Resolver Aviso VA "está em um estado de atenção"

Opções de download

  • PDF     (259.8 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:1 de outubro de 2025
ID do documento:225114

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como resolver o aviso de VA informando que seu VA "está em um estado de atenção" relacionado à ativação do DNSCrypt.

    Overview

    O Virtual Appliance (VA) oferece suporte à criptografia DNSCrypt entre ele mesmo e os resolvedores públicos do Sistema de Nome de Domínio (DNS) do OpenDNS. O DNSCrypt criptografa os pacotes DNS que o VA encaminha, impedindo a interceptação de informações confidenciais. O DNSCrypt é ativado por padrão para uma proteção ideal, mas você pode encontrar problemas se um firewall bloquear o tráfego criptografado entre o VA e os resolvedores de DNS públicos.

    O tráfego DNS não criptografado é um risco de segurança que você deve abordar. Quando não é possível estabelecer a criptografia entre o VA e o OpenDNS, o painel do Umbrella exibe um aviso de que o Virtual Appliance afetado "está em um estado de atenção" para garantir que você mantenha a melhor proteção possível.

    Virtual Appliance Error Messages

    Se você clicar em Exibir detalhes, verá uma mensagem indicando que as consultas DNS encaminhadas por este VA para o OpenDNS não estão criptografadas.

    Click View Details

    Note: O DNSCrypt está disponível somente nos Virtual Appliances que executam a versão 1.5.x ou superior. Se você tiver apenas um VA e ele não tiver sido atualizado, esta mensagem também será exibida.

    Resolver o aviso DNSCrypt

    Para resolver o aviso e restaurar a proteção DNSCrypt:

    1. Revise seu firewall ou a configuração do Sistema de prevenção de intrusão (IPS)/Sistema de detecção de intrusão (IDS).
    2. Certifique-se de que seu firewall ou IPS/IDS permita tráfego DNSCrypt criptografado para o VA.
    3. Permitir tráfego de saída e entrada na porta 53 (UDP/TCP) para estes endereços IP do OpenDNS:
      • 208.67.220.220
      • 208.67.222.222
      • 208.67.222.220
      • 208.67.220.222
    4. Se você usar um firewall ou IPS/IDS com inspeção profunda de pacotes, verifique se ele não bloqueia ou interfere nos pacotes DNSCrypt criptografados. Alguns dispositivos podem bloquear esses pacotes se esperarem apenas tráfego DNS padrão na porta 53.
    5. Confirme se o tráfego criptografado pode fluir tanto para a saída quanto para a entrada entre a rede e os resolvedores do OpenDNS em todos os dispositivos no caminho.
    note-icon

    Note: Se o seu firewall ou IPS/IDS bloquear o tráfego DNSCrypt, a resolução DNS poderá falhar para os usuários atrás do VA.

    Se você acredita que seu firewall já permite esse tráfego, mas o aviso persistir, abra um caso de suporte para obter assistência adicional.

    Para obter mais informações sobre o comportamento do firewall Cisco ASA e possíveis mensagens de erro relacionadas à inspeção profunda de pacotes e ao DNSCrypt, consulte: Por que o firewall Cisco ASA está bloqueando a funcionalidade DNSCrypt no Umbrella Virtual Appliance?

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    01-Oct-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Lauren Dubravec
      Desenvolvedor de conteúdo de educação técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos