Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=dns-flows

Fluxos de DNS

Esta é uma visão geral de como o DNS funciona quando você acessa um aplicativo usando o ZTNA. Você pode acessar um aplicativo com o agente ZTNA ou através do seu navegador.

Clique na guia do tipo de implantação do seu gateway abaixo.

Fluxo de DNS com agente

Fluxo do agente DNS.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é interceptada e encaminhada ao agente ZTNA.

    Nota

    O agente ZTNA resolve o FQDN do aplicativo privado para o IP da rede CGN (Carrier Grade Network Address Translation) e também lida com todo o tráfego destinado para o FQDN do aplicativo privado.

    1. Assim que a solicitação de DNS é interceptada, o agente ZTNA arrenda um endereço IP na faixa 100.64.x.x para o aplicativo. Exemplo: 100.64.0.4.
    2. O navegador envia um pacote TCP-SYN para o aplicativo (endereço IP: 100.64.0.4).
    3. O IP de destino do pacote SYN é 100.64.0.4, que está no intervalo de sub-rede do adaptador virtual (100.64.x.x), de modo que o pacote SYN vai para o adaptador virtual.

  3. O agente ZTNA envia uma solicitação de DNS ao servidor DNS público para o endereço IP do gateway ZTNA. Isso é necessário para estabelecer o túnel com o gateway ZTNA.

    Nota

    O servidor DNS público tem uma entrada de registro A para o gateway ZTNA que aponta para o IP do gateway.

  4. O servidor DNS público envia o endereço IP do gateway ZTNA (203.0.113.20) de volta ao agente ZTNA.

  5. A criptografia TLS mútua é executada entre o agente ZTNA e o gateway ZTNA, e um túnel é estabelecido. Toda a comunicação com o gateway ZTNA acontece através do túnel seguro.

    Nota

    ZTNA suporta TLS 1.2 e versões posteriores, usando protocolos de criptografia padrão da indústria com comprimentos de chave de até 256 bits para transmissão segura de dados.

  6. O agente envia o tráfego do aplicativo app.mycompany.net para o gateway ZTNA através do túnel.

  7. O gateway ZTNA envia a consulta DNS do app.mycompany.net para o servidor DNS privado para descobrir onde está o IP do servidor do aplicativo específico.

  8. O servidor DNS privado retorna o endereço IP do servidor do aplicativo (192.168.1.20) e o tráfego é encaminhado pelo gateway ZTNA para o servidor do aplicativo.

  9. O usuário remoto pode acessar o aplicativo privado pelo túnel.

Nota

O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.

Nota

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão. Você precisa adicionar o adaptador de rede correspondente ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Isso se aplica a ambos os cenários de trabalho local e remoto.

Fluxo sem agente de DNS.

Fluxo sem agente de DNS.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é enviada do navegador do usuário remoto para o servidor DNS público, que resolve o nome do aplicativo privado para o nome e o endereço IP do gateway ZTNA.

    Nota

    O servidor DNS público tem um registro CNAME para o aplicativo privado, que aponta para o FQDN do gateway ZTNA. Ele também tem um registro A para o gateway ZTNA, que aponta para o endereço IP do gateway.

  3. O servidor DNS público envia o endereço IP do gateway ZTNA (203.0.113.20) de volta para o navegador do usuário.

  4. Uma solicitação da Web é enviada do navegador do usuário para o gateway ZTNA.

  5. O gateway ZTNA envia a solicitação de DNS do app.mycompany.net para o servidor DNS privado.

  6. O servidor DNS privado retorna o endereço IP de app.mycompany.net (192.168.1.20).

  7. O gateway ZTNA encaminha a solicitação (app.mycompany.net) para o servidor do aplicativo.

  8. O usuário pode se conectar ao Gateway ZTNA para acessar o aplicativo privado.

Nota

O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.

Fluxo de DNS com agente

Fluxo de agente DNS para Sophos Cloud.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é interceptada e encaminhada ao agente ZTNA.

    Nota

    O agente ZTNA resolve o FQDN do aplicativo privado para o IP da rede CGN (Carrier Grade Network Address Translation) e também lida com todo o tráfego destinado para o FQDN do aplicativo privado.

    1. Assim que a solicitação de DNS é interceptada, o agente ZTNA arrenda um endereço IP na faixa 100.64.x.x para o aplicativo. Exemplo: 100.64.0.4.
    2. O navegador envia um pacote TCP-SYN para o aplicativo (endereço IP: 100.64.0.4).
    3. O IP de destino do pacote SYN é 100.64.0.4, que está no intervalo de sub-rede do adaptador virtual (100.64.x.x), de modo que o pacote SYN vai para o adaptador virtual.

  3. A solicitação de DNS é enviada do agente ZTNA para o servidor DNS público.

  4. O servidor DNS resolve o nome do aplicativo privado para o domínio de alias para o qual está mapeado.

  5. O domínio alias redireciona a solicitação DNS do navegador do usuário remoto para o ponto de presença do Sophos Cloud e, em seguida, para o gateway ZTNA. A criptografia TLS mútua é executada entre o agente ZTNA e o gateway ZTNA, e um túnel é estabelecido. Toda a comunicação com o gateway ZTNA acontece através do túnel seguro pelo ponto de presença do Sophos Cloud.

    Nota

    ZTNA suporta TLS 1.2 e versões posteriores, usando protocolos de criptografia padrão da indústria com comprimentos de chave de até 256 bits para transmissão segura de dados.

    Nota

    Se você tem um gateway Sophos Firewall, todas as verificações de segurança, como autenticação e autorização, são feitas no Sophos Cloud, de modo que o túnel é estabelecido entre o Agente ZTNA e o ponto de presença do Sophos Cloud.

  6. O agente envia o tráfego do aplicativo para app.mycompany.net para o gateway ZTNA através do túnel pelo ponto de presença do Sophos Cloud.

  7. O gateway ZTNA envia a consulta DNS do app.mycompany.net para o servidor DNS privado para descobrir onde está o IP do servidor do aplicativo específico.

  8. O servidor DNS privado retorna o endereço IP do servidor do aplicativo (192.168.1.20) e o tráfego é encaminhado pelo gateway ZTNA para o servidor do aplicativo pelo ponto de presença do Sophos Cloud.

  9. O usuário remoto pode acessar o aplicativo privado pelo túnel.

Nota

O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.

Nota

A instalação do agente ZTNA altera o adaptador TAP padrão. Se você usa nslookup para fazer uma pesquisa de DNS, agora usará o adaptador TAP ZTNA por padrão. As pesquisas de aplicativos que não estão atrás do gateway ZTNA falharão. Você precisa adicionar o adaptador de rede correspondente ao seu comando nslookup. Por exemplo:

nslookup <FQDN-to-be-resolved><DNS-Server>

Isso se aplica a ambos os cenários de trabalho local e remoto.

Fluxo sem agente de DNS.

Fluxo sem agente de DNS para o Sophos Cloud.

  1. O usuário remoto tenta acessar um aplicativo privado, app.mycompany.net, por meio do navegador.

  2. A solicitação de DNS é enviada do navegador do usuário remoto para o servidor DNS público, que resolve o nome do aplicativo privado para o domínio do alias para o qual está mapeado.

  3. O servidor DNS público envia o domínio do alias do recurso de volta para o navegador do usuário.

  4. O alias redireciona a solicitação DNS do navegador do usuário remoto para o ponto de presença do Sophos Cloud.

    Nota

    Quando você adiciona um recurso sem agente, um novo túnel é estabelecido entre o gateway ZTNA e o ponto de presença do Sophos Cloud. O túnel é iniciado a partir do gateway ZTNA na porta 443. Um novo túnel é estabelecido para cada novo recurso.

  5. O ponto de presença do Sophos envia a solicitação DNS através do túnel para o gateway relevante usando as informações do domínio do alias.

  6. O gateway ZTNA envia a solicitação de DNS do app.mycompany.net para o servidor DNS privado.

  7. O servidor DNS privado retorna o endereço IP de app.mycompany.net (192.168.1.20).

  8. O gateway ZTNA encaminha a solicitação (app.mycompany.net) para o servidor do aplicativo.

  9. O usuário pode se conectar ao Gateway ZTNA através do ponto de presença do Sophos Cloud para acessar o aplicativo privado.

    Nota

    O usuário só pode acessar o aplicativo privado após a autenticação e a autorização, mas isso não está incluído neste tópico.