Жауап беру саясаты аймағы - Response policy zone

Саясат шектеулері бойынша DNS жауаптарын өзгерту

A жауап саясаты аймағы (RPZ) - бұл теңшелген саясатты енгізу механизмі Домендік атау жүйесі серверлер, сондықтан рекурсивті шешушілер мүмкін өзгертілген нәтижелерді қайтарады. Нәтижені өзгерту арқылы сәйкес хостқа кіруге тыйым салынады.

RPZ пайдалану DNS деректер беруіне негізделген, олар белгілі аймақ трансферті, RPZ провайдерінен орналастыру серверіне дейін. Басқаларға қатысты блок тізімі сияқты әдістер Google қауіпсіз шолуы, нақты блок тізімін клиент қосымшасы басқармайды, тіпті көрмейді. Веб-браузерлерге және Интернеттегі серверлерге қосылатын кез-келген басқа қосымшаларға қажет IP мекен-жайы қосылымды ашу үшін сервердің. Жергілікті шешуші әдетте жүйелік бағдарламалық жасақтама болып табылады, ол өз кезегінде а сұранысын қояды рекурсивті шешуші, жиі орналасқан Интернет-провайдер. Егер соңғы сервер RPZ-ді орналастырса және сұралған атау немесе алынған мекен-жай блоктар тізімінде болса, жауап қол жетімділікке кедергі келтіретіндей өзгертіледі.

Тарих

RPZ механизмі Интернет жүйелері консорциумы басқарды Пол Викси компоненті ретінде БАЙЛАНЫС Домендік атау сервері (DNS).^[1] Ол алғаш рет 2010 жылы шығарылған BIND 9.8.1 шығарылымында қол жетімді және алғаш рет Black Hat-та 2010 жылдың шілдесінде жарияланды.^[2]

RPZ механизмі DNS брандмауэрін конфигурациялау туралы ақпаратты ауыстыру үшін ашық және жеткізушіге бейтарап стандарт ретінде жарияланып, оны басқа DNS ажыратымдылық бағдарламалық жасақтамасына енгізуге мүмкіндік береді. ^[3]^[4]

RPZ топтардың және / немесе зиянды ниетпен немесе басқа да арам мақсаттармен DNS-ті дұрыс қолданбауымен күресу технологиясы ретінде жасалған. Бұл туралы Поштаны теріс пайдаланудың алдын алу жүйесі электрондық поштадан қорғаныс механизмі ретінде бедел туралы мәліметтерді ұсынған жоба спам. RPZ беделді деректерді домендік атау жүйесінде қолдануды кеңейтеді.

Функция

RPZ DNS рекурсивті шешушіге домендік атау деректерінің (аймақтардың) бірқатар жинақтары үшін орындалатын нақты әрекеттерді таңдауға мүмкіндік береді.

Әр аймақ үшін DNS қызметі толық ажыратымдылықты (қалыпты тәртіп) немесе басқа әрекеттерді, соның ішінде сұралған доменнің жоқтығын (техникалық тұрғыдан, NXDOMAIN) немесе пайдаланушының басқа доменге баруын (техникалық тұрғыдан, CNAME) орындауды таңдай алады. ), басқа ықтимал әрекеттермен қатар.

Аймақ туралы ақпаратты сыртқы көздерден алуға болатындықтан (аймақ беру арқылы), бұл DNS қызметіне домен туралы ақпарат туралы сыртқы ұйымнан ақпарат алуға мүмкіндік береді, содан кейін бұл ақпаратты стандартты емес түрде өңдеуді таңдайды.

Мақсаты

RPZ мәні - бұл Интернет-домендерге кіруге жол бермейтін немесе DNS жауаптарын әртүрлі тәсілдермен басқарып, басқа жерлерге бағыттайтын сүзгі механизмі.

RPZ DNS рекурсивті шешуші операторларына зиянды болуы мүмкін домендер туралы беделді деректерді сыртқы ұйымдардан алуға мүмкіндік береді, содан кейін рекурсивті шешуші пайдаланатын компьютерлерге зиян келтірмеу үшін сол компьютерлерге сол компьютерлердің келуіне жол бермей, ақпаратты пайдаланады. ықтимал зиянды домендер.

Механизм және мәліметтер

RPZ - бұл жауап беруі керек деректерді қажет ететін механизм.

Интернет қауіпсіздігінің кейбір ұйымдары RPZ механизмін дамытудың басында ықтимал қауіпті домендерді сипаттайтын деректерді ұсынды. Басқа қызметтер белгілі бір домен санаттарына RPZ ұсынады (мысалы, ересектерге арналған домендер үшін). Рекурсивті шешуші оператор RPZ пайдаланатын домендік атаудың деректерін (аймақтарын) оңай анықтай алады.

Пайдалану мысалы

Элис DNS қызметін (рекурсивті шешуші) пайдаланатын, RPZ пайдалану үшін конфигурацияланған және қауіпті деп саналатын домендерді тізімдейтін аймақ деректерінің кейбір көздеріне қол жетімді компьютерді пайдаланады деп ойлаңыз.

Алиса сілтеме бар электронды хат алады, ол өзі сенетін жерге шешіледі, және ол сілтемені басуды қалайды. Ол мұны істейді, бірақ нақты орналасқан жері ол оқыған сенімді дереккөз емес, DNS қызметіне белгілі қауіпті орын.

DNS қызметі веб-сайттың қауіпті екенін түсінгендіктен, компьютеріне оған қалай жетуге болатынын хабарлаудың орнына (өзгертілмеген жауап), ол қауіпсіз жерге әкелетін ақпарат жібереді. DNS қызметі өзінің саясаттық әрекеттерін қалай теңшейтініне байланысты, өзгертілген жауап веб-сайтта не болғандығы туралы хабарланған тұрақты парақ немесе NXDOMAIN немесе NODATA сияқты DNS қате коды болуы мүмкін немесе жауап жібермейді.

Сондай-ақ қараңыз

Әдебиеттер тізімі

^ Пол Викси; Вернон Шрайвер (21.06.2018). «Тарих және эволюция». DNS жауап саясатының аймақтары (RPZ). IETF. сек. 10. I-D vixie-dnsop-dns-rpz.
^ Эндрю Фрид; Виктория тәуекелі (9 мамыр 2017). «Жауап саясатының аймақтарын (RPZ) пайдалану үшін BIND теңшеу бойынша нұсқаулық» « (PDF). Интернет жүйелері консорциумы.
^ Пол Викси; Вернон Шрайвер (желтоқсан 2010). «DNS жауап саясатының аймақтары (DNS RPZ)». Интернет жүйелері консорциумы.
^ https://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/

Сыртқы сілтемелер

[1] Пол Викси; Вернон Шрайвер (21.06.2018). «Тарих және эволюция». DNS жауап саясатының аймақтары (RPZ). IETF. сек. 10. I-D vixie-dnsop-dns-rpz.

[2] Эндрю Фрид; Виктория тәуекелі (9 мамыр 2017). «Жауап саясатының аймақтарын (RPZ) пайдалану үшін BIND теңшеу бойынша нұсқаулық» « (PDF). Интернет жүйелері консорциумы.

[3] Пол Викси; Вернон Шрайвер (желтоқсан 2010). «DNS жауап саясатының аймақтары (DNS RPZ)». Интернет жүйелері консорциумы.

[4] ttps://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/

[1]

[2]

[3]

[4]