Yanıt politikası bölgesi - Response policy zone

Politika kısıtlamaları altında DNS yanıt değişikliği

Bir yanıt politikası bölgesi (RPZ), içinde özelleştirilmiş bir politika uygulamaya koyan bir mekanizmadır Alan Adı Sistemi sunucular, böylece yinelemeli çözümleyiciler muhtemelen değiştirilmiş sonuçlar döndürür. Bir sonucu değiştirerek, ilgili ana bilgisayara erişim engellenebilir.

Bir RPZ'nin kullanımı, şu adla bilinen DNS veri akışlarına dayanır: bölge transferi, bir RPZ sağlayıcısından dağıtım sunucusuna. Diğerine göre engelleme listesi yöntemler, örneğin Google Güvenli Tarama, asıl engelleme listesi istemci uygulaması tarafından yönetilmez, hatta görülmez. Web tarayıcıları ve İnternet üzerindeki sunuculara bağlanan diğer tüm istemci uygulamaları, IP adresi Bağlantıyı açmak için sunucunun. Bölge çözücü genellikle bir sistem yazılımıdır ve sırayla sorguyu bir yinelemeli çözücü, genellikle şurada bulunur: internet servis sağlayıcısı. İkinci sunucu RPZ'yi dağıtırsa ve sorgulanan ad veya elde edilen adres engelleme listesindeyse, yanıt, erişimi engelleyecek şekilde değiştirilir.

Tarih

RPZ mekanizması, İnternet Sistemleri Konsorsiyumu liderliğinde Paul Vixie bir bileşeni olarak BIND Alan Adı Sunucusu (DNS).^[1] İlk olarak 2010 yılında yayımlanan BIND 9.8.1 sürümünde kullanıma sunuldu ve ilk olarak Temmuz 2010'da Black Hat'te kamuoyuna duyuruldu.^[2]

RPZ mekanizması, DNS Güvenlik Duvarı yapılandırma bilgilerinin değişimi için açık ve satıcıdan bağımsız bir standart olarak yayınlanır ve diğer DNS çözümleme yazılımlarının bunu uygulamasına izin verir. ^[3]^[4]

RPZ, kötü niyetli veya diğer kötü amaçlara sahip gruplar ve / veya kişiler tarafından DNS'nin kötüye kullanımıyla mücadele etmek için bir teknoloji olarak geliştirilmiştir. Takip ediyor Posta Kötüye Kullanım Önleme Sistemi e-postaya karşı koruma mekanizması olarak itibar verilerini tanıtan proje istenmeyen e. RPZ, itibar verilerinin kullanımını Alan Adı Sistemine genişletir.

Fonksiyon

RPZ, bir DNS özyinelemeli çözümleyicisinin bir dizi etki alanı adı verisi (bölgeler) koleksiyonları için gerçekleştirilecek belirli eylemleri seçmesine izin verir.

Her bölge için, DNS hizmeti tam çözümleme (normal davranış) veya istenen etki alanının mevcut olmadığını (teknik olarak NXDOMAIN) veya kullanıcının farklı bir etki alanını (teknik olarak CNAME ), diğer potansiyel eylemlerin yanı sıra.

Bölge bilgileri dış kaynaklardan (bir bölge aktarımı yoluyla) elde edilebildiğinden, bu, bir DNS hizmetinin dış bir kuruluştan etki alanı bilgileri hakkında bilgi almasına ve ardından bu bilgileri standart olmayan bir şekilde işlemeyi seçmesine olanak tanır.

Amaç

RPZ, aslında ya insanların internet alanlarını ziyaret etmesini engelleyen ya da DNS cevaplarını farklı şekillerde manipüle ederek onları başka konumlara yönlendiren bir filtreleme mekanizmasıdır.

RPZ, DNS özyinelemeli çözümleyici operatörlerine, zararlı olabilecek etki alanları hakkında harici kuruluşlardan itibar verilerini elde etme ve daha sonra bu bilgileri, özyinelemeli çözümleyiciyi kullanan bilgisayarlara zarar gelmesini önlemek için bu bilgisayarların potansiyel olarak zararlı alanlar.

Mekanizma ve veriler

RPZ, yanıt vermesi gereken verilere ihtiyaç duyan bir mekanizmadır.

Bazı İnternet güvenliği kuruluşları, RPZ mekanizmasının geliştirilmesinin başlarında, potansiyel olarak tehlikeli alanları tanımlayan veriler sunmuştur. Diğer hizmetler de belirli alan kategorileri için RPZ sunar (örneğin, yetişkin içerik alanları için). Yinelemeli bir çözümleyici operatörü, RPZ tarafından kullanılmak üzere kendi alan adı verilerini (bölgeleri) kolayca tanımlayabilir.

Kullanım örneği

Alice'in, RPZ kullanmak üzere yapılandırılmış bir DNS hizmeti (özyinelemeli çözümleyici) kullanan ve tehlikeli olduğuna inanılan etki alanlarını listeleyen bazı bölge verileri kaynaklarına erişimi olan bir bilgisayar kullandığını düşünün.

Alice, güvendiği bir yere çözümleniyor görünen bir bağlantı içeren bir e-posta alır ve bağlantıya tıklamak ister. Bunu yapıyor, ancak gerçek konum, okuduğu güvenilir kaynak değil, DNS hizmeti tarafından bilinen tehlikeli bir konumdur.

DNS hizmeti, ortaya çıkan web konumunun tehlikeli olduğunun farkına vardığında, bilgisayarına nasıl ulaşacağını (değiştirilmemiş yanıt) bildirmek yerine, güvenli bir konuma götüren bilgileri gönderir. DNS hizmetinin ilke eylemlerini nasıl yapılandırdığına bağlı olarak, değiştirilen yanıt bir web sitesinde kendisine ne olduğunu bildiren sabit bir sayfa veya NXDOMAIN veya NODATA gibi bir DNS hata kodu olabilir veya hiç yanıt göndermeyebilir.

Ayrıca bakınız

Referanslar

^ Paul Vixie; Vernon Schryver (21 Haziran 2018). "Tarih ve Evrim". DNS Yanıt Politikası Bölgeleri (RPZ). IETF. sn. 10. I-D vixie-dnsop-dns-rpz.
^ Andrew Fried; Victoria Risk (9 Mayıs 2017). "Yanıt Politikası Bölgelerini (RPZ) kullanmak için BIND'ı Yapılandırma Eğitimi" (PDF). İnternet Sistemleri Konsorsiyumu.
^ Paul Vixie; Vernon Schryver (Aralık 2010). "DNS Yanıt Politikası Bölgeleri (DNS RPZ)". İnternet Sistemleri Konsorsiyumu.
^ https://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/

Dış bağlantılar

[1] Paul Vixie; Vernon Schryver (21 Haziran 2018). "Tarih ve Evrim". DNS Yanıt Politikası Bölgeleri (RPZ). IETF. sn. 10. I-D vixie-dnsop-dns-rpz.

[2] Andrew Fried; Victoria Risk (9 Mayıs 2017). "Yanıt Politikası Bölgelerini (RPZ) kullanmak için BIND'ı Yapılandırma Eğitimi" (PDF). İnternet Sistemleri Konsorsiyumu.

[3] Paul Vixie; Vernon Schryver (Aralık 2010). "DNS Yanıt Politikası Bölgeleri (DNS RPZ)". İnternet Sistemleri Konsorsiyumu.

[4] ttps://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/

[1]

[2]

[3]

[4]