Strefa polityki odpowiedzi

Modyfikacja odpowiedzi DNS zgodnie z ograniczeniami zasad

Strefa zasad odpowiedzi ( RPZ ) to mechanizm umożliwiający wprowadzenie dostosowanej polityki na serwerach systemu nazw domen , dzięki czemu rekursywne programy rozpoznawania nazw zwracają prawdopodobnie zmodyfikowane wyniki. Modyfikując wynik, można zablokować dostęp do odpowiedniego hosta.

Korzystanie z RPZ opiera się na źródłach danych DNS, znanych jako transfer strefy , od dostawcy RPZ do serwera wdrażającego. W przypadku innych list blokowania , takich jak Bezpieczne przeglądanie Google , aplikacja kliencka nie zarządza faktyczną listą blokowania, a nawet jej nie widzi. Przeglądarki internetowe i wszelkie inne aplikacje klienckie łączące się z serwerami w Internecie potrzebują adresu IP serwera, aby otworzyć połączenie. Lokalny program tłumaczący jest zwykle oprogramowaniem systemowym, które z kolei nadaje zapytaniu funkcję rekurencyjną resolwer, który często znajduje się u dostawcy usług internetowych . Jeśli ten ostatni serwer wdroży RPZ i albo żądana nazwa, albo wynikowy adres znajdują się na liście zablokowanych, odpowiedź jest modyfikowana w taki sposób, aby utrudniać dostęp.

Historia

Mechanizm RPZ został opracowany przez Konsorcjum Systemów Internetowych pod przewodnictwem Paula Vixie jako składnik serwera nazw domen BIND (DNS). Po raz pierwszy było dostępne w wersji BIND 9.8.1 wydanej w 2010 r. i po raz pierwszy ogłoszone publicznie na konferencji Black Hat w lipcu 2010 r. Jest również dostępne w oprogramowaniu Unbound od wersji 1.14.0.

Mechanizm RPZ jest publikowany jako otwarty i neutralny dla dostawców standard wymiany informacji konfiguracyjnych zapory DNS, umożliwiający jego implementację innym oprogramowaniu do rozpoznawania nazw DNS.

RPZ został opracowany jako technologia mająca na celu zwalczanie niewłaściwego wykorzystania DNS przez grupy i/lub osoby w złych zamiarach lub innych niegodziwych celach. Jest to kontynuacja Mail Abuse Prevention System , w ramach którego wprowadzono dane dotyczące reputacji jako mechanizm ochrony przed spamem e-mailowym . RPZ rozszerza wykorzystanie danych o reputacji na system nazw domen.

Funkcjonować

RPZ umożliwia rekurencyjnemu mechanizmowi rozpoznawania nazw domeny wybór określonych działań, które mają zostać wykonane dla pewnej liczby kolekcji danych nazw domen (stref).

Dla każdej strefy usługa DNS może zdecydować się na wykonanie pełnego rozpoznania (normalne zachowanie) lub inne działania, w tym zadeklarowanie, że żądana domena nie istnieje (technicznie rzecz biorąc, NXDOMAIN) lub że użytkownik powinien odwiedzić inną domenę (technicznie rzecz biorąc, CNAME ), wśród innych potencjalnych działań.

Ponieważ informacje o strefie można uzyskać ze źródeł zewnętrznych (poprzez transfer strefy), umożliwia to usłudze DNS uzyskanie informacji od organizacji zewnętrznej na temat informacji o domenie, a następnie podjęcie decyzji o przetwarzaniu tych informacji w niestandardowy sposób.

Zamiar

RPZ to zasadniczo mechanizm filtrujący, który uniemożliwia ludziom odwiedzanie domen internetowych lub wskazuje im inne lokalizacje poprzez manipulację odpowiedziami DNS na różne sposoby.

RPZ zapewnia operatorom rekursywnego mechanizmu rozpoznawania nazw DNS możliwość uzyskania od organizacji zewnętrznych danych dotyczących reputacji na temat domen, które mogą być szkodliwe, a następnie wykorzystania tych informacji w celu uniknięcia szkód wyrządzonych komputerom korzystającym z rekursywnego mechanizmu rozpoznawania nazw poprzez uniemożliwienie tym komputerom odwiedzania potencjalnie szkodliwe domeny.

Mechanizm i dane

RPZ to mechanizm, który potrzebuje danych, na podstawie których ma zareagować.

Niektóre organizacje zajmujące się bezpieczeństwem Internetu udostępniły dane opisujące potencjalnie niebezpieczne domeny na wczesnym etapie rozwoju mechanizmu RPZ. Inne usługi oferują również RPZ dla określonych kategorii domen (na przykład dla domen z treściami dla dorosłych). Operator rekursywnego mechanizmu rozpoznawania nazw może również z łatwością definiować własne dane dotyczące nazw domen (strefy), które będą wykorzystywane przez RPZ.

Przykład użycia

Weź pod uwagę, że Alicja korzysta z komputera korzystającego z usługi DNS (rekursywnego mechanizmu rozpoznawania nazw), skonfigurowanego do korzystania z RPZ i mającego dostęp do pewnego źródła danych strefowych, które zawiera listę domen uważanych za niebezpieczne.

Alicja otrzymuje wiadomość e-mail z łączem, które wydaje się prowadzić do miejsca, któremu ufa, i chce kliknąć ten link. Robi to, ale rzeczywista lokalizacja nie jest zaufanym źródłem, które przeczytała, ale niebezpieczną lokalizacją, znaną usłudze DNS.

Gdy usługa DNS zorientuje się, że uzyskana lokalizacja internetowa jest niebezpieczna, zamiast poinformować komputer, jak się do niej dostać (odpowiedź niezmodyfikowana), wysyła informację, która prowadzi do bezpiecznej lokalizacji. W zależności od tego, jak usługa DNS skonfiguruje swoje działania zasad, zmodyfikowaną odpowiedzią może być stała strona w witrynie internetowej informująca ją o tym, co się stało, kod błędu DNS, taki jak NXDOMAIN lub NODATA, lub też brak odpowiedzi.

Zobacz też

• Bezpieczne przeglądanie Google
• WIĄZAĆ
• Oprogramowanie do zarządzania DNS
• Kwadrat9

Linki zewnętrzne

• Oryginalny wpis na blogu (Paul Vixie)
• Slajdy z większą ilością szczegółów (Paul Vixie) - Link uszkodzony
• Informacje o kanale danych RPZ firmy Spamhaus
• Budowanie zapór sieciowych DNS ze strefami zasad odpowiedzi
• Używanie adresu URLhaus jako strefy zasad reagowania (RPZ)