تكوين Umbrella و BlueCoat Webfilter/K9

المقدمة

يوضح هذا المستند كيفية تكوين التوافق بين عميل Umbrella المتجول و BlueCoat WebFilter/K9.

نظرة عامة

تشير هذه المقالة إلى أجهزة كمبيوتر تم فيها تثبيت Umbrella Roaming Client و BlueCoat. تشير هذه المقالة إلى إستخدام عامل تصفية BlueCoat المثبت على الجهاز. وقد يتزامن هذا مع تكوين PAC أو وكيل. 

لا يتوافق العميل المتجول Umbrella ووحدة الأمان Umbrella Roaming Security Module في AnyConnect حاليا مع التصفية المستندة إلى برنامج BlueCoat التي تحاول التحكم في DNS. 

البرامج المتأثرة: 

• وحدة أمان التجوال AnyConnect Umbrella من Cisco
• Umbrella Roaming Client

الأعراض

AnyConnect Roaming Module والعميل المتجول الأقدم من 2.2.150

عند تنشيط العميل المتجول أو الوحدة النمطية المتجولة، يبدو أن جميع DNS قد فشلت. وهذا يتسبب في فقدان واضح لقابلية الاستخدام على الجهاز وفقدان القدرة على الوصول إلى موارد الويب. وبشكل أكثر تحديدا، يفشل أي طلبات DNS لسجل ما؛ ومع ذلك، تنجح أنواع السجلات الأخرى مثل AAA أو TXT. 

عند إزالة تثبيت العميل المتجول أو إيقافه مؤقتا، يرجع السلوك العادي للشبكة. 

لا يتعرف العميل المتجول على فشل DNS نظرا لفشل السجلات فقط، وبالتالي يظل العميل نشطا ومشفرا.  

العميل المتجول 2.2.150 والإصدارات الأحدث

عندما يكون العميل المتجول نشطا، يفشل العميل في الوصول إلى حالة مفتوحة مع الرسالة

"لقد اكتشفنا وجود تداخل محتمل مع استعلامات A و/أو AAA DNS؛ قد يكون هناك بعض البرامج على النظام التي تسبب المشاكل

هذه طريقة كشف جديدة للبرنامج الذي يتخطى سجلات A ولكنه لا يعدل سجلات TXT. يتم وضع علامة على هذا السلوك وتعطيله لمنع فقدان DNS.

استكشاف الأخطاء وإصلاحها

للتحقق من صحة ما إذا كنت تقوم حاليا بملاحظة هذه المشكلة، تأكد من صحة ما يلي:

• ينتج عن هذه السيناريوهات فشل DNS (أو تعطيل وضع A-record)
  
  • BlueCoat نشط و:
    • العميل المتجول أو الوحدة النمطية محمية ومشفرة
    • العميل المتجول أو الوحدة النمطية محمية وغير مشفرة
  • تم قتل عملية BlueCoat يدويا (لم يتم إزالة تثبيتها). إعادة التوجيه نشطة، ولكن الوكيل الأساسي غير متصل. 
    • العميل المتجول أو الوحدة النمطية المحمية 
    • تم إزالة تثبيت العميل المتجول أو إيقافه 
• هذه لا ينتج عنها مشكلة
  • تم إلغاء تثبيت العميل أو الوحدة النمطية المتجولة النشطة مع BlueCoat (بعد إعادة التشغيل)
  • تم تثبيت عامل تصفية الويب BlueCoat ولا يوجد عميل متجول قيد التشغيل

عند فشل DNS، تفشل كافة السجلات A، ولكن يستمر عدم إعادة توجيه سجلات TXT بواسطة BlueCoat والوظيفة. 

السبب الجذري والحل

السبب الجذري من هذا إنسجام إصدار إثنان. 

1. يقوم برنامج BlueCoat بإعادة توجيه استعلامات السجل A (أكثر سجلات DNS شيوعا لعرض صفحات الويب) حتى يتمكن فقط من الإجابة على هذه الاستعلامات. يمكن أن يترك DNS الشبكة، ولكن يتم منعه من الاستجابة للنظام. ليس لدى العميل المتجول أية طريقة لتجاوز هذا.
2. يحدد العميل المتجول توفر DNS عن طريق التحقق من استجابات سجل TXT التي تكون فريدة للمحددات المظلة. بما أن BlueCoat لا يفرض سجلات TXT، فإن إختبارات العميل المتجول تستمر في النجاح حتى بعد أن تبدأ كافة السجلات A في الفشل. يؤدي هذا الفشل القياسي ونجاح التسجيل في TXT إلى بقاء العميل المتجول مشفرا، مما يؤدي بفاعلية إلى إدامة حالة تعطل باستخدام برنامج BlueCoat.

يتسبب تطبيق وكيل DNS الانتقائي الخاص ب BlueCoat على مستوى منخفض في النظام في حدوث مشكلة توافق مباشر مع العميل المتجول. تأثير المستخدم هو فقد DNS والقدرة على إستعراض الويب استنادا إلى DNS. 

الحل الوحيد في الوقت الحالي هو إيقاف إستخدام برنامج محطة العمل BlueCoat الذي يعيد توجيه DNS واستخدام قيود المحتوى القائمة على Umbrella بدلا من ذلك. يمكن أن يضيف BlueCoat إمكانية لتعطيل تطبيق DNS في وقت لاحق.