DNS: Reenvío condicional

Navega tus respuestas
2

Actualmente estoy intentando localizar un problema con un filtro web de Websense que rompe las conexiones SSL para los sitios de forma condicional. Para hacer esto, necesito saber exactamente cómo funciona un avance condicional.

La forma en que se ha explicado hasta ahora es que se realiza una solicitud del DNS de mi empresa desde un host dentro de la red privada. El DNS de la compañía no conoce la IP de la dirección, pero sabe qué hace el servidor DNS; luego, solicita al servidor DNS de la Compañía B su IP interna para este sitio. Cuando el DNS de la Compañía B responde, nuestro DNS transmite la información y se establece una sesión de VPN en el servidor de seguridad de este sitio.

Lo que sucede con las solicitudes de SSL / HTTPS es que el host está realizando la misma solicitud, pero en cambio, estamos recibiendo un mensaje de error "El servidor DNS no pudo resolver el host". Cuando la estación o la dirección se eliminan de WCCP a través de las listas de acceso en el firewall, el host puede acceder al sitio de forma normal.

Entonces TL; DR , necesito entender cómo funciona el reenvío condicional para conectar hosts a través de VPN a la red privada de otra persona.

    
pregunta HAL 07.03.2014 - 21:14
fuente

1 respuesta

1

Un reenvío condicional es ESPECÍFICO a un dominio que se consulta al final del día. Vamos a modelar esto: 

YOUR COMPANY
yourco.com
finance.yourco.com
mrkting.yourco.com

Internet
yahoo.com
google.com
blogger.com

Internet.Misc
login.yahoo.com

Tenemos tres sitios web para su empresa y un sitio específico de Yahoo. Cuando una máquina realiza una consulta desde su red: 

john.yourco.com --> whois finance.yourco.com --> your DNS server

Es mejor que esta consulta sea manejada internamente por sus servidores DNS. Esto minimiza cualquier tipo de fuga. No querría que nadie en el exterior pudiera siquiera conocer el diseño interno de su red, por ejemplo, prototipos-de-nuevo-revuna-generación.yourco.com

Ahora, cuando alguien en sus visitas de red diga Google, Blogger, Yahoo, inicialmente consultarán su servidor DNS: 

john.yourco.com --> whois google.com --> your DNS server

En el caso de que su servidor DNS no lo vea de inmediato, hará esta consulta a los servidores raíz. No hay ningún mecanismo para controlar qué / quién ve lo que viene de ti. Ahora imagina lo siguiente: 

john-remote.house.com --> find: prototypes-of-new-revunue-generation.yourco.com --> DNS

No querría que esto se realice a través de Internet, por lo que lo empuja hacia adelante condicional. Pseudocódigo: 

if usersearch == specific_to_me
    then
       send him to this server ALL THE TIME
    else
       let him query root servers
fi

También puede reducir la cantidad de tráfico que entra y sale de su red. Esto, junto con el hecho de que, puede garantizar que nadie haya secuestrado su servidor DNS para volver a enrutar, etc.

enlace enlace enlace

    
respondido por el munkeyoto 16.04.2014 - 15:19
fuente

Lea otras preguntas en las etiquetas

¿Por qué Windows está auditando svchost de forma predeterminada? Seguridad de claves y mensajes