Jump to content

Зона политики реагирования

Блок-схема DNS
Изменение ответа DNS в соответствии с ограничениями политики

Зона политики ответа ( RPZ ) — это механизм внедрения настраиваемой политики на серверах системы доменных имен , чтобы рекурсивные преобразователи возвращали возможно измененные результаты. Изменяя результат, можно заблокировать доступ к соответствующему хосту.

Использование RPZ основано на потоках данных DNS, известных как передача зоны , от поставщика RPZ на сервер развертывания. Что касается других методов создания черных списков , таких как Google Safe Browsing , фактический черный список не управляется и даже не просматривается клиентским приложением. Веб-браузерам и любым другим клиентским приложениям, которые подключаются к серверам в Интернете, необходим IP-адрес сервера, чтобы открыть соединение. Локальный преобразователь обычно представляет собой системное программное обеспечение, которое, в свою очередь, передает запрос рекурсивному преобразователю, который часто находится у поставщика услуг Интернета . Если последний сервер развертывает RPZ и либо запрошенное имя, либо полученный адрес находятся в черном списке, ответ изменяется таким образом, чтобы затруднить доступ.

Механизм RPZ был разработан Консорциумом интернет-систем под руководством Пола Викси как компонент BIND . сервера доменных имен (DNS) [1] Впервые он был доступен в версии BIND 9.8.1, выпущенной в 2010 году, и впервые публично анонсирован на Black Hat в июле 2010 года. [2] Он также доступен в программном обеспечении Unbound начиная с версии 1.14.0. [3]

Механизм RPZ опубликован как открытый и независимый от поставщика стандарт для обмена информацией о конфигурации брандмауэра DNS, что позволяет другому программному обеспечению разрешения DNS реализовать его. [4] [5]

RPZ был разработан как технология для борьбы со злоупотреблением DNS группами и/или лицами со злыми намерениями или другими гнусными целями. Он является продолжением проекта системы предотвращения злоупотреблений почтой , который представил данные о репутации в качестве механизма защиты от спама в электронной почте . RPZ расширяет использование данных о репутации в системе доменных имен.

RPZ позволяет рекурсивному преобразователю DNS выбирать конкретные действия, которые необходимо выполнить для ряда коллекций данных доменных имен (зон).

Для каждой зоны служба DNS может выбрать выполнение полного разрешения (нормальное поведение) или другие действия, включая объявление о том, что запрошенный домен не существует (технически, NXDOMAIN) или что пользователь должен посетить другой домен (технически, CNAME). ), среди других потенциальных действий.

Поскольку информацию о зоне можно получить из внешних источников (посредством передачи зоны), это позволяет службе DNS получать информацию от внешней организации о информации о домене, а затем выбирать обработку этой информации нестандартным способом.

RPZ, по сути, представляет собой механизм фильтрации, который либо не позволяет людям посещать интернет-домены, либо направляет их в другие места, манипулируя ответами DNS различными способами.

RPZ предоставляет операторам рекурсивного преобразователя DNS возможность получать от внешних организаций репутационные данные о доменах, которые могут быть опасными, а затем использовать эту информацию, чтобы избежать нанесения вреда компьютерам, использующим рекурсивный преобразователь, путем предотвращения посещения этими компьютерами потенциально опасные домены.

Механизм и данные

[ редактировать ]

РПЗ — это механизм, которому необходимы данные, на которые он должен реагировать.

Некоторые организации по интернет-безопасности предоставили данные, описывающие потенциально опасные домены, на ранних этапах разработки механизма RPZ. Другие службы также предлагают RPZ для определенных категорий доменов (например, для доменов контента для взрослых). Оператор рекурсивного преобразователя также легко определяет данные (зоны) собственных доменных имен, которые будут использоваться RPZ.

Пример использования

[ редактировать ]

Предположим, что Алиса использует компьютер, использующий службу DNS (рекурсивный преобразователь), настроенную на использование RPZ и имеющую доступ к некоторому источнику данных зоны, в котором перечислены домены, которые считаются опасными.

Алиса получает электронное письмо со ссылкой, которая ведет в какое-то место, которому она доверяет, и она хочет щелкнуть ссылку. Она делает это, но фактическое местоположение — это не проверенный источник, который она прочитала, а опасное местоположение, известное службе DNS.

Поскольку служба DNS понимает, что полученное веб-адрес является опасным, вместо того, чтобы сообщать компьютеру, как к нему добраться (немодифицированный ответ), она отправляет информацию, которая ведет в безопасное место. В зависимости от того, как служба DNS настраивает свои действия политики, измененным ответом может быть фиксированная страница на веб-сайте, информирующая ее о том, что произошло, или код ошибки DNS, такой как NXDOMAIN или NODATA, или вообще не отправлять ответ.

См. также

[ редактировать ]
  1. ^ Пол Викси; Вернон Шривер (21 июня 2018 г.). «История и эволюция» . Зоны политики ответа DNS (RPZ) . IETF . сек. 10. Идентификатор vixie-dnsop-dns-rpz.
  2. ^ Эндрю Фрид; Виктория Риск (9 мая 2017 г.). «Руководство по настройке BIND для использования зон политики ответа (RPZ)» (PDF) . Консорциум Интернет-систем .
  3. ^ «Зоны политики реагирования» . Несвязанные документы . Лаборатории НЛнет.
  4. ^ Пол Викси; Вернон Шрайвер (декабрь 2010 г.). «Зоны политики ответа DNS (DNS RPZ)» . Консорциум Интернет-систем .
  5. ^ «Draft-ietf-dnsop-DNS-RPZ-00 — Зоны политики ответа DNS (RPZ)» . Ietf Datatracker .
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6db9a994bf7ffa6fafc8f652d4b01ea9__1690963800
URL1:https://arc.ask3.ru/arc/aa/6d/a9/6db9a994bf7ffa6fafc8f652d4b01ea9.html
Заголовок, (Title) документа по адресу, URL1:
Response policy zone - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)