Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Filtrado de solicitudes DNS para dominios de sitios web no permitidos

Información general sobre el filtrado de solicitudes DNS

A partir de Junos OS versión 18.3R1, puede configurar el filtrado DNS para identificar las solicitudes DNS de dominios de sitios web no permitidos. A partir de Junos OS versión 19.3R2, puede configurar el filtrado DNS si está ejecutando servicios de próxima generación con la tarjeta de servicios MX-SPC3. Los servicios de próxima generación son compatibles con los enrutadores MX240, MX480 y MX960. Para los tipos de solicitud DNS A, AAAA, MX, CNAME, TXT, SRV y ANY, configure la acción que se debe realizar para una solicitud DNS para un dominio no permitido. Usted puede:

  • Bloquee el acceso al sitio web enviando una respuesta DNS que contenga la dirección IP o el nombre de dominio completo (FQDN) de un servidor DNS sinkhole. Esto garantiza que cuando el cliente intente enviar tráfico al dominio no permitido, el tráfico vaya al servidor de sumidero (consulte la figura 1).

  • Registre la solicitud y permita el acceso.

A partir de Junos OS versión 21.1R1, también puede configurar las siguientes acciones para una solicitud DNS para un dominio no permitido:

  • Alerta
  • Aceptar
  • Soltar
  • No soltar registro

Para otros tipos de solicitud DNS para un dominio no permitido, la solicitud se registra y se permite el acceso.

Las acciones que realiza el servidor sinkhole no se controlan mediante la característica de filtrado de solicitudes DNS; Usted es responsable de configurar las acciones del servidor Sinkhole. Por ejemplo, el servidor de sumidero podría enviar un mensaje al solicitante de que no se puede acceder al dominio e impedir el acceso al dominio no permitido.

Figura 1: Solicitud DNS para dominio DNS Request for Disallowed Domain no permitido

Beneficios

El filtrado DNS redirige las solicitudes DNS de dominios de sitios web no permitidos a servidores de sumidero, al tiempo que impide que cualquier persona que opere el sistema vea la lista de dominios no permitidos. Esto se debe a que los nombres de dominio no permitidos están en un formato cifrado.

Archivo de base de datos de filtro de dominio no permitido

El filtrado de solicitudes DNS requiere un archivo .txt de base de datos de filtros de dominio no permitido, que identifica cada nombre de dominio no permitido, la acción que se debe realizar en una solicitud DNS para el dominio no permitido y la dirección IP o el nombre de dominio completo (FQDN) de un servidor DNS sinkhole.

Perfil de filtro DNS

Configure un perfil de filtro DNS para especificar qué archivo de base de datos de filtro de dominio no permitido se va a utilizar. También puede especificar las interfaces en las que se realiza el filtrado de solicitudes DNS, limitar el filtrado a solicitudes de servidores DNS específicos y limitar el filtrado a solicitudes de prefijos de direcciones IP de origen específicas.

Cómo configurar el filtrado de solicitudes DNS

Para filtrar las solicitudes DNS de dominios de sitios web no permitidos, realice lo siguiente:

Cómo configurar una base de datos de filtros de dominio

Cree uno o más archivos de base de datos de filtro de dominio que incluyan una entrada para cada dominio no permitido. Cada entrada especifica qué hacer con una solicitud DNS para un dominio de sitio web no permitido.

Para configurar un archivo de base de datos de filtro de dominio:

  1. Cree el nombre del archivo. El nombre del archivo de base de datos puede tener una longitud máxima de 64 caracteres y debe tener una extensión .txt .
  2. Agregue un encabezado de archivo con un formato como 20170314_01:dominio,sinkhole_ip,v6_sinkhole,sinkhole_fqdn,id,action.
  3. Agregue una entrada en el archivo para cada dominio no permitido. Puede incluir un máximo de 10.000 entradas de dominio. Cada entrada del archivo de base de datos tiene los siguientes elementos:

    hashed-domain-name, dirección del sumidero IPv4, dirección del sumidero IPv6, FQDN del sumidero, ID, acción

    Dónde:

    • hashed-domain-name es un valor hash del nombre de dominio no permitido (64 caracteres hexadecimales). El método hash y la clave hash que se utilizan para generar el valor de dominio hash son necesarios cuando se configura el filtrado DNS con la CLI de Junos OS.

    • IPv4 sinkhole address es la dirección del servidor DNS sinkhole para solicitudes DNS IPv4.

    • IPv6 sinkhole address es la dirección del servidor DNS sinkhole para solicitudes DNS IPv6.

    • sinkhole FQDN es el nombre de dominio completo del servidor DNS sinkhole.

    • ID es un número de 32 bits que asocia de forma exclusiva la entrada con el nombre de dominio con hash.

    • action es la acción que se debe aplicar a una solicitud DNS que coincida con el nombre de dominio no permitido. Si ingresa :

      • replace, el enrutador de la serie MX envía al cliente una respuesta DNS con la dirección IP o el FQDN del servidor de sumidero DNS. Si escribe report, la solicitud DNS se registra y, a continuación, se envía al servidor DNS.
      • report, la solicitud DNS se registra y, a continuación, se envía al servidor DNS.
      • alert, la solicitud DNS se registra y la solicitud se envía al servidor DNS.
      • accept, la solicitud DNS se registra y la solicitud se envía al servidor DNS.
      • drop, la solicitud DNS se descarta y la solicitud se registra . La solicitud DNS no se envía al servidor DNS.
      • drop-no-log, la solicitud DNS se descarta y no se genera syslog. La solicitud DNS no se envía al servidor DNS.
  4. En la última línea del archivo, incluya el hash del archivo, que calcula utilizando la misma clave y el mismo método hash que utilizó para producir los nombres de dominio con hash.
  5. Guarde los archivos de base de datos en el motor de enrutamiento en el directorio /var/db/url-filterd .
  6. Valide el archivo de base de datos de filtro de dominio.
  7. Si realiza algún cambio en el archivo de base de datos, aplique los cambios.

Cómo configurar un perfil de filtro DNS

Un perfil de filtro DNS incluye configuraciones generales para filtrar solicitudes DNS para dominios de sitios web no permitidos e incluye hasta 32 plantillas. La configuración de la plantilla se aplica a las solicitudes DNS en interfaces lógicas de vínculo ascendente y descendente específicas o instancias de enrutamiento, o a las solicitudes DNS de prefijos de direcciones IP de origen específicos, y anula la configuración correspondiente en el nivel de perfil DNS. Puede configurar hasta ocho perfiles de filtro DNS.

Para configurar un perfil de filtro DNS:

  1. Configure el nombre de un perfil de filtro DNS:

    El número máximo de perfiles es 8.

  2. Configure el intervalo para registrar estadísticas por cliente para el filtrado DNS. El intervalo es de 0 a 60 minutos y el valor predeterminado es de 5 minutos.
  3. Configure las opciones generales de filtrado DNS para el perfil. Estos valores se utilizan si una solicitud DNS no coincide con una plantilla específica.
    1. Especifique el nombre de la base de datos de filtros de dominio que se usará al filtrar solicitudes DNS.
    2. (Opcional) Para limitar el filtrado DNS a las solicitudes DNS destinadas a servidores DNS específicos, especifique hasta tres direcciones IP (IPv4 o IPv6).
    3. Especifique el formato de la clave hash.
    4. Especifique la clave hash que utilizó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.
    5. Especifique el método hash que se usó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.

      El único método hash admitido es hmac-sha2-256.

    6. Configure el intervalo para registrar estadísticas de solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    7. Configure el tiempo de vida mientras envía la respuesta DNS después de realizar la acción de sumidero de DNS. El intervalo es de 0 a 86.400 segundos y el valor predeterminado es 1800.
    8. Configure el nivel de subdominios que se buscan para una coincidencia. El intervalo es de 0 a 10. Un valor de 0 indica que no se buscan subdominios.

      Por ejemplo, si establece el wildcarding-level valor en 4 y el archivo de base de datos incluye una entrada para example.com, se realizan las siguientes comparaciones para una solicitud DNS que llega con el dominio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: no hay coincidencia

      • 51.100.0.example.com: no hay rival para un nivel más abajo

      • 100.0.example.com: no hay rival para dos niveles más abajo

      • 0.example.com: no hay rival para tres niveles hacia abajo

      • example.com: Partido para cuatro niveles hacia abajo

  4. Configure una plantilla. Puede configurar un máximo de 8 plantillas en un perfil. Cada plantilla identifica la configuración de filtro para solicitudes DNS en interfaces lógicas de enlace ascendente y descendente específicas o instancias de enrutamiento, o para solicitudes DNS de prefijos de direcciones IP de origen específicas.
    1. Configure el nombre de la plantilla.
    2. (Opcional) Especifique las interfaces lógicas orientadas al cliente (vínculo ascendente) a las que se aplica el filtrado DNS.
    3. (Opcional) Especifique las interfaces lógicas orientadas al servidor (vínculo descendente) a las que se aplica el filtrado DNS.
    4. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al cliente a la que se aplica el filtrado DNS.
    5. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al servidor a la que se aplica el filtrado DNS.
      Nota:

      Si configura las interfaces de cliente y servidor o las instancias de enrutamiento de cliente y servidor, se instalan filtros implícitos en las interfaces o instancias de enrutamiento para dirigir el tráfico DNS a la PIC de servicios para el filtrado DNS. Si no configura ni las interfaces de cliente y servidor ni las instancias de enrutamiento, debe proporcionar una forma de dirigir el tráfico DNS a la PIC de servicios (por ejemplo, a través de rutas).
    6. Especifique el nombre de la base de datos de filtros de dominio que se usará al filtrar solicitudes DNS.
    7. (Opcional) Para limitar el filtrado DNS a las solicitudes DNS destinadas a servidores DNS específicos, especifique hasta tres direcciones IP (IPv4 o IPv6).
    8. Especifique el método hash que se usó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.

      El único método hash admitido es hmac-sha2-256.

    9. Especifique la clave hash que se usó para crear el nombre de dominio hash en el archivo de base de datos de filtro de dominio.
    10. Configure el intervalo para registrar estadísticas de solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    11. Configure el tiempo de vida mientras envía la respuesta DNS después de realizar la acción de sumidero de DNS. El intervalo es de 0 a 86.400 segundos y el valor predeterminado es 1800.
    12. Configure el nivel de subdominios que se buscan para una coincidencia. El intervalo es de 0 a 10. Un valor de 0 indica que no se buscan subdominios.

      Por ejemplo, si establece el wildcarding-level valor en 4 y el archivo de base de datos incluye una entrada para example.com, se realizan las siguientes comparaciones para una solicitud DNS que llega con el dominio 198.51.100.0.example.com:

      • 198.51.100.0.example.com: no hay coincidencia

      • 51.100.0.example.com: no hay rival para un nivel más abajo

      • 100.0.example.com: no hay rival para dos niveles más abajo

      • 0.example.com: no hay rival para tres niveles hacia abajo

      • example.com: Partido para cuatro niveles hacia abajo

    13. (Opcional) Especifique el código de error de respuesta para los tipos de consulta SRV y TXT.

      (Opcional) Especifique el código de error de respuesta para los tipos de consulta SRV y TXT.

    14. Configure un término para la plantilla. Puede configurar un máximo de 64 términos en una plantilla.
    15. (Opcional) Especifique los prefijos de la dirección IP de origen de las solicitudes DNS que desea filtrar. Puede configurar un máximo de 64 prefijos en un término.
    16. Especifique que la acción de sumidero identificada en la base de datos de filtros de dominio se realiza en solicitudes DNS no permitidas.

Cómo configurar un conjunto de servicios para el filtrado DNS

Asocie el perfil de filtro DNS con un conjunto de servicios del próximo salto y habilite el registro para el filtrado DNS. La interfaz de servicio puede ser una interfaz ms o vms de servicios de próxima generación con tarjeta de servicios MX-SPC3) o puede ser una interfaz de multiservicios agregados (AMS).

Compatibilidad multiinquilino con el filtrado DNS

Visión general

A partir de Junos OS versión 21.1R1, puede configurar fuentes de dominio personalizadas por cliente o subgrupo de IP. Puedes:

  • Configure nombres de dominio y acciones para varios inquilinos, de modo que las fuentes de dominio se puedan administrar por inquilino.
  • Configure la administración jerárquica de fuentes de dominio por perfil, por dns-filter-template o por dns-filter-term.
  • Fuentes de dominio exentas a nivel de IP, subred o CIDR.

Para implementar la compatibilidad con mutiltenant para el filtrado DNS, se deshabilita la creación del archivo de base de datos de filtro de dominio en nivel de plantilla o perfil. No es necesario especificar un archivo a nivel de plantilla o perfil. A partir de Junos OS 21.1R1, de forma predeterminada, está disponible un archivo global con un nombre fijo, nsf_multi_tenant_dn_custom_file.txt (formato de texto sin formato) o dnsf_multi_tenant_dn_custom_file_hashed.txt (archivo cifrado).

Cada entrada del archivo de base de datos tiene los siguientes elementos:

hashed-domain-name, dirección del sumidero IPv4, dirección del sumidero IPv6, FQDN del sumidero, ID, acción, nombre de feed.

El hash del archivo se calcula y se anexa a la lista de entradas de nombre de dominio del archivo. El hash de archivo se calcula mediante una clave y un método globales, que se validan con el hash de archivo calculado mediante la clave hash configurada en la [edit services web-filter] jerarquía. La validación del archivo sólo se realiza correctamente si el hash de archivo calculado coincide con el hash de archivo presente en el archivo.

Cada entrada en nsf_multi_tenant_dn_custom_file.txt archivo consta de un campo adicional llamado feed-name. Este feed name se utiliza como indicador para agrupar un conjunto de nombres de dominio y asignarlos a un inquilino (perfil, plantilla, término o dirección IP).

Cuando los paquetes DNS se reciben de una dirección IP SRC en particular, se obtiene el nombre de fuente correspondiente y la búsqueda se realiza en los nombres de dominio asignados con el nombre de fuente asociado con el término. Si el feed-name no se aprovisiona para esa dirección IP, entonces vuelve al feed-name configurado en el nivel de plantilla y la búsqueda se realiza en los nombres de dominio asignados con el feed-name asociado con la plantilla. Si el feed-name no está configurado en la plantilla, entonces la búsqueda es contra los nombres de dominio asignados contra el feed-name asociado con el perfil.

Configuración de la compatibilidad de varios inquilinos para el filtrado DNS

  1. Configure el filtro web.
  2. Habilite la compatibilidad con varios inquilinos
  3. Configure la clave hash de archivo global y el método hash.
    Nota:

    Cuando multi-tenant-hashse configura, indica que el archivo de fuente DNS global consta solo de fuentes cifradas. Cuando multi-tenant-hash s no está configurado, indica que el archivo de fuente DNS global tiene fuentes en formato de texto sin formato.

  4. Configure el nombre de un perfil de filtro DNS y asigne la fuente de dominio en el nivel de perfil. El indicador de nombre de fuente configurado en el nivel de perfil se aplica a todas las plantillas y términos del perfil que no tienen configurado el indicador de nombre de fuente.
  5. Configure las opciones generales de filtrado DNS para el perfil. Estos valores se utilizan si una solicitud DNS no coincide con una plantilla específica.
    1. (Opcional) Para limitar el filtrado DNS a las solicitudes DNS destinadas a servidores DNS específicos, especifique hasta tres direcciones IP (IPv4 o IPv6).
    2. Configure el intervalo para registrar estadísticas de solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    3. Configure el tiempo de vida (TTL) para enviar la respuesta DNS después de realizar la acción de sumidero DNS. El intervalo es de 0 a 86.400 segundos y el valor predeterminado es 1800.
    4. Configure el nivel de subdominios que se buscan para una coincidencia. El intervalo es de 0 a 10. Un valor de 0 indica que no se buscan subdominios.
    5. (Opcional) Especifique el código de error de respuesta para el tipo de consulta TXT.
  6. Configure una plantilla. Puede configurar un máximo de 8 plantillas en un perfil. Cada plantilla identifica la configuración de filtro para solicitudes DNS en interfaces lógicas de enlace ascendente y descendente específicas o instancias de enrutamiento, o para solicitudes DNS de prefijos de direcciones IP de origen específicas.
    1. Configure el nombre de la plantilla.
    2. Configure el nombre de la fuente. Con el formato multiinquilino, ya no puede agregar un nombre de archivo en el perfil o la plantilla. El nombre de fuente especificado en perfil tiene menor prioridad en comparación con el configurado en la plantilla.
    3. (Opcional) Especifique las interfaces lógicas orientadas al cliente (vínculo ascendente) a las que se aplica el filtrado DNS.
    4. (Opcional) Especifique las interfaces lógicas orientadas al servidor (vínculo descendente) a las que se aplica el filtrado DNS.
    5. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al cliente a la que se aplica el filtrado DNS.
    6. (Opcional) Especifique la instancia de enrutamiento para la interfaz lógica orientada al servidor a la que se aplica el filtrado DNS.
      Nota:

      Si configura las interfaces de cliente y servidor o las instancias de enrutamiento de cliente y servidor, se instalan filtros implícitos en las interfaces o instancias de enrutamiento para dirigir el tráfico DNS a la PIC de servicios para el filtrado DNS. Si no configura ni las interfaces de cliente y servidor ni las instancias de enrutamiento, debe proporcionar una forma de dirigir el tráfico DNS a la PIC de servicios (por ejemplo, a través de rutas).
    7. Configure el intervalo para registrar estadísticas de solicitudes DNS y para acciones de sumidero realizadas para cada dirección IP de cliente. El intervalo es de 1 a 60 minutos y el valor predeterminado es de 5 minutos.
    8. Configure el tiempo de vida mientras envía la respuesta DNS después de realizar la acción de sumidero de DNS. El intervalo es de 0 a 86.400 segundos y el valor predeterminado es 1800.
    9. Configure el nivel de subdominios que se buscan para una coincidencia. El intervalo es de 0 a 10. Un valor de 0 indica que no se buscan subdominios.
    10. Configure un término para la plantilla. Puede configurar un máximo de 64 términos en una plantilla.
    11. Configure el nombre de la fuente. El nombre de fuente configurado en el término tiene mayor prioridad sobre el configurado en la plantilla. Sin embargo, si el dominio del sumidero coincide con el único dominio mencionado en el nombre de la fuente en la plantilla, se implementa la acción especificada para esa entrada.
    12. (Opcional) Especifique los prefijos de la dirección IP de origen de las solicitudes DNS que desea filtrar. Puede configurar un máximo de 64 prefijos en un término.
    13. Configure que la acción de sumidero identificada en la base de datos de filtros de dominio se realice en solicitudes DNS no permitidas.
  7. Asocie el perfil de filtro DNS con un conjunto de servicios del próximo salto y habilite el registro para el filtrado DNS. La interfaz de servicio puede ser una interfaz multiservicio (ms) o multiservicio virtual (vms) (servicios de próxima generación con tarjeta de servicios MX-SPC3), o puede ser una interfaz de multiservicios agregados (AMS).
  8. Si ejecuta Next Gen Services en la tarjeta de servicios MX-SPC3, configure la interfaz vms para obtener la información de FPC y PIC en el syslog.

Ejemplo: configuración de la compatibilidad multiinquilino para el filtrado DNS

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit].

Tabla de historial de cambios

La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
19,3R2
A partir de Junos OS versión 19.3R2, puede configurar el filtrado DNS si está ejecutando servicios de próxima generación con la tarjeta de servicios MX-SPC3. Los servicios de próxima generación son compatibles con los enrutadores MX240, MX480 y MX960.