Зона политики реагирования
Эта статья нуждается в дополнительных цитатах для проверки . ( январь 2018 г. ) |
Зона политики ответа ( RPZ ) — это механизм внедрения настраиваемой политики на серверах системы доменных имен , чтобы рекурсивные преобразователи возвращали возможно измененные результаты. Изменяя результат, можно заблокировать доступ к соответствующему хосту.
Использование RPZ основано на потоках данных DNS, известных как передача зоны , от поставщика RPZ на сервер развертывания. Что касается других методов создания черных списков , таких как Google Safe Browsing , фактический черный список не управляется и даже не просматривается клиентским приложением. Веб-браузерам и любым другим клиентским приложениям, которые подключаются к серверам в Интернете, необходим IP-адрес сервера, чтобы открыть соединение. Локальный преобразователь обычно представляет собой системное программное обеспечение, которое, в свою очередь, передает запрос рекурсивному преобразователю, который часто находится у поставщика услуг Интернета . Если последний сервер развертывает RPZ и либо запрошенное имя, либо полученный адрес находятся в черном списке, ответ изменяется таким образом, чтобы затруднить доступ.
История
[ редактировать ]Механизм RPZ был разработан Консорциумом интернет-систем под руководством Пола Викси как компонент BIND . сервера доменных имен (DNS) [1] Впервые он был доступен в версии BIND 9.8.1, выпущенной в 2010 году, и впервые публично анонсирован на Black Hat в июле 2010 года. [2] Он также доступен в программном обеспечении Unbound начиная с версии 1.14.0. [3]
Механизм RPZ опубликован как открытый и независимый от поставщика стандарт для обмена информацией о конфигурации брандмауэра DNS, что позволяет другому программному обеспечению разрешения DNS реализовать его. [4] [5]
RPZ был разработан как технология для борьбы со злоупотреблением DNS группами и/или лицами со злыми намерениями или другими гнусными целями. Он является продолжением проекта системы предотвращения злоупотреблений почтой , который представил данные о репутации в качестве механизма защиты от спама в электронной почте . RPZ расширяет использование данных о репутации в системе доменных имен.
Функция
[ редактировать ]RPZ позволяет рекурсивному преобразователю DNS выбирать конкретные действия, которые необходимо выполнить для ряда коллекций данных доменных имен (зон).
Для каждой зоны служба DNS может выбрать выполнение полного разрешения (нормальное поведение) или другие действия, включая объявление о том, что запрошенный домен не существует (технически, NXDOMAIN) или что пользователь должен посетить другой домен (технически, CNAME). ), среди других потенциальных действий.
Поскольку информацию о зоне можно получить из внешних источников (посредством передачи зоны), это позволяет службе DNS получать информацию от внешней организации о информации о домене, а затем выбирать обработку этой информации нестандартным способом.
Цель
[ редактировать ]RPZ, по сути, представляет собой механизм фильтрации, который либо не позволяет людям посещать интернет-домены, либо направляет их в другие места, манипулируя ответами DNS различными способами.
RPZ предоставляет операторам рекурсивного преобразователя DNS возможность получать от внешних организаций репутационные данные о доменах, которые могут быть опасными, а затем использовать эту информацию, чтобы избежать нанесения вреда компьютерам, использующим рекурсивный преобразователь, путем предотвращения посещения этими компьютерами потенциально опасные домены.
Механизм и данные
[ редактировать ]РПЗ — это механизм, которому необходимы данные, на которые он должен реагировать.
Некоторые организации по интернет-безопасности предоставили данные, описывающие потенциально опасные домены, на ранних этапах разработки механизма RPZ. Другие службы также предлагают RPZ для определенных категорий доменов (например, для доменов контента для взрослых). Оператор рекурсивного преобразователя также легко определяет данные (зоны) собственных доменных имен, которые будут использоваться RPZ.
Пример использования
[ редактировать ]Предположим, что Алиса использует компьютер, использующий службу DNS (рекурсивный преобразователь), настроенную на использование RPZ и имеющую доступ к некоторому источнику данных зоны, в котором перечислены домены, которые считаются опасными.
Алиса получает электронное письмо со ссылкой, которая ведет в какое-то место, которому она доверяет, и она хочет щелкнуть ссылку. Она делает это, но фактическое местоположение — это не проверенный источник, который она прочитала, а опасное местоположение, известное службе DNS.
Поскольку служба DNS понимает, что полученное веб-адрес является опасным, вместо того, чтобы сообщать компьютеру, как к нему добраться (немодифицированный ответ), она отправляет информацию, которая ведет в безопасное место. В зависимости от того, как служба DNS настраивает свои действия политики, измененным ответом может быть фиксированная страница на веб-сайте, информирующая ее о том, что произошло, или код ошибки DNS, такой как NXDOMAIN или NODATA, или вообще не отправлять ответ.
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Пол Викси; Вернон Шривер (21 июня 2018 г.). «История и эволюция» . Зоны политики ответа DNS (RPZ) . IETF . сек. 10. Идентификатор vixie-dnsop-dns-rpz.
- ^ Эндрю Фрид; Виктория Риск (9 мая 2017 г.). «Руководство по настройке BIND для использования зон политики ответа (RPZ)» (PDF) . Консорциум Интернет-систем .
- ^ «Зоны политики реагирования» . Несвязанные документы . Лаборатории НЛнет.
- ^ Пол Викси; Вернон Шрайвер (декабрь 2010 г.). «Зоны политики ответа DNS (DNS RPZ)» . Консорциум Интернет-систем .
- ^ «Draft-ietf-dnsop-DNS-RPZ-00 — Зоны политики ответа DNS (RPZ)» . Ietf Datatracker .