Respuestas DNS aleatorias descartadas en el cortafuegos cuando la seguridad DNS está habilitada (perfil anti-spyware)

Respuestas DNS aleatorias descartadas en el cortafuegos cuando la seguridad DNS está habilitada (perfil anti-spyware)

4920
Created On 06/09/23 22:03 PM - Last Modified 06/02/25 20:03 PM


Symptom


  • Las respuestas DNS aleatorias se descartan en el cortafuegos cuando la seguridad DNS está habilitada en el perfil antispyware aplicado en la política de seguridad relevante.
  • Es probable que esto ocurra en URL nuevas que no se resolvieron previamente.
  • Los contadores globales indican que los contadores con " ctd_dns" se incrementan. Los más relevantes a este respecto son:
    • error de búsqueda de solicitud ctd_dns
    • búsqueda de solicitud de DNS ctd sin acción
    • espera de respuesta de ctd_dns
    • ctd_dns_espera_caída_paquete
    • retransmisión de paquete ctd_dns
  • Al capturar tráfico en el Firewall, se observan caídas cuando cualquiera de estos contadores aumenta:
    • espera de respuesta de ctd_dns
    • paquete ctd_dns_espera_caída

Environment


  • Cortafuegos de Palo Alto
  • PAN-OS 9.1 y superior
  • Seguridad DNS habilitada en el perfil antispyware

Cause


  • El firewall descartará la respuesta de DNS si no se recibe la respuesta/veredicto de la nube antes del momento en que se agote el tiempo de espera del DNS de la nube.
  • Sin embargo, la consulta DNS inicial (parte de la respuesta DNS que se descartó) se retransmitirá al servidor DNS para otro intento de resolución DNS .

Resolution


  1. Según el caso de uso y los requisitos, el tiempo de espera de búsqueda de firma DNS (ms) se puede modificar navegando a DISPOSITIVO > Configuración > ID de contenido > Búsqueda de firma en tiempo real como se muestra a continuación:

Realtime signature lookup

  1. Este valor especificará la duración del tiempo, en milisegundos, que tardará el cortafuegos en consultar al servicio de seguridad DNS .
  2. Si la nube no responde antes de que finalice el período especificado , el cortafuegos libera la respuesta DNS asociada al cliente solicitante.
  3. El valor se puede establecer entre 0 y 60.000, el valor predeterminado es 100.
  4. Un valor alto aumentará las posibilidades de latencia como se menciona en este artículo.
  5. Reducir este valor reducirá la latencia, pero costo un sacrificio en términos de seguridad:
    1. Si se publica una solicitud maliciosa antes de recibir una respuesta de veredicto , el perfil antispyware puede permitirla inicialmente.
    2. El antispyware solo podrá tomar medidas en solicitudes maliciosas posteriores una vez que se haya recibido el veredicto y se haya almacenado en caché el FQDN .
  6. El valor debe ajustarse según los requisitos de la organización.

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bpztCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language