Entender domínios externos no módulo SWG de cliente seguro

Opções de download

  • PDF     (259.2 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:2 de outubro de 2025
ID do documento:225045

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como o módulo Cisco Secure Client (CSC) Secure Web Gateway (SWG) aplica a lista de domínios externos configurados.

note-icon

Note: A Cisco anunciou o fim da vida útil do Cisco AnyConnect em 2023 e do Umbrella Roaming Client em 2024. Muitos usuários do Cisco Umbrella já estão se beneficiando da migração para o Cisco Secure Client, e você é encorajado a iniciar a migração o mais rápido possível para obter uma melhor experiência de roaming. Leia mais neste artigo da Base de conhecimento: Como instalo o Cisco Secure Client com o Umbrella Module?

Overview

A lista de domínios externos do Cisco Umbrella aceita domínios e endereços IP. No entanto, em ambos os casos, o módulo SWG do CSC (antigo AnyConnect) só pode aplicar a decisão de exclusão com base no endereço IP.

Em um alto nível, o mecanismo que o módulo SWG usa para identificar o tráfego para domínios na lista Domínios externos é o seguinte: 

  • O módulo SWG monitora pesquisas DNS da máquina cliente para identificar pesquisas dos domínios na lista de domínios externos
  • Esses domínios e seus endereços IP correspondentes são adicionados a um cache DNS local
  • A decisão de ignorar o SWG é então aplicada a qualquer tráfego destinado a um IP que corresponda a um Domínio externo dentro do cache DNS local. A decisão não é baseada no domínio usado na Solicitação HTTP.

Por que ele funciona dessa maneira?

O módulo CSC SWG opera na Camada 3/Camada 4, dessa forma, ele só tem visibilidade dos cabeçalhos TCP/IP que armazenam os detalhes de conexão de 5 tuplas (DestinationIP:Port, SourceIP:Port e Protocol) nos quais pode basear suas regras de desvio de tráfego.

Portanto, para desvios baseados em domínio, o CSC SWG requer uma maneira de converter os domínios na lista em endereços IP que podem ser correspondidos ao tráfego na máquina cliente. Para isso, ele gera o cache DNS a partir das pesquisas de DNS enviadas do cliente, o cache DNS lista o endereço IP correspondente aos domínios na lista de domínios externos

A decisão de ignorar o SWG é então aplicada ao tráfego interceptado (por padrão 80/443) destinado a esses endereços IP.

Por que isso é importante para mim?

Há alguns problemas comuns que isso pode causar:

  1. Como a decisão de desvio é baseada em um IP, o tráfego para outros domínios que compartilham o mesmo IP também é ignorado do Cisco Umbrella, resultando na observação de tráfego inesperado proveniente diretamente do cliente e sem que a política SWG seja aplicada ou apareça na pesquisa de atividade.
  2. Se, por algum motivo, o módulo SWG não puder ver a pesquisa DNS para o domínio (como em, há uma entrada localhost para o domínio), o IP não será adicionado ao cache e, portanto, o tráfego será enviado inesperadamente para o SWG.
note-icon

Note: O driver KDF monitora apenas pesquisas UDP DNS. Se, por algum motivo, a pesquisa de DNS for realizada via TCP, o IP não será adicionado ao cache e o domínio externo não será aplicado. Isso é publicado na Bug Search da Cisco.

note-icon

Note: Corrigimos um problema com o módulo SWG Domínios externos indo para o Umbrella quando o DNS é resolvido pelo TCP (CSCxxYYYYY ) (Windows e MacOS) no Cisco Secure Client 5.1.4.74 (MR4)

Como posso solucionar problemas desse processo?

O processo do módulo SWG observando as pesquisas de DNS, adicionando entradas ao cache DNS e aplicando a ação de desvio ao tráfego destinado para os IPs pode ser seguido nos logs KDF. Isso exige que o registro KDF esteja habilitado e só possa ser habilitado por um curto período de tempo durante a solução de problemas devido ao detalhamento dos registros.

Exemplo de entradas de registro KDF

Pesquisa DNS de um domínio que está sendo adicionado ao cache DNS:

00000283 11.60169029 acsock 11:34:57.9474385 (CDnsCachePluginImp::notify_recv): acquired safe buffer for DNS payload of size 126 
00000284 11.60171318 acsock 11:34:57.9474385 (CDnsCacheMgr::AddResponseToCache): add to cache (www.club386.com, type=1, server=192.168.1.1, 3 addresses, TTL=300) - currently 41 entries 
00000285 11.60171986 acsock 11:34:57.9474385 (CDnsCacheMgr::addToCacheByAddr): Added entry to cache by address (192.0.2.10, id = 83). Current count: 83 
00000286 11.60172462 acsock 11:34:57.9474385 (CDnsCacheMgr::addToCacheByAddr): Added entry to cache by address (198.51.100.14, id = 84). Current count: 84 
00000287 11.60172939 acsock 11:34:57.9474385 (CDnsCacheMgr::addToCacheByAddr): Added entry to cache by address (198.51.100.15, id = 85). Current count: 85 
00000288 11.60173225 acsock 11:34:57.9474385 (CDnsCacheMgr::addToCache): Added entry (www.club386.com, id = 42). Current count: 42 
00000289 11.60173607 acsock 11:34:57.9474385 (CDnsCacheMgr::AddResponseToCache): add to cache (www.club386.com - 1 - 192.168.1.1) - complete, stats/listing next

Conexão HTTPS observada, domínio não incluído na lista de domínios externos, solicitação enviada via SWG:

00000840 10.69207287 acsock 12:13:50.0741618 (CNvmPlugin::notify_bind): called 
00000841 10.69207764 acsock 12:13:50.0741618 (CNvmPlugin::notify_bind): nvm: cookie 0x0000000000000000: laddr 127.0.0.1, lport 61844 
00000842 10.69208336 acsock 12:13:50.0741618 (CSocketScanSafePluginImp::notify_bind): websec cookie FFFFD30F9EEC71B0: lsockaddr [127.0.0.1]:61844 
00000843 10.69208908 acsock 12:13:50.0741618 (COpenDnsPluginImp::notify_bind): opendns cookie FFFFD30F9EEC75A0: lsockaddr [127.0.0.1]:61844 
00000844 10.69209576 acsock 12:13:50.0741618 (CNvmPlugin::notify_send): nvm: cookie 0000000000000000: paddr 127.0.0.1, pport 5002 
00000845 10.69211483 acsock 12:13:50.0741618 (CDnsCacheMgr::GetAllDomainNamesByIpAddr): lookupAll by address 198.51.100.16: found domain name www.ipchicken.com 
00000846 10.69221306 acsock 12:13:50.0741618 (CSocketMultiplexor::notify_stream_v4): recv: protocol 6, laddr 127.0.0.1, lport 5002, paddr 127.0.0.1, pport 61844 
00000847 10.69222069 acsock 12:13:50.0741618 (CNvmPlugin::notify_recv): nvm: cookie 0000000000000000: paddr 127.0.0.1, pport 61844

Conexão HTTPS observada, entrada para IP encontrada no cache, ação de bypass aplicada:

00003163 9.63360023 acsock 15:33:48.7197706 (CNvmPlugin::notify_bind): called 
00003164 9.63360405 acsock 15:33:48.7197706 (CNvmPlugin::notify_bind): nvm: cookie 0x0000000000000000: laddr 0.0.0.0, lport 58301 
00003165 9.63360882 acsock 15:33:48.7197706 (CSocketScanSafePluginImp::notify_bind): websec cookie FFFF8C02C8FAF590: lsockaddr [0.0.0.0]:58301 
00003166 9.63361359 acsock 15:33:48.7197706 (COpenDnsPluginImp::notify_bind): opendns cookie FFFF8C02C8FAF9F0: lsockaddr [0.0.0.0]:58301 
00003167 9.63364792 acsock 15:33:48.7197706 (CNvmPlugin::notify_connect): called 
00003168 9.63365269 acsock 15:33:48.7197706 (CNvmPlugin::notify_connect): nvm: cookie 0x0000000000000000: paddr 203.0.113.6, pport 443 
00003169 9.63366127 acsock 15:33:48.7197706 (CSocketScanSafePluginImp::notify_connect): websec cookie FFFF8C02C8FAF590: lsockaddr [0.0.0.0]:58301, psockadd [203.0.113.6]:443, pid 6404, proto 6 
00003170 9.63367081 acsock 15:33:48.7197706 (CDnsCacheMgr::GetAllDomainNamesByIpAddr): lookupAll by address 203.0.113.6: found domain name api.mxtoolbox.com 
00003171 9.63367558 acsock 15:33:48.7197706 (CDnsCacheMgr::GetAllDomainNamesByIpAddr): lookupAll by address 203.0.113.6: found domain name mxtoolbox.com 
00003172 9.63370323 acsock 15:33:48.7197706 (CSocketScanSafePluginImp::getFQDN_check_domain_exception): Pattern match found (domain name api.mxtoolbox.com, exception *.mxtoolbox.com) 
00003173 9.63370800 acsock 15:33:48.7197706 (CSocketScanSafePluginImp::evaluate_rules): domain name found so don't redirect 
00003174 9.63371372 acsock 15:33:48.7197706 (CSocketScanSafePluginImp::notify_connect): cookie FFFF8C02C8FAF590: no redirect, no match, pport 443, pid 6404

Histórico de revisões

Revisão Data de publicação Comentários
1.0
02-Oct-2025
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos