Fehlerbehebung: ASA-Firewall blockiert DNS-Skript-Funktionalität von der virtuellen Umbrella Appliance

Download-Optionen

  • PDF     (1.8 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.7 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.4 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. August 2025
Dokument-ID:224689

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Artikel wird die Fehlerbehebung bei der ASA-Firewall beschrieben, die die DNScrypt-Funktion blockiert.

    Überblick

    Die Cisco ASA Firewall kann die von der Umbrella Virtual Appliance gebotene DNScrypt-Funktion blockieren. Daraus ergibt sich die folgende Umbrella Dashboard-Warnung:

    Umbrella Dashboard Warning

    Diese Fehlermeldungen sind auch in den ASA-Firewall-Protokollen zu finden:

    Dropped UDP DNS request from inside:192.168.1.1/53904 to outside-fiber:208.67.220.220/53; label length 71 bytes exceeds protocol limit of 63 bytes

    Die DNSCrypt-Verschlüsselung wurde entwickelt, um den Inhalt Ihrer DNS-Abfragen zu schützen und verhindert so auch, dass Firewalls eine Paketprüfung durchführen.

    Ursache

    Diese Fehler dürfen keine Auswirkungen auf die DNS-Auflösung haben, die auf Benutzer zutreffen. 

    Die virtuelle Appliance sendet Testabfragen, um die Verfügbarkeit von DNScrypt zu ermitteln. Diese Testabfragen werden blockiert. Diese Fehlermeldungen weisen jedoch darauf hin, dass die virtuelle Appliance keine zusätzliche Sicherheit bietet, indem sie den DNS-Datenverkehr Ihres Unternehmens verschlüsselt.

    Auflösung

    Wir empfehlen, die DNS-Paketprüfung für den Datenverkehr zwischen der virtuellen Appliance und den DNS-Resolvern von Umbrella zu deaktivieren. Dadurch werden zwar die Protokollierung und Protokollprüfung auf der ASA deaktiviert, die Sicherheit wird jedoch durch die Möglichkeit der DNS-Verschlüsselung erhöht.

    note-icon

    Anmerkung: Diese Befehle dienen lediglich als Anleitung. Es wird empfohlen, einen Experten von Cisco zu Rate zu ziehen, bevor Änderungen an der Produktionsumgebung vorgenommen werden.
    Beachten Sie diesen Fehler auch bei ASA. kann sich auf DNS über TCP auswirken, was ebenfalls Probleme mit DNSCrypt verursachen kann: 
    CSCsm90809 DNS-Inspektionsunterstützung für DNS über TCP

    Ausnahmen bei der Paketprüfung - IOS-Befehle

      1. Erstellen Sie eine neue ACL mit dem Namen "dns_inspect" mit Regeln zum Verweigern von Datenverkehr an die Adressen 208.67.222.222 und 208.67.220.220.  
        access-list dns_inspect extended deny udp host <Appliance IP> host 208.67.220.220 eq domain 
        access-list dns_inspect extended deny tcp host <Appliance IP> host 208.67.220.220 eq domain 
        access-list dns_inspect extended deny udp host <Appliance IP> host 208.67.222.222 eq domain 
        access-list dns_inspect extended deny tcp host <Appliance IP> host 208.67.222.222 eq domain
        access-list dns_inspect extended permit udp any any eq domain 
        access-list dns_inspect extended permit tcp any any eq domain


        For VA 2.2.0, please also add our 3rd and 4th resolver IPs which are also enabled for encryption. This will not be needed for 2.2.1+
        access-list dns_inspect extended deny udp host <Appliance IP> host 208.67.220.222 eq domain
        access-list dns_inspect extended deny tcp host <Appliance IP> host 208.67.220.222 eq domain
        access-list dns_inspect extended deny udp host <Appliance IP> host 208.67.222.220 eq domain
        access-list dns_inspect extended deny tcp host <Appliance IP> host 208.67.222.220 eq domain
      2. Entfernen Sie die aktuelle DNS-Inspektionsrichtlinie auf der ASA. Beispiele: 
        ciscoasa(config)# policy-map global_policy
        ciscoasa(config-pmap)#  class inspection_default
        ciscoasa(config-pmap-c)# no inspect dns
      3. Erstellen Sie eine Klassenzuordnung, die mit der in Schritt #1 erstellten ACL übereinstimmt: 
        class-map dns_inspect_cmap 
         match access-list dns_inspect
      4.  Konfigurieren Sie unter "global_policy" eine Richtlinienzuordnung. Dies muss mit der in Schritt #3 erstellten Klassenzuordnung übereinstimmen. Aktivieren Sie die DNS-Inspektion. 
        policy-map global_policy 
         class dns_inspect_cmap 
          inspect dns
      5. Wenn diese Funktion aktiviert ist, können Sie überprüfen, ob der Datenverkehr die Ausschlüsse erreicht: 
        sh access-list dns_inspect

    Ausnahmen bei der Paketprüfung - ASDM-Schnittstelle

      1. Deaktivieren Sie zunächst ggf. die DNS-Paketprüfung. Dies geschieht unter Konfiguration > Firewall > Dienstrichtlinienregeln.
        ASDM Interface

      2. In diesem Beispiel ist die DNS-Inspektion unter der Klasse "Global Policy" und "inspection_default" aktiviert. Markieren Sie es und klicken Sie auf Bearbeiten. Deaktivieren Sie im neuen Fenster das Kontrollkästchen für "DNS" auf der Registerkarte "Rule Action" (Regelaktion).Edit Service Policy Rule

      3. Jetzt können Sie die DNS-Überprüfung mit zusätzlichen Datenverkehrsausnahmen neu konfigurieren. Klicken Sie auf Hinzufügen > Servicerichtlinien-Regel hinzufügen...
        ASDM Configuration

      4. Wählen Sie "Global - Gilt für alle Schnittstellen" und klicken Sie auf Weiter (Sie können dies auch auf eine bestimmte Schnittstelle anwenden, wenn Sie möchten).
        Add Service Policy Rule Wizard - Service Policy

      5. Geben Sie der Klassenzuordnung einen Namen (z. B. "dns-cmap"), und aktivieren Sie die Option "Quell- und Ziel-IP-Adresse (verwendet ACL)". Klicken Sie auf "Weiter".
        Add Service Policy Rule Wizard - Traffic Classification Criteria

      6. Konfigurieren Sie zunächst den Datenverkehr, der nicht überprüft werden soll. Verwenden Sie dazu die Aktion "Nicht übereinstimmen".
        Für Source (Quelle) können Sie die Option "any" verwenden, um den gesamten Datenverkehr, der an die DNS-Server von Umbrella gerichtet ist, auszunehmen. Alternativ können Sie hier eine Netzwerkobjektdefinition erstellen, um nur die spezifische IP-Adresse der virtuellen Appliance auszunehmen.
        Add Service Policy Rule Wizard - Traffic Match

      7. Klicken Sie im Feld Ziel auf .... Klicken Sie im nächsten Fenster auf Add > Network Object (Hinzufügen > Netzwerkobjekt), und erstellen Sie ein Objekt mit der IP-Adresse '208.67.222.222'. Wiederholen Sie diesen Schritt, um ein Objekt mit der IP-Adresse "208.67.220.220" zu erstellen.
        Browse Destination

        Edit Network Object

      8. Fügen Sie beide Umbrella-Netzwerkobjekte dem Zielfeld hinzu, und klicken Sie auf OK.
        Add Service Policy Rule Wizard - Traffic Match


      9. Aktivieren Sie im nächsten Fenster das Kontrollkästchen für "DNS", und klicken Sie auf Fertig stellen.
        Add Service Policy Rule Wizard - Rule Actions

      10. Die ASA zeigt jetzt die neue globale Richtlinie für "dns-cmap" an. Nun müssen Sie den verbleibenden Datenverkehr konfigurieren, der von der ASA überprüft wird. Dazu klicken Sie mit der rechten Maustaste auf 'dns-cmap' und wählen die Option "Einfügen nach...". wird eine neue Regel erstellt.
        Traffic Classification - Insert After

      11. Klicken Sie im ersten Fenster auf "Weiter" und anschließend auf das Optionsfeld "Regel zu vorhandener Verkehrsklasse hinzufügen:". Wählen Sie "dns-cmap" aus dem Dropdown-Menü aus, und klicken Sie dann auf Weiter.Add Service Policy Rule Wizard - Traffic Classification Criteria

      12. Belassen Sie die Aktion als 'Übereinstimmung'. Wählen Sie die Quelle, das Ziel und den Dienst für Datenverkehr aus, der der DNS-Überprüfung unterzogen wird. Hier wird z. B. Datenverkehr von einem Client abgeglichen, der zu einem TCP- oder UDP-DNS-Server geht. Klicken Sie auf Next (Weiter).Add Service Policy Rule Wizard - Traffic Match

      13. Lassen Sie die DNS-Option aktiviert, und klicken Sie auf Fertig stellen.
      14. Klicken Sie unten im Fenster auf Apply (Anwenden).
        Configuration - Firewall - Service Policy Rules

    Weitere Informationen

    Wenn Sie DNScrypt deaktivieren möchten, statt ASA-Ausnahmen zu konfigurieren, wenden Sie sich an den Umbrella Support.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    27-Aug-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.