Introdução
Este documento descreve como manter e desativar o DNS sobre HTTPS (DoH) no Firefox e no Chrome usando Objetos de Política de Grupo (GPO) no Cisco Umbrella.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas no Cisco Umbrella.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Overview
O DNS sobre HTTPS (DoH) é um recurso adicionado a vários navegadores da Web que permite que o DNS ignore a pilha DNS do sistema sobre HTTPS. Em muitos casos, você pode desativar essa funcionalidade para garantir que os navegadores da Web não substituam as configurações do Umbrella.
O Firefox e o Chrome oferecem a funcionalidade do DoH e a capacidade de impedir o uso do DoH na rede e em computadores gerenciados. No entanto, as implementações do DoH diferem muito entre os navegadores.
Firefox
O Firefox opera com uma configuração DoH padrão, em que o DNS é enviado para o CloudFlare por padrão em 1.1.1.1. Essa configuração não leva em conta a configuração DNS do sistema.
Para combater isso, o Umbrella, por padrão, define a substituição para desativar o DoH (consulte nosso artigo aqui para obter mais informações). No entanto, essa substituição só poderá ter efeito se não houver configurações do DoH explicitamente definidas. Para garantir que o DoH nunca seja habilitado para desviar o DNS do Firefox das configurações do sistema, as configurações de GPO são necessárias.
Para desativar, defina o valor de "network.trr.mode" como 0. Para obter mais informações, consulte as configurações de TRR do Firefox em detalhes.
Para obter mais informações sobre o gerenciamento de políticas corporativas no Firefox, consulte a documentação do Mozilla.
Cromo
O Chrome tem suporte para DoH para vários provedores, incluindo Umbrella. Ao contrário do Firefox, o Chrome DoH só pode ser ativado quando o DNS do sistema é observado como um provedor de DNS participante. Portanto, ele não pode habilitar se o DNS do sistema for um servidor DNS local ou o cliente de roaming, mas pode habilitar se o DNS local for 208.67.220.220 e 208.67.222.222. Portanto, o Chrome não direciona seu DNS para longe do DNS do sistema, mas o aprimora com DoH.
Durante os estágios iniciais do experimento do Chrome DoH, o Chrome pode desabilitar o DoH se o dispositivo for gerenciado, estiver associado ao AD ou tiver uma política corporativa aplicada.
Consulte o site do Chrome para obter mais detalhes.
Para obter mais informações sobre como gerenciar políticas corporativas no Chrome, consulte a documentação do Chrome.
Feedback