Introdução
Este documento descreve a operação do Domain Name System (DNS) no Cisco Adaptive Security Appliance (ASA) quando objetos FDQN são usados.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento do Cisco ASA.
Componentes Utilizados
Para elucidar o funcionamento do DNS quando vários FQDNs são configurados no ASA em um ambiente de produção simulado, foi configurado um ASAv com uma interface voltada para a Internet e uma interface conectada a um dispositivo PC hospedado no servidor ESXi. O código provisório ASAv 9.8.4(10) foi usado para esta simulação.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Diagrama de Rede
A configuração da topologia é mostrada aqui.
Informações de Apoio
Quando vários objetos Fully Qualified Domain Name (FQDN) são configurados em um ASA, um usuário final que tenta acessar qualquer URL definida nos objetos FQDN observaria várias consultas DNS enviadas pelo ASA. Este documento tem como objetivo fornecer uma melhor compreensão da razão pela qual tal comportamento é observado.
Configurar
O PC cliente foi configurado com esses IP, máscara de sub-rede e servidores de nome para resolução DNS.
No ASA, foram configuradas duas interfaces, uma interface interna com um nível de segurança de 100 ao qual o PC estava conectado e uma interface externa com conectividade com a Internet.
Aqui a interface Gig0/1 é a interface externa com um IP de interface de 10.197.223.9 e a interface Gig0/3 é a interface interna com um IP de interface de 10.10.10.1 e conectada ao PC na outra extremidade.
Configure o DNS no ASA conforme mostrado aqui:
Configure 4 objetos FQDN para www.facebook.com, www.google.com, www.instagram.com e www.twitter.com.
Configure uma captura na interface externa do ASA para capturar o tráfego DNS. Em seguida, no PC cliente, tente acessar www.google.com de um navegador.
O que você observa? Observe a captura de pacotes.
Aqui vemos que, embora tentemos resolver apenas www.google.com, há consultas DNS enviadas para todos os objetos FQDN.
Agora, observe como o cache DNS funciona para IPs no ASA para entender por que isso acontece.
- Quando www.google.com é digitado no navegador da Web dos PCs clientes, o PC envia uma consulta DNS para obter o URL resolvido para um endereço IP.
- O servidor DNS então resolve a solicitação dos PCs e retorna um IP que afirma que google.com reside no local especificado.
- Em seguida, o PC inicia uma conexão TCP com o endereço IP resolvido do google.com. No entanto, quando o pacote alcança o ASA, ele não tem uma regra de ACL que declare que o IP especificado é permitido ou negado.
- O ASA, no entanto, sabe que tem 4 objetos FQDN e que qualquer um dos objetos FQDN poderia ser resolvido para o IP em questão.
- Portanto, o ASA envia consultas DNS para todos os objetos FQDN, pois não sabe qual objeto FQDN pode resolver para o IP em questão. (É por isso que há várias consultas DNS observadas).
- O servidor DNS resolve os objetos FQDN com seus endereços IP correspondentes. O objeto FQDN pode ser resolvido para o mesmo endereço IP público que foi resolvido pelo cliente. Caso contrário, o ASA cria uma entrada de lista de acesso dinâmica para um endereço IP diferente daquele que o cliente tenta alcançar, portanto, o ASA acaba descartando o pacote. Por exemplo, se o usuário resolveu google.com para 203.0.113.1 e se o ASA resolveu para 203.0.113.2, o ASA cria uma nova entrada de lista de acesso dinâmica para 203.0.113.2 e o usuário não consegue acessar o site.
- Na próxima vez que uma solicitação chegar, ela solicitará a resolução de um IP específico, se esse IP específico estiver armazenado no ASA, ele não consultará todos os objetos FQDN novamente, pois uma entrada de ACL dinâmica estaria presente agora.
- Se um cliente estiver preocupado com o grande número de consultas DNS enviadas pelo ASA, aumente a expiração do temporizador DNS e, desde que os hosts finais tentem acessar os endereços IP de destino que estão no cache DNS. Se o PC solicitar um IP, não armazenado no cache DNS do ASA, as consultas DNS serão enviadas para resolver todos os objetos FQDN.
- Uma solução possível para isso, se você ainda quiser reduzir o número de consultas DNS, seria reduzir o número de objetos FQDN ou definir todo o intervalo de IPs públicos para os quais você resolveria o FQDN, o que, no entanto, anula a finalidade de um objeto FQDN em primeiro lugar. O Cisco Firepower Threat Defense (FTD) é uma solução melhor para lidar com esse caso de uso.
Verificar
Para verificar quais IPs estão presentes no cache DNS dos ASAs para os quais cada um dos objetos FQDN é resolvido, o comando ASA# sh dns pode ser usado.
Informações Relacionadas
Suporte técnico e downloads da Cisco