Зона политики ответа - Response policy zone

Изменение ответа DNS в соответствии с ограничениями политики

А зона политики реагирования (РПЗ) - это механизм для введения настраиваемой политики в система доменных имен серверов, так что рекурсивные преобразователи возвращают возможно измененные результаты. Изменяя результат, можно заблокировать доступ к соответствующему хосту.

Использование RPZ основано на каналах данных DNS, известных как зона передачи от поставщика RPZ на сервер развертывания. Что касается других черный список методы, такие как Безопасный просмотр Google, фактический черный список не управляется, даже не просматривается клиентским приложением. Веб-браузеры и любые другие клиентские приложения, которые подключаются к серверам в Интернете, нуждаются в айпи адрес сервера, чтобы открыть соединение. Местный решатель обычно является системным программным обеспечением, которое, в свою очередь, помещает запрос в рекурсивный резольвер, который часто находится в интернет-провайдер. Если последний сервер развертывает RPZ, и либо запрошенное имя, либо полученный адрес находятся в черном списке, ответ изменяется таким образом, чтобы препятствовать доступу.

История

Механизм РПЗ был разработан Консорциум Интернет-систем во главе с Пол Викси как компонент СВЯЗЫВАТЬ Сервер доменных имен (DNS).^[1] Впервые он был доступен в версии BIND 9.8.1, выпущенной в 2010 году, и впервые публично анонсирован на Black Hat в июле 2010 года.^[2]

Механизм RPZ опубликован как открытый и не зависящий от производителя стандарт для обмена информацией о конфигурации DNS Firewall, что позволяет другому программному обеспечению разрешения DNS реализовать его. ^[3][4]

RPZ была разработана как технология для борьбы со злоупотреблением DNS группами и / или лицами со злым умыслом или другими гнусными целями. Это следует из Система предотвращения злоупотребления почтой проект, который представил данные о репутации как механизм защиты от электронной почты спам. RPZ расширяет использование данных о репутации в системе доменных имен.

Функция

RPZ позволяет рекурсивному преобразователю DNS выбирать определенные действия, которые будут выполняться для ряда наборов данных (зон) доменного имени.

Для каждой зоны служба DNS может выбрать выполнение полного разрешения (нормальное поведение) или другие действия, включая объявление о том, что запрошенный домен не существует (технически NXDOMAIN) или что пользователь должен посетить другой домен (технически CNAME ) среди других возможных действий.

Поскольку информация о зоне может быть получена из внешних источников (посредством передачи зоны), это позволяет службе DNS получать информацию от внешней организации об информации о домене, а затем выбирать обработку этой информации нестандартным способом.

Цель

RPZ - это, по сути, механизм фильтрации, который либо предотвращает посещение людьми интернет-доменов, либо указывает им на другие места, манипулируя ответами DNS различными способами.

RPZ предоставляет операторам рекурсивного преобразователя DNS возможность получать репутационные данные от внешних организаций о доменах, которые могут быть вредоносными, а затем использовать эту информацию, чтобы избежать нанесения вреда компьютерам, использующим рекурсивный преобразователь, путем предотвращения доступа этих компьютеров к потенциально опасные домены.

Механизм и данные

RPZ - это механизм, которому нужны данные, на которые он должен отвечать.

Некоторые организации, занимающиеся вопросами безопасности в Интернете, предложили данные, описывающие потенциально опасные домены, на раннем этапе разработки механизма RPZ. Другие службы также предлагают RPZ для определенных категорий доменов (например, для доменов с контентом для взрослых). Оператор рекурсивного преобразователя также легко может определять свои собственные данные (зоны) доменного имени, которые будут использоваться RPZ.

Пример использования

Учтите, что Алиса использует компьютер, который использует службу DNS (рекурсивный преобразователь), который настроен на использование RPZ и имеет доступ к некоторому источнику данных зоны, в котором перечислены домены, которые считаются опасными.

Алиса получает электронное письмо со ссылкой, которая, по-видимому, ведет в какое-то место, которому она доверяет, и она хочет нажать на ссылку. Она так и делает, но фактическое местоположение - это не надежный источник, который она читала, а опасное местоположение, известное службе DNS.

Поскольку служба DNS понимает, что полученное веб-местоположение является опасным, вместо того, чтобы сообщить своему компьютеру, как к нему добраться (неизмененный ответ), она отправляет информацию, которая ведет в безопасное место. В зависимости от того, как служба DNS настраивает свои действия политики, измененный ответ может представлять собой фиксированную страницу на веб-сайте, которая информирует ее о том, что произошло, или код ошибки DNS, такой как NXDOMAIN или NODATA, или вообще не отправлять ответ.

Смотрите также

• Портал бесплатного программного обеспечения с открытым исходным кодом

• Безопасный просмотр Google
• СВЯЗЫВАТЬ
• Программное обеспечение для управления DNS
• Quad9

Рекомендации

1. Пол Викси; Вернон Шрайвер (21 июня 2018 г.). «История и эволюция». Зоны политики ответа DNS (RPZ). IETF. сек. 10. I-D vixie-dnsop-dns-rpz.
2. Эндрю Фрид; Виктория Риск (9 мая 2017 г.). «Учебное пособие по настройке BIND для использования зон политики ответа (RPZ)» (PDF). Консорциум Интернет-систем.
3. Пол Викси; Вернон Шрайвер (декабрь 2010 г.). «Зоны политики ответа DNS (DNS RPZ)». Консорциум Интернет-систем.
4. https://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/

внешняя ссылка

• Оригинальный пост в блоге (Пол Викси)
• Слайды с более подробной информацией (Пол Викси)
• Информация о фиде данных RPZ от Spamhaus
• Создание брандмауэров DNS с зонами политики ответа
• Использование URLhaus в качестве зоны политики ответа (RPZ)