Usar a Política de DNS para a aplicação de filtros em consultas DNS
Use este tópico para aprender a configurar a política de DNS no Windows Server® 2016 para criar filtros de consulta baseados em critérios fornecidos por você.
Os filtros de consulta na política de DNS permitem configurar o servidor do DNS para responder de maneira personalizada com base na consulta DNS e no cliente DNS que envia a consulta DNS.
Por exemplo, é possível configurar a política de DNS com o filtro de consulta Lista de Bloqueios que bloqueia consultas DNS de domínios mal-intencionados conhecidos, o que impede o DNS de responder a consultas desses domínios. Como nenhuma resposta é enviada do servidor do DNS, a consulta DNS do membro do domínio mal-intencionado atinge o tempo limite.
Outro exemplo é criar um filtro de consulta Permitir Lista que permite que apenas um conjunto específico de clientes resolva determinados nomes.
Critérios de filtro de consulta
Crie filtros de consulta com qualquer combinação lógica (AND/OR/NOT) dos critérios a seguir.
Nome | Descrição |
---|---|
Sub-rede do cliente | Nome de uma sub-rede de cliente predefinida. Usado para verificar a sub-rede da qual a consulta foi enviada. |
Protocolo de Transporte | Protocolo de transporte usado na consulta. Os valores possíveis são UDP e TCP. |
Protocolo IP | Protocolo de rede usado na consulta. Os valores possíveis são IPv4 e IPv6. |
Endereço IP da Interface do Servidor | Endereço IP do adaptador de rede do servidor do DNS que recebeu a solicitação de DNS. |
FQDN | Nome de Domínio Totalmente Qualificado do registro na consulta, com a possibilidade de usar um curinga. |
Tipo de consulta | Tipo de registro que está sendo consultado (A, SRV, TXT, etc.). |
Hora do dia | Hora do dia em que a consulta é recebida. |
Os exemplos a seguir mostram como criar filtros para a política de DNS que bloqueiam ou permitem consultas de resolução de nomes do DNS.
Observação
Os comandos de exemplo neste tópico usam o comando PowerShell do Windows Add-DnsServerQueryResolutionPolicy. Para obter mais informações, consulte Add-DnsServerQueryResolutionPolicy.
Bloquear consultas de um domínio
Em algumas circunstâncias, talvez queira bloquear a resolução de nomes do DNS para domínios identificado como mal-intencionados ou para domínios que não estão em conformidade com as diretrizes de uso da sua organização. Realize consultas de bloqueio para domínios usando a política de DNS.
A política configurada neste exemplo não é criada em nenhuma zona específica – em vez disso, você cria uma Política de Nível de Servidor que é aplicada a todas as zonas configuradas no servidor do DNS. As Políticas de Nível de Servidor são as primeiras a serem avaliadas e, portanto, as primeiras a serem correspondidas quando uma consulta é recebida pelo servidor do DNS.
O comando de exemplo a seguir configura uma Política de Nível de Servidor para bloquear todas as consultas com o sufixo de domínio contosomalicious.com.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicy" -Action IGNORE -FQDN "EQ,*.contosomalicious.com" -PassThru
Observação
Ao configurar o parâmetro Action com o valor IGNORE, o servidor do DNS é configurado para descartar consultas sem resposta. Isso faz com que o cliente DNS no domínio mal-intencionado atente ao tempo limite.
Bloquear consultas de uma sub-rede
Com este exemplo, é possível bloquear consultas de uma sub-rede se ela for encontrada infectada por algum malware e estiver tentando entrar em contato com sites mal-intencionados usando seu servidor do DNS.
` Add-DnsServerClientSubnet -Name "MaliciousSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" -PassThru `
O exemplo a seguir demonstra como usar os critérios de sub-rede em combinação com os critérios do FQDN para bloquear consultas para determinados domínios mal-intencionados de sub-redes infectadas.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyMalicious06" -Action IGNORE -ClientSubnet "EQ,MaliciousSubnet06" –FQDN “EQ,*.contosomalicious.com” -PassThru
Bloquear um tipo de consulta
Talvez seja necessário bloquear a resolução de nomes para determinados tipos de consultas em seus servidores. Por exemplo, é possível bloquear a consulta 'ANY', que pode ser usada de forma mal-intencionada para criar ataques de amplificação.
Add-DnsServerQueryResolutionPolicy -Name "BlockListPolicyQType" -Action IGNORE -QType "EQ,ANY" -PassThru
Permitir consultas somente de um domínio
Você não só pode usar a política DNS para bloquear consultas, como também pode usá-las para aprovar automaticamente consultas de domínios ou sub-redes específicos. Ao configurar Listas de Permissões, o servidor do DNS processa apenas consultas de domínios permitidos, enquanto bloqueia todas as outras consultas de outros domínios.
O comando de exemplo a seguir permite que apenas computadores e dispositivos nos domínios contoso.com e filho consultem o servidor do DNS.
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicyDomain" -Action IGNORE -FQDN "NE,*.contoso.com" -PassThru
Permitir consultas somente de uma sub-rede
Você também pode criar Listas de Permissões para sub-redes IP, para que todas as consultas não originadas dessas sub-redes sejam ignoradas.
Add-DnsServerClientSubnet -Name "AllowedSubnet06" -IPv4Subnet 172.0.33.0/24 -PassThru
Add-DnsServerQueryResolutionPolicy -Name "AllowListPolicySubnet” -Action IGNORE -ClientSubnet "NE, AllowedSubnet06" -PassThru
Permitir apenas determinados QTypes
Aplique as Listas de Permissões aos QTYPEs.
Por exemplo, caso tenha clientes externos consultando a interface do servidor do DNS 164.8.1.1, apenas determinados QTYPEs poderão ser consultados, enquanto há outros QTYPEs, como registros SRV ou TXT, que são usados por servidores internos para resolução de nomes ou para fins de monitoramento.
Add-DnsServerQueryResolutionPolicy -Name "AllowListQType" -Action IGNORE -QType "NE,A,AAAA,MX,NS,SOA" –ServerInterface “EQ,164.8.1.1” -PassThru
É possível criar milhares de políticas de DNS de acordo com os requisitos de gerenciamento de tráfego e todas as novas políticas serão aplicadas dinamicamente, sem reiniciar o servidor do DNS, nas consultas de entrada.