Introducción
Este documento describe la compatibilidad de Cisco Umbrella con los errores DNS extendidos.
Prerequisites
Requirements
No hay requisitos específicos para este documento.
Componentes Utilizados
La información de este documento se basa en Cisco Umbrella.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Overview
Cisco Umbrella ha anunciado la compatibilidad preliminar con los errores de DNS extendido (EDE), tal y como se define en este documento de IETF sobre errores de DNS extendido.
El soporte inicial de Umbrella se centra en los códigos de error DNSSEC para las respuestas SERVFAIL. Umbrella planea agregar soporte para otros códigos de error en el futuro, así como las representaciones de texto de los códigos de error.
Códigos de error admitidos
| Code |
Nombre |
Supported |
Error detectado |
| 0 |
Otro |
No |
|
| 1 |
Algoritmo DNSKEY no admitido |
Yes |
No se admite el algoritmo DNSKEY. |
| 2 |
Tipo de resumen DS no admitido |
Yes |
No se admite el tipo DS Digest |
| 3 |
Respuesta obsoleta |
No |
|
| 4 |
Respuesta falsificada |
No |
|
| 5 |
DNSSEC indeterminado |
No |
|
| 6 |
Falsa DNSSEC |
Yes |
- Si se encontraron todos los registros relevantes y no se pudo realizar la validación (el hash de la firma no coincide)
- discrepancia de firmante/propietario RRSIG
- RRSIG no válido
- La prueba negativa no es válida. Se esperaba NXDOMAIN, se encontraron NODATA y viceversa.
- Se alcanzó una zona firmada pero no un punto de delegación.
|
| 7 |
Firma caducada |
Yes |
RRSIG coincidió con DNSKEY (keytag y algoritmo) pero tiene una firma caducada |
| 8 |
La firma aún no es válida |
Yes |
RRSIG coincidió con DNSKEY (keytag y algoritmo) pero tiene un tiempo de inicio de firma que es posterior a ahora. |
| 9 |
Falta DNSKEY |
Yes |
No se ha encontrado DS que coincidan con DNSKEY. |
| 10 |
Faltan RRSIG |
Yes |
RRSIG que coincide con el DNSKEY (keytag y algoritmo) no encontrado. |
| 11 |
No Zone Key Bit Set |
Yes |
Cuando el DNSKEY no tiene el bit de zona configurado. |
| 12 |
Falta NSEC |
Yes |
Prueba negativa no encontrada o insuficiente. |
| 13 |
Error en caché |
No |
|
| 14 |
No preparado |
No |
|
| 15 |
Bloqueado |
No |
|
| 16 |
Censurado |
No |
|
| 17 |
Filtrado |
No |
|
| 18 |
Prohibido |
No |
|
| 19 |
Respuesta NXDOMAIN obsoleta |
No |
|
| 20 |
No autorizado |
No |
|
| 21 |
Not Supported |
No |
|
| 22 |
No hay autoridad alcanzable |
No |
|
| 23 |
Error de red. |
No |
|
| 24 |
Datos no válidos |
No |
|
Respuesta de ejemplo
Una consulta que devuelva un error de DNS extendido puede mostrar el código de error en la sección EDNS mediante el código OPT 15. Por ejemplo, en esta consulta, el código de error devuelto es 6, que corresponde al error "Error de DNSSEC":
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
Comentarios