Безопасность : Защищенный мобильный клиент Cisco AnyConnect Secure Mobility

VPN, Запросы DNS, и Операционная система / часто задаваемые вопросы Вариантов Платформы

6 февраля 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (28 января 2014) | Отзыв

Введение

Этот документ описывает, как другие operations support system (OSS) обрабатывают запросы системы доменных имен (DNS) и их влиять на разрешении доменного имени с AnyConnect.

Внесенный специалистами службы технической поддержки Cisco.

Каковы различия в способах, которыми другие платформы OSS обрабатывают запросы DNS, и как это влияет на разрешение доменного имени с AnyConnect и разделением или полным туннелированием?

Разделение в сравнении со стандартным DNS

Когда вы используете разделение - включают туннелирование, у вас есть три параметра для dns:

  1. Разделение DNS  Запросы DNS, которые совпадают с доменными именами, настроенными на устройстве адаптивной защиты Cisco (ASA), проходят через туннель, например, к серверам DNS, определенным на ASA, и другие не делают.

  2. Tunnel-all-DNS -  только трафик DNS к серверам DNS, определенным на ASA, позволен. Эта установка настроена в групповой политике.

  3. Стандартный DNS - все запросы DNS проходят через серверы DNS, определенные ASA и, в случае отрицательного ответа, могли бы также перейти к серверам DNS, настроенным на физическом адаптере.

Примечание. Команда split-tunnel-all-dns была сначала внедрена в Версии ASA 8.2 (5). Перед этой версией вы могли только сделать split-dns или стандартного dns.

Во всех случаях запросы DNS, определенные для прохождения через туннеля, переходят к любым серверам DNS, определенным на ASA. В частности если нет никаких серверов DNS, определенных на ASA, то параметры настройки DNS являются пробелом для туннеля. Это также означает, что, идеально, если вам не определяли split-DNS, тогда все запросы DNS передаются серверу DNS, определенному ASA. Однако в действительности способы поведения, описанные в этом документе, могут быть другими, зависеть от операционной системы.

Примечание. Избегайте использования NSLookup при тестировании разрешения имен у клиента. Вместо этого положитесь на браузер или используйте эхо-запрос. Это вызвано тем, что NSLookup не полагается на Распознавателя DNS операционной системы (OS), и поэтому, AnyConnect не вызывает DNS, запрашивают через некоторый интерфейс. Это только позволяет его или отклоняет его, согласно конфигурации split-DNS. Чтобы вынудить Распознавателя DNS попробовать приемлемый сервер DNS за тот запрос, важно, чтобы тестирование split-DNS было только выполнено с приложениями, которые полагаются на собственного Распознавателя DNS для разрешения доменного имени. Например, все приложения кроме NSLookup, Выройте, и подобные приложения, которые обрабатывают Разрешение DNS.

Истинный в сравнении с Split-DNS оптимального уровня

Выпуск 2.4 AnyConnect поддерживает Нейтрализацию Split-DNS (split-DNS оптимального уровня), который не является истинным split-DNS, найденным в прежнем Клиенте IPSEC. Если запрос совпадает с доменом split-DNS, AnyConnect позволяет запросу быть туннелированным в к ASA. Если сервер не может решить имя хоста, Распознаватель DNS продолжает и передает тот же запрос серверу DNS, сопоставленному с физическим интерфейсом. С другой стороны, если запрос не совпадает любой из доменов split-DNS, AnyConnect не туннелирует он в к ASA. Вместо этого это сборки DNS - ответ так, чтобы Распознаватель DNS переключился и передал запрос серверу DNS, сопоставленному с физическим интерфейсом. Именно поэтому эту функцию не называют split-DNS, но нейтрализацией DNS для разделенного туннелирования. Другими словами, мало того, что AnyConnect гарантирует, который только запрашивает, в котором туннелированы целевые домены split-DNS, это также полагается на поведение Распознавателя DNS клиентской операционной системы для разрешения имени хоста.

Это повышает проблемы безопасности вследствие потенциальной утечки названия личного домена. Например, когда сервер имени DNS VPN не мог решить запрос DNS, собственный DNS - клиент может передать запрос за названием личного домена к общему серверу DNS в частности.

Обратитесь к дефекту CSCtn14578, в настоящее время решенный на Microsoft (MS) Windows только, с Версии 3.0.4235. Решение внедряет истинного split-DNS; это строго делает запрос настроенных доменных имен, которые совпадают и позволены серверам DNS VPN. Все другие запросы только позволены другим серверам DNS, таким как настроенные на физическом адаптере (ах).

“Туннель все” и “Туннель весь DNS”

Когда разделенное туннелирование отключено (туннель - вся конфигурация), трафик DNS позволен строго через туннель. Точно так же, когда туннель вся Конфигурация DNS, которая передает все Поиски DNS через туннель, настроен в групповой политике, вместе с некоторым типом разделенного туннелирования, трафик DNS позволен строго через туннель.

Это является непротиворечивым через платформы с этими предупреждениями на MS Windows:

Когда любой туннеля - все или туннель весь DNS настроен, AnyConnect позволяет трафик DNS строго серверам DNS, настроенным на безопасном шлюзе (был применен к адаптеру VPN). Это - улучшение безопасности, внедренное вместе с ранее упомянутым истинным решением для split-dns.

Если это оказывается проблематичным в определенных, некоторый сценариях (например, обновление/запросы регистрации DNS должно быть передано серверам DNS не-VPN), двухступенчатое временное решение:

  1. Если текущая конфигурация является туннелем - все: включите разделение - исключают туннелирование, любое поддельный одно разделение хоста - сеть exclude работает, такие как локальный для канала адрес.
  2. Гарантируйте, что туннелируют, весь DNS не настроен в групповой политике.

Вопрос Производительности DNS, решенный в Версии 3.0.4325 AnyConnect

Эта специфичная для MS Windows проблема главным образом распространена при этих условиях:

  • Настройка маршрутизатора Дом: это, где DNS и серверам DHCP назначают тот же IP-адрес (AnyConnect создает необходимый маршрут к серверу DHCP);
  • Большое число Доменов DNS находится в групповой политике;
  • Tunnel - вся конфигурация;
  • Разрешение имен, выполненное неквалифицированным именем хоста, которое подразумевает, что преобразователь должен попробовать много суффиксов DNS на всех доступных серверах DNS до одно соответствующее для делавшего запрос имени хоста, предпринято.

Проблема вследствие собственного DNS - клиента, который пытается передать запросы DNS через физический адаптер, которого AnyConnect блокируется (данный туннель - вся конфигурация). Это приводит к задержке разрешения имен. От качества обслуживания клиентов эта задержка является иногда существенной, специально для большого числа суффиксов DNS, выдвинутых головным узлом, так как DNS - клиент должен идти через всех них (и все доступные серверы DNS), пока это не получает положительный отклик.

Эта проблема решена в Версии 3.0.4325 (комбинация идентификатора ошибки Cisco CSCtq02141 и CSCtn14578, вместе с введением ранее упомянутого истинного решения для split-dns).

Однако, если обновление не может быть внедрено, то возможные обходной пути:

  • Включите разделение - исключают туннелирование для одного поддельного IP-адреса, который позволяет, что локальный DNS запрашивает течь через физический адаптер. Можно использовать адрес от linklocal подсети 169.254.0.0/16, потому что маловероятно, что любое устройство передает трафик одному из тех IP-адресов по VPN. После включения разделения, исключают, не забывают включать доступ локальной сети на клиентском профиле или у клиента непосредственно, и отключать туннель весь DNS. На ASA изменения конфигурации перечислены здесь:

    access-list acl_linklocal_169.254.1.1 standard permit host 169.254.1.1
    group-policy gp_access-14 attributes
    split-tunnel-policy excludespecified
    split-tunnel-network-list value acl_linklocal_169.254.1.1
    split-tunnel-all-dns disable
    exit


    На клиентском профиле только необходимо добавить эту линию:

    <LocalLanAccess UserControllable="true">true</LocalLanAccess>


    Можно также включить это на за ну клиентской основе в GUI клиента AnyConnect. Переместитесь к Меню предпочтений AnyConnect, и проверьте Включать опцию доступа локальной сети.

  • Используйте полные доменные имена (FQDNs) вместо неполных имен хоста для разрешений имен.

  • Используйте другой IP-адрес для сервера DNS на физическом интерфейсе.

Как заключает каждую сделку операционной системы с DNS?

Существует различие в способе, которым другой DNS маркера OSs ищет когда использующийся с разделенным туннелированием (без split-DNS) для AnyConnect.

MS Windows

На MS Windows параметры настройки DNS поинтерфейсны. Это означает, что, если разделенное туннелирование используется, запросы DNS могут переключиться на серверы DNS физического адаптера, если запрос отказал на адаптере VPN-туннеля. Если разделенное туннелирование без split-DNS определено, то и внутреннее и внешнее Разрешение DNS работает, потому что это переключается на внешние серверы DNS.

Macintosh

С Macintosh (MAC) параметры настройки DNS являются глобальным. Таким образом, если разделенное туннелирование используется, но split-DNS не используется, для запросов DNS не возможно перейти к серверам DNS за пределами туннеля. Можно только решить внутренне, не внешне. Это задокументировано в идентификаторы ошибок Cisco CSCtf20226 и CSCtz86314. В обоих случаях это временное решение должно решить вопрос:

  • Задайте внешний IP-адрес сервера DNS под групповой политикой и используйте FQDN для запросов Internal DN.
  • Если внешние названия разрешимы через туннель, отключают раздельный DNS путем удаления имен DNS, настроенных в групповой политике под Усовершенствованным> Разделенное туннелирование. Это требует использования FQDN для запросов Internal DN.

Случай split-DNS был решен в AnyConnect 3.1 с этими предупреждениями:

  • Split-DNS должен быть включен для обоих Протоколов "IP" (требует ASA v9.0 или позже).


  • !--- Или

  • Split-DNS должен быть включен для одного Протокола "IP".

      и
      
    • (Если ASA имеет Версию 9.0 или позже: клиентский обходной протокол для другого Протокола "IP", т.е., никакой пул адресов и Клиентский Обходной Протокол включен в групповой политике.

    •   !--- или

    • Если ASA ранее, чем Версия 9.0: никакой пул адресов не настроен для другого Протокола "IP"; это подразумевает, что этот другой Протокол "IP" является IPv6.)

Примечание. AnyConnect не изменяет resolv.conf файл, прямой на MAC OS X, а скорее изменяет специфичные для OS X настройки DNS. OS X поддерживает resolv.conf актуальный для обеспечений совместимости. Используйте scutil - команда dns для рассмотрения параметров настройки DNS на OS X.

iPhone

IPhone является завершенной противоположностью MAC, и это не то же как MS Windows. Если разделенное туннелирование определено, но split-DNS не определен, то запросы DNS выходят через глобальный определенный сервер DNS. Например, записи домена split-DNS являются обязательными для внутреннего разрешения. Это поведение задокументировано в идентификатор ошибки Cisco CSCtq09624 и установлено в последних 05.02.4038 Версиях для клиента AnyConnect IOS.

Примечание. Будьте осведомленными запросами DNS iPhone, игнорируют .local домены, задокументированные в идентификатор ошибки Cisco CSCts89292. Инженеры Apple подтверждают, что проблема вызвана функциональностью ОС. Это - разработанное поведение, и Apple подтверждает, что нет никаких, изменяются для него.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116016