El proceso de instalación de pseudo VPN de Microsofts llamado Acceso directo requiere que elimine el Nombre de ISATAP de la lista de bloqueo global predeterminada ejecutando este comando:
dnscmd /config /globalqueryblocklist wpad
¿Cuáles son las implicaciones de ejecutar este comando y cuáles son los beneficios de dejar ISATAP bloqueado?
Microsoft Dynamic DNS permite que los hosts soliciten un nombre de host específico que les gustaría usar. (¡Eso es lo que significa la dinámica!)
Como era de esperar, no puede usar esta función para robar el nombre de un host existente, pero hay un ataque relacionado donde se roba el nombre de un host que no existe, pero que los clientes buscan como parte de Un protocolo de autodescubrimiento.
Por ejemplo, cuando se inicia Internet Explorer, intenta descubrir si hay un servidor proxy que debería estar usando. Una de las formas en que lo hace es intentar conectarse a un servidor llamado wpad y descargar un archivo de configuración de detección automática de proxy web.
De forma similar, si tiene una red IPv4 y una aplicación cliente que desea enviar tráfico IPv6 a algún lugar, el cliente debe encontrar un enrutador de Protocolo de direccionamiento de túnel automático (ISATAP) dentro del sitio: el cliente envuelve el tráfico IPV6 en un paquete IPV4 y lo envía al enrutador ISATAP, que desenvuelve el tráfico y lo envía. Lo has adivinado: una de las formas en que el cliente encuentra un enrutador adecuado es intentar conectarse a un servidor llamado isatap y descargar una lista.
Entonces, si no tiene hosts llamados wpad e isatap, debe asegurarse de que un cliente malintencionado no pueda registrar estos nombres, ya que de lo contrario pueden entregar archivos de configuración falsos a los clientes y robar el trafico
Usted pensaría que simplemente le diría al servidor DNS que no entregue esos nombres, pero eso sería demasiado fácil. En su lugar, utiliza la lista de bloqueo global, que es una lista de nombres que el servidor DNS nunca resolverá, tenga o no registros para ellos. Por defecto, esta lista tiene dos entradas, wpad e isatap.
Esto significa, entonces, que si las cosas cambian y configura un host de wpad / istap real, debe eliminar sus nombres de la lista de bloqueo antes de que funcione.
En su situación específica, el acceso directo se basa en IPV6, y los hosts a los que se conectan sus clientes deben usar IPV6. Por lo tanto, si están en una red solo IPV4, debe implementar ISATAP para que funcione, y por lo tanto, debe eliminar ISATAP de la lista global bloqueada.
Al hacer esto no se debe presentar un problema de seguridad, ya que una vez que se establezca el acceso directo, tendrá un host real llamado isatap y los clientes malintencionados no podrán registrar ese nombre.
Una última nota para aquellos que se preguntan por qué dices dnscmd /config /globalqueryblocklist wpad cuando está habilitando Isatap, no wpad. Este comando establece la lista de bloqueo al valor especificado. es decir, de forma predeterminada, la lista de bloqueos lee "wpad isatap" y el comando lo cambia para que simplemente sea "wpad".
Lea otras preguntas en las etiquetas windows dns vpn ipv6 active-directory