Introdução
Este documento descreve a operação do Domain Name System (DNS) no Cisco Adaptive Security Appliance (ASA) quando objetos FDQN são usados.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento do Cisco ASA.
Componentes Utilizados
Para deixar claro o funcionamento do DNS quando vários nomes de domínio totalmente qualificados (FQDNs) são configurados no ASA em um ambiente de produção simulado, um ASAv com uma interface voltada para a Internet e uma interface conectada a um dispositivo PC hospedado no servidor ESXi foi configurado. O código provisório ASAv 9.8.4(10) foi usado para esta simulação.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Diagrama de Rede
A configuração da topologia é mostrada aqui.
Informações de Apoio
Quando vários objetos Fully Qualified Domain Name são configurados em um ASA, um usuário final que tenta acessar qualquer URL definida nos objetos FQDN observaria várias consultas DNS enviadas pelo ASA. Este documento tem como objetivo fornecer uma melhor compreensão da razão pela qual tal comportamento é observado.
Configurar
O PC cliente foi configurado com esses IP, máscara de sub-rede e servidores de nome para resolução DNS.
No ASA, foram configuradas duas interfaces, uma interface interna com um nível de segurança de 100 ao qual o PC estava conectado e uma interface externa com conectividade com a Internet.
Aqui, a interface Gig0/1 é a interface externa com um IP de interface de 10.197.223.9 e a interface Gig0/3 é a interface interna com um IP de interface de 10.10.10.1 e conectada ao PC na outra extremidade.
Configure o DNS no ASA conforme mostrado aqui:
Configure 4 objetos FQDN para www.facebook.com, www.google.com, www.instagram.com e www.twitter.com.
Configure uma captura na interface externa do ASA para capturar o tráfego DNS. Em seguida, no PC cliente, tente acessar www.google.com de um navegador.
O que você observa? Observe a captura de pacotes.
Aqui você vê que, mesmo que você tenha tentado resolver apenas www.google.com, há consultas DNS enviadas para todos os objetos FQDN.
Agora, observe como o cache DNS funciona para IPs no ASA para entender por que isso acontece.
- Quando www.google.com é digitado no navegador da Web dos PCs clientes, o PC envia uma consulta DNS para obter o URL resolvido para um endereço IP.
- O servidor DNS então resolve a solicitação dos PCs e retorna um IP que afirma que google.com reside no local especificado.
- Em seguida, o PC inicia uma conexão TCP com o endereço IP resolvido do google.com. No entanto, quando o pacote alcança o ASA, ele não tem uma regra de ACL que declare que o IP especificado é permitido ou negado.
- O ASA, no entanto, sabe que tem 4 objetos FQDN e que qualquer um dos objetos FQDN poderia ser resolvido para o IP em questão.
- Portanto, o ASA envia consultas DNS para todos os objetos FQDN, pois não sabe qual objeto FQDN pode resolver para o IP em questão. (É por isso que há várias consultas DNS observadas).
- O servidor DNS resolve os objetos FQDN com seus endereços IP correspondentes. O objeto FQDN pode ser resolvido para o mesmo endereço IP público que foi resolvido pelo cliente. Caso contrário, o ASA cria uma entrada de lista de acesso dinâmica para um endereço IP diferente daquele que o cliente tenta alcançar, portanto, o ASA acaba descartando o pacote. Por exemplo, se o usuário resolveu google.com para 10.0.113.1 e se o ASA o resolve para 10.0.113.2, o ASA cria uma nova entrada de lista de acesso dinâmica para 10.0.113.2 e o usuário não consegue acessar o site.
- Na próxima vez em que uma solicitação chegar solicitando a resolução de um IP específico, se esse IP específico estiver armazenado no ASA, ele não consultará todos os objetos FQDN novamente, já que uma entrada de ACL dinâmica agora estaria presente.
- Se um cliente estiver preocupado com o grande número de consultas DNS enviadas pelo ASA, aumente a expiração do temporizador DNS e desde que o host final tente acessar os endereços IP de destino que estão no cache DNS. Se o PC solicitar um IP não armazenado no cache DNS do ASA, as consultas DNS serão enviadas para resolver todos os objetos FQDN.
- Uma solução possível para isso, se você ainda quiser reduzir o número de consultas DNS, seria reduzir o número de objetos FQDN ou definir todo o intervalo de IPs públicos para os quais você resolveria o FQDN, o que, no entanto, anula a finalidade de um objeto FQDN em primeiro lugar. O Cisco Firepower Threat Defense (FTD) é uma solução melhor para lidar com esse caso de uso.
Verificar
Para verificar quais IPs estão presentes no cache DNS dos ASAs para os quais cada um dos objetos FQDN é resolvido, o comando ASA# sh dns pode ser usado.
Informações Relacionadas