Agotamiento del número de sesión en un cortafuegos debido al tráfico DNS

Agotamiento del número de sesión en un cortafuegos debido al tráfico DNS

33235
Created On 09/25/18 18:50 PM - Last Modified 06/07/23 17:25 PM


Resolution


 

En las redes modernas de hoy en día, una gran mayoría del tráfico es el tráfico de DNS. Esto es especialmente cierto para los dispositivos perimetrales, que van hacia Internet.

 

Las sesiones DNS son sesiones de muy corta duración y se envía una consulta y la respuesta vuelve muy rápido.

Dado que son sesiones UDP, los cortafuegos no tienen una manera de rastrearlos y no saben cuándo no se va a enviar más tráfico a través de ellos, por lo que el cierre de las sesiones desde la perspectiva del Firewall es muy difícil.

 

Es por eso que cada firewall tiene un valor recomendado para un tiempo de espera que comienza tan pronto como se establece la sesión UDP y después de que alcanza el valor 0, la sesión está cerrada.

 

Normalmente, este valor se 30seconds en todos los proveedores de Firewall.

 

Puesto que Palo Alto Networks hace app-id todo el tiempo, tiene un temporizador de tiempo de espera para el tráfico DNS que no es el mismo que para el UDP habitual. Esto significa que el temporizador se puede cambiar si es necesario para la aplicación DNS sólo y no afectará al otro tráfico UDP.

 

Incidencia

En las redes donde hay un conteo de sesiones alto que se acerca al límite del dispositivo, y una gran mayoría del tráfico es DNS, el valor de tiempo de espera de la sesión se puede cambiar de la 30sec predeterminada a un valor más bajo. Si lo ordena la sesión, verifique esto observando las estadísticas del CAC.

 

Solución

  1. Ir a objetos > aplicaciones.
  2. Buscar DNS.
  3. En los tiempos de espera, cambie el valor a un valor apropiado para la red dada.

 

Screen Shot 2014-12-31 en 12.59.08 PM. png

 

En el ejemplo anterior hemos bajado el valor a 15 segundos.

 

Esto hará que las sesiones DNS se demoren más rápido y las sesiones se borrarán de la tabla de sesiones más rápidamente, lo que reducirá el número de sesiones simultáneas totales en el dispositivo.

 

Asegúrese antes de bajar a un valor extremo que haga una prueba para ver qué tan rápido se hace realmente la comunicación entre el cliente y el servidor, de modo que el valor configurado no sea demasiado bajo, lo que hace que las sesiones se cierren en el Firewall antes de que los datos estén completos Ely transferido.

 

En la mayoría de los casos 15 segundos es un buen valor, pero siempre se recomiendan las pruebas.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClR9CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language