Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Introducción
Zero Trust DNS (ZTDNS) es una característica de seguridad que permite a los administradores de TI empresariales aplicar de forma nativa controles de acceso de red basados en nombres de dominio en sus puntos de conexión de Windows. Aborda la necesidad crítica de asegurarse de que los dispositivos Windows empresariales solo se comuniquen con destinos de red de confianza, lo que reduce el riesgo de una variedad de ataques de red desde la comunicación de malware a la filtración de datos.
ZTDNS es una mejora del cliente DNS de Windows que bloquea todo el tráfico IP saliente desde el dispositivo Windows de forma predeterminada y solo permite el tráfico IP a destinos resueltos por el servidor DNS de confianza o aprobados explícitamente por el administrador de TI de la empresa. Cuando se empareja con un servidor DNS de protección (PDNS) compatible con directivas, ZTDNS actúa como punto de cumplimiento de directivas en el dispositivo Windows. Este enfoque reduce la necesidad de una inspección profunda de paquetes o la dependencia de señales inseguras como DNS de texto sin formato o indicación de nombre de servidor (SNI) al intentar determinar el nombre de dominio asociado al tráfico saliente. En consonancia con los principios de Confianza cero, ZTDNS sigue el enfoque "denegar de forma predeterminada y permitir por excepción durante un tiempo limitado".
Funcionamiento de Zero Trust DNS
ZTDNS funciona mediante la integración del cliente DNS de Windows con la Plataforma de filtrado de Windows (WFP) para habilitar el bloqueo de red basado en nombres de dominio. Al configurar ZTDNS en un dispositivo Windows para usar servidores PDNS que admiten DNS a través de HTTPS (DoH) o DNS a través de TLS (DoT), el sistema garantiza lo siguiente:
- Aplicación de DNS cifrada: el cliente DNS de Windows fuerza el uso de DNS cifrado y envía consultas solo a los servidores PDNS configurados.
- Solo tráfico aprobado: el tráfico saliente solo se permite a las direcciones IP resueltas por estos servidores PDNS de confianza o a intervalos IP con excepciones manuales configuradas por el administrador de TI de empresa.
- Denegación predeterminada: el resto del tráfico de salida IPv4 e IPv6 está bloqueado de forma predeterminada y se adhiere al principio "denegar de forma predeterminada" de Confianza cero
- Registro de conexiones: el dispositivo mantiene un registro completo de las conexiones salientes intentadas para la supervisión y la solución de problemas
Proceso de flujo de tráfico cuando ZTDNS está configurado en un dispositivo Windows
Bloqueo inicial: Windows bloquea todo el tráfico IPv4 e IPv6 saliente, excepto las conexiones a los servidores DNS de protección configurados, los intervalos IP permitidos explícitamente y el tráfico de detección de red esencial (DHCP, DHCPv6 y NDP)
Resolución dns: cuando las aplicaciones necesitan conectarse a un destino, consultan los servidores PDNS de confianza a través de canales cifrados (DoH o DoT)
Lista de permitidos dinámica: las respuestas DNS de los servidores PDNS que contienen resoluciones de direcciones IP desencadenan excepciones de permiso de salida para esas direcciones IP específicas durante un tiempo especificado
Cumplimiento del tráfico: las aplicaciones pueden conectarse a las direcciones IP resueltas, mientras que las conexiones a otras direcciones IP se bloquean a menos que estén en la lista de excepciones manuales.
Beneficios de seguridad
ZTDNS proporciona importantes ventajas de seguridad al abordar varias amenazas basadas en la red:
Protección contra secuestro de DNS
Al asegurarse de que solo se usan resoluciones DNS de servidores PDNS de confianza, ZTDNS ayuda a evitar que los actores incorrectos redirijan el tráfico a sitios malintencionados a través de ataques de secuestro de DNS.
Prevención de comunicaciones malintencionadas
Permitir solo conexiones salientes a direcciones IP resueltas a través de consultas DNS de confianza ayuda a interrumpir los intentos de suplantación de identidad (phishing) e impide que las señales y las fases de malware no administrativas se comuniquen con los servidores de comandos y control.
Mitigación de la filtración de datos
La restricción del tráfico saliente a dominios aprobados reduce el riesgo de que los datos confidenciales se transmitan a destinos no autorizados sin necesidad de analizar los patrones de resolución de nombres de dominio.
Admite el cifrado de un extremo a otro
A diferencia del filtrado de red tradicional que se basa en señales de texto sin formato o en una inspección profunda de paquetes, ZTDNS es eficaz incluso cuando se cifran el tráfico DNS y SNI, lo que proporciona controles de seguridad a prueba de futuro.
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten Zero Trust DNS (ZTDNS):
| Inicio de Windows 11 | Windows 11 Pro | Windows 11 Empresas | Windows 11 Educación |
|---|---|---|---|
| No | No | Sí | Sí |
los derechos de licencia de Zero Trust DNS (ZTDNS) se conceden mediante las siguientes licencias:
| Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|
| Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.