search cancel

Integrated Secure Gateway is accessing root-hint server in everyday.

book

Article ID: 243769

calendar_today

Updated On:

Products

SSP-S410 PLATFORM SSP-S210 PLATFORM ISG Proxy

Issue/Introduction

Integrated Secure Gateway(ISG)が、毎日AM 9:00(JST) に下記のroot-hint serverへダイレクトアクセスしており、
Firewallにブロックされたログが残ります。

===============================
A dstip=198.41.0.4
B dstip=192.228.79.201
C dstip=192.33.4.12
D dstip=199.7.91.13
E dstip=192.203.230.10
F dstip=192.5.5.241
G dstip=192.112.36.4
H dstip=198.97.190.53
I dstip=192.36.148.17
J dstip=192.58.128.30
K dstip=193.0.14.129
L dstip=199.7.83.42
M dstip=202.12.27.33
===============================

この通信を停止させるにはどうすれば良いでしょうか? また、停止させることによってISGの動作に影響はありますか?

Environment

Release : ISG2.4.2.1

Component : DNS

Resolution

ISGは、意図せず、DNSSECを更新するために、Root hintに対しアクセスを実施致します。
本件は不具合として調査を実施しており、将来的に停止する予定です。
ISGは、DNSのキャッシュサーバでは御座いませんので、 DNSSEC validationは不要なため通信が遮断されてもISGの動作には影響はありません。

Additional Information

Description as ENG

I'm seeing some blocked direct DNS access from SSP-S410-10 with ISG2.4.2.1 because Firewall only permit from specific DNS server access.
These DNS access only occur on 00:00(UTC) and dst IP is root hint DNS server(such 192.203.230.10,198.97.190.53).
How to disable this DNS access?

This is unexpected behavior so Broadcom analysis this behavior as bug.
ISG is not a DNS cache server so there is no issue if this traffic block by firewall.