Una zona de política de respuesta ( RPZ ) es un mecanismo para introducir una política personalizada en los servidores del Sistema de nombres de dominio , de modo que los resolutores recursivos devuelvan resultados posiblemente modificados. Al modificar un resultado, se puede bloquear el acceso al host correspondiente.
El uso de un RPZ se basa en las fuentes de datos DNS, conocidas como transferencia de zona , desde un proveedor de RPZ al servidor de implementación. Con respecto a otros métodos de lista de bloqueo , como Google Safe Browsing , la aplicación cliente no administra la lista de bloqueo real, ni siquiera la ve. Los navegadores web y cualquier otra aplicación cliente que se conecte a servidores en Internet necesitan la dirección IP del servidor para abrir la conexión. El resolutor local suele ser un software del sistema que, a su vez, envía la consulta a un resolutor recursivo , que a menudo se encuentra en el proveedor de servicios de Internet.. Si el último servidor implementa RPZ, y el nombre consultado o la dirección resultante están en la lista de bloqueo, la respuesta se modifica para impedir el acceso.
Historia
El mecanismo RPZ fue desarrollado por el Consorcio de Sistemas de Internet dirigido por Paul Vixie como un componente del Servidor de Nombres de Dominio (DNS) BIND . [1] Estuvo disponible por primera vez en la versión 9.8.1 de BIND lanzada en 2010, y se anunció públicamente por primera vez en Black Hat en julio de 2010. [2]
El mecanismo RPZ se publica como un estándar abierto y neutral del proveedor para el intercambio de información de configuración del cortafuegos DNS, lo que permite que otro software de resolución de DNS lo implemente. [3] [4]
RPZ se desarrolló como una tecnología para combatir el uso indebido del DNS por parte de grupos y / o personas con intenciones maliciosas u otros propósitos nefastos. Es una continuación del proyecto Mail Abuse Prevention System , que introdujo los datos de reputación como un mecanismo de protección contra el correo no deseado . RPZ extiende el uso de datos de reputación al sistema de nombres de dominio.
Función
RPZ permite que un solucionador recursivo de DNS elija acciones específicas que se realizarán para una serie de colecciones de datos de nombres de dominio (zonas).
Para cada zona, el servicio DNS puede optar por realizar una resolución completa (comportamiento normal) u otras acciones, incluida la declaración de que el dominio solicitado no existe (técnicamente, NXDOMAIN), o que el usuario debe visitar un dominio diferente (técnicamente, CNAME ), entre otras posibles acciones.
Como la información de la zona se puede obtener de fuentes externas (a través de una transferencia de zona), esto permite que un servicio DNS obtenga información de una organización externa sobre la información del dominio y luego elija manejar esa información de una manera no estándar.
Propósito
RPZ es esencialmente un mecanismo de filtrado, ya sea evitando que las personas visiten dominios de Internet o dirigiéndolas a otras ubicaciones manipulando las respuestas de DNS de diferentes maneras.
RPZ brinda la oportunidad para que los operadores de resolución recursiva de DNS puedan obtener datos de reputación de organizaciones externas sobre dominios que pueden ser dañinos y luego usar esa información para evitar daños a las computadoras que usan la resolución recursiva al evitar que esas computadoras visiten el dominios potencialmente dañinos.
Mecanismo y datos
RPZ es un mecanismo que necesita datos sobre los que responder.
Algunas organizaciones de seguridad de Internet han ofrecido datos que describen dominios potencialmente peligrosos en las primeras etapas del desarrollo del mecanismo RPZ. Otros servicios también ofrecen RPZ para categorías de dominio específicas (por ejemplo, para dominios de contenido para adultos). Un operador de resolución recursivo también es fácilmente capaz de definir sus propios datos de nombre de dominio (zonas) para ser utilizados por RPZ.
Ejemplo de uso
Considere que Alice usa una computadora que usa un servicio DNS (resolución recursiva) que está configurada para usar RPZ y tiene acceso a alguna fuente de datos de zona que enumera los dominios que se cree que son peligrosos.
Alice recibe un correo electrónico con un enlace que parece dirigirse a algún lugar en el que confía y desea hacer clic en el enlace. Ella lo hace, pero la ubicación real no es la fuente confiable que leyó, sino una ubicación peligrosa que es conocida por el servicio DNS.
A medida que el servicio DNS se da cuenta de que la ubicación web resultante es peligrosa, en lugar de informar a su computadora cómo llegar a ella (respuesta no modificada), envía información que conduce a una ubicación segura. Dependiendo de cómo el servicio DNS configure sus acciones de política, la respuesta modificada puede ser una página fija en un sitio web que le informa lo que sucedió, o un código de error de DNS como NXDOMAIN o NODATA, o no enviar respuesta alguna.
Ver también
Referencias
- ^ Paul Vixie; Vernon Schryver (21 de junio de 2018). "Historia y Evolución" . Zonas de política de respuesta de DNS (RPZ) . IETF . segundo. 10. Identificación vixie-dnsop-dns-rpz.
- ^ Andrew Fried; Victoria Risk (9 de mayo de 2017). "Tutorial sobre la configuración de BIND para utilizar las zonas de política de respuesta (RPZ)" (PDF) . Consorcio de Sistemas de Internet .
- ^ Paul Vixie; Vernon Schryver (diciembre de 2010). "Zonas de política de respuesta de DNS (DNS RPZ)" . Consorcio de Sistemas de Internet .
- ^ https://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/