Configurare browser Web e DNS su HTTPS Predefinito
Introduzione
In questo documento viene descritto come configurare i browser Web e il DNS su HTTPS predefiniti per Cisco Umbrella.
Prerequisiti
Requisiti
Nessun requisito specifico previsto per questo documento.
Componenti usati
Le informazioni fornite in questo documento si basano su Cisco Umbrella.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Panoramica
A partire dalla versione 63 di Firefox, Mozilla può abilitare DNS-over-HTTPS (DoH) per impostazione predefinita per gli utenti di Firefox. In questo modo il DoH viene inviato a CloudFlare, che può ignorare le impostazioni Umbrella. Per mantenere le impostazioni di Umbrella, completare la procedura descritta più avanti in questo articolo.
Gli utenti di Firefox interessati vedono questo banner quando il DoH è abilitato da Firefox:
1.jpg
Nelle versioni più recenti, Chrome rende disponibile anche il DoH come configurazione manuale. Il DoH riquadro può essere attivato solo quando i server DNS di sistema presenti in un sistema supportano esplicitamente il DoH. Pertanto, gli utenti di client mobili o le reti con server DNS locali non vedono il DoH Chrome abilitato.
Impostazione predefinita di DNS di sistema durante l'utilizzo di Umbrella
Per la maggior parte degli utenti Umbrella, al momento non è richiesta alcuna azione. Firefox supporta l'utilizzo di un dominio speciale, use-application-dns.net, per indicare la presenza di una soluzione di filtro DNS, ad esempio Cisco Umbrella. Se i resolver Umbrella sono utilizzati dal client, Firefox non abilita DoH per impostazione predefinita.
Tuttavia, se un utente ha configurato manualmente DoH in Firefox, Firefox rispetta tale configurazione e utilizza il server DoH definito. In questo caso, è necessario completare le istruzioni aggiuntive riportate più avanti in questo articolo per impedire agli utenti della rete di utilizzare il protocollo DoH.
Secondo la release di Chrome 83: "Chrome passerà automaticamente a DNS-over-HTTPS se il tuo attuale provider DNS lo supporta".
Istruzioni aggiuntive per bloccare DNS-over-HTTPS
Per proteggere la distribuzione di Umbrella, Umbrella ha ora incluso i fornitori DoH nella categoria di contenuti Proxy/Anonimizzatore. Quando questa categoria è bloccata, il browser non riesce a risolvere il nome host del server DoH e torna al DNS di sistema standard in cui Umbrella copre il DNS. Per assicurarsi che le impostazioni blocchino i provider DoH:
1. Passare a Criteri > Categorie di contenuti.
2. Selezionare l'impostazione della categoria in uso.
3. Verificare che Proxy/Anonimizzatore sia selezionato.
1.jpg
4. Salvare gli aggiornamenti.
I tuoi utenti possono ora rimanere coperti da Umbrella quando Firefox implementa questa modifica ai tuoi utenti.
Nota: Non aggiungere i domini di Mozilla Kill Switch all'elenco di blocco. Questo perché se i domini sono bloccati, Umbrella restituisce un record A per le nostre pagine bloccate. Firefox considera questa risposta valida e può quindi aggiornare automaticamente il proprio DoH.
Ulteriori suggerimenti
Firefox può anche essere configurato manualmente per uno specifico provider DoH. Se è configurato dal dominio, è applicabile da Umbrella. Le configurazioni tramite IP non possono essere imposte da Umbrella (DNS). Per l'applicazione di DoH sulla rete, possono essere necessarie regole firewall. Per riferimento, vedere Prevenzione dell'elusione delle regole firewall di Cisco Umbrella.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
17-Sep-2025
|
Versione iniziale |
Feedback