キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

DNSSEC の ASA サポートについて

今年の 1月から 7月現在にかけて、インターネットを支える ROOT DNS サーバーが DNSSEC をサポートするようになりました。
http://www.root-dnssec.org/

DNSSEC はドメイン情報に電子署名を付加することによって、DNS 通信の安全性を向上させる技術となります。
http://ja.wikipedia.org/wiki/DNS_Security_Extensions

DNSSEC では DNS サーバが電子署名付きの応答を送信しますが、ASA のデフォルト設定では 512 bytes までしか検査しないため、DNSSEC のパケットを破棄してしまいます。

ciscoasa(config)# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512

対応策としては、CSCta35563 で ASA の新しいコマンドが用意され、DNSSEC を対応できるようになっています。

CSCta35563
EDNS0 - Default length for UDP DNS should be increased due to DNSSEC

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto <-- CSCta35563で追加された新しいコマンド

CSCta35563 より前のバージョンでの回避策は、デフォルトの policy-map を変更し、例えば 4096 bytes に増やすことです。

policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 4096

バージョン履歴
改訂番号
1/1
最終更新:
‎07-30-2010 03:02 AM
更新者:
 
ラベル(1)