Svarspolicyzon

Ändring av DNS-svar under policybegränsningar

En svarspolicyzon ( RPZ ) är en mekanism för att introducera en anpassad policy i Domain Name System- servrar, så att rekursiva resolvers returnerar eventuellt modifierade resultat. Genom att ändra ett resultat kan åtkomst till motsvarande värd blockeras.

Användningen av en RPZ baseras på DNS-dataflöden, känd som zonöverföring , från en RPZ-leverantör till den distribuerande servern. Med avseende på andra blocklistsmetoder , som Google Safe Browsing , hanteras inte den faktiska blockeringslistan, inte ens ses, av klientapplikationen. Webbläsare och alla andra klientapplikationer som ansluter till servrar på Internet behöver serverns IP-adress för att kunna öppna anslutningen. Den lokala resolvern är vanligtvis en systemmjukvara som i sin tur ställer frågan till en rekursiv resolver, som ofta finns hos Internetleverantören . Om den senare servern använder RPZ, och antingen det efterfrågade namnet eller den resulterande adressen finns i blockeringslistan, modifieras svaret för att hindra åtkomst.

Historia

RPZ-mekanismen utvecklades av Internet Systems Consortium ledd av Paul Vixie som en komponent i BIND Domain Name Server (DNS). Den var först tillgänglig i BIND-version 9.8.1 släppt 2010 och offentliggjordes först på Black Hat i juli 2010. Den är också tillgänglig i Unbound- mjukvaran från och med version 1.14.0.

RPZ-mekanismen publiceras som en öppen och leverantörsneutral standard för utbyte av DNS-brandväggskonfigurationsinformation, vilket gör att andra DNS-upplösningsprogram kan implementera den.

RPZ utvecklades som en teknik för att bekämpa missbruk av DNS av grupper och/eller personer med uppsåt eller andra ondskefulla syften. Det följer på Mail Abuse Prevention System som introducerade ryktesdata som en mekanism för att skydda mot e- postspam . RPZ utökar användningen av ryktesdata till domännamnssystemet.

Fungera

RPZ tillåter en DNS-rekursiv resolver att välja specifika åtgärder som ska utföras för ett antal samlingar av domännamnsdata (zoner).

För varje zon kan DNS-tjänsten välja att utföra full upplösning (normalt beteende) eller andra åtgärder, inklusive att förklara att den begärda domänen inte existerar (tekniskt sett NXDOMAIN), eller att användaren ska besöka en annan domän (tekniskt sett CNAME ), bland andra potentiella åtgärder.

Eftersom zoninformation kan erhållas från externa källor (via en zonöverföring) tillåter detta en DNS-tjänst att få information från en extern organisation om domäninformation och sedan välja att hantera den informationen på ett icke-standardiserat sätt.

Syfte

RPZ är i huvudsak en filtreringsmekanism, som antingen hindrar människor från att besöka internetdomäner eller pekar dem till andra platser genom att manipulera DNS-svaren på olika sätt.

RPZ ger möjlighet för DNS-rekursiva resolver-operatörer att kunna erhålla ryktedata från externa organisationer om domäner som kan vara skadliga, och sedan använda den informationen för att undvika att skada kommer till de datorer som använder den rekursiva resolvern genom att förhindra dessa datorer från att besöka potentiellt skadliga domäner.

Mekanism och data

RPZ är en mekanism som behöver data som den ska svara på.

Vissa Internetsäkerhetsorganisationer har erbjudit data som beskriver potentiellt farliga domäner tidigt i utvecklingen av RPZ-mekanismen. Andra tjänster erbjuder också RPZ för specifika domänkategorier (till exempel för domäner med vuxet innehåll). En rekursiv resolver-operatör kan också enkelt definiera sina egna domännamnsdata (zoner) som ska användas av RPZ.

Exempel på användning

Tänk på att Alice använder en dator som använder en DNS-tjänst (rekursiv resolver) som är konfigurerad att använda RPZ och har tillgång till någon källa för zondata som listar domäner som tros vara farliga.

Alice får ett e-postmeddelande med en länk som verkar lösas till någon plats som hon litar på, och hon vill klicka på länken. Hon gör det, men den faktiska platsen är inte den betrodda källan som hon läste utan en farlig plats som är känd för DNS-tjänsten.

Eftersom DNS-tjänsten inser att den resulterande webbplatsen är farlig, skickar den information som leder till en säker plats i stället för att informera hennes dator om hur den ska komma till den (omodifierat svar). Beroende på hur DNS-tjänsten konfigurerar sina policyåtgärder kan det ändrade svaret vara en fast sida på en webbplats som informerar henne om vad som har hänt, eller en DNS-felkod som NXDOMAIN eller NODATA, eller skicka inget svar alls.

Se även

• Google Safe Browsing
• BINDA
• DNS-hanteringsprogram
• Quad9

externa länkar

• Det ursprungliga blogginlägget (Paul Vixie)
• Diabilder med mer detaljer (Paul Vixie) - Länken trasig
• Spamhaus RPZ-dataflödesinformation
• Bygga DNS-brandväggar med svarspolicyzoner
• Använda URLhaus som en svarspolicyzon (RPZ)