Sim, a comutação de DNS pode ser restrita em vários níveis de uma rede ou dispositivo para garantir que os usuários ou sistemas usem apenas servidores DNS específicos fornecidos por um administrador de rede ou por políticas de segurança.
Isso pode ser útil para evitar que os controles de conteúdo sejam ignorados, proteger contra certos tipos de ataques de malware ou simplesmente para garantir que a resolução de nomes seja tratada de forma eficiente e segura. Aqui detalho como isso pode ser feito em diferentes cenários:
Em roteadores ou firewalls
A maioria dos roteadores e firewalls permitem configurar regras para restringir o tráfego DNS a servidores específicos. Por exemplo, você pode configurar um roteador para permitir apenas consultas DNS aos servidores especificados, bloqueando qualquer tentativa de consulta a outros servidores DNS.
Isto é conseguido por regras de firewall que interceptam o tráfego na porta 53 (a porta padrão para tráfego DNS) e permitem apenas o tráfego para os endereços IP de servidores DNS aprovados.
Em sistemas operacionais
Windows, MacOS, Linux
Os sistemas operacionais de desktop permitem definir configurações de DNS, mas restringir alterações requer etapas adicionais. Isso pode ser tratado por meio de políticas de grupo em ambientes Windows (GPO) ou definindo permissões apropriadas em sistemas baseados em Unix (como macOS e Linux).
Por exemplo, no Windows, as Políticas de Grupo podem ser usadas para impedir que os usuários alterem as configurações de DNS nas propriedades de conexão de rede.
Dispositivos móveis (iOS, Android)
Em dispositivos móveis, as restrições podem ser mais difíceis de implementar universalmente devido às diferenças nos sistemas operacionais e nas camadas de personalização dos fabricantes.
No entanto, os aplicativos de gerenciamento de dispositivos móveis (MDM) podem oferecer a capacidade de restringir configurações de rede, incluindo servidores DNS.
Através de software de terceiros
Existem aplicativos e ferramentas de segurança que podem restringir a alteração de servidores DNS em dispositivos individuais. Essas ferramentas podem fazer parte de pacotes de segurança da Internet ou de aplicativos de controle parental que, entre outras coisas, limitam o acesso às configurações do sistema.
Considerações de segurança
É importante observar que, embora a restrição da alternância de DNS possa aumentar a segurança, ela também pode afetar a funcionalidade se os servidores DNS configurados apresentarem problemas ou se os usuários precisarem se conectar a redes em ambientes diferentes (como laptops que se movem entre o escritório e a casa).
Portanto, é crucial manter um bom gerenciamento dos servidores DNS permitidos e garantir que sejam confiáveis e seguros.
No MikroTik RouterOS
Essa prática pode ser problemática por diversos motivos, incluindo evasão de políticas de conteúdo, filtragem de sites ou até mesmo por segurança, para evitar ataques de phishing ou malware via DNS malicioso. Existem duas soluções principais para garantir que, independentemente das configurações de DNS nos dispositivos dos usuários, o tráfego DNS seja tratado de acordo com as políticas de rede:
1. DNS transparente com redirecionamento NAT
Esta técnica é usada quando o roteador MikroTik atua como um servidor DNS e você deseja que o tráfego DNS de todos os clientes seja direcionado para ele, mesmo que o cliente tenha configurado manualmente um servidor DNS diferente em seu dispositivo.
Para implementar esta configuração, é criada uma regra NAT no roteador MikroTik que intercepta todo o tráfego destinado à porta 53 (porta padrão para tráfego DNS) e o redireciona para o próprio roteador MikroTik.
Desta forma, mesmo que um cliente tenha configurado um DNS diferente, como 8.8.8.8 (Google DNS), o tráfego DNS é realmente processado pelo MikroTik. A configuração no dispositivo cliente não muda visualmente, mas efetivamente o tráfego DNS é redirecionado.
Exemplo de regra para DNS transparente:
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53
Essas regras redirecionam todo o tráfego destinado à porta 53 para a porta 53 do roteador MikroTik, garantindo que o roteador lide com as solicitações de DNS.
2. Forçar o uso de um DNS específico com NAT dst-nat
Quando quiser forçar o uso de um servidor DNS específico, seja interno ou externo (diferente do roteador MikroTik), você pode configurar uma regra NAT que intercepte o tráfego DNS e o redirecione para o IP do servidor DNS desejado, usando dst-nat
.
Essa configuração é útil se você gerencia um servidor DNS interno para controlar o acesso à Internet ou se prefere usar um DNS externo específico por motivos de confiabilidade, desempenho ou filtragem de conteúdo.
Exemplo de regra para forçar um DNS específico:
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp to-addresses=192.168.1.1 to-ports=53
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=tcp to-addresses=192.168.1.1 to-ports=53
Substitui 192.168.1.1
com o endereço IP do servidor DNS que você deseja forçar. Estas regras garantem que todo o tráfego destinado à porta 53 seja redirecionado para o servidor DNS especificado, independentemente das configurações de DNS nos dispositivos dos usuários.
Considerações Finais
Ambas as técnicas são eficazes no gerenciamento de como as solicitações de DNS são resolvidas em uma rede e podem ajudar a manter a consistência da política de rede, melhorar a segurança e otimizar o desempenho.
Porém, é importante considerar as necessidades específicas da sua rede e dos usuários ao implementar essas soluções, bem como manter as melhores práticas de segurança e privacidade.
Não há tags para esta postagem.
1 comentário sobre “A alteração do DNS pode ser restrita?”
Oi, sim! Você deseja forçar seu usuário a usar o DNS que você deseja usar