Configurar Navegadores da Web e DNS sobre HTTPS Padrão
Introdução
Este documento descreve como configurar navegadores da Web e DNS sobre HTTPS padrão para o Cisco Umbrella.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Cisco Umbrella.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Overview
Começando na versão 63 do Firefox, o Mozilla pode habilitar DNS sobre HTTPS (DoH) por padrão para usuários do Firefox. Isso envia DoH para o CloudFlare, que pode ignorar suas configurações do Umbrella. Para preservar suas configurações do Umbrella, conclua as etapas posteriores neste artigo.
Os usuários do Firefox afetados veem este banner quando o DoH é ativado pelo Firefox:
1.jpg
Em versões recentes, o Chrome também disponibiliza o DoH como uma configuração manual. O Chrome DoH só pode ser ativado quando os servidores DNS do sistema presentes em um sistema suportam explicitamente o DoH. Portanto, os usuários ou redes do cliente de roaming com servidores DNS locais não veem o Chrome DoH habilitado.
Usando Umbrella como padrão para DNS do sistema
Para a maioria dos usuários do Umbrella, nenhuma ação é necessária no momento. O Firefox suporta o uso de um domínio especial, use-application-dns.net, para indicar a presença de uma solução de filtragem DNS, como o Cisco Umbrella. Se os resolvedores de Umbrella estiverem sendo usados pelo cliente, o Firefox não ativará o DoH por padrão.
No entanto, se um usuário tiver configurado manualmente o DoH no Firefox, o Firefox respeitará essa configuração e usará o servidor DoH definido. Em tal situação, você precisa completar as instruções adicionais mais adiante neste artigo para impedir o uso do DoH pelos usuários em sua rede.
De acordo com o lançamento do Chrome 83: "O Chrome mudará automaticamente para DNS sobre HTTPS se seu provedor de DNS atual oferecer suporte a ele".
Instruções adicionais para bloquear DNS sobre HTTPS
Para proteger sua implantação do Umbrella, o Umbrella agora incluiu provedores DoH na categoria de conteúdo Proxy/Anonymizer. Quando esta categoria é bloqueada, o navegador não consegue resolver o nome de host do servidor DoH e reverte para o DNS do sistema padrão, onde o Umbrella está cobrindo seu DNS. Para garantir que suas configurações bloqueiem provedores DoH:
1. Navegue até Policies > Content Categories.
2. Selecione sua configuração de categoria em uso.
3. Certifique-se de que Proxy/Anonymizer esteja selecionado.
1.jpg
4. Salve suas atualizações.
Seus usuários agora podem permanecer cobertos pelo Umbrella quando o Firefox implantar essa alteração para seus usuários.
Note: Não adicione os domínios do Mozilla Kill Switch à lista de bloqueios. Isso ocorre porque se os domínios forem bloqueados, o Umbrella retorna um registro A para nossas páginas bloqueadas. O Firefox considera essa uma resposta válida e, portanto, pode atualizar automaticamente seu DoH.
Recomendações adicionais
O Firefox também pode ser configurado manualmente para um provedor do DoH específico. Se for configurado por domínio, ele poderá ser aplicado pelo Umbrella. As configurações por IP não podem ser aplicadas pelo Umbrella (DNS). Para a aplicação de DoH na rede, podem ser necessárias regras de firewall. Para referência, consulte Como Evitar a Evasão do Cisco Umbrella com Regras de Firewall.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
17-Sep-2025
|
Versão inicial |
Feedback