DNSSEC の ASA サポートについて

zhaqin · ‎2010-07-30

今年の 1月から 7月現在にかけて、インターネットを支える ROOT DNS サーバーが DNSSEC をサポートするようになりました。
http://www.root-dnssec.org/

DNSSEC はドメイン情報に電子署名を付加することによって、DNS 通信の安全性を向上させる技術となります。
http://ja.wikipedia.org/wiki/DNS_Security_Extensions

DNSSEC では DNS サーバが電子署名付きの応答を送信しますが、ASA のデフォルト設定では 512 bytes までしか検査しないため、DNSSEC のパケットを破棄してしまいます。

ciscoasa(config)# show running-config policy-map
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512

対応策としては、CSCta35563 で ASA の新しいコマンドが用意され、DNSSEC を対応できるようになっています。

CSCta35563
EDNS0 - Default length for UDP DNS should be increased due to DNSSEC

policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto <-- CSCta35563で追加された新しいコマンド

CSCta35563 より前のバージョンでの回避策は、デフォルトの policy-map を変更し、例えば 4096 bytes に増やすことです。

policy-map type inspect dns preset_dns_map
parameters
message-length maximum 4096