¿Se puede restringir el cambio de dns?
Sí, se puede restringir el cambio de DNS en varios niveles de una red o dispositivo para garantizar que los usuarios o sistemas utilicen solo los servidores DNS específicos proporcionados por un administrador de red o por políticas de seguridad.
Esto puede ser útil para evitar que se eludan controles de contenido, proteger contra ciertos tipos de ataques de malware o simplemente para garantizar que la resolución de nombres se maneje de manera eficiente y segura. Aquí te detallo cómo se puede hacer esto en diferentes escenarios:
En Routers o Firewalls
La mayoría de los routers y firewalls permiten configurar reglas para restringir el tráfico DNS a servidores específicos. Por ejemplo, puedes configurar un router para que solo permita consultas DNS a servidores que tú especifiques, bloqueando cualquier intento de consulta a otros servidores DNS.
Esto se logra mediante reglas de firewall que interceptan el tráfico en el puerto 53 (el puerto estándar para el tráfico DNS) y solo permiten el tráfico a las direcciones IP de los servidores DNS aprobados.
En Sistemas Operativos
Windows, macOS, Linux
Los sistemas operativos de escritorio permiten configurar los ajustes de DNS, pero restringir cambios requiere de pasos adicionales. Esto se puede manejar a través de políticas de grupo en entornos Windows (GPO) o mediante la configuración de permisos adecuados en sistemas basados en Unix (como macOS y Linux).
Por ejemplo, en Windows, se pueden usar las Directivas de Grupo para evitar que los usuarios cambien la configuración de DNS en las propiedades de su conexión de red.
Dispositivos Móviles (iOS, Android)
En dispositivos móviles, las restricciones pueden ser más difíciles de implementar de manera universal debido a las diferencias en los sistemas operativos y las capas de personalización de los fabricantes.
Sin embargo, aplicaciones de gestión de dispositivos móviles (MDM) pueden ofrecer la capacidad de restringir configuraciones de red, incluyendo servidores DNS.
A través de Software de Terceros
Existen aplicaciones y herramientas de seguridad que pueden restringir el cambio de servidores DNS en dispositivos individuales. Estas herramientas pueden ser parte de paquetes de seguridad de internet o aplicaciones de control parental que, entre otras cosas, limitan el acceso a configuraciones del sistema.
Consideraciones de Seguridad
Es importante tener en cuenta que, aunque restringir el cambio de DNS puede aumentar la seguridad, también puede afectar la funcionalidad si los servidores DNS configurados experimentan problemas o si los usuarios necesitan conectarse a redes en diferentes entornos (como en el caso de laptops que se mueven entre la oficina y el hogar).
Por ello, es crucial mantener una buena gestión de los servidores DNS permitidos y asegurarse de que sean fiables y seguros.
En MikroTik RouterOS
Esta práctica puede ser problemática por diversas razones, incluida la evasión de políticas de contenido, filtrado de sitios web, o incluso por seguridad, para evitar ataques de phishing o malware a través de DNS maliciosos. Hay dos soluciones principales para asegurar que, independientemente de la configuración DNS en los dispositivos de los usuarios, el tráfico DNS se maneje según las políticas de la red:
1. DNS Transparente con NAT Redirect
Esta técnica se utiliza cuando el router MikroTik actúa como servidor DNS y se desea que todo el tráfico DNS de los clientes se dirija hacia él, incluso si el cliente ha configurado manualmente un servidor DNS diferente en su dispositivo.
Para implementar esta configuración, se crea una regla NAT en el router MikroTik que intercepta todo el tráfico destinado al puerto 53 (el puerto estándar para el tráfico DNS) y lo redirige (redirect) hacia el propio router MikroTik.
De esta manera, aunque un cliente haya configurado un DNS diferente, como 8.8.8.8 (Google DNS), el tráfico DNS en realidad es procesado por el MikroTik. La configuración en el dispositivo del cliente no cambia visualmente, pero efectivamente el tráfico DNS es redirigido.
Ejemplo de Regla para DNS Transparente:
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53Estas reglas redirigen todo el tráfico destinado al puerto 53 hacia el puerto 53 del router MikroTik, asegurando que el router maneje las solicitudes DNS.
2. Forzar Uso de un DNS Específico con NAT dst-nat
Cuando se desea forzar el uso de un servidor DNS específico, ya sea interno o externo (que no sea el router MikroTik), se puede configurar una regla NAT que intercepte el tráfico DNS y lo redireccione a la IP del servidor DNS deseado, utilizando dst-nat.
Esta configuración es útil si se administra un servidor DNS interno para controlar el acceso a Internet o si se prefiere utilizar un DNS externo específico por razones de confiabilidad, rendimiento, o filtrado de contenido.
Ejemplo de Regla para Forzar un DNS Específico:
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp to-addresses=192.168.1.1 to-ports=53
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=tcp to-addresses=192.168.1.1 to-ports=53Reemplaza 192.168.1.1 con la dirección IP del servidor DNS que quieres forzar. Estas reglas aseguran que todo el tráfico destinado al puerto 53 sea redirigido al servidor DNS especificado, independientemente de la configuración DNS en los dispositivos de los usuarios.
Consideraciones Finales
Ambas técnicas son efectivas para gestionar cómo se resuelven las solicitudes DNS dentro de una red y pueden ayudar a mantener la consistencia de las políticas de red, mejorar la seguridad y optimizar el rendimiento.
Sin embargo, es importante tener en cuenta las necesidades específicas de la red y de los usuarios al implementar estas soluciones, además de mantener las prácticas recomendadas de seguridad y privacidad.
No hay etiquetas para esta publicación.- Comparte este Artículo
1 comentario en “¿Se puede restringir el cambio de dns?”
Hola, si! Quieres obligar a tu usuario a usar la dns que tú quieres que se use