Introdução
Este documento descreve como o Umbrella suporta DNS sobre HTTPS (DoH), criptografando consultas DNS para privacidade.
Overview
O Cisco Umbrella suporta DNS sobre HTTPS (DoH), permitindo que as consultas de DNS sejam criptografadas e protegidas contra interceptação ou modificação. Usar este ponto de extremidade do DoH:
Hostname |
Descrição |
doh.umbrella.com |
Interface para o serviço DNS padrão da Umbrella (208.67.222.222/220.220) |
As etapas para usar o DoH com o Umbrella dependem do seu navegador e do sistema operacional.
Mozilla Firefox
Detalhes e instruções estão disponíveis no Mozilla. O Firefox pode ser configurado para usar o Umbrella como um DNS personalizado sobre provedor HTTPS.
- Navegue para Options > General > Network Settings e selecione Enable DNS over HTTPS.
- Em Usar provedor, escolha Personalizar e insira o modelo de URI:
-
https://umbrella.cisco.com/doh-help
- Selecione OK e suas consultas serão criptografadas.
Preferências.png
Google Chrome
Detalhes e instruções sobre a configuração estão disponíveis no Chromium Blog. O Chrome habilita automaticamente o uso do DoH se o Secure DNS estiver habilitado e vê os endereços IP de anycast do Umbrella usados pelo sistema operacional para DNS.
Configure o sistema operacional para usar estes endereços IP como servidores DNS:
Serviço |
Endereços IPv4 |
Endereços IPv6 |
DNS de guarda-chuva |
208.67.222.222 208.67.220.220 |
2620:119:35::35 2620:119:53::53 |
- Nas configurações do Chrome, navegue até Privacidade e segurança >Segurança (Ou digite chrome://settings/security na barra de endereços).
- Habilite Usar DNS seguro.
- Suas consultas DNS agora estão criptografadas. Você pode visitar a página de teste do DoH do Umbrella para verificar sua configuração.
Note: O Chrome procura os endereços IP Umbrella especificamente ao decidir se vai atualizar para DoH. Isso significa que, se você estiver configurado para usar o endereço IP de um servidor DNS local ou encaminhador, o Chrome não poderá atualizar para o uso do DoH, mesmo que esse servidor encaminhe para o Umbrella.
Se o seu computador for considerado gerenciado pelo Chrome, que é provavelmente se o seu computador for fornecido pelo seu trabalho ou escola, ele não poderá ser atualizado automaticamente para usar DoH, e essa configuração não poderá ser visível ou configurável.
Em vez da atualização automática baseada em IP, você pode configurar o Umbrella diretamente definindo um provedor personalizado. Em Use secure DNS, selecione With e escolha Custom no menu suspenso. Quando ele solicitar a inserção de um provedor personalizado, adicione o modelo de URI Umbrella neste formato:
https://doh.umbrella.com/dns-query
Caveats
Há algumas situações que você pode encontrar que causam um conflito entre DoH e Umbrella SWG (especialmente o módulo AnyConnect):
- O recurso Domínios externos no AnyConnect permite que domínios e endereços IP ignorem o Umbrella SWG indo diretamente para a Internet. Ele não pode ser configurado por nome de domínio ou FQDN (Frequently Qualified Domain Name, Nome de domínio frequentemente qualificado) quando DoH é usado. Isso ocorre porque o AnyConnect conta com o cache DNS no sistema operacional para vincular nomes de domínio a endereços IP ao detectar quais solicitações vão para o SWG e quais as ignoram. Quando o DOH é utilizado (especialmente por um navegador), o resolvedor de stub DNS para o sistema operacional é ignorado e, consequentemente, nenhuma entrada de cache DNS é criada. Isso faz com que o AnyConnect não consiga correlacionar um nome de domínio ou FQDN para ignorar, com o pacote que está vendo.
Soluções
Desabilite o DOH em estações de trabalho usando o AnyConnect para Umbrella SWG e/ou configure Domínios externos (exceções SWG) por endereço IP em vez de domínio ou FQDN.
- Se o DoH for usado para a resolução de recursos internos (como example.local ou example.corp) por um servidor DNS interno, o AnyConnect Umbrella SWG deverá ser configurado para não interceptar essas solicitações DOH. Isso ocorre porque o DoH se parece com qualquer outra solicitação HTTPS e o módulo SWG a intercepta e a redireciona para o Umbrella. Se o servidor do DoH não estiver acessível a partir da nuvem Umbrella, a consulta nunca alcança o servidor DNS interno destinado.