المقدمة
يصف هذا المستند كيفية دعم Umbrella ل DNS عبر HTTPS (DoH)، تشفير استعلامات DNS للخصوصية.
نظرة عامة
تدعم Cisco Umbrella نظام أسماء المجالات (DNS) عبر HTTPS (DoH)، مما يسمح بتشفير استعلامات DNS وحمايتها من الاعتراض أو التعديل. إستخدام نقطة نهاية DoH هذه:
اسم المضيف |
الوصف |
doh.umbrella.com |
واجهة خدمة DNS القياسية من Umbrella (208.67.222.222/220.220) |
تعتمد الخطوات الخاصة باستخدام برنامج DoH مع Umbrella على المستعرض ونظام التشغيل لديك.
Mozilla Firefox
وتتوفر التفاصيل والتعليمات من موزيلا. يمكن تهيئة Firefox لاستخدام Umbrella كنظام DNS مخصص عبر موفر HTTPS.
- انتقل إلى خيارات > عامة > إعدادات الشبكة، وحدد تمكين DNS عبر HTTPS.
- تحت إستخدام الموفر، أختر مخصص وأدخل قالب URI:
-
https://umbrella.cisco.com/doh-help
- حدد موافق ويتم تشفير استفساراتك.
تفضيلات.png
Google Chrome
تتوفر تفاصيل وتعليمات حول التكوين من مدونة الكروم. يتيح Chrome تلقائيا إستخدام DoH في حالة تمكين DNS الآمن ويرى Umbrella عناوين IP AnyCast التي يستخدمها نظام التشغيل ل DNS.
قم بتكوين نظام التشغيل لاستخدام عناوين IP هذه كخوادم DNS:
الخدمة |
عناوين IPv4 |
عناوين IPv6 |
Umbrella DNS |
208.67.222.222 208.67.220.220 |
2620:119:35::35 2620:119:53::53 |
- في إعدادات Chrome، انتقل إلى الخصوصية والأمان >التأمين (أو أدخل chrome://settings/security في شريط العناوين).
- تمكين إستخدام DNS الآمن.
- تم تشفير استعلامات DNS الآن. يمكنك زيارة صفحة إختبار Umbrella DoH للتحقق من التكوين الخاص بك.
ملاحظة: تبحث Chrome عن عناوين IP الخاصة ب Umbrella تحديدا عند تقرير الترقية إلى DoH. هذا يعني أنه إذا تم تكوينك لاستخدام عنوان IP الخاص بخادم أو موجه DNS محلي، فلا يمكن ل Chrome الترقية إلى إستخدام DoH، حتى إذا تم إعادة توجيه هذا الخادم إلى Umbrella.
إذا كان الكمبيوتر مدارا بواسطة Chrome، والذي من المحتمل إذا كان الكمبيوتر الخاص بك قد تم توفيره لك من قبل العمل أو المدرسة، فلا يمكن ترقيته تلقائيا لاستخدام DoH، ولا يمكن أن يكون هذا الإعداد مرئيا أو قابلا للتكوين.
بدلا من الترقية التلقائية المستندة إلى IP، يمكنك تكوين Umbrella مباشرة من خلال إعداد موفر مخصص. تحت إستخدام DNS الآمن، حدد مع واختر مخصص من القائمة المنسدلة. حيث يطلب إدخال موفر مخصص، أضف قالب URI ل Umbrella بهذا التنسيق:
https://doh.umbrella.com/dns-query
التحذيرات
هناك بعض الحالات التي يمكنك مواجهتها والتي تتسبب في حدوث تعارض بين DoH و Umbrella SWG (وخاصة وحدة AnyConnect):
- تتيح ميزة المجالات الخارجية في AnyConnect للمجالات وعناوين IP تجاوز Umbrella SWG بالانتقال مباشرة إلى الإنترنت بدلا من ذلك. لا يمكن تكوينها بواسطة اسم المجال، أو اسم المجال المؤهل بشكل متكرر (FQDN)، عند إستخدام DoH. وذلك لأن AnyConnect يعتمد على ذاكرة التخزين المؤقت ل DNS في نظام التشغيل لربط أسماء المجالات بعناوين IP عند اكتشاف أي الطلبات تنتقل إلى SWG وأي منها يتجاوزها. عند إستخدام DOH (وخاصة من خلال المستعرض)، يتم تجاوز محلل كعب DNS لنظام التشغيل، وبالتالي لا يتم إنشاء إدخال ذاكرة التخزين المؤقت ل DNS. وهذا يؤدي إلى عدم قدرة AnyConnect على ربط اسم مجال أو FQDN بالتجاوز، باستخدام الحزمة التي يراها.
الحلول
قم بتعطيل DOH على محطات العمل باستخدام AnyConnect ل Umbrella SWG و/أو تكوين المجالات الخارجية (إستثناءات SWG) بواسطة عنوان IP بدلا من المجال أو FQDN.
- إذا تم إستخدام DoH لحل الموارد الداخلية (مثل example.local أو example.corp) بواسطة خادم DNS داخلي، فيجب تكوين AnyConnect Umbrella SWG لعدم اعتراض طلبات DOH هذه. وذلك لأن DoH يبدو مثل أي طلب HTTPS آخر، وتعترض وحدة SWG النمطية هذا وتعيد توجيهه إلى Umbrella. إذا لم يتم الوصول إلى خادم DoH من مجموعة النظراء Umbrella، فلن يصل الاستعلام أبدا إلى خادم DNS الداخلي المحدد.