Problemas de coexistência da segurança DNS do Umbrella com o Broadcom WSS no macOS

Opções de download

  • PDF     (240.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (71.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:8 de abril de 2026
ID do documento:225947

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Contents

Problema

O módulo Umbrella não está interceptando o tráfego DNS no macOS quando coexiste com o Broadcom WSS (Web Security Service). Quando o agente WSS é configurado para interceptar portas da Web específicas, como 80 e 443, a funcionalidade de segurança do DNS do Umbrella não captura todas as consultas DNS. No entanto, quando o WSS é desativado, o Umbrella retoma a interceptação do tráfego DNS como esperado. Somente determinadas consultas DNS estão sendo processadas pelo Umbrella quando o WSS está habilitado, em vez de todo o tráfego DNS ser interceptado.

Ambiente

  • Sistema operacional: MacOS
  • Módulo de segurança DNS do Cisco Umbrella
  • Agente Broadcom WSS (Web Security Service)
  • Agente WSS configurado para interceptar as portas da Web 80 e 443

Resolução

Esse problema foi analisado e determinado como uma limitação arquitetônica do macOS, onde a segurança DNS não pode coexistir com o WSS na arquitetura atual do macOS. Essa limitação se aplica às soluções de segurança Infoblox e Cisco Umbrella DNS.

Análise técnica

A causa raiz está relacionada às limitações de proxy DNS do macOS:

  • Somente um proxy DNS pode estar ativo no sistema por vez devido às limitações do macOS

  • Se os resolvedores DNS estiverem vinculados às interfaces utunX ou aos resolvedores injetados por proxy, o macOS resolverá o DNS dentro do túnel, não via Umbrella

  • Quando outro NEDnsProxyProvider estiver ativo no sistema no macOS, o Umbrella não interceptará o tráfego DNS

Comandos de diagnóstico

Para verificar qual resolvedor de DNS está tendo prioridade no macOS, use o seguinte comando:

scutil --dns

Esse comando mostrará qual resolvedor está marcado como: Com escopo, complementar ou interface: utunX, ajudando a identificar conflitos de proxy DNS.

Opções de solução

Para ambientes macOS, o WSS continuará a interceptar DNS sem qualquer Agente DNS separado. Para avançar com a cobertura de segurança do DNS, uma opção seria implementar o para suportar uma arquitetura de desvio passivo. Com essa abordagem, o provedor ignoraria completamente o fluxo, permitindo que o tráfego fosse processado como se não estivesse ativo.

Causa

O problema é causado por limitações arquitetônicas do macOS, em que apenas um NEDnsProxyProvider pode estar ativo no sistema de cada vez. Quando o Umbrella DNS Security e o Broadcom WSS estão instalados, eles competem pelo controle de proxy DNS, fazendo com que o WSS tenha prioridade e evitando que o Umbrella intercepte o tráfego DNS. Essa é uma limitação fundamental da pilha de rede macOS e afeta todas as soluções de segurança DNS, não apenas o Cisco Umbrella.

Conteúdo relacionado

Histórico de revisões

Revisão Data de publicação Comentários
1.0
20-May-2026
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Issac John

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos