Skip to main content
  • EN

AD_4nXdzFCW4hWnMosWvggoxcVZLzhYhgkcSmfuuoHBrqrazXGtId9kYwpLXksbRsii0BI051R1oCZr5hU9PJDvKTXXLxrRVLFO8mhyixRYf9KpzwPNGj1KZsNofC_WL_TCWgKej73Yg?key=QgbFIVHz7_xvcqXCuoTil4sU

Netskope Global Technical Success (GTS)

Bloqueo de tráfico DNS sobre TLS usando Netskope

 

Netskope Cloud Version - 122

 

Objectvo

Crear una política para bloquear tráfico DNS sobre TLS usando Netskope

 

Pre-requisitos

Licencia CFW y NG-SWG son requeridas

 

Contexto

Bloquear DNS sobre TLS asegura que todo el tráfico DNS sea enrutado a través de los servidores de la empresa, mejorando la visibilidad y el control. Previene la evasión de políticas y reduce los riesgos de seguridad provenientes de dominios maliciosos cifrados.

 

Configuration

DNS over HTTPS (DoH) y DNS over TLS (DoT) no son protocolos compatibles para el steering de Netskope (CASB, NG-SWG, NPA, CFW) y pueden ser explotados por actores maliciosos. Por lo tanto, Netskope recomienda encarecidamente configurar una política para dirigir y bloquear este tráfico.

Este documento se centra en los pasos para configurar políticas para bloquear DoT. Para mejores prácticas sobre el manejo de DoH, por favor consulta:
https://docs.netskope.com/en/best-practices-for-utility-policies/

El primer paso es crear la aplicación DNS over TLS desde la configuración de Cloud Firewall. Esta aplicación puede ser utilizada posteriormente en políticas en tiempo real. Dirígete a Settings > Security Cloud Platform > App Definition > Cloud & Firewall Apps y crea una nueva aplicación siguiendo los pasos descritos en este documento:
https://docs.netskope.com/en/creating-a-firewall-app-definition-449298/

La aplicación debe ser definida con el puerto 853 TCP/UDP.
 

AD_4nXfz6aL0lD-SIrXyP9VVlofszfoq0vxbp-RYG42rHhxf-j8UHjP4MB2k6GXVSbeKFGUF6kOW3klFKF8WDPwS-L5JLT04ygfIaOHpRCcHkUtiC0YJyzT7J-Pl-HDVhHwy2MNLurcUow?key=QgbFIVHz7_xvcqXCuoTil4sU

Esta aplicación debe ser utilizada en una política en tiempo real configurada para bloquear el tráfico.

AD_4nXdDRADVAB8wMuoMs_NQYCOEbfEoFVcqBg2Ze5PeMBr0Q0ZkedM6ya--MFFEL7z43CJp3Scl8rTbxmfqNFhKDQ1ZBZsGkw8BX4SFmoisPqeQoQWk6JdN9Ec6GqQiJutiTuuqCtjPTQ?key=QgbFIVHz7_xvcqXCuoTil4sU

 

Para mejores prácticas, coloca esta política en la parte superior de tu conjunto de políticas en tiempo real, junto con la política de DNS over HTTPS y las políticas de Threat Protection. Típicamente, y como mejor práctica, la primera política debe ser DoH, para que DoT pueda colocarse en la segunda posición.

Términos y condiciones

  • Toda la información documentada pasa por pruebas y verificación para garantizar su exactitud.
  • En el futuro, es posible que el proveedor realice cambios en la funcionalidad de la aplicación. Si dichos cambios son notificados, actualizaremos la documentación de inmediato para reflejarlos.

Notas

  • Este artículo ha sido redactado por Netskope Global Technical Success (GTS).
  • Para cualquier consulta adicional relacionada con este artículo, por favor contacte a Netskope GTS enviando un caso de soporte con el "Case Type – How To Questions".


 

Be the first to reply!

Badges Winner

Show all badges

Not finding what you're looking for?

Don't be shy and let us know about your challenge.

Ask your question here!
Terms & ConditionsCookie settings