Problemen oplossen met de DNS-service van een beveiligd webapparaat

Inleiding

In dit document wordt de configuratie van de Domain Name Service (DNS) beschreven en wordt beschreven hoe u problemen kunt oplossen in Secure Web Appliance (SWA), voorheen bekend als WSA. 

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Fysieke of Virtual Secure Web Appliance (SWA) geïnstalleerd
• Licentie geactiveerd of geïnstalleerd
• Secure Shell (SSH)-client
• De installatiewizard is voltooid

• Administratieve toegang tot de SWA

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

DNS-concept 

DNS is het systeem op het internet dat namen van objecten (meestal hostnamen) toewijst aan IP-adressen of andere recordwaarden van bronnen.

De naamruimte van het internet is onderverdeeld in domeinen en de verantwoordelijkheid voor het beheer van namen binnen elk domein wordt gedelegeerd, meestal aan systemen binnen elk domein.

De domeinnaamruimte is verdeeld in gebieden die zones worden genoemd en die delegatiepunten zijn in de DNS-structuur.

Een zone bevat alle domeinen vanaf een bepaald punt naar beneden, behalve die waarvoor andere zones gezaghebbend zijn.

Een zone heeft meestal een gezaghebbende naamserver, vaak meer dan één.

In een organisatie kunt u veel naamservers hebben, maar internetclients kunnen alleen die opvragen die de rootnaamservers kennen.

De andere nameservers beantwoorden alleen interne vragen.

DNS is gebaseerd op een client/server model. In dit model slaan nameservers gegevens op over een deel van de DNS-database en verstrekken deze aan clients die de naamserver in het netwerk opvragen.

Naamservers zijn programma's die op een fysieke host worden uitgevoerd en zonegegevens opslaan. Als beheerder voor een domein stelt u een naamserver in met de database van alle Resource Records (RR's) die de hosts in uw zone of zones beschrijven

DNS-service in proxyimplementaties

In de expliciete implementatie: de proxy voert DNS-query's uit

In de Transparante implementatie: DNS-query's worden uitgevoerd op de client.

DNS-instellingen configureren 

U kunt DNS configureren vanuit zowel Graphical User Interface (GUI) als Command Line Interface (CLI).

AsyncOS for Web kan de Internet root DNS-servers of uw eigen DNS-servers gebruiken. Als SWA Internet-rootservers gebruikt, kunt u alternatieve servers opgeven voor specifieke domeinen.

Aangezien een alternatieve DNS-server van toepassing is op één domein, moet deze voor dat domein gezaghebbend zijn (definitieve DNS-records opgeven).

AsyncOS ondersteunt gesplitste DNS waarbij interne servers zijn geconfigureerd voor specifieke domeinen en externe of root DNS-servers zijn geconfigureerd voor andere domeinen.

Als SWA on premise DNS-server gebruikt, kunnen we ook uitzonderingsdomeinen en bijbehorende DNS-server opgeven.

beste praktijk 

Best practices voor beveiliging suggereren dat elk netwerk twee DNS-resolvers moet hosten: één voor gezaghebbende records binnen een lokaal domein en één voor recursieve resolutie van internetdomeinen.

Met de SWA kunnen DNS-servers worden geconfigureerd voor specifieke domeinen.

Als er één DNS-server beschikbaar is voor zowel lokale als recursieve query's, overweeg dan de extra belasting die deze zou toevoegen als deze wordt gebruikt voor alle SWA-query's.

De betere optie kan zijn om de interne resolver te gebruiken voor lokale domeinen en de root internet resolvers voor externe domeinen. Dit is afhankelijk van het risicoprofiel en de tolerantie van de beheerder.

Secundaire DNS-servers moeten worden geconfigureerd als de primaire server niet beschikbaar is. Als alle servers met dezelfde prioriteit zijn geconfigureerd, wordt het IP-adres van de server willekeurig gekozen.

Afhankelijk van het aantal geconfigureerde servers varieert de time-out voor een bepaalde server. De time-out voor een query wordt in deze tabel gegeven voor maximaal zes DNS-servers:

Ga voor meer informatie naar: Richtlijnen voor best practices voor Cisco Web Security Appliance - Cisco

DNS configureren in GUI 

Ga als volgt te werk om DNS vanuit GUI te configureren:

Stap 1. Kies Netwerk in het hoofdmenu

Stap 2. Kies DNS

Image-GUI - DNS-instellingen configureren

Stap 3. Selecteer Instellingen bewerken.
Stap 4. Configureer de gewenste DNS-instellingen.

Image - DNS-configuratie

Gebruik deze DNS-servers: de lokale DNS-server(s) die het toestel kan gebruiken om hostnamen op te lossen
Alternatieve DNS-servers overschrijven (optioneel): gezaghebbende DNS-servers voor domeinen

Opmerking: AsyncOS voldoet niet aan de voorkeur voor transparante FTP-verzoeken.

Opmerking: In de modus Cloud Connector ondersteunt Cisco Web Security Appliance alleen IPv4

Gebruik de Internet Root DNS-servers. Kies ervoor om de Internet root DNS-servers te gebruiken voor het opzoeken van de domeinnaamservice wanneer het toestel geen toegang heeft tot DNS-servers in uw netwerk. 

Internet Root DNS-servers lossen geen lokale hostnamen op.

Opmerking: Als u uw toestel lokale hostnamen wilt laten oplossen, gebruikt u een lokale DNS-server of voegt u de juiste statische items toe aan de lokale DNS via de Command Line Interface (CLI).

Domain Search List: Een DNS-domeinzoeklijst die wordt gebruikt wanneer een verzoek wordt verzonden naar een kale hostnaam (zonder punt ". ").

De opgegeven domeinen worden op hun beurt in de opgegeven volgorde ( Van links naar rechts) geprobeerd om te zien of een DNS-match voor de hostnaam plus domein kan worden gevonden.

Routeringstabel voor DNS-verkeer: geeft aan door welke interface de DNS-service het verkeer leidt.

Wacht voordat u DNS-lookups omkeert: de wachttijd in seconden voordat time-out niet-reagerende omgekeerde DNS-lookups.

De secundaire DNS-servers ontvangen hostnamenquery's wanneer de primaire DNS-servers deze fouten retourneren:

· Geen fout, geen antwoord sectie ontvangen
· Server kan aanvraag niet voltooien, sectie geen antwoord
· Naam Fout, geen antwoord sectie ontvangen
· Functie niet geïmplementeerd
· Server weigerde om query te beantwoorden

Opmerking: AsyncOS evalueert transacties op basis van beleid voordat het externe afhankelijkheden evalueert om onnodige externe communicatie van het toestel te voorkomen. Als een transactie bijvoorbeeld wordt geblokkeerd op basis van een beleid dat ongecategoriseerde URL's blokkeert, zou de transactie niet mislukken op basis van een DNS-fout.

Prioriteit: Een waarde van 0 heeft de hoogste prioriteit. Een willekeurig IP-adres wordt geselecteerd als beide dezelfde prioriteit hebben.

DNS configureren vanuit CLI 

U kunt dnsconfig gebruiken vanuit CLI om DNS-instellingen te configureren.

Stap 1. Typ dnsconfig in CLI:

SWA_CLI> dnsconfig

Currently using the local DNS cache servers:
1. Priority: 0  10.1.1.1
2. Priority: 1  10.2.2.2
3. Priority: 2  10.3.3.3

Currently using the following Secondary DNS cache servers :
1. Priority: 0  10.10.10.10

Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server.
- DELETE - Remove a server.
- SETUP - Configure general settings.
- SEARCH - Configure DNS domain search list.
[]>

Stap 2. Als u een nieuwe DNS-server aan de lijst wilt toevoegen, typt u NIEUW en drukt u op Enter.

Stap 3. Kies tussen Primary DNS nameservers of Secondary DNS nameservers, waaraan u een nieuwe nameserver wilt toevoegen.

[]> NEW

Do you want to make changes in the Primary DNS nameserver list or secondary DNS nameserver list?
1. Make changes to the primary DNS nameserver
2. Make changes to the secondary DNS nameserver
[]> 1

Stap 4. Kies ervoor om een nieuwe naamserver of een alternatieve domeinserver toe te voegen (voorwaardelijke forwarding domeinnaam)

Do you want to add a new local DNS cache server or an alternate domain server?
1. Add a new local DNS cache server.
2. Add a new alternate domain server.
[]> 1

Stap 5. Geef het IP-adres van de nieuwe naamserver op

Stap 6. Geef de prioriteit op voor de nieuw toegevoegde naamserver. 

Please enter the IP address of your DNS server.
Separate multiple IPs with commas.
[]> 10.4.4.4

Please enter the priority for 10.4.4.4.
A value of 0 has the highest priority.
The IP will be chosen at random if they have the same priority.

[0]> 4


Currently using the local DNS cache servers:
1. Priority: 0  10.1.1.1
2. Priority: 1  10.2.2.2
3. Priority: 2  10.3.3.3
4. Priority: 4  10.4.4.4

Currently using the following Secondary DNS cache servers :
1. Priority: 0  10.10.10.10

Stap 7. Druk op Enter om de wizard af te sluiten.

Stap 8. Typ commit om de wijzigingen op te slaan. 

Opmerking: Als u naamservers wilt bewerken of verwijderen, kunt u kiezen voor Bewerken en VERWIJDEREN uit dnsconfig.

Vanuit de optie SETUP kunt u de DNS-cachetijd en offline DNS-detectie-instellingen configureren: 

SWA_CLI> dnsconfig 
....
[]> setup
Do you want the Gateway to use the Internet's root DNS servers or would you like it to use your own DNS servers?
1. Use Internet root DNS servers
2. Use own DNS cache servers
[2]> 2

Enter the number of seconds to wait before timing out reverse DNS lookups.
[20]> 

Enter the minimum TTL in seconds for DNS cache.
[1800]> 

Do you want to enable Secure DNS? [N]> N
Warning: Ensure that you configure the DNS server with DNSSec because there is no backward compatibility.
Failing to do so can result in invalid response with an unresolved hostname.

You must use FQDN with the hostname for the local and private domains.

Enter the number of failed attempts before considering a local DNS server offline.
[100]>

Enter the interval in seconds for polling an offline local DNS server.
[5]>

Minimale TTL in seconden voor DNS-cache: Deze optie is om de minimale seconden te configureren voor een SWA-cache in een record. voor meer informatie gaat u naar het gedeelte DNS-cache in dit document.

Voer het aantal mislukte pogingen in voordat u een lokale DNS-server offline overweegt: Als de DNS-server niet reageert op DNS-query's, wordt de teller gestart.

Wanneer deze gedefinieerde waarde wordt bereikt, wordt die nameserver beschouwd als Offline DNS-server en SWA vermijdt de DNS-query naar die nameserver te sturen voor een vooraf gedefinieerde tijdsduur (optie Volgende). 

Wanneer DNS-server is gemarkeerd als os offline, ziet u deze foutmelding:

30 Jun 2023 07:37:03 +0200    Reached maximum failures querying DNS server 10.1.1.1

Voer het interval in seconden in voor het pollen van een offline lokale DNS-server: Wanneer een DNS-server is gemarkeerd als offline, begint SWA na dit tijdsinterval (in seconden) met het verzenden van DNS-query naar die naamserver en wordt de teller voor de mislukte DNS-server teruggezet op nul.  

CLI DNS-opdrachten 

Handmatig record maken 

Om handmatig "Een record" te maken, kunt u het Hosts-bestand niet gebruiken of bewerken. U kunt de verborgen opdracht localhosts gebruiken vanuit dnsconfig in CLI.

Opmerking: u moet wijzigingen vastleggen nadat u deze configuraties hebt gewijzigd.

dnsconfig

Currently using the local DNS cache servers:
1. Priority: 0  10.1.1.1
2. Priority: 0  10.2.2.2

Choose the operation you want to perform:
- NEW - Add a new server.
- EDIT - Edit a server.
- DELETE - Remove a server.
- SETUP - Configure general settings.
- SEARCH - Configure DNS domain search list.
[]> localhosts

Local IP to Host mappings:

Choose the operation you want to perform:
- NEW - Add new local IP to host mapping.
- DELETE - Delete an existing mapping.
[]> new

Enter the IP address of the host you are adding.
[]> 10.20.30.40

Enter the canonical host name and any additional aliases (separate values
with spaces)
[]> ManualHostEntry.cisco.com          

doorspoelen

dnsflush verwijdert alle DNS-records in de cache uit de DNS-cachetabel:

SWA_CLI> dnsflush
Are you sure you want to clear out the DNS cache? [N]> Y

geavanceerde proxyconfig

 advancedproxyconfig

Choose a parameter group:
- AUTHENTICATION - Authentication related parameters
- CACHING - Proxy Caching related parameters
- DNS - DNS related parameters
- EUN - EUN related parameters
- NATIVEFTP - Native FTP related parameters
- FTPOVERHTTP - FTP Over HTTP related parameters
- HTTPS - HTTPS related parameters
- SCANNING - Scanning related parameters
- PROXYCONN - Proxy connection header related parameters
- CUSTOMHEADERS - Manage custom request headers for specific domains
- MISCELLANEOUS - Miscellaneous proxy related parameters
- SOCKS - SOCKS Proxy parameters
- CONTENT-ENCODING - Block content-encoding types
- SCANNERS - Scanner related parameters
[]> DNS

Enter values for the DNS options:

Enter the URL format for the HTTP 307 redirection on DNS lookup failure.
[%P://www.%H.com/%u]>

Would you like the proxy to issue a HTTP 307 redirection on DNS lookup failure?
[Y]>

Would you like proxy not to automatically failover to DNS results when upstream
proxy (peer) is unresponsive?
[N]>

Select one of the following options:
0 = Always use DNS answers in order
1 = Use client-supplied address then DNS
2 = Limited DNS usage
3 = Very limited DNS usage

For options 1 and 2, DNS will be used if Web Reputation is enabled.
For options 2 and 3, DNS will be used for explicit proxy requests, if there is
no upstream proxy or in the event the configured upstream proxy fails.

For all options, DNS will be used when Destination IP Addresses are used in
policy membership.
Find web server by:
[0]>

De HTTP 307-statuscode (Temporary Redirect) geeft aan dat de doelbron tijdelijk onder een andere Uniform Resource Identifier (URI) verblijft en dat de gebruikersagent de aanvraagmethode NIET MAG wijzigen als deze een automatische omleiding naar die URI uitvoert. Aangezien de omleiding in de loop van de tijd kan veranderen, moet de klant de oorspronkelijke effectieve URI-aanvraag blijven gebruiken. 

Meer informatie over: Wat is de HTTP 307 Temporary Redirect Status Code - Kinsta

Deze opties bepalen hoe SWA beslist over het IP-adres waarmee verbinding moet worden gemaakt bij het evalueren van een clientverzoek in een transparante proxy-implementatie. Wanneer een verzoek wordt ontvangen, ziet WSA een IP-adres van de bestemming en een hostnaam. SWA moet beslissen of het oorspronkelijke IP-adres van de bestemming voor de TCP-verbinding moet worden vertrouwd, of dat het zijn eigen DNS-resolutie moet uitvoeren en het opgeloste adres moet gebruiken. De standaardwaarde is "0 = Altijd DNS-antwoorden in volgorde gebruiken", wat betekent dat SWA de client niet vertrouwt om het IP-adres op te geven.

Optie 1: SWA probeert het door de client opgegeven IP-adres voor de verbinding, maar valt terug naar het opgeloste adres als dat mislukt. Het opgeloste adres wordt gebruikt voor beleidsevaluatie (webcategorie, webreputatie, enzovoort).

Optie 2: SWA gebruikt alleen het door de client opgegeven adres voor de verbinding en valt niet terug. Het opgeloste adres wordt gebruikt voor beleidsevaluatie (webcategorie, webreputatie, enzovoort).

Optie 3: SWA gebruikt alleen het door de client opgegeven adres voor de verbinding en valt niet terug. Het door de klant opgegeven IP-adres wordt gebruikt voor beleidsevaluatie (webcategorie, webreputatie, enzovoort).

De gekozen optie hangt af van hoeveel vertrouwen de beheerder in de client moet stellen bij het bepalen van het opgeloste adres voor een bepaalde hostnaam. Als client een downstream-proxy is, kiest u optie 3 om de extra latentie van onnodige DNS-zoekopdrachten te voorkomen.

DNS-cache 

Om de efficiëntie en prestaties te verhogen, slaat Cisco SWA DNS-vermeldingen op voor domeinen waarmee u onlangs verbinding hebt gemaakt. Met de DNS-cache kan SWA overmatig DNS-opzoeken van dezelfde domeinen voorkomen. De DNS-cachevermeldingen verlopen als gevolg van de TTL (Time to Live) van de record.

Wanneer de TTL van de record in de DNS-server groter is dan de TTL-tijd van de SWA-dnsconfig-cache, gebruikt de dns-cache de TTL van de DNS-server.

Wanneer de TTL van de record in de DNS-server korter is dan de TTL-tijd van de SWA-dnsconfig-cache, gebruikt de DNS-cache de instelling TTL van WSA dnsconfig.

Let op: SWA heeft twee DNS-cache, de ene is ontworpen voor Proxy-proces en de andere wordt gebruikt voor Interne proces.

Standaard worden de SWA-DNS-records in de cache gedurende minimaal 30 minuten opgeslagen, ongeacht de TTL-record. Moderne websites die veel gebruik maken van Content Delivery Networks (CDN) zouden lage TTL-records hebben omdat hun IP-adressen vaak veranderen.

Dit kan resulteren in een clientcache met één IP-adres voor een bepaalde server en SWA met een ander adres voor dezelfde server in de cache. Om dit tegen te gaan, kan de standaard-TTL van SWA worden verlaagd naar vijf minuten vanaf de sectie SETUP in de opdracht dconfig CLI.

Als bijvoorbeeld de "minimum TTL in seconden voor DNS-cache" in DNS-configuratie is ingesteld op 10 minuten en een record TTL van 5 minuten heeft, is de TTL voor het gecachete record verhoogd tot 10 minuten.

Als de TTL voor het record is ingesteld op 15 minuten, slaat SWA het record voor 15 minuten op in de cache.

Het is echter soms nodig om de DNS-cache van vermeldingen te wissen. Beschadigde of verlopen DNS-cachegegevens kunnen soms problemen veroorzaken bij de levering aan een externe host of hosts.

Dit probleem treedt meestal op nadat het toestel offline is geweest voor een netwerkverplaatsing of een andere omstandigheid.

De DNS-cache wissen uit de GUI

Stap 1. Kies Netwerk in het hoofdmenu

Stap 2. Kies DNS

Stap 3. Kies DNS-cache wissen

Waarschuwing: deze opdracht kan leiden tot een tijdelijke verslechtering van de prestaties terwijl de cache opnieuw wordt gevuld

De DNS-cache wissen uit de CLI 

De DNS-cache in de Cisco WSA kan worden gewist door dnsflushcommand van de CLI.

DNS-cache bekijken

Er is geen optie om een DNS-record in cache in SWA te bekijken vanuit CLI of GUI.

Opmerking: u kunt geen DNS-cache opvragen via nslookup.

Problemen met DNS oplossen 

DNS-logs bekijken

Sommige logboektypen met betrekking tot de webproxycomponent zijn niet ingeschakeld. Het hoofdtype webproxylogboek, de "standaardproxylogboeken" genoemd, is standaard ingeschakeld en legt basisinformatie vast op alle webproxymodules.

Elke Web Proxy-module heeft ook een eigen logtype dat u handmatig kunt inschakelen als dat nodig is.

Systeemlogboeken, records, DNS-fout en commit-activiteit. die standaard is ingeschakeld

Tip: Als u het logniveau voor systeemlogboeken wijzigt in DEBUG, ziet u de DNS-query's en -antwoorden. U kunt het logniveau wijzigen vanuit GUI en CLI.

Logniveau van systeemlogboeken wijzigen vanuit GUI

Stap 1. Kies Systeembeheer in het hoofdmenu

Stap 2. Kies logboekabonnementen

Stap 3. Kies systeemlogboeken

Stap 4. Kies DEBUG in het gedeelte Logniveau 

Stap 5. voorleggen

Stap 6. Wijzigingen vastleggen

Afbeelding - Systeemlogboeken wijzigen, logniveau

Logniveau van systeemlogboeken wijzigen vanuit CLI

Stap 1. Inloggen bij CLI

Stap 2. Type logconfig

Stap 3. Kies Bewerken

Stap 4. Voer het nummer in dat is gekoppeld aan System_Logs

Stap 5. Druk op Enter totdat u het niveau Log bereikt

Stap 6. Kies nummer 4 voor Debug 

Stap 7. Druk op Enter totdat u de wizard afsluit

Stap 8. Om wijzigingen op te slaan, typt u commit. 

SWA_CLI> logconfig

Currently configured logs:
...
42. "system_logs" Type: "System Logs" Retrieval: FTP Poll
...

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- HOSTKEYCONFIG - Configure SSH host keys.
- AUDITLOGCONFIG - Adjust settings for audit logging.
[]> EDIT

Enter the number of the log you wish to edit:
[]> 42 <--- in this example the System_logs is number 42 

Please enter the name for the log:
[system_logs]>

Log level:
1. Critical
2. Warning
3. Information
4. Debug
5. Trace
[3]> 4
....
SWA_CLI> commit

Tip: Als je eenmaal hebt gedaan troubleshot, zorg ervoor dat u het log-niveau terug naar Informatie, anders zou er een enorme belasting op de schijf Invoer / Uitvoer (I / O) en het logbestand zou worden gevuld om snel.

fouillering

Gebruik de opdracht nslookup om de naamresolutierespons in SWA voor verschillende FQDN's te bekijken.

In dit voorbeeld wordt in de eerste poging om de naam op te lossen de TTL ingesteld op 30 minuten.

Bij de tweede poging kunnen we zien dat de TTL minder dan 30 minuten is, wat aangeeft dat deze record is opgelost vanuit de cache.

SWA_CLI> nslookup

Please enter the host or IP address to resolve.
[]> cisco.com

Choose the query type:
1. A       the host's IP address
2. AAAA    the host's IPv6 address
3. CNAME   the canonical name for an alias
4. MX      the mail exchanger
5. NS      the name server for the named zone
6. PTR     the hostname if the query is an Internet address,

 otherwise the pointer to other information
7. SOA     the domain's "start-of-authority" information
8. TXT     the text information
[1]> 1

A=10.20.3.15 TTL=30m

TSWA_CLI> nslookup

Please enter the host or IP address to resolve.
[]> cisco.com

Choose the query type:
1. A       the host's IP address
2. AAAA    the host's IPv6 address
3. CNAME   the canonical name for an alias
4. MX      the mail exchanger
5. NS      the name server for the named zone
6. PTR     the hostname if the query is an Internet address,

 otherwise the pointer to other information
7. SOA     the domain's "start-of-authority" information
8. TXT     the text information
[1]> 1

A=10.20.3.15 TTL=28m 49s

graven 

dig is een andere handige opdracht om de DNS-records te bevragen. Met dig kunt u de broninterface of de DNS-server opgeven waarin we willen zoeken:

In dit voorbeeld is hier de query voor A-Record van server 10.1.1.1 

 dig @10.1.1.1 www.cisco.com A


; <<>> DiG 9.16.8 <<>> @10.1.1.1 www.cisco.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58012
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
; COOKIE: 2cbc212c0877096701000000623db99b050bda7f896790e3 (good)
;; QUESTION SECTION:
;www.cisco.com.                 IN      A

;; ANSWER SECTION:
www.cisco.com.          3600    IN      CNAME   origin-www.cisco.com.
www.cisco.com.   5       IN      A       10.20.3.15

;; Query time: 115 msec
;; SERVER: 10.1.1.1#53(10.1.1.1)
;; WHEN: Fri Mar 25 12:46:19 GMT 2022
;; MSG SIZE  rcvd: 111

Het gebruik van graven:

dig [-s ] [-t] [-x ] [@] hostname [qtype]

        Query a DNS server.

        @ - Query the DNS server at this IP address
        hostname - Record that you want to look up.
        qtype - Query type: A, PTR, CNAME, MX, SOA, NS, TXT
    options:
        -s IP Address
            Specify the source IP address.
        -t
            Make query over tcp.
        -x IP Address
            Do a reverse lookup on this IP address.

Tip: U kunt bron-IP kiezen om te kiezen uit welke interface u de naamresolutie wilt opvragen.

Langzame DNS-respons 

Als het laden van alle of sommige URL's langer duurde (in vergelijking met wanneer u dezelfde pagina vernieuwt), is het beter om de DNS-responstijd te controleren. Er zijn twee opties in SWA om de DNS-responstijd te controleren: 

• Het aangepaste veld AccessLogs configureren. 
• Trackstatlogs.

Accessoires wijzigen om DNS-statistieken te bekijken

U kunt Accesslogs wijzigen om de DNS-tijd voor elk webverzoek weer te geven.

Stap 1. Log in op GUI.

Stap 2. Kies in het menu Systeembeheer de optie Logboekabonnementen.

Stap 3.Klik in de kolom Lognaam op accesslogs of op de naam van de nieuw gemaakte logbestanden. In dit voorbeeld, TAC_access_logs.

Stap 4.Plak deze tekenreeks in de sectie Aangepaste velden:

[DNS response = %:d]

Stap 5.Verzenden en vastleggen van wijzigingen. 

Voor meer informatie over het bewerken van aangepaste velden in Accesslogs, kunt u deze link bezoeken: Prestatieparameter configureren in Access Logs - Cisco

Totale DNS-responstijd in trackstatlogs

 U kunt statistieken van DNS-services en andere interne services bekijken in trackstatlogs. U kunt trackstats-logs openen door via FTP verbinding te maken met uw SWA. 

In dit voorbeeld ziet u de cachestatistieken en het aantal DNS-reacties, gecategoriseerd op tijd die is verstreken vanaf de DNS-server sinds SWA voor het laatst opnieuw is opgestart.

...
INFO: DNS Cache Stats: Entries 662, Expire 1697, Hits 88739, Misses 664, Reclaims 0
...
       DNS Time       1.0 ms    349
       DNS Time       1.6 ms    550
       DNS Time       2.5 ms    374
       DNS Time       4.0 ms    32
       DNS Time       6.3 ms    35
       DNS Time      10.0 ms    37
       DNS Time      15.8 ms    301
       DNS Time      25.1 ms    80
       DNS Time      39.8 ms    136
       DNS Time      63.1 ms    91
       DNS Time     100.0 ms    12
       DNS Time     158.5 ms    33
       DNS Time     251.2 ms    14
       DNS Time     398.1 ms    12
       DNS Time     631.0 ms    45
       DNS Time    1000.0 ms    120
       DNS Time    1584.9 ms    73
       DNS Time    2511.9 ms    296
       DNS Time    3981.1 ms    265
       DNS Time    6309.6 ms    190

In de laatste regel geeft dit bijvoorbeeld aan dat 190 DNS-query's meer dan 6.309 milliseconden (ongeveer 6 seconden) nodig hadden om te voltooien sinds SWA voor het laatst opnieuw is opgestart.

Om het exacte aantal in een tijdsperiode te achterhalen, trekt u deze waarden af voor de begin- en eindtijd.

Om bijvoorbeeld de DNS-responstijd van 10:00 tot 11:00 uur te identificeren, verzamelt u statistieken voor 11:00 uur en trekt u ze af van statistieken van 10:00 uur.

Het resultaat is de DNS-responstijd van 10:00 tot 11:00 uur voor de gewenste datum.   

Opmerking: elke 5 minuten worden statuslogboeken verzameld.

pakketopname 

U kunt pakketten vastleggen om de DNS-verzoeken en -antwoorden te bekijken, om alleen voor DNS te filteren die u kunt gebruiken: poort 53.

Om packet capture te starten vanaf de GUI:

Stap 1. Kies rechtsboven voor ondersteuning en hulp

Stap 2. Kies pakketopname

Stap 3. (Optioneel) Kies Instellingen bewerken om filter toe te voegen

Stap 4. (Optioneel) Kies uw interface(s) en typ poort 53 in de sectie Aangepaste filter

Stap 5. (Optioneel) Kies Verzenden

Afbeelding - Filter toevoegen om DNS-pakketten vast te leggen

Tip: de instellingen voor pakketafvang kunnen onmiddellijk worden gebruikt wanneer deze zijn ingediend. Wijzig de instellingen om deze instellingen permanent op te slaan voor toekomstig gebruik.

Stap 6. Kies Opname starten.

Stap 7. (Optioneel) Genereer verkeer als u problemen wilt oplossen met specifieke site- of URL-toegang. 

Stap 8. Opname stoppen 

Stap 9. Wacht tot de pagina is vernieuwd en kies vervolgens de eerste pakketopname uit de lijst "Pakketopnamebestanden beheren"

Stap 10. Kies Downloadbestand 

L4TM

De Layer 4 Traffic Monitor luistert naar netwerkverkeer dat via alle poorten op elke Secure Web Appliance binnenkomt en koppelt domeinnamen en IP-adressen aan vermeldingen in de eigen databasetabellen om te bepalen of inkomend en uitgaand verkeer moet worden toegestaan.

Wanneer interne clients zijn geïnfecteerd met malware en proberen te bellen naar huis via niet-standaard poorten en protocollen, voorkomt de L4 Traffic Monitor dat de activiteit van de telefoon naar huis het bedrijfsnetwerk verlaat.

Standaard is de L4-verkeersmonitor ingeschakeld en ingesteld om het verkeer op alle poorten te bewaken, inclusief DNS en andere services.

Raadpleeg de gebruikershandleiding voor meer informatie over de Layer 4-verkeersmonitor.

Fouten

Kennisgevingspagina

SWA geeft standaard een meldingspagina weer om gebruikers te informeren dat ze zijn geblokkeerd en de reden voor de blokkering

Bestandsnaam en meldingstitel: ERR_DNS_FAIL (DNS-fout)

Beschrijving: Foutpagina die wordt weergegeven wanneer de gevraagde URL een ongeldige domeinnaam bevat.

Meldingstekst: De hostnaamomzetting (DNS-lookup) voor deze hostnaam <hostnaam > is mislukt.

Het internetadres kan verkeerd gespeld of verouderd zijn, de host <hostname> kan tijdelijk niet beschikbaar zijn of de DNS-server kan niet reageren.

Controleer de spelling van het ingevoerde internetadres. Als het juist is, probeer deze aanvraag later.

Afbeelding - DNS FAIL-fout

Resultaatcode accesslog GEEN 

Transactieresultaatcodes in het toegangslogboekbestand beschrijven hoe het toestel clientverzoeken oplost. Als in het toegangslogboek de resultaatcode GEEN is, betekent dit dat er een fout in de transactie is opgetreden. Bijvoorbeeld een DNS-fout of gateway-time-out.

1688292974.527 20 10.61.66.65 NONE/503 0 GET http://invalidurl.cisco.com/ - NONE/invalidurl.cisco.com - OTHER-NONE-DefaultGroup-NONE-NONE-NONE-DefaultGroup-NONE <"IW_comp",9.3,0,"-",0,0,0,-,"-",-,-,-,"-",-,-,"-","-",-,-,"IW_comp",-,"-","Computers and Internet","-","Unknown","Unknown","-","-",0.00,0,-,"Unknown","-",-,"-",-,-,"-","-",-,-,"-",-,-> - - - -

De DNS-cache is niet opgestart

Als een waarschuwing met de melding "Mislukt om de DNS-cache op te starten" wordt gegenereerd wanneer een toestel opnieuw wordt opgestart, betekent dit dat het systeem geen contact heeft kunnen maken met de primaire DNS-servers.

Dit kan tijdens het opstarten gebeuren als het DNS-subsysteem online komt voordat de netwerkconnectiviteit tot stand is gebracht. Als dit bericht op andere momenten wordt weergegeven, kan dit wijzen op netwerkproblemen of op het feit dat de DNS-configuratie niet is ingesteld op een geldige server

Maximumfouten bij query's op DNS-server bereikt

Als een of meer van de DNS-servers die in SWA zijn geconfigureerd, niet hebben gereageerd op DNS-query's, beschouwt SWA ze als offline en stuurt de DNS-query's niet naar hen voor een vooraf gedefinieerde hoeveelheid tijd. Lees voor meer informatie "DNS configureren vanuit CLI" in dit artikel. 

DNS_FAIL

Wanneer SWA een HTTP-verzoek ontvangt en de hostnaam niet kan oplossen, geeft SWA standaard een antwoord als:

GET http://cisco HTTP/1.1
User-Agent: curl/7.19.7 (universal-apple-darwin10.0) libcurl/7.19.7 OpenSSL/0.9.8l zlib/1.2.3
Host: hostname
Accept: */*
Proxy-Connection: Keep-Alive

HTTP/1.1 307 Temporarily Moved for Domain Name Expansion
Mime-Version: 1.0
Date: Wed, 15 Sep 2022 13:05:02 EST
Proxy-Connection: keep-alive
Location: http://www.cisco.com/
Content-Length: 2068

Deze functie wordt "servernaamexpansie" genoemd.
WSA doet dit bij pogingen waarbij een omgeleide hostnaam de verwachte pagina voor de client zou oplossen.

U kunt "URL-indeling voor de HTTP 307-omleiding bij DNS-zoekfout" wijzigen, voor meer informatie bekijk de sectie geavanceerde proxyconfig in dit artikel.

WSA behandelt DNS-verzoeken die ServerFail retourneren als een mislukking.
NXDOMAIN zou bijvoorbeeld "DNS_FAIL" retourneren in plaats van "SERVER_NAME_EXPANSION"

Gerelateerde informatie

Gebruikershandleiding voor AsyncOS 15.0 voor Cisco Secure Web Appliance

Best practices voor veilige webapparaten gebruiken - Cisco

Cisco Content Hub - Inleiding tot het domeinnaamsysteem