Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Filtragem de solicitações de DNS para domínios de sites não permitidos

Visão geral da filtragem de solicitações de DNS

A partir do Junos OS Release 18.3R1, você pode configurar a filtragem de DNS para identificar solicitações de DNS para domínios de site não permitidos. A partir do Junos OS Release 19.3R2, você pode configurar a filtragem de DNS se estiver executando serviços de próxima geração com a placa de serviços MX-SPC3. Os serviços de próxima geração têm suporte para roteadores MX240, MX480 e MX960. Para solicitações de DNS dos tipos A, AAAA, MX, CNAME, TXT, SRV e ANY, você configura a ação a ser tomada para uma solicitação de DNS para um domínio desautorizado. Você também pode:

  • Bloqueie o acesso ao site enviando uma resposta DNS que contenha o endereço IP ou o nome de domínio totalmente qualificado (FQDN) de um servidor sumidouro de DNS. Isso garante que quando o cliente tenta enviar tráfego para o domínio desautorizado, o tráfego vai para o servidor sumidor (ver Figura 1).

  • Registre a solicitação e permita o acesso.

A partir da versão 21.1R1 do Junos OS, você também pode configurar as seguintes ações para uma solicitação de DNS para um domínio desautorizado:

  • Alerta
  • Aceitar
  • Deixar cair
  • Drop-no-log

Para outros tipos de solicitação de DNS para um domínio desautorizado, a solicitação é registrada e o acesso é permitido.

As ações tomadas pelo servidor sumidouro não são controladas pelo recurso de filtragem de solicitação de DNS; você é responsável por configurar as ações do servidor sumidouro. Por exemplo, o servidor sumidouro poderia enviar uma mensagem ao solicitante ou de que o domínio não é acessível e impedir o acesso ao domínio desautorizado.

Figura 1: Solicitação de DNS para domínio DNS Request for Disallowed Domain não permitido

Benefícios

A filtragem de DNS redireciona as solicitações de DNS para domínios de sites não permitidos para servidores sumidos, ao mesmo tempo em que impede que qualquer pessoa que opere o sistema veja a lista de domínios não permitidos. Isso porque os nomes de domínio não permitidos estão em um formato criptografado.

Arquivo de banco de dados de filtro de domínio desautorizado

A filtragem de solicitação de DNS requer um banco de dados de filtro de domínio não permitido .txt arquivo, que identifica cada nome de domínio não permitido, a ação para realizar uma solicitação de DNS para o domínio não permitido, e o endereço IP ou nome de domínio totalmente qualificado (FQDN) de um servidor sumidor DNS.

Perfil do filtro de DNS

Você configura um perfil de filtro DNS para especificar qual arquivo de banco de dados de filtro de domínio não permitido usar. Você também pode especificar as interfaces em que a filtragem de solicitação de DNS é realizada, limitar a filtragem a solicitações de servidores DNS específicos e limitar a filtragem a solicitações de prefixos de endereço IP de origem específica.

Como configurar a filtragem de solicitações de DNS

Para filtrar as solicitações de DNS para domínios de site não permitidos, execute o seguinte:

Como configurar um banco de dados de filtro de domínio

Crie um ou mais arquivos de banco de dados de filtro de domínio que incluam uma entrada para cada domínio desautorizado. Cada entrada especifica o que fazer com uma solicitação de DNS para um domínio de site desautorizado.

Para configurar um arquivo de banco de dados de filtro de domínio:

  1. Crie o nome do arquivo. O nome do arquivo de banco de dados pode ter um comprimento máximo de 64 caracteres e deve ter uma extensão de .txt .
  2. Adicione um cabeçalho de arquivo com um formato como 20170314_01:domain,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,action.
  3. Adicione uma entrada no arquivo para cada domínio desautorizado. Você pode incluir no máximo 10.000 entradas de domínio. Cada entrada no arquivo do banco de dados tem os seguintes itens:

    nome de domínio de hashed,endereço sumidouro IPv4, endereço sumidouro IPv6, sumidouro FQDN, ID, ação

    onde:

    • hashed-domain-name é um valor hashed do nome de domínio desautorizado (64 caracteres hexadecimal). O método de hash e a chave de hash que você usa para produzir o valor de domínio hashed são necessários quando você configura a filtragem de DNS com o Junos OS CLI.

    • IPv4 sinkhole address é o endereço do servidor de sumidouro de DNS para solicitações de DNS IPv4.

    • IPv6 sinkhole address é o endereço do servidor de sumidouro de DNS para solicitações de DNS IPv6.

    • sinkhole FQDN é o nome de domínio totalmente qualificado do servidor sumidouro de DNS.

    • ID é um número de 32 bits que associa a entrada exclusivamente ao nome de domínio hashed.

    • action é a ação a ser aplicada a uma solicitação de DNS que corresponda ao nome de domínio não permitido. Se você entrar:

      • replace, o roteador da Série MX envia ao cliente uma resposta DNS com o endereço IP ou FQDN do servidor sumidouro de DNS. Se você digitar report, a solicitação de DNS é registrada e depois enviada ao servidor DNS.
      • report, a solicitação de DNS é registrada e depois enviada ao servidor DNS.
      • alert, a solicitação de DNS está registrada e a solicitação é enviada ao servidor DNS.
      • accept, a solicitação de DNS está registrada e a solicitação é enviada ao servidor DNS.
      • dropa solicitação de DNS foi retirada e a solicitação está registrada. A solicitação de DNS não é enviada ao servidor DNS.
      • drop-no-log, a solicitação de DNS é descartada e nenhum syslog é gerado. A solicitação de DNS não é enviada ao servidor DNS.
  4. Na última linha do arquivo, inclua o hash do arquivo, que você calcula usando a mesma chave e método de hash que você usou para produzir os nomes de domínio hashed.
  5. Guarde os arquivos de banco de dados no Mecanismo de Roteamento no diretório /var/db/filtrado por url .
  6. Valide o arquivo de banco de dados do filtro de domínio.
  7. Se você fizer alguma alteração no arquivo do banco de dados, aplique as alterações.

Como configurar um perfil de filtro de DNS

Um perfil de filtro DNS inclui configurações gerais para filtrar solicitações de DNS para domínios de sites não permitidos, e inclui até 32 modelos. As configurações do modelo aplicam-se a solicitações de DNS em interfaces lógicas de uplink e downlink específicas ou instâncias de roteamento, ou a solicitações de DNS de prefixos de endereço IP de origem específica, e substituem as configurações correspondentes no nível de perfil de DNS. Você pode configurar até oito perfis de filtro DNS.

Para configurar um perfil de filtro de DNS:

  1. Configure o nome para um perfil de filtro DNS:

    O número máximo de perfis é de 8.

  2. Configure o intervalo para registrar estatísticas de cada cliente para filtragem de DNS. O intervalo é de 0 a 60 minutos e o padrão é de 5 minutos.
  3. Configure configurações gerais de filtragem de DNS para o perfil. Esses valores são usados se uma solicitação de DNS não corresponder a um modelo específico.
    1. Especifique o nome do banco de dados do filtro de domínio para usar ao filtrar solicitações de DNS.
    2. (Opcional) Para limitar a filtragem de DNS às solicitações de DNS destinadas a servidores DNS específicos, especifique até três endereços IP (IPv4 ou IPv6).
    3. Especifique o formato da chave de hash.
    4. Especifique a chave de hash que você usou para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.
    5. Especifique o método de hash usado para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.

      O único método de hash suportado é hmac-sha2-256.

    6. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    7. Configure o tempo de vida enquanto envia a resposta de DNS após tomar a ação do sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    8. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.

      Por exemplo, se você definir o wildcarding-level 4 e o arquivo de banco de dados incluir uma entrada para example.com, as seguintes comparações são feitas para uma solicitação de DNS que chega com o domínio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: sem correspondência

      • 51.100.0.example.com: não há correspondência para um nível para baixo

      • 100.0.example.com: sem correspondência para dois níveis baixos

      • 0.example.com: sem correspondência para três níveis baixos

      • example.com: combinação para quatro níveis para baixo

  4. Configure um modelo. Você pode configurar um máximo de 8 modelos em um perfil. Cada modelo identifica configurações de filtro para solicitações de DNS em interfaces lógicas de uplink e downlink específicas ou instâncias de roteamento, ou para solicitações de DNS de prefixos de endereço IP de origem específica.
    1. Configure o nome do modelo.
    2. (Opcional) Especifique as interfaces lógicas voltadas para o cliente (uplink) às quais a filtragem de DNS é aplicada.
    3. (Opcional) Especifique as interfaces lógicas voltadas para o servidor (downlink) às quais a filtragem de DNS é aplicada.
    4. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o cliente à qual a filtragem de DNS é aplicada.
    5. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o servidor à qual a filtragem de DNS é aplicada.
      Nota:

      Se você configurar as interfaces de cliente e servidor ou as instâncias de roteamento de clientes e servidores, filtros implícitos serão instalados nas interfaces ou instâncias de roteamento para direcionar o tráfego de DNS para os serviços PIC para filtragem de DNS. Se você configurar nem as interfaces de cliente e servidor nem as instâncias de roteamento, você deve fornecer uma maneira de direcionar o tráfego de DNS para os serviços PIC (por exemplo, por rotas).
    6. Especifique o nome do banco de dados do filtro de domínio para usar ao filtrar solicitações de DNS.
    7. (Opcional) Para limitar a filtragem de DNS às solicitações de DNS destinadas a servidores DNS específicos, especifique até três endereços IP (IPv4 ou IPv6).
    8. Especifique o método de hash usado para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.

      O único método de hash suportado é hmac-sha2-256.

    9. Especifique a chave de hash usada para criar o nome de domínio hashed no arquivo de banco de dados do filtro de domínio.
    10. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    11. Configure o tempo de vida enquanto envia a resposta de DNS após tomar a ação do sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    12. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.

      Por exemplo, se você definir o wildcarding-level 4 e o arquivo de banco de dados incluir uma entrada para example.com, as seguintes comparações são feitas para uma solicitação de DNS que chega com o domínio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: sem correspondência

      • 51.100.0.example.com: sem correspondência para um nível para baixo

      • 100.0.example.com: sem correspondência para dois níveis baixos

      • 0.example.com: sem correspondência para três níveis baixos

      • example.com: combinação para quatro níveis para baixo

    13. (Opcional) Especifique o código de erro de resposta para tipos de consulta SRV e TXT.

      (Opcional) Especifique o código de erro de resposta para tipos de consulta SRV e TXT.

    14. Configure um termo para o modelo. Você pode configurar um máximo de 64 termos em um modelo.
    15. (Opcional) Especifique os prefixos de endereço IP de origem das solicitações de DNS que você deseja filtrar. Você pode configurar um máximo de 64 prefixos em um termo.
    16. Especifique que a ação de sumidouro identificada no banco de dados do filtro de domínio é realizada em solicitações de DNS não proibidas.

Como configurar um conjunto de serviços para filtragem de DNS

Associe o perfil do filtro de DNS com um conjunto de serviços de próximo salto e habilite o registro para filtragem de DNS. A interface de serviço pode ser uma interface ms- ou vms Serviços de próxima geração com placa de serviços MX-SPC3), ou pode ser uma interface agregada de multisserviços (AMS).

Suporte multilocatário para filtragem de DNS

Visão geral

A partir do Junos OS Release 21.1R1, você pode configurar feeds de domínio personalizados por cliente ou subgrupo IP. É possível:

  • Configure nomes e ações de domínio para vários locatários, de forma que os feeds de domínio possam ser gerenciados por locatário.
  • Configure o gerenciamento hierárquico de feed de domínio por perfil, por modelo de filtro dns ou por termo de filtro dns.
  • Feeds de domínio isentos no nível de IP, sub-rede ou CIDR.

Para implementar o suporte mutiltenant para filtragem de DNS, a criação do arquivo de banco de dados do filtro de domínio em modelo ou nível de perfil é desativado. Você não precisa especificar um arquivo no modelo ou nível de perfil. A partir do Junos OS 21.1R1, por padrão, está disponível um arquivo global com nome fixo, nsf_multi_tenant_dn_custom_file.txt (formato de texto simples) ou dnsf_multi_tenant_dn_custom_file_hashed.txt (arquivo criptografado).

Cada entrada no arquivo do banco de dados tem os seguintes itens:

nome de domínio de hashed, endereço sumidouro IPv4, endereço sumidouro IPv6, sumidouro FQDN, ID, ação, nome do feed.

O hash do arquivo é calculado e anexo à lista de entradas de nomes de domínio no arquivo. O hash do arquivo é calculado usando uma chave e método global ,que é validado com o hash de arquivo computado usando a chave de hash configurada na [edit services web-filter] hierarquia. A validação do arquivo só será bem sucedida se o hash de arquivo calculado corresponde ao hash do arquivo presente no arquivo.

Cada entrada em nsf_multi_tenant_dn_custom_file.txt arquivo consiste em um campo adicional chamado feed-name. Este nome de feed é usado como um indicador para agrupar um conjunto de nomes de domínio e mapeá-los para um locatário (perfil, modelo, termo ou endereço IP).

Quando os pacotes DNS são recebidos de um endereço IP SRC específico, o nome de feed correspondente é obtido e a busca acontece em relação aos nomes de domínio mapeados com o nome de feed associado ao termo. Se o nome do feed não for provisionado para esse endereço IP, ele volta para o nome do feed configurado no nível de modelo e a olhada acontece em relação aos nomes de domínio mapeados com o nome do feed associado ao modelo. Se o nome do feed não estiver configurado no modelo, então a busca é contra os nomes de domínio mapeados em relação ao nome do feed associado ao perfil.

Configuração do suporte a vários locatários para filtragem de DNS

  1. Configure o filtro web.
  2. Habilite o suporte a vários locatários
  3. Configure a chave de hash e o método de hash do arquivo global.
    Nota:

    Quando multi-tenant-hashestá configurado, ele indica que o arquivo de feed de dns global consiste apenas em feeds criptografados. Quando multi-tenant-hash não está configurado, ele indica que o arquivo de feed de dns global tem feeds em formato de texto simples.

  4. Configure o nome para um perfil de filtro DNS e mapeie o feed de domínio no nível do perfil. O indicador de nome do feed configurado no nível de perfil é aplicado a todos os modelos e termos sob o perfil que não têm o indicador de nome do feed configurado.
  5. Configure configurações gerais de filtragem de DNS para o perfil. Esses valores são usados se uma solicitação de DNS não corresponder a um modelo específico.
    1. (Opcional) Para limitar a filtragem de DNS às solicitações de DNS destinadas a servidores DNS específicos, especifique até três endereços IP (IPv4 ou IPv6).
    2. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    3. Configure o tempo de vida (TTL) para enviar a resposta de DNS após tomar a ação de sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    4. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.
    5. (Opcional) Especifique o código de erro de resposta para o tipo de consulta TXT.
  6. Configure um modelo. Você pode configurar um máximo de 8 modelos em um perfil. Cada modelo identifica configurações de filtro para solicitações de DNS em interfaces lógicas de uplink e downlink específicas ou instâncias de roteamento, ou para solicitações de DNS de prefixos de endereço IP de origem específica.
    1. Configure o nome do modelo.
    2. Configure o nome do feed. Com formato multilocatário, você não pode mais adicionar um nome de arquivo em perfil ou modelo. O nome do feed especificado sob perfil tem menos precedência em comparação com o configurado sob o modelo.
    3. (Opcional) Especifique as interfaces lógicas voltadas para o cliente (uplink) às quais a filtragem de DNS é aplicada.
    4. (Opcional) Especifique as interfaces lógicas voltadas para o servidor (downlink) às quais a filtragem de DNS é aplicada.
    5. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o cliente à qual a filtragem de DNS é aplicada.
    6. (Opcional) Especifique a instância de roteamento para a interface lógica voltada para o servidor à qual a filtragem de DNS é aplicada.
      Nota:

      Se você configurar as interfaces de cliente e servidor ou as instâncias de roteamento de clientes e servidores, filtros implícitos serão instalados nas interfaces ou instâncias de roteamento para direcionar o tráfego de DNS para os serviços PIC para filtragem de DNS. Se você configurar nem as interfaces de cliente e servidor nem as instâncias de roteamento, você deve fornecer uma maneira de direcionar o tráfego de DNS para os serviços PIC (por exemplo, através de rotas).
    7. Configure o intervalo para registrar estatísticas para solicitações de DNS e para ações de sumidouro realizadas para cada endereço IP do cliente. O intervalo é de 1 a 60 minutos e o padrão é de 5 minutos.
    8. Configure o tempo de vida enquanto envia a resposta de DNS após tomar a ação do sumidouro de DNS. O intervalo é de 0 a 86.400 segundos e o padrão é de 1800.
    9. Configure o nível de subdomains que são pesquisados para uma correspondência. O intervalo é de 0 a 10. Um valor de 0 indica que subdomínios não são pesquisados.
    10. Configure um termo para o modelo. Você pode configurar um máximo de 64 termos em um modelo.
    11. Configure o nome do feed. O nome do feed configurado no termo tem maior precedência em relação ao configurado sob o modelo. No entanto, se o domínio do sumidouro estiver igualando o único domínio mencionado no nome do feed em template, a ação especificada para essa entrada será implementada.
    12. (Opcional) Especifique os prefixos de endereço IP de origem das solicitações de DNS que você deseja filtrar. Você pode configurar um máximo de 64 prefixos em um termo.
    13. Configure que a ação de sumidouro identificada no banco de dados do filtro de domínio seja realizada em solicitações de DNS não proibidas.
  7. Associe o perfil do filtro de DNS com um conjunto de serviços de próximo salto e habilite o registro para filtragem de DNS. A interface de serviço pode ser uma interface multisserviços (ms) ou multisserviços virtuais (vms) (Serviços de próxima geração com placa de serviços MX-SPC3), ou pode ser uma interface agregada de multisserviços (AMS).
  8. Se você estiver executando serviços de próxima geração na placa de serviços MX-SPC3, configure a interface vms para obter as informações de FPC e PIC no syslog.

Exemplo: configuração de suporte multilocatário para filtragem de DNS

Configuração

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de hierarquia [editar].

Tabela de histórico de mudanças

O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.

Soltar
Descrição
19.3R2
A partir do Junos OS Release 19.3R2, você pode configurar a filtragem de DNS se estiver executando serviços de próxima geração com a placa de serviços MX-SPC3. Os serviços de próxima geração têm suporte para roteadores MX240, MX480 e MX960.