Este artículo aborda un problema relacionado con cómo FortiGate maneja los paquetes de actualización dinámica de DNS en modo proxy. Este tema es crítico ya que los paquetes de actualización dinámica de DNS son esenciales para mantener la precisión de los registros DNS en el servidor. El artículo examina el problema, su alcance y ofrece soluciones recomendadas para que los administradores puedan gestionarlo eficazmente.
Índice
Descripción del problema
Cuando un usuario ejecuta el comando ipconfig /registerdns en máquinas Windows, se genera un paquete de actualización dinámica de DNS. FortiGate debe gestionar correctamente estos paquetes para asegurar que el servidor DNS se actualice con la información adecuada. Sin embargo, al recibir estos paquetes, FortiGate verifica primero su caché. Si encuentra los datos en caché, responde sin reenviar la solicitud al servidor, lo cual anula la funcionalidad de la actualización dinámica de DNS.
Alcance
Este artículo está enfocado en el dispositivo FortiGate y en cómo maneja los paquetes de actualización dinámica de DNS.
Diagnóstico paso a paso
Cuando FortiGate recibe un paquete de actualización dinámica de DNS:
- El paquete contiene un Opcode de 5, indicando que es un paquete de actualizaciones DNS dinámicas. A continuación se muestra una captura de pantalla de un ejemplo de salida:

- FortiGate verifica su caché antes de reenviar el paquete al servidor DNS.
- Si la información está presente en la caché, responderá sin volver a enviar la solicitud, lo que puede resultar en una respuesta incorrecta ya que la información puede estar desactualizada.
- Esta situación contradice la finalidad de los paquetes de actualización dinámica de DNS, que es informar al servidor DNS que actualice los registros.
- No existe un comando en FortiGate para verificar los detalles de la información en caché que se responde.
- Sin embargo, el debug de la aplicación ‘dnsproxyd’ mostrará la salida que indica que FortiGate está enviando una respuesta en caché en lugar de reenviar los paquetes al servidor.
2024-11-21 07:02:18 [worker 0] udp_receive_redirect()-3276
2024-11-21 07:02:18 [worker 0] udp_receive_redirect()-3328: vd=0, vrf=0, intf=11, len=104, alen=16, 10.10.22.29:61228=>10.10.3.51
2024-11-21 07:02:18 [worker 0] handle_dns_request()-2489: vfid=0 real_vfid=0 id=0xc71e pktlen=104 qr=0 req_type=2
2024-11-21 07:02:18 [worker 0] dns_parse_message()-603
2024-11-21 07:02:18 [worker 0] dns_policy_find_by_idx()-2924: vfid=0 idx=1
2024-11-21 07:02:18 [worker 0] dns_secure_log_request()-1123: id:0xc71e pktlen=104 profile=Block-Security-Risk ifindex=11
2024-11-21 07:02:18 [worker 0] dns_secure_log_request()-1179: write to log: qname=xxxxxxxxxx qtype=6
2024-11-21 07:02:18 [worker 0] dns_profile_do_url_rating()-1992: vfid=0 profile=Block-Security-Risk category=255 domain=xxxxxxxxx
2024-11-21 07:02:18 [worker 0] botnet_domain_search()-2291: domain=xxxxxxxxxxx passed botnet check
2024-11-21 07:02:18 [worker 0] dns_profile_do_url_rating()-2088: request filter result for xxxxxxxxxxx (type=0 action=9)
2024-11-21 07:02:18 [worker 0] dns_send_cached_response()-1747: domain=xxxxxxxx
2024-11-21 07:02:18 [worker 0] dns_query_save_response()-2724: domain=xxxxxxxxx pktlen=101
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-142
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-145: Offset of 1st RR: 29
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-147: Number of RR’s: 4
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 0
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 0
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 0
2024-11-21 07:02:18 [worker 0] dns_adjust_ttl_values()-158: New ttl: 1105
2024-11-21 07:02:18 [worker 0] dns_forward_response()-1720
Solución recomendada
Este problema ha sido resuelto en las versiones v7.4.8 y v7.6.3 de FortiGate. Es recomendable actualizar el firmware a estas versiones o posteriores para garantizar una operación adecuada en la gestión de paquetes de actualización dinámica de DNS.
Comandos CLI utilizados
Para diagnosticar este problema, puede activar el modo de depuración de la aplicación ‘dnsproxyd’ utilizando el siguiente comando:
diagnose debug application dnsproxyd 1Esto permitirá ver la salida de depuración relacionado con las solicitudes DNS y ayudará a identificar si FortiGate está utilizando respuestas en caché.
Buenas prácticas y recomendaciones
- Revisar y mantener actualizados los registros de cemento de DNS regularmente.
- Configurar alertas para monitorear el funcionamiento de FortiGate y cualquier respuesta incorrecta que pueda ser devuelta.
- Analizar el uso de caché DNS en servidores críticos para mejorar la eficacia de las actualizaciones.
Notas adicionales
Es fundamental para los administradores de red estar al tanto de los cambios en el firmware de FortiGate que abordan problemas de este tipo, así como documentar adecuadamente cualquier cambio en la configuración de red para facilitar futuras referencias.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!