DNS インスペクション
DNS インスペクションはデフォルトでイネーブルになっています。デフォルト以外の処理が必要な場合にのみ設定する必要があります。ここでは、DNS アプリケーション インスペクションについて説明します。
DNS インスペクションのデフォルト
DNS インスペクションは、次のような preset_dns_map インスペクション クラス マップを使用して、デフォルトでイネーブルになっています。
-
最大 DNS メッセージ長は、512 バイトです。
-
最大クライアント DNS メッセージ長は、リソース レコードに一致するように自動的に設定されます。
-
DNS ガードはイネーブルになり、ASA によって DNS 応答が転送されるとすぐに、ASA は DNS クエリに関連付けられている DNS セッションを切断します。ASA はまた、メッセージ交換をモニタして DNS 応答の ID が DNS クエリの ID と一致することを確認します。
-
NAT の設定に基づく DNS レコードの変換はイネーブルです。
-
プロトコルの強制はイネーブルであり、DNS メッセージ形式チェックが行われます。ドメイン名の長さが 255 文字以下、ラベルの長さが 63 文字、圧縮、ループ ポインタのチェックなどです。
DNS インスペクション ポリシー マップの設定
デフォルトのインスペクション動作がネットワークにとって十分でない場合、DNS インスペクション ポリシー マップを作成して DNS インスペクション アクションをカスタマイズできます。
オプションとして、DNS インスペクション クラス マップを作成し、DNS インスペクションのトラフィック クラスを定義できます。他のオプションとしては、DNS インスペクション ポリシー マップでトラフィック クラスを直接定義することもできます。クラス マップを作成することとインスペクション マップでトラフィックの照合を直接定義することの違いは、クラス マップでは複雑な照合基準を作成でき、クラス マップを再利用できるという点です。この手順ではインスペクション マップについて説明しますが、クラス マップで使用される一致基準は、[Inspection] タブに関する手順で説明されているものと同じです。 を選択するか、またはインスペクション マップの設定時に作成することによって、DNS クラス マップを設定できます。
ヒント |
以下で説明する手順に加えて、サービス ポリシーの作成中にインスペクション マップを設定できます。マップの内容は、作成方法に関係なく同じです。 |
始める前に
一部のトラフィック照合オプションでは、照合のために正規表現を使用します。これらのテクニックの 1 つを使用する場合は、最初に正規表現または正規表現のクラス マップを作成します。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
次のいずれかを実行します。
|
ステップ 3 |
新しいマップの場合、名前(最大 40 文字)と説明を入力します。マップを編集するときは、変更できるのは説明のみです。 |
ステップ 4 |
[DNS Inspect Map] ダイアログ ボックスの [Security Level] ビューで、必要なコンフィギュレーションと最もよく一致するレベルを選択します。デフォルトのレベルは [Low] です。 プリセット レベルのいずれかが要件と一致する場合、以上で終了です。[OK] をクリックし、残りの手順をスキップして、DNS インスペクションのサービス ポリシー ルールでマップを使用します。 設定をさらにカスタマイズする必要がある場合は、[Details] をクリックし、手順を続けます。 |
ステップ 5 |
[Protocol Conformance] タブをクリックし、必要なオプションを選択します。
|
ステップ 6 |
[Filtering] タブをクリックし、必要なオプションを選択します。
|
ステップ 7 |
[不一致レート(Mismatch Rate)] タブをクリックして、DNS ID 不一致レートが指定したしきい値を超えた場合のロギングを有効にするかどうかを選択します。たとえば、しきい値を 3 秒あたり 30 個の不一致に設定できます。 |
ステップ 8 |
[Inspections] タブをクリックし、トラフィックの特性に基づいて実装する特定のインスペクションを定義します。 DNS クラス マップに基づいて、またはインスペクション マップで一致を直接設定することによって、またはその両方で、トラフィックの一致基準を定義できます。 |
ステップ 9 |
[DNS Inspect Map] ダイアログ ボックスの [OK] をクリックします。 DNS インスペクション サービス ポリシーでインスペクション マップを使用できるようになります。 |
次のタスク
マップを使用するためのインスペクション ポリシーを設定できるようになりました。「アプリケーション レイヤ プロトコル インスペクションの設定」を参照してください。