المقدمة
يصف هذا وثيقة كيف أن يمكن نفق كل DNS ل cisco يأمن زبون مع مظلة وحدة نمطية.
معلومات أساسية
أعلنت Cisco عن نهاية العمر الافتراضي ل Cisco AnyConnect في عام 2023 والعميل المتجول Umbrella في عام 2024. يستفيد العديد من عملاء Cisco Umbrella بالفعل من الترحيل إلى عميل Cisco الآمن، ويتم تشجيعك لبدء الترحيل في أقرب وقت ممكن للحصول على تجربة تجوال أفضل. اقرأ المزيد في مقالة قاعدة المعارف هذه: كيف يمكنني تثبيت Cisco Secure Client باستخدام الوحدة النمطية Umbrella؟
تم تصميم وحدة Cisco Secure Client (CSC) مع Umbrella (المعروفة سابقا باسم AnyConnect Roaming Security) النمطية للعمل مع جميع أوضاع CSC VPN تقريبا دون الحاجة إلى تكوين إضافي.
ومع ذلك، يجب إيلاء إعتبار إضافي عندما تكون هذه الشروط صحيحة:
- تم تمكين تقسيم الاتصال النفقي
- يتم تمكين ميزة "Tunnel All DNS
المشكلة والتأثير
مع تمكين "Tunnel All DNS"، يتم اعتراض حركة مرور DNS على مستوى kernel ويتم حظرها إذا لم تخرج من واجهة VPN الصحيحة. هذا يقدم مشكلة لوحدة CSC النمطية إذا لم تكن حلول Cisco Umbrella جزءا من تكوين نفق التقسيم (Include).
الحد الأدنى للتأثير الخاص بهذه المشكلة لأنه بشكل افتراضي، تستخدم الوحدة النمطية CSC أنظمة DNS المشفرة (UDP port 443) التي لا يتم حظرها بواسطة "Tunnel All DNS". لذلك، تحدث المشكلة فقط على الشبكات حيث لا يتوفر تشفير DNS.
السيناريو كما يلي:
- تحاول الوحدة النمطية المتجولة توجيه حركة مرور البيانات إلى Cisco Umbrella عبر واجهة LAN العادية.
- لا تسمح الشبكة المحلية بتشفير DNS وبالتالي ترسل استعلامات DNS القياسية غير المشفرة.
- تم حظر حركة المرور هذه بواسطة ميزة "Tunnel All DNS" التي تتطلب DNS للانتقال إلى أسفل VPN.
في هذا السيناريو، لا يعمل DNS كما هو متوقع.
التوصية
لضمان عدم إمكانية هذا الشرط، توصي Cisco Umbrella بأحد هذه الإجراءات.
- قم بتعطيل "نفق جميع DNS" في نهج مجموعة VPN. تتعامل وحدة CSC النمطية مع توجيه DNS.
أو
- إضافة تحليلات DNS المظلة هذه من Cisco إلى تكوين نفق التقسيم (يتضمن):
- 208.67.222.222
- 208.67.220.220
- 208.67.222.220
- 208.67.220.222
التعليقات