DNS-Doctoring auf ASA - Konfigurationsbeispiel

Download-Optionen

  • PDF     (252.5 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (83.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (67.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. März 2013
Dokument-ID:115753

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument zeigt, wie DNS Doctoring auf der Adaptive Security Appliance (ASA) verwendet wird, um die eingebetteten IP-Adressen in DNS-Antworten (Domain Name System) zu ändern, sodass Clients sich mit der richtigen IP-Adresse von Servern verbinden können.

Voraussetzungen

Anforderungen

DNS Doctoring erfordert die Konfiguration der Network Address Translation (NAT) auf der ASA sowie die Aktivierung der DNS-Inspektion.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf der Adaptive Security Appliance.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Beispiele für DNS-Doctoring

DNS-Server auf der Innenseite der ASA

Abbildung 1

dns-doctoring-asa-config-01.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

In Abbildung 1 wird der DNS-Server vom lokalen Administrator gesteuert. Der DNS-Server sollte eine private IP-Adresse angeben, d. h. die tatsächliche IP-Adresse, die dem Anwendungsserver zugewiesen wurde. Dadurch kann der lokale Client direkt mit dem Anwendungsserver verbunden werden.

Leider kann der Remoteclient nicht mit der privaten Adresse auf den Anwendungsserver zugreifen. Daher wird DNS Doctoring auf der ASA konfiguriert, um die eingebettete IP-Adresse im DNS-Antwortpaket zu ändern. Dadurch wird sichergestellt, dass der Remoteclient, wenn er eine DNS-Anfrage für www.abc.com stellt, die Antwort erhält, die für die übersetzte Adresse des Anwendungsservers ist. Ohne das DNS-Schlüsselwort in der NAT-Anweisung versucht der Remoteclient, eine Verbindung mit 10.1.1.100 herzustellen, was nicht funktioniert, da diese Adresse nicht im Internet geroutet werden kann.

DNS-Server außerhalb der ASA

Abbildung 2

dns-doctoring-asa-config-02.gif 

nat (inside,outside) source static 10.1.1.100 198.51.100.100 dns
!
policy-map global_policy
  class inspection_default 
    inspect dns

In Abbildung 2 wird der DNS-Server vom ISP oder einem ähnlichen Service Provider gesteuert. Der DNS-Server sollte die öffentliche IP-Adresse, d.h. die übersetzte IP-Adresse des Anwendungsservers, angeben. Dies ermöglicht allen Internetnutzern, über das Internet auf den Anwendungsserver zuzugreifen.

Leider kann der lokale Client nicht mit der öffentlichen Adresse auf den Anwendungsserver zugreifen. Daher wird DNS Doctoring auf der ASA konfiguriert, um die eingebettete IP-Adresse im DNS-Antwortpaket zu ändern. Dadurch wird sichergestellt, dass die empfangene Antwort die tatsächliche Adresse des Anwendungsservers ist, wenn der lokale Client eine DNS-Anfrage für www.abc.com stellt. Ohne das DNS-Schlüsselwort in der NAT-Anweisung versucht der lokale Client, eine Verbindung mit 198.51.100.100 herzustellen. Dies funktioniert nicht, da dieses Paket an die ASA gesendet wird, die das Paket verwirft.

VPN NAT und DNS Doctoring

Abbildung 3

dns-doctoring-asa-config-03.gif

Stellen Sie sich eine Situation vor, in der sich Netzwerke überschneiden. In diesem Zustand befindet sich die Adresse 10.1.1.100 sowohl auf der Remote-Seite als auch auf der lokalen Seite. Daher müssen Sie NAT auf dem lokalen Server ausführen, damit der Remote-Client weiterhin mit der IP-Adresse 192.1.1.100 darauf zugreifen kann. Damit dies richtig funktioniert, ist DNS Doctoring erforderlich.

Die DNS-Dokumentation kann in dieser Funktion nicht ausgeführt werden. Das DNS-Schlüsselwort kann nur am Ende einer Objekt-NAT oder Quell-NAT hinzugefügt werden. Das Schlüsselwort double NAT unterstützt das DNS-Schlüsselwort nicht. Es gibt zwei mögliche Konfigurationen, und beide sind fehlerhaft.

Fehlgeschlagene Konfiguration 1: Wenn Sie das Endergebnis konfigurieren, wird 10.1.1.1 in 192.1.1.1 übersetzt, und zwar nicht nur für den Remote-Client, sondern für alle Benutzer im Internet. Da 192.1.1.1 nicht über das Internet routbar ist, kann niemand im Internet auf den lokalen Server zugreifen.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 dns
nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT

Fehlgeschlagene Konfiguration 2: Wenn Sie die DNS Doctoring NAT-Leitung nach der erforderlichen doppelten NAT-Leitung konfigurieren, führt dies zu einer Situation, in der die DNS Doctoring nie funktioniert. Als Ergebnis versucht der Remote-Client, über die IP-Adresse 10.1.1.100 auf www.abc.com zuzugreifen, was nicht funktioniert.

nat (inside,outside) source static 10.1.1.100 192.168.1.100 destination 
   REMOTE_CLIENT REMOTE_CLIENT
nat (inside,outside) source static 10.1.1.100 64.1.1.100 dns

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
19-Dec-2012
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Rama Darbha
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.