Compartir vía


Uso de la directiva de DNS para aplicar filtros en las consultas DNS

Puede usar este tema para aprender a configurar la directiva DNS en Windows Server® 2016 para crear filtros de consulta basados en criterios que proporcione.

NS Mediante los filtros de consulta de la directiva DNS se configura el servidor DNS para responder de forma personalizada en función de la consulta de DNS y el cliente DNS que envía dicha consulta.

Por ejemplo, puede configurar la directiva DNS con el filtro de consulta Lista de bloqueados que bloquea las consultas de DNS de dominios malintencionados conocidos, lo que impide que DNS responda a las consultas procedentes de estos dominios. Dado que no se envía ninguna respuesta desde el servidor DNS, se agota el tiempo de espera de la consulta de DNS del miembro del dominio malintencionado.

Otro ejemplo es crear una lista de permitidos de filtro de consulta que permita que solo un conjunto específico de clientes resuelva determinados nombres.

Criterios de filtro de consulta

Puede crear filtros de consulta con cualquier combinación lógica (AND/OR/NOT) de los criterios siguientes.

Nombre Descripción
Subred de cliente Nombre de una subred de cliente predefinida. Se usa para comprobar la subred desde la que se envió la consulta.
Protocolo de transporte Protocolo de transporte usado en la consulta. Los valores posibles son UDP o TCP.
protocolo Internet Protocolo de red usado en la consulta. Los valores posibles son IPv4 e IPv6.
Dirección IP de la interfaz del servidor Dirección IP de la interfaz de red del servidor DNS que recibió la solicitud DNS.
FQDN Nombre de dominio completo del registro en la consulta, con la posibilidad de usar un carácter comodín.
Tipo de consulta Tipo de registro que se consulta (A, SRV, TXT, etc.).
Hora del día Hora del día en la que se recibe la consulta.

En los ejemplos siguientes se muestra cómo crear filtros para la directiva DNS que bloquean o permiten consultas de resolución de nombres DNS.

Nota

Los comandos de ejemplo de este tema usan el comando Add-DnsServerQueryResolutionPolicy de Windows PowerShell. Para más información, consulte Add-DnsServerQueryResolutionPolicy.

Bloqueo de consultas procedentes de un dominio

En algunas circunstancias, es posible que desee bloquear la resolución de nombres DNS para los dominios que ha identificado como malintencionados o para los dominios que no cumplen las directrices de uso de su organización. Puede realizar consultas de bloqueo para dominios mediante la directiva DNS.

La directiva que configure en este ejemplo no se crea en ninguna zona determinada; en su lugar, se crea una directiva de nivel de servidor que se aplica a todas las zonas configuradas en el servidor DNS. Las directivas de nivel de servidor son las primeras que se evalúan y, por tanto, deben coincidir cuando el servidor DNS recibe una consulta.

El siguiente comando de ejemplo configura una directiva de nivel de servidor para bloquear las consultas con el sufijo de dominio contosomalicious.com.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru

Nota

Al configurar el parámetro Action con el valor IGNORE, el servidor DNS se configura para quitar consultas sin ninguna respuesta. Esto hace que el cliente DNS del dominio malintencionado agote el tiempo de espera.

Bloqueo de consultas procedentes de una subred

Con este ejemplo, puede bloquear las consultas procedentes de una subred si se detecta que está infectada por algún malware y está intentando ponerse en contacto con sitios malintencionados mediante el servidor DNS.

Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `

En el ejemplo siguiente se muestra cómo puede usar los criterios de subred en combinación con los criterios de FQDN para bloquear las consultas para determinados dominios malintencionados procedentes de subredes infectadas.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru

Bloquear un tipo de consulta

Es posible que tenga que bloquear la resolución de nombres para determinados tipos de consultas en los servidores. Por ejemplo, puede bloquear la consulta "ANY", que se puede usar de forma malintencionada para crear ataques de amplificación.

Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru

Permiso solo para las consultas solo procedentes de un dominio

No solo puede usar la directiva DNS para bloquear las consultas, sino que también puede usarlas para aprobar automáticamente las consultas procedentes de dominios o subredes específicos. Al configurar lista de permitidos, el servidor DNS solo procesa las consultas procedentes de dominios permitidos, al tiempo que bloquea todas las demás consultas procedentes de otros dominios.

El siguiente comando de ejemplo permite que solo los equipos y dispositivos de los dominios contoso.com y secundarios consulten el servidor DNS.

Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru

Permiso solo para de consultas procedentes de una subred

También puede crear listas de permitidos para subredes IP, de modo que todas las consultas que no se originan en estas subredes se omitan.

Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru

Permiso solo para determinadas instancias QTypes

Puede aplicar listas de permitidos a instancias QTYPE.

Por ejemplo, si tiene clientes externos que consultan la interfaz de servidor DNS 164.8.1.1, solo se permiten consultar determinadas instancias de QTYPE, mientras que hay otras instancias de QTYPE, como registros SRV o TXT, que los servidores internos usan para la resolución de nombres o para fines de supervisión.

Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru

Puede crear miles de directivas DNS según los requisitos de administración del tráfico y todas las directivas nuevas se aplican dinámicamente, sin reiniciar el servidor DNS, en las consultas entrantes.