Introdução
Este documento descreve o suporte do Cisco Umbrella para erros de DNS estendido.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Cisco Umbrella.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Overview
O Cisco Umbrella anunciou suporte preliminar para Erros de DNS Estendido (EDE - Extended DNS Errors) conforme definido neste documento do IETF sobre Erros de DNS Estendido.
O suporte inicial da Umbrella é focado em códigos de erro DNSSEC para respostas SERVFAIL. A Umbrella planeja adicionar suporte para outros códigos de erro no futuro, bem como as representações de texto dos códigos de erro.
Códigos de erro suportados
| Code |
Nome |
Supported |
Erro Encontrado |
| 0 |
Outro |
No |
|
| 1 |
Algoritmo DNSKEY sem suporte |
Yes |
Não há suporte para o algoritmo DNSKEY. |
| 2 |
Tipo de Resumo DS sem Suporte |
Yes |
Não há suporte para o tipo de Resumo DS |
| 3 |
Resposta obsoleta |
No |
|
| 4 |
Resposta forjada |
No |
|
| 5 |
DNSSEC Indeterminado |
No |
|
| 6 |
DNSSEC falso |
Yes |
- Se todos os registros relevantes foram encontrados e a validação falhou (hash de assinatura não correspondeu)
- Incompatibilidade de signatário/proprietário de RSIG
- RRSIG inválido
- A prova negativa é inválida NXDOMAIN esperado e NODATA encontrado e vice-versa
- Zona assinada alcançada, mas não um ponto de delegação.
|
| 7 |
Assinatura Expirada |
Yes |
RRSIG correspondeu a DNSKEY (marca de chave e algoritmo), mas tem uma assinatura expirada |
| 8 |
Assinatura ainda não válida |
Yes |
O RSIG correspondeu ao DNSKEY (keytag e algoritmo), mas tem um tempo de início de assinatura posterior. |
| 9 |
DNSKEY Ausente |
Yes |
O DS correspondente ao DNSKEY não foi encontrado. |
| 10 |
RRSIGs ausentes |
Yes |
RRSIG que corresponde a DNSKEY (keytag e algoritmo) não encontrado. |
| 11 |
Nenhum Bit de Chave de Zona Definido |
Yes |
Quando o DNSKEY não tem o bit de zona definido. |
| 12 |
NSEC ausente |
Yes |
Prova negativa não encontrada ou insuficiente. |
| 13 |
Erro em Cache |
No |
|
| 14 |
Não Pronto |
No |
|
| 15 |
Bloqueado |
No |
|
| 16 |
Censurado |
No |
|
| 17 |
Filtrado |
No |
|
| 18 |
Proibido |
No |
|
| 19 |
Resposta NXDOMAIN obsoleta |
No |
|
| 20 |
Não Autoritativo |
No |
|
| 21 |
Not Supported |
No |
|
| 22 |
Nenhuma autoridade alcançável |
No |
|
| 23 |
Erro de rede |
No |
|
| 24 |
Dados inválidos |
No |
|
Exemplo de resposta
Uma consulta que retorna um Erro DNS Estendido pode mostrar o código de erro na seção EDNS usando o código OPT 15. Por exemplo, nesta consulta, o código de erro retornado é 6, correspondendo ao erro "DNSSEC Bogus":
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
Feedback