  9. O usuário remoto pode acessar o aplicativo privado pelo túnel.

Nota

O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.

Nota

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão. Você precisa adicionar o adaptador de rede correspondente ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Isso se aplica a ambos os cenários de trabalho local e remoto.

Fluxo sem agente de DNS

Fluxo sem agente de DNS para o Sophos Cloud.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é enviada do navegador do usuário remoto para o servidor DNS público, que resolve o nome do aplicativo privado para o domínio do alias para o qual está mapeado.

  3. O servidor DNS público envia o domínio do alias do recurso de volta para o navegador do usuário.

  4. O alias redireciona a solicitação DNS do navegador do usuário remoto para o ponto de presença do Sophos Cloud.

    Nota

    Quando você adiciona um recurso sem agente, um novo túnel é estabelecido entre o gateway ZTNA e o ponto de presença do Sophos Cloud. O túnel é iniciado a partir do gateway ZTNA na porta 443. Um novo túnel é estabelecido para cada novo recurso.

  5. O ponto de presença do Sophos envia a solicitação DNS através do túnel para o gateway relevante usando as informações do domínio do alias.

  6. O gateway ZTNA envia a solicitação de DNS do app.mycompany.net para o servidor DNS privado.

  7. O servidor DNS privado retorna o endereço IP de app.mycompany.net (192.168.1.20).

  8. O gateway ZTNA encaminha a solicitação (app.mycompany.net) para o servidor do aplicativo.

  9. O usuário pode se conectar ao Gateway ZTNA através do ponto de presença do Sophos Cloud para acessar o aplicativo privado.

    Nota

    O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.