Imponi DNS Umbrella e impedisci bypass con regole firewall

Opzioni per il download

  • PDF     (240.8 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (82.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (68.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:2 settembre 2025
ID documento:224758

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come impedire che il DNS ignori e applichi le protezioni DNS Umbrella utilizzando le regole firewall e i criteri di rete.

    Prerequisiti

    • Firewall di rete
    • Privilegi di accesso firewall
    • Conoscenza della configurazione del firewall

    Applicazione del DNS ombrello - Metodo più comune

    La maggior parte dei router e dei firewall consente di imporre tutto il traffico DNS sulla porta 53, richiedendo a tutti i dispositivi di rete di utilizzare le impostazioni DNS definite sul router, che devono puntare ai server DNS Umbrella.

    L'approccio preferito consiste nell'inoltrare tutte le richieste DNS provenienti da indirizzi IP diversi da Umbrella agli IP DNS Umbrella elencati di seguito. Questo metodo inoltra le richieste DNS in modo trasparente e impedisce che la configurazione manuale del DNS abbia semplicemente esito negativo.

    In alternativa, creare una regola firewall per consentire il DNS (TCP/UDP) solo ai server DNS Umbrella e bloccare tutto il traffico DNS verso qualsiasi altro indirizzo IP.

    Esempio di regola firewall

    1. Aggiungi questa regola al firewall del perimetro:
      • AllowTCP/UDP in entrata e in uscita verso 208.67.222.222 la porta 53208.67.220.220 sulla stessa.
      • BlockTCP/UDP in entrata e in uscita verso tutti gli indirizzi IP sulla porta 53.

    La regola di autorizzazione per il DNS Umbrella ha priorità rispetto alla regola di blocco. Le richieste DNS a Umbrella sono consentite, mentre tutte le altre richieste DNS sono bloccate.

    A seconda dell'interfaccia di configurazione del firewall, configurare una regola separata per ogni protocollo o una singola regola che copra sia TCP che UDP. Applicare la regola nel dispositivo perimetrale di rete. È inoltre possibile applicare una regola simile ai firewall software sulle workstation, ad esempio il firewall incorporato in Windows o macOS.

    Se si utilizzano il client comune e i Criteri di gruppo di Active Directory, consultare la documentazione relativa al blocco dei client mobili aziendali tramite Criteri di gruppo.

    Imposizione rispetto a DNS su HTTPS (DoH)


    Configurazione consigliata

    1. In Umbrella, abilitare le categorie Proxy/AnonymizerandDoH/DoTcontent.
    2. Blocca gli indirizzi IP dei provider DoH noti sul firewall.


    Dettagli e sfondo

    Umbrella supporta iluse-application-dns.netdominio, come definito da Mozilla, per impedire a Firefox di abilitare DoH per impostazione predefinita. Per informazioni su Firefox e DoH, vedere la documentazione correlata.

    Anche dopo aver bloccato i provider DNS alternativi, è comunque possibile ignorare il DNS tramite il protocollo DoH. Un resolver DNS locale converte le richieste DNS in HTTPS e le invia a un endpoint utilizzando JSON o POST/GET. Questo traffico in genere evita l'ispezione DNS.

    Poiché il DoH può essere utilizzato per ignorare Umbrella, Umbrella include server DoH noti nella categoria di contenuti Proxy/Anonimizzatore. Questo meccanismo presenta alcune limitazioni:

    • Non è possibile bloccare i nuovi provider DoH non ancora noti.
    • Non è possibile bloccare il DoH utilizzato direttamente tramite l'indirizzo IP.


    Per indirizzare i nuovi provider DoH, monitorare gli aggiornamenti e bloccare i domini appena visualizzati per migliorare la copertura.


    Per il DoH tramite indirizzo IP, gli scenari sono limitati. Firefox con CloudFlare è un esempio importante.

    caution-icon

    Attenzione: Non aggiungere i domini Mozilla Kill Switch all'elenco dei domini bloccati. Il blocco di questi domini genera un record A per le pagine bloccate e Firefox lo considera valido e aggiorna automaticamente il suo utilizzo DoH.

    Imposizione contro DNS over TLS (DoT)

    Anche dopo aver bloccato i provider DNS alternativi e il protocollo DoH, è possibile ignorare il DNS su TLS, che utilizza RFC7858 sulla porta 853. Ad esempio, CloudFlare è un provider DoT.

    Esempio di applicazione

    • Bloccare gli indirizzi1.1.1.1IP e sulla1.0.0.1porta 853 (CloudFlare).

    Dichiarazione di non responsabilità per il supporto del firewall

    Questo documento aiuta gli amministratori di rete a imporre il DNS Umbrella. Il supporto Cisco Umbrella non fornisce assistenza per le singole configurazioni di firewall o router, poiché ciascun dispositivo ha un'interfaccia di configurazione univoca. Consultare la documentazione del router o del firewall o contattare il produttore del dispositivo per verificare la possibilità di eseguire queste configurazioni.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    04-Sep-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti