Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

Поведенческие различия относительно запросов DNS и разрешения доменного имени в другом OSs

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как другие Операционные системы (OSs) Система доменных имен (DNS) маркера делают запрос и влияние на разрешении доменного имени с AnyConnect Cisco и разделением или полным туннелированием.

Внесенный специалистами службы технической поддержки Cisco.

Разделение по сравнению со стандартным DNS

Когда вы используете разделение - включают туннелирование, у вас есть три параметра для dns:

  1. Раздельный DNS - запросы DNS, которые совпадают с доменными именами, которые настроены на устройстве адаптивной защиты Cisco (ASA) перемещение через туннель (к серверам DNS, которые определены на ASA, например) и другие не делают.

  2. Tunnel-all-DNS - Только трафик DNS к серверам DNS, которые определены на ASA, позволен. Эта установка настроена в групповой политике.

  3. Стандартный DNS - Все запросы DNS перемещаются через серверы DNS, которые определены ASA. В случае отрицательного ответа запросы DNS могли бы также перейти к серверам DNS, которые настроены на физическом адаптере.

Примечание: Команда split-tunnel-all-dns была сначала внедрена в Версии ASA 8.2 (5). Перед этой версией вы могли только сделать раздельный DNS или стандартный DNS.

Во всех случаях запросы DNS, которые определены для перемещения через туннель, переходят к любым серверам DNS, которые определены на ASA. Если нет никаких серверов DNS, определенных на ASA, то параметры настройки DNS являются пробелом для туннеля. Если у вас нет раздельного DNS определенным, то все запросы DNS передаются серверам DNS, которые определены ASA. Однако способы поведения, которые описаны в этом документе, могут быть другими, зависеть от Операционной системы (OS).

Примечание: Избегите использования NSLookup при тестировании разрешения имен у клиента. Вместо этого положитесь на браузер или используйте команду ping. Это вызвано тем, что NSLookup не полагается на Распознавателя DNS ОС. AnyConnect не вызывает запрос DNS через некоторый интерфейс, но позволяет его или отклоняет его зависящий от раздельной Конфигурации DNS. Чтобы вынудить Распознавателя DNS попробовать приемлемый сервер DNS за запрос, важно, чтобы тестирование DNS разделения было только выполнено с приложениями, которые полагаются на собственного Распознавателя DNS для разрешения доменного имени (все приложения кроме NSLookup, Выройте, и подобные приложения, которые обрабатывают Разрешение DNS собой, например).

Истинный по сравнению с раздельным DNS оптимального уровня

Раздельная Нейтрализация DNS поддержек Выпуска 2.4 AnyConnect (оптимальный уровень разделил DNS), который не является истинным раздельным DNS, найденным в устаревшем Клиенте IPSEC. Если запрос совпадает с раздельным Доменом DNS, AnyConnect позволяет запросу быть туннелированным в к ASA. Если сервер не может решить имя хоста, Распознаватель DNS продолжает и передает тот же запрос к серверу DNS, который сопоставлен с физическим интерфейсом.

С другой стороны, если запрос не совпадает ни с одним из раздельных Доменов DNS, AnyConnect не туннелирует он в к ASA. Вместо этого это создает DNS - ответ так, чтобы Распознаватель DNS переключился и передал запрос к серверу DNS, который сопоставлен с физическим интерфейсом. Именно поэтому эту функцию не называют разделенным DNS, но нейтрализацией DNS для разделенного туннелирования. Мало того, что AnyConnect гарантирует, который только запрашивает, чтобы целевые раздельные Домены DNS были туннелированы в, это также полагается на поведение Распознавателя DNS клиентской операционной системы для разрешения имени хоста.

Это повышает проблемы безопасности из-за потенциальной утечки названия личного домена. Например, когда сервер имени DNS VPN не мог решить запрос DNS, собственный DNS - клиент может передать запрос за названием личного домена к общему серверу DNS в частности.

Обратитесь к идентификатору ошибки Cisco CSCtn14578, в настоящее время решаемый на Microsoft Windows только, с Версии 3.0 (4235). Решение внедряет истинный раздельный DNS: это строго делает запрос настроенных доменных имен, которые совпадают и позволены серверам DNS VPN. Все другие запросы только позволены другим серверам DNS, таким как настроенные на физическом адаптере (ах).

Туннель все и туннель весь DNS

Когда разделенное туннелирование отключено (туннель вся конфигурация), трафик DNS позволен строго через туннель. Туннель, который вся Конфигурация DNS (настроенный в групповой политике) передает всем Поискам DNS через туннель, вместе с некоторым типом разделенного туннелирования и трафиком DNS, позволен строго через туннель.

Это является соответствующим по платформам одному предупреждению на Microsoft Windows: когда любой туннель, который все или туннель, весь DNS настроен, AnyConnect, позволяют трафику DNS строго серверам DNS, которые настроены на защищенном шлюзе (применился к адаптеру VPN). Это - улучшение безопасности, внедренное вместе с ранее упомянутым истинным раздельным решением для DNS.

Если это оказывается проблематичным в определенных, некоторый сценариях (например, обновление/запросы регистрации DNS должно быть передано серверам DNS не-VPN), то выполните эти шаги:

  1. Если текущая конфигурация является туннелем все, то включите разделение - исключают туннелирование. Любой один хост, разделение - сеть exclude приемлема для использования, такова как локальный для канала адрес.

  2. Гарантируйте, что туннелируют, весь DNS не настроен в групповой политике.

Вопрос производительности DNS, решенный в версии 3.0 (4235) AnyConnect

Эта проблема Microsoft Windows главным образом распространена при этих условиях:

  • С домашней настройкой маршрутизатора DNS и Dhcp server назначают тот же IP-адрес (AnyConnect создает необходимый маршрут к DHCP server).

  • Большое число Доменов DNS находится в групповой политике.

  • Туннель - вся конфигурация используется.

  • Разрешение имен выполнено неквалифицированным именем хоста, которое подразумевает, что преобразователь должен попробовать много суффиксов DNS на всех доступных серверах DNS до, одно соответствующее для делавшего запрос имени хоста предпринято.

Эта проблема происходит из-за собственного DNS - клиента, который пытается передать запросы DNS через физический адаптер, который AnyConnect блокирует (данный туннель - вся конфигурация). Это приводит к задержке разрешения имен, которая может быть значительной, особенно если большое число суффиксов DNS выдвинуто головным узлом. DNS - клиент должен идти через все запросы и доступные серверы DNS, пока это не получает положительный отклик.

Эта проблема решена в Версии 3.0 (4235) AnyConnect. Ссылочные идентификаторы ошибок Cisco CSCtq02141 и CSCtn14578, вместе с введением к ранее упомянутому истинному раздельному решению для DNS, для получения дополнительной информации.

Если обновление не может быть внедрено, то вот возможные обходной пути:

  • Включите разделение - исключают туннелирование для IP-адреса, который позволяет запросам локального DNS течь через физический адаптер. Можно использовать адрес от linklocal подсети 169.254.0.0/16, потому что маловероятно, что любое устройство передает трафик к одному из тех IP-адресов по VPN. После включения разделения - исключают туннелирование, включают доступ к локальной сети на клиентском профиле или у клиента самом и отключают туннель весь DNS.

    На ASA сделайте эти изменения конфигурации:

    access-list acl_linklocal_169.254.1.1 standard permit host 169.254.1.1
    group-policy gp_access-14 attributes
    split-tunnel-policy excludespecified
    split-tunnel-network-list value acl_linklocal_169.254.1.1
    split-tunnel-all-dns disable
    exit

    На клиентском профиле необходимо добавить эту линию:

    <LocalLanAccess UserControllable="true">true</LocalLanAccess>

    Можно также включить это на на ну клиентской основе в GUI клиента AnyConnect. Перейдите к Меню предпочтений AnyConnect и проверьте Разрешать флажок доступа к локальной сети.

  • Используйте полные доменные имена (FQDNs) вместо неполных имен хоста для разрешений имен.

  • Используйте другой IP-адрес для сервера DNS на физическом интерфейсе.

DNS с разделенным туннелированием на другом OSs

Другой DNS маркера OSs ищет по-разному, когда используется с разделенным туннелированием (без раздельного DNS) для AnyConnect. В этом разделе описываются те различия.

Microsoft Windows

В системах Microsoft Windows параметры настройки DNS поинтерфейсны. Если разделенное туннелирование используется, запросы DNS могут переключиться на физические серверы DNS адаптера после того, как они отказывают на адаптере VPN-туннеля. Если разделенное туннелирование без раздельного DNS определено, то и внутреннее и внешнее Разрешение DNS работает, потому что это переключается на внешние серверы DNS.

Macintosh

На Системах Macintosh параметры настройки DNS являются глобальным. Если разделенное туннелирование используется, но раздельный DNS не используется, для запросов DNS не возможно достигнуть серверов DNS за пределами туннеля. Можно только решить внутренне, не внешне.

Это задокументировано в идентификаторы ошибок Cisco CSCtf20226 и CSCtz86314. В обоих случаях этот обходной путь должен решить вопрос:

  • Задайте внешний IP-адрес сервера DNS под групповой политикой и используйте FQDN для запросов Internal DN.

  • Если внешние названия разрешимы через туннель, то перешли к Усовершенствованному> Разделенное туннелирование и отключают раздельный DNS через удаление имен DNS, которые настроены в групповой политике. Это требует использования FQDN для запросов Internal DN.

Раздельный случай DNS был решен в Версии 3.1 AnyConnect. Однако необходимо гарантировать, что соблюдают одно из этих условий:

  • Раздельный DNS должен быть включен для обоих Протоколов "IP", который требует Версии 9.0 Cisco ASA или позже.

  • Раздельный DNS должен быть включен для одного Протокола "IP". При выполнении Версии 9.0 Cisco ASA или позже то используйте клиентский обходной протокол для другого Протокола "IP". Например, гарантируйте, что нет никакого пула адресов и что Клиентский Обходной Протокол включен в групповой политике. Также, если вы выполняете версию ASA, которая является ранее, чем Версия 9.0, затем гарантируйте, что нет никакого пула адресов, настроенного для другого Протокола "IP". Это подразумевает, что другой Протокол "IP" является IPv6.

Примечание: AnyConnect не изменяет resolv.conf файл на Macintosh OS X, а скорее изменяет специфичные для OS X настройки DNS. Macintosh OS X держит resolv.conf файл в курсе для обеспечений совместимости. Используйте scutil - команда dns для просмотра параметров настройки DNS на Macintosh OS X.

iPhone

IPhone является завершенной противоположностью Системы Macintosh и не подобен Microsoft Windows, Если разделенное туннелирование определено, но раздельный DNS не определен, то запросы DNS выходят через глобальный сервер DNS, который определен. Например, раздельные записи Домена DNS являются обязательными для внутреннего разрешения. Это поведение задокументировано в идентификатор ошибки Cisco CSCtq09624 и исправлено в Версии 2.5.4038 для клиента AnyConnect iOS Apple.

Примечание: Знайте, что запросы DNS iPhone игнорируют .local домены. Это задокументировано в идентификатор ошибки Cisco CSCts89292. Инженеры Apple подтверждают, что проблема вызвана функциональностью ОС. Это - разработанное поведение, и Apple подтверждает, что нет никакого изменения к нему.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.