Entender o recurso FQDN no Firepower Threat Defense (gerenciado pelo FMC)

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (616.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de Julho de 2021
ID do documento:214698

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve como configurar o recurso Nome de domínio totalmente qualificado (FQDN) introduzido pelo software versão 6.3.0 para o Firepower Management Center (FMC) e o Firepower Threat Defense (FTD). Esse recurso está presente no Cisco Adaptive Security Appliance (ASA), mas não estava nas versões de software iniciais do FTD.

    Prerequisites

    Requirements 

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Firepower Management Center

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Cisco Firepower Threat Defense (FTD) Virtual que executa a versão de software 6.3.0
    • Firepower Management Center Virtual (vFMC) que executa a versão de software 6.3.0 

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Informações de Apoio

    Certifique-se de que essas condições sejam atendidas antes de configurar objetos FQDN:

    • O Firepower Management Center deve executar a versão 6.3.0 ou posterior. Pode ser físico ou virtual
    • O Firepower Threat Defense deve executar a versão 6.3.0 ou posterior. Pode ser físico ou virtual

    Visão geral do recurso

    Esse recurso resolve um FQDN em um endereço IP e o usa para filtrar o tráfego quando referenciado por uma regra de controle de acesso ou política de pré-filtro.

    E antes das 6:3?

    •  O FMC e o FTD que executam uma versão anterior à 6.3.0 não podem configurar objetos FQDN.

    • Caso o FMC execute a versão 6.3 ou posterior, mas o FTD execute uma versão anterior à 6.3, a implantação de uma política mostra este erro:

    • Além disso, se você configurar um objeto DNS pelo FlexConfig, esse aviso será exibido:


    Configurar

    Diagrama de Rede


    Arquitetura - Pontos importantes

    • A resolução DNS (DNS para IP) acontece no LINA
    • O LINA armazena o mapeamento em seu banco de dados
    • Em uma base por conexão, esse mapeamento é enviado do LINA para o snort
    • A resolução do FQDN acontece independentemente da alta disponibilidade ou da configuração do cluster


    Configuration Steps

    Etapa 1. Configurar o "Objeto do grupo de servidores DNS" 

    • O nome do grupo de servidores DNS não deve exceder 63 caracteres
    • Em uma implantação multidomínio, os nomes de objetos devem ser exclusivos na hierarquia de domínios. O sistema pode identificar um conflito com o nome de um objeto que não pode ver no domínio atual
    • O domínio padrão (opcional) é usado para acrescentar nomes de host que não são totalmente qualificados
    • Os valores padrão de Tentativas e Tempo limite são preenchidos previamente.

      • Tentativas — O número de vezes, de 0 a 10, para repetir a lista de servidores DNS quando o sistema não recebe uma resposta. O padrão é 2.

      • Timeout —O número de segundos, de 1 a 30, antes de outra tentativa para o próximo servidor DNS. O padrão é 2 segundos. Cada vez que o sistema tenta novamente a lista de servidores, esse tempo limite dobra.

    • Insira os servidores DNS para fazer parte desse grupo. Pode ser um formato IPv4 ou IPv6 como valores separados por vírgula
    • O grupo de servidores DNS é usado para resolução com o objeto ou objetos de interface configurados em Configurações da plataforma
    • A API REST para CRUD de objeto de grupo de servidores DNS é suportada


    Etapa 2. Configurar DNS (configurações da plataforma) 

    • (Opcional) Modifique os valores do Temporizador de Entrada de Expiração e do Temporizador de Votação em minutos:

    A opção de temporizador de entrada de expiração especifica o limite de tempo para remover o endereço IP de um FQDN resolvido da tabela de pesquisa de DNS após sua expiração de Time-to-live (TTL). A remoção de uma entrada exige que a tabela seja recompilada, de modo que as remoções frequentes podem aumentar a carga do processo no dispositivo. Essa configuração estende virtualmente o TTL.

    A opção de temporizador de pesquisa especifica o limite de tempo após o qual o dispositivo consulta o servidor DNS para resolver o FQDN que foi definido em um grupo de objetos de rede. Um FQDN é resolvido periodicamente quando o temporizador de pesquisa expirou ou quando o TTL da entrada IP resolvida expirou, o que ocorrer primeiro.

    • (Opcional) Selecione os objetos de interface necessários na lista disponível e adicione-os à lista Objetos de interface selecionados e verifique se o servidor DNS está acessível através das interfaces selecionadas:

    Para dispositivos Firepower Threat Defense 6.3.0, se nenhuma interface for selecionada e a interface de diagnóstico for desabilitada para pesquisa de DNS, a resolução de DNS ocorrerá através de qualquer interface que inclua a interface de diagnóstico (o comando dnsdomain-lookup any é aplicado).

    Se você não especificar nenhuma interface—e não habilitar a pesquisa de DNS na interface de diagnóstico, o FTD usará a Tabela de Roteamento de Dados para determinar a interface. Se não houver correspondência, ela usará a Tabela de Roteamento de Gerenciamento.

    • (Opcional) Marque a caixa de seleção Ativar pesquisa de DNS através da interface de diagnóstico também

    Se habilitado, o Firepower Threat Defense usa as interfaces de dados selecionadas e a interface de diagnóstico para resoluções DNS. Certifique-se de configurar um endereço IP para a interface de diagnóstico na página Dispositivos > Gerenciamento de dispositivos > editar dispositivo > Interfaces.


    Etapa 3. Configurar o FQDN da Rede de Objeto 

    Navegue até Objects > Object Management, em um objeto de rede especifique a opção FQDN.

    • Um ID exclusivo de 32 bits é gerado quando o usuário cria um objeto FQDN
    • Essa ID é enviada do FMC para o LINA e o Snort
    • No LINA, essa ID está associada ao objeto
    • No snort, essa ID está associada à regra de controle de acesso que mantém esse objeto


    Etapa 4. Criar uma regra de controle de acesso

    Crie uma regra com o objeto FQDN anterior e implante a política:

    Note: A primeira instância da resolução FQDN ocorre quando o objeto FQDN é implantado em uma política de controle de acesso

    Verificar

    Use esta seção para confirmar se sua configuração está funcionando corretamente.

    • Esta é a configuração inicial do FTD antes da implantação do FQDN:
    aleescob# show run dns
DNS server-group DefaultDNS
    • Esta é a configuração após a implantação do FQDN:
    aleescob# show run dns
dns domain-lookup wan_1557
DNS server-group DNS_Test
    retries 3
    timeout 5
    name-server 173.38.200.100
    domain-name aleescob.cisco.com
DNS server-group DefaultDNS
dns-group DNS_Test
    • É assim que o objeto FQDN é no LINA:
    object network obj-talosintelligence.com
 fqdn talosintelligence.com id 268434436
    • Quando já está implantado, é assim que a lista de acesso FQDN é exibida no LINA:
    access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268434437: L4 RULE: FQDN-ACL
access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start
    • É assim que se parece no Snort (ngfw.rules):
    # Start of AC rule.
268434437 deny 1 any  any 2 any  any any any  (log dcforward flowstart) (dstfqdn 268434436)
# End rule 268434437

    Note: Neste cenário, como o objeto FQDN foi usado para o destino, ele está listado como dstfqdn.

    • Se você marcar os comandos show dns e show fqdn, você poderá notar que o recurso começou a resolver o IP para tallosintelligence.com:
    aleescob# show dns
Name: talosintelligence.com
  Address: 2606:4700::6810:1b36                          TTL 00:05:43
  Address: 2606:4700::6810:1c36                          TTL 00:05:43
  Address: 2606:4700::6810:1d36                          TTL 00:05:43
  Address: 2606:4700::6810:1a36                          TTL 00:05:43
  Address: 2606:4700::6810:1936                          TTL 00:05:43
  Address: 104.16.27.54                                  TTL 00:05:43
  Address: 104.16.29.54                                  TTL 00:05:43
  Address: 104.16.28.54                                  TTL 00:05:43
  Address: 104.16.26.54                                  TTL 00:05:43
  Address: 104.16.25.54                                  TTL 00:05:43


aleescob# show fqdn
FQDN IP Table:
ip = 2606:4700::6810:1b36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2606:4700::6810:1c36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2606:4700::6810:1d36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2606:4700::6810:1a36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2606:4700::6810:1936, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 104.16.27.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 104.16.29.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 104.16.28.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 104.16.26.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 104.16.25.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

FQDN ID Detail:
FQDN-ID = 268434436, object = obj-talosintelligence.com, domain = talosintelligence.com
        ip = 2606:4700::6810:1b36, 2606:4700::6810:1c36, 2606:4700::6810:1d36, 2606:4700::6810:1a36, 2606:4700::6810:1936, 104.16.27.54, 104.16.29.54, 104.16.28.54, 104.16.26.54, 104.16.25.54
    • Se você marcar show access-list no LINA, você poderá observar as entradas expandidas para cada resolução e as contagens de ocorrências:
    firepower# show access-list  
      access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1b36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.27.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.29.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.28.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.26.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.25.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
    • Como mostrado na imagem, um ping para talosintelligence.com falha, pois há uma correspondência para o FQDN na lista de acesso. A resolução DNS funcionou desde que o pacote ICMP foi bloqueado pelo FTD.

    • Contagens de acertos do LINA para os pacotes ICMP enviados anteriormente:
    access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1b36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.27.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.29.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.28.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.26.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.25.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
    • As solicitações ICMP são capturadas e mostradas descartadas na interface de entrada:
    aleescob# show cap in

13 packets captured

   1: 18:03:41.558915       192.15.56.132 > 173.38.200.100 icmp: 192.15.56.132 udp port 59396 unreachable
   2: 18:04:12.322126       192.15.56.132 > 72.163.4.161 icmp: echo request
   3: 18:04:12.479162       72.163.4.161 > 192.15.56.132 icmp: echo reply
   4: 18:04:13.309966       192.15.56.132 > 72.163.4.161 icmp: echo request
   5: 18:04:13.462149       72.163.4.161 > 192.15.56.132 icmp: echo reply
   6: 18:04:14.308425       192.15.56.132 > 72.163.4.161 icmp: echo request
   7: 18:04:14.475424       72.163.4.161 > 192.15.56.132 icmp: echo reply
   8: 18:04:15.306823       192.15.56.132 > 72.163.4.161 icmp: echo request
   9: 18:04:15.463339       72.163.4.161 > 192.15.56.132 icmp: echo reply
  10: 18:04:25.713662       192.15.56.132 > 104.16.27.54 icmp: echo request
  11: 18:04:30.704232       192.15.56.132 > 104.16.27.54 icmp: echo request
  12: 18:04:35.711480       192.15.56.132 > 104.16.27.54 icmp: echo request
  13: 18:04:40.707528       192.15.56.132 > 104.16.27.54 icmp: echo request



aleescob# sho cap asp | in 104.16.27.54
 162: 18:04:25.713799       192.15.56.132 > 104.16.27.54 icmp: echo request
 165: 18:04:30.704355       192.15.56.132 > 104.16.27.54 icmp: echo request
 168: 18:04:35.711556       192.15.56.132 > 104.16.27.54 icmp: echo request
 176: 18:04:40.707589       192.15.56.132 > 104.16.27.54 icmp: echo request
    • É assim que o rastreamento procura um desses pacotes ICMP:
    aleescob# sho cap in packet-number 10 trace
 
13 packets captured

  10: 18:04:25.713662       192.15.56.132 > 104.16.27.54 icmp: echo request
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.15.57.254 using egress ifc  wan_1557

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory access-list CSM_FW_ACL_ remark rule-id 268434437: L4 RULE: FQDN-ACL
Additional Information:

    Result:
input-interface: lan_v1556
input-status: up
input-line-status: up
output-interface: wan_1557
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
    • Se a ação para a regra de controle de acesso for Allow (Permitir), este é um exemplo da saída do sistema support firewall-engine-debug
    > system support firewall-engine-debug

Please specify an IP protocol: icmp
Please specify a client IP address: 192.15.56.132
Please specify a server IP address:
Monitoring firewall engine debug messages

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 new firewall session
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 DAQ returned DST FQDN ID: 268434436
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 Starting with minimum 2, 'FQDN-ACL', and SrcZone first with zones 1 -> 2, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 Match found for FQDN id: 268434436
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 match rule order 2, 'FQDN-ACL', action Allow
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 MidRecovery data sent for rule id: 268434437,rule_action:2, rev id:2096384604, rule_match flag:0x0
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 allow action
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 deleting firewall session
    • Quando o FQDN é implantado como parte de um Prefilter (Fastpath), é assim que ele fica em ngfw.rules:
    iab_mode Off
# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268434439 fastpath any any  any any any  any any any  (log dcforward both) (tunnel -1)
268434438 allow any any  1025-65535 any any  3544 any 17  (tunnel -1)
268434438 allow any any  3544 any any  1025-65535 any 17  (tunnel -1)
268434438 allow any any  any any any  any any 47  (tunnel -1)
268434438 allow any any  any any any  any any 41  (tunnel -1)
268434438 allow any any  any any any  any any 4  (tunnel -1)
# End of tunnel and priority rules.
    • Do ponto de vista do LINA com um pacote rastreado:
    Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip any object obj-talosintelligence.com rule-id 268434439 event-log both
access-list CSM_FW_ACL_ remark rule-id 268434439: PREFILTER POLICY: Prefilter-1
access-list CSM_FW_ACL_ remark rule-id 268434439: RULE: FQDN_Prefilter
Additional Information:


    Troubleshoot

    1. Configuração do FMC
    • Verifique se as políticas e as configurações do servidor DNS estão configuradas corretamente
    • Verificar se a implantação foi bem-sucedida
    1. Implantar verificação no FTD
    • Execute show dns e show access-list para ver se o FQDN foi resolvido e se as regras AC foram expandidas
    • Execute show run object network e anote a ID associada ao objeto (digamos X para origem)
    • Execute show fqdn id X para verificar se o FQDN foi resolvido para o IP de origem corretamente
    • Verifique se o arquivo ngfw.rules tem a regra AC com FQDN ID X como origem
    • Execute o sistema com suporte a firewall-engine-debug e verifique o veredito do Snort

    Coletar arquivos de solução de problemas do FMC 

    Todos os registros necessários são reunidos em uma solução de problemas de FMC. Para coletar todos os registros importantes do FMC, execute uma solução de problemas na GUI do FMC. Caso contrário, a partir de um prompt do FMC Linux, execute sf_troubleshoot.pl. Se você encontrar um problema, envie uma solução de problemas da FMC com seu relatório para o Cisco Technical Assistance Center (TAC).

    Logs FMC

    Nome/local do arquivo de log

    Propósito

    		 
    /opt/CSCOpx/MDC/log/operation/vmsshareddsvcs.log

    Todas as Chamadas API

    		 
    /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

    Todas as Chamadas API

    		 
    /opt/CSCOpx/MDC/log/operation/vmsbesvcs.log

    Logs de geração de CLI

    		 
    /opt/CSCOpx/MDC/tomcat/logs/stdout.log

    Logs Tomcat

    		 
    /var/log/mojo.log

    Logs do Mojo

    		 
    /var/log/CSMAgent.log

    Chamadas REST entre CSM e DC

    		 
    /var/log/action_queue.log

    Log da fila de ações do DC

    Problemas comuns/mensagens de erro

    Estes são os erros/avisos mostrados na interface do usuário para o objeto de grupo de servidores FQDN e DNS e as Configurações DNS:

    Erro/aviso

    Cenário

    Descrição

    O nome contém caracteres inválidos. O nome deve começar com o alfabeto ou o sublinhado e seguir com caracteres alfanuméricos ou especiais (-,_,+,.)

    Usuário

    configura o nome incorreto

    O usuário é informado sobre a permissão

    caracteres e intervalo máximo.

    Valor de domínio padrão inválido

    O usuário configura o nome de domínio errado

    O usuário é informado sobre os caracteres permitidos e o intervalo máximo.

    Nenhum objeto de interface foi selecionado para o DNS na configuração de plataforma "mzafeiro_Platform_Settings". Se prosseguido, a pesquisa de domínio DNS ocorrerá em todas as interfaces

    O usuário não seleciona nenhuma interface para pesquisa de domínio

    Para um dispositivo pós-6.3

    O usuário é avisado de que o DNS

    o CLI do grupo de servidores será aplicado

    para todas as interfaces.

    Nenhum objeto de interface foi selecionado para o DNS na configuração de plataforma "mzafeiro_Platform_Settings". Se continuar, nenhum grupo de servidores DNS com "DNS" será aplicado

    O usuário não seleciona nenhuma interface para pesquisa de domínio

    Para um dispositivo 6.2.3

    O usuário é avisado

    que o DNS

    CLI do grupo de servidores não será

    gerado.

    Falha na implantação

    Quando um FQDN é usado em uma política diferente da política AC/Prefilter, esse erro pode ocorrer e ser mostrado na interface do usuário do FMC:

    Etapas recomendadas para a solução de problemas

    1) Abrir arquivo de log: /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

    2) Verifique a mensagem de validação semelhante a:

    "Rede(s) inválida(s) configurada(s). Redes [RedesContendoFQDN] configuradas nos dispositivos [DeviceNames] referem-se ao FQDN" 

    3) Ação sugerida:

    Verifique se uma ou mais das políticas mencionadas a seguir já estão configuradas com um FQDN ou grupo que contém um objeto FQDN e tente a implantação do mesmo depois que esses objetos forem removidos.

        a) Política de identidade

        b) Conjuntos de variáveis que contêm um FQDN aplicado à política de CA

    Nenhum FQDN ativado

    O sistema pode mostrar o próximo através da CLI do FTD:

    > show dns
INFO: no activated FQDN

    O DNS não será ativado até que um objeto com um fqdn definido seja aplicado. Depois que um objeto é aplicado, isso é resolvido.

    Perguntas e respostas


    P: O Packet-tracer com FQDN é um teste válido para solucionar problemas?
    R: Sim, você pode usar a opção fqdn com packet-tracer.

    P: Com que frequência a regra FQDN atualiza o endereço IP do servidor?
    R: Depende do valor TTL da resposta DNS. Quando o valor TTL expira, o FQDN é resolvido novamente com uma nova consulta DNS.
    Isso também depende do atributo de temporizador de pesquisa definido na configuração do servidor DNS. A regra FQDN é resolvida periodicamente quando o temporizador DNS da Votação expirou ou quando o TTL da entrada IP resolvida expirou, o que ocorrer primeiro.

    P: Isso funciona para DNS de rodízio?
    R: O DNS de rodízio funciona perfeitamente, pois esse recurso funciona no FMC/FTD com o uso de um cliente DNS e a configuração DNS de rodízio está no lado do servidor DNS.

    P: Há uma limitação para os valores de DNS TTL baixos?
    R: Se uma resposta DNS vem com 0 TTL, o dispositivo FTD adiciona 60 segundos a ele. Nesse caso, o valor TTL é de no mínimo 60 segundos.

    P: Por padrão, o FTD mantém o valor padrão de 60 segundos?
    R: O usuário sempre pode substituir o TTL pela configuração de temporizador de entrada de expiração no servidor DNS.

    P: Como ele interopera com respostas DNS de qualquer difusão? Por exemplo, os servidores DNS podem fornecer endereços IP diferentes com base na localização geográfica para os solicitantes. É possível solicitar todos os endereços IP para um FQDN? Como o comando dig no Unix?
    R: Sim, se o FQDN for capaz de resolver vários endereços IP, todos serão enviados para o dispositivo e a regra AC será expandida de acordo.

    P: Há planos para incluir uma opção de visualização que mostre que os comandos são enviados antes de qualquer alteração de departamento?
    R: Isso faz parte da opção Preview config disponível via Flex config. A visualização já está lá, mas está oculta na política Flex Config. Há um plano para movê-lo e torná-lo genérico.

    P: Qual interface no FTD é usada para executar a pesquisa do DNS?
    R: É configurável. Quando nenhuma interface é configurada, todas as interfaces nomeadas no FTD são ativadas para a pesquisa de DNS.

    P: Cada NGFW gerenciado executa sua própria resolução DNS e tradução IP FQDN separadamente mesmo quando a mesma política de acesso é aplicada em todos eles com o mesmo objeto FQDN?
    R: Yes.

    P: O cache DNS pode ser limpo para a identificação e solução de problemas de ACLs FQDN?
    R: Sim, você pode executar os comandos clear dns e clear dns-hosts cache no dispositivo.

    P: Quando exatamente a resolução FQDN é acionada?
    R: A resolução de FQDN acontece quando o objeto FQDN é implantado em uma política de CA.

    P: É possível limpar o cache somente para um único local?
    R: Yes. Se você souber o nome do domínio ou o endereço IP, poderá limpá-lo, mas não há nenhum comando como tal por perspectiva da ACL. Por exemplo, o comando clear dns host agni.tejas.com está presente para limpar o cache host por host com a palavra-chave host como no host dns agni.tejas.com.

    P: É possível usar curingas, como *.microsoft.com?
    R: Não. O FQDN deve começar e terminar com um dígito ou letra. Somente letras, dígitos e hífens são permitidos como caracteres internos.

    P: A resolução de nome é executada no momento da compilação AC e não no momento da primeira solicitação ou das solicitações subsequentes? Se atingirmos um TTL baixo (menor que o tempo de compilação AC, fast-flux ou algo mais), alguns endereços IP podem ser perdidos?
    R: A resolução de nome acontece assim que a política AC é implantada. De acordo com a expiração do tempo TTL, a renovação segue.

    P: Há planos para poder processar a lista de endereços IP de nuvem (XML) do Office 365 da Microsoft?
    R: Não há suporte para isso no momento.

    P: O FQDN está disponível na política SSL?
    R: Não por enquanto (versão de software 6.3.0). Os objetos FQDN são suportados apenas na rede de origem e de destino para a política AC.

    P: Há algum registro histórico que possa fornecer informações sobre FQDNs resolvidos? Como os syslogs LINA, por exemplo.
    R: Para solucionar problemas do FQDN em um destino específico, você pode usar o comando system support trace. Os rastreamentos mostram o ID FQDN do pacote. Você pode comparar a ID para solucionar problemas. Você também pode habilitar as mensagens de Syslog 746015, 746016 para rastrear a atividade de resolução de FQDN dns.

    P: O dispositivo registra o FQDN na tabela de conexões com o IP resolvido?
    R: Para solucionar problemas do FQDN em um destino específico, você pode usar o comando system support trace, onde os rastreamentos mostram o ID FQDN do pacote. Você pode comparar a ID para solucionar problemas. Há planos para ter registros de FQDN no visualizador de eventos no FMC no futuro.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    04-Aug-2019
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Alexander Dario Escobar Salazar
      Cisco TAC
    • Mikis Zafeiroudis
      Cisco TAC

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos