Coincidir la resolución DNS con la política y los informes de dominio de registro CNAME

Opciones de descarga

  • PDF     (232.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:12 de septiembre de 2025
ID del documento:224900

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo hacer coincidir su solución DNS con su política de dominio de registro CNAME y sus informes.

    Problema

    Al utilizar un servidor de almacenamiento en caché del Sistema de nombres de dominio (DNS) como BIND (con almacenamiento en caché habilitado) o Infoblox, la resolución DNS no coincide con la directiva y los informes esperados para los dominios de registro CNAME. Una solicitud de registro A permitido es respondida por una referencia CNAME a otro registro A en un dominio bloqueado diferente.

    Por ejemplo, domain.com está permitido y blocked.com está bloqueado, mientras que domain.com es un registro CNAME que apunta a blocked.com, que tiene un registro A. Este problema se presenta como un dominio permitido que se bloquea sin que se registre ningún evento en el panel.

    Solución

    Existen varios métodos para resolver este problema:

    • Deshabilitar almacenamiento en caché de DNS para DNS reenviado a Umbrella. Esto evita que se produzca este problema.
    • Permitir el CNAME de destino en el Panel de Umbrella a medida que surgen.
    • Evite almacenar en caché el tipo de registro CNAME o no almacenar en caché de forma selectiva los dominios afectados de forma reactiva.

    Causa

    La causa raíz de este problema es el almacenamiento en caché de DNS para los registros CNAME que apuntan a un dominio diferente, donde se bloquea el dominio de destino. Dado que el dominio está permitido, los resolvers de Umbrella marcan toda la consulta como permitida, llevando hacia abajo la cadena CNAME. Esto da como resultado una consulta permitida.

    Dado que los diferentes dominios varían en TTL y que los registros de bloqueo de Umbrella para categorías maliciosas tienen un TTL de cero, el almacenamiento en caché interfiere.

    Este es un escenario donde domain.com está permitido y blocked.com está bloqueado y domain.com es un registro CNAME que apunta a blocked.com el cual tiene un registro A.

    Consulta inicial:

    Registro A para domain.com: Allow list, CNAME for blocked.com -> Consulta de registro A para blocked.com, proveniente de un CNAME, bit de permiso pasado dentro de Umbrella - Se devolvió un registro A para blocked.com.
    Análisis: Consultas realizadas a Umbrella: domain.com -> blocked.com. Resultado: PERMITIDO. Umbrella registra domain.com según lo permitido, blocked.com según lo permitido.

    Consulta posterior:

    Registro A para domain.com: CACHED - es un CNAME para blocked.com -> Una consulta de registro para blocked.com: CACHED - Un registro para blocked.com devuelto.
    Análisis: Consultas realizadas a Umbrella: Ninguno. No hay registros de Umbrella.

    Futura consulta (provoca el problema):

    Registro A para domain.com: CACHED - es un CNAME para blocked.com -> Una consulta de registro para blocked.com (consulta independiente - CNAME fue almacenado en caché) - bloqueada.
    Análisis: Consultas realizadas a Umbrella: blocked.com. Resultado: Bloqueado. Umbrella registra blocked.com como bloqueado.

    Additional Information

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    17-Sep-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos