مناطق خط مشی پاسخ

مناطق خط مشی پاسخ (RPZ) راهی برای شما است تا بتوانید آنچه را که Queriers شما می توانند کنترل کنند و با استفاده از یک سرور بازگشتی DNS جستجو کنند. با درک شهرت سرورها و خدماتی که مشتریان در حال پرس و جو هستند ، می توانید اقدامات لازم را برای انجام اقدامات سرور بازگشتی برای نام های خاص دامنه انجام دهید یا اطلاعات را در پاسخ های DNS مشاهده کنید که به آن سرورهای مخرب اشاره دارد.

مبانی RPZ

ایده کلی در مورد نحوه عملکرد RPZ این است که می توانید سیاست هایی را برای نحوه رسیدگی به نمایش داده های خاص (یا پاسخ ها) ایجاد کنید و انتخاب کنید که کدام یک از اقدامات ممکن را انجام دهید. نمونه هایی از اقدامات احتمالی شامل هدایت مشتری به یک صفحه امنیتی داخلی و ذخیره آن سیاستها در مناطق معتبر ویژه در سرورهای DNS شما است. همچنین می توانید مناطق RPZ را با انتقال آنها از سرور DNS به سرور DNS به اشتراک بگذارید.

شما می توانید داده های RPZ را از یک ارائه دهنده اطلاعات تهدید دریافت کنید (جایی که آنها اصلی برای منطقه هستند و ثانویه هستید). یا می توانید این مناطق را خودتان درست کنید (جایی که اصلی منطقه هستید). هنگامی که خودتان RPZ ایجاد می کنید ، اغلب به آن "RPZ محلی" گفته می شود. RPZ های محلی به طور معمول از موارد لیست سفید و لیست سیاه تشکیل شده اند که سازمان شما معتقد است بسیار مهم است. با درج این موارد در یک RPZ محلی ، می توانید اطمینان حاصل کنید که هیچ RPZ از منبع دیگری نمی تواند سایتهایی را که سازمان شما معتقدند بسیار مهم هستند ، مسدود یا اجازه دهد.

برای ایجاد این RPZ ها ، باید مفهوم شهرت را درک کنید. شهرت تاریخ منطقه ای را برای ارائه محتوای مخرب توصیف می کند. چندین سرویس شهرت ارائه دهندگان محتوای مخرب را ردیابی و تجزیه و تحلیل می کنند. این خدمات اغلب به عنوان اطلاعات تهدید گفته می شود: ارائه دهندگان خدمات اطلاعاتی تهدید وظیفه غیرقابل پیش بینی را برای تعقیب افراد بد ، پیش بینی حرکت بعدی آنها و حتی تعیین الگوریتم هایی که برای تولید دامنه های بد جدید استفاده می کنند ، دارند. خوشبختانه ، این خدمات همچنین این داده های شهرت را برای همه افراد دیگر منتشر می کنند. RPZ داده های خط مشی را در مناطق DNS در دسترس قرار می دهد. سپس داده های خط مشی بین سرورها با استفاده از پروتکل های معمولی DNS منتقل می شوند.

سوابق منابع موجود در منطقه عبارتی از خط مشی DNS است که برای نام دامنه با قسمت نام (QNames) یا داده های هدف (RDATA) اعمال می شود. توجه داشته باشید که قسمت RDATA در DNS شامل یک یا چند زیرزمین است که بار واقعی را برای یک رکورد منبع حمل می کنند.

نام مالک مجموعه منابع خط مشی RPZ QNAME (RRSET) نام نسبی دامنه تحریک فیلتر است. به عنوان مثال ، در موردی که منطقه خط مشی توسط InfoBlox (و به نام rpz. infoblox.com) ارائه شده است ، سیاست مؤثر بر پاسخ به nasty.comeleook. badsite.net به نام دامنه nasty.comeleook. badsite.net وصل می شود.. rpz. infoblox.com. در این مثال ، nasty.comeleook. badsite.net سایت تحت تأثیر قرار گرفته است. اگر همه FQDN ها در BadSite.net بد بودند ، Wildcard *. badsite.net. rpz. infoblox.com همه زیر دامنه ها را تحت BadSite.net گرفت.

محرک

رویدادی که تعیین می کند یک پرس و جو یا پاسخ با یک ورودی خاص مطابقت دارد ، ماشه نامیده می شود.

ماشه qname

Trigger QName در قسمت نام یک پرس و جو کار می کند. یک قالب Wildcard می تواند یک سایت و کلیه زیر دامنه ها را مسدود کند ، به عنوان مثال *. badguys.com. ماشه QName باید در صورت لزوم از چرخه کامل پرس و جو و پاسخ ، از جمله تکرار پیروی کند. سرور بازگشتی باید سلسله مراتب هیئت مربوط به سوابق منابع پردازش Name Server (NS) و سوابق مربوط به A و AAAA را دنبال کند.

ماشه IP

Trigger IP در آدرس RDATA از سوابق منابع RDATA در پاسخ DNS در آدرس IPv4 یا IPv6 مطابقت دارد. این زمانی مفید است که می دانیم آدرس IP بد است ، مهم نیست که نام آن چه باشد. به عنوان مثال ، اگر آدرس IP بد شناخته شده 10. 11. 12. 13 باشد ، و مشتری به عنوان مثال از پرونده MX پرسیده می شود ، اگر پاسخ حاوی 10. 11. 12. 13 باشد ، پاسخ از مشتری مسدود می شود.

IP Trigger می تواند یک شمشیر دو لبه باشد. اگرچه در مسدود کردن یک آدرس IP بد شناخته شده بسیار مؤثر است ، اما هرگونه پاسخی را که شامل آن آدرس IP است ، مسدود می کند. در عصر محاسبات ابری ، بسیاری از وب سایت ها ممکن است همان آدرس IP را به اشتراک بگذارند. اگر یکی از سایت ها باعث شود آدرس IP در لیست سیاه قرار بگیرد ، می تواند در نهایت هر سایت دیگری را در همان آدرس IP مسدود کند.

ماشه IP مشتری

ماشه IP مشتری در آدرس IP منبع مشتری با شروع پرس و جو مطابقت دارد. از آنجا که با یک آدرس IP مشتری خاص مطابقت دارد ، بسیار هدفمند است و در هنگام استفاده از میزبان ها که به خطر می افتد بسیار مؤثر است. به عنوان مثال می تواند تمام نمایش داده ها را از یک مشتری واحد به یک سرور اصلاح ارسال کند.

ماشه nsdname

Trigger NSDName با نام سرور نام معتبر موجود در هنگام بازگشت مطابقت دارد. این یک ماشه بسیار قدرتمند است که یک سرور نام DNS را هدف قرار می دهد. این ماشه بر همه دامنه های ارائه شده توسط سرور نام تأثیر می گذارد. از آنجا که ماشه NSDNAME در هنگام بازگشت کار می کند ، این ماشه باید با احتیاط شدید مورد استفاده قرار گیرد و تنها در صورت شناخته شدن یک سرور کامل ، مخرب شناخته می شود.

ماشه NSIP

NSIP Trigger با آدرس های IP در IPv4 A Records و IPv6 AAAA سوابق مربوط به سوابق سرور نام مرتبط با دامنه ها (سوابق چسب) مطابقت دارد. این موارد را در برابر سوابق خط مشی NSDNAME ، که در برابر سرورهای نام با نام های متعدد یا در حال تغییر محافظت می کند ، بررسی می کند. Trigger NSIP می تواند یک سرور نام و تمام نام های دامنه ای را که در آن ارائه می دهد مسدود کند.

پاسخ های RPZ

هنگامی که یک ماشه با یک رکورد در یک منطقه سیاست پاسخ مطابقت داشت ، می توانیم یکی از چهار اقدامات زیر را انجام دهیم:

nxdomain

RRSET متشکل از یک CNAME منفرد که هدف آن دامنه ریشه "است."ایجاد پاسخ از nxdomain ("چنین نام دامنه وجود ندارد.")

بدون اطلاعات

RRSET از یک CNAME منفرد تشکیل شده است که هدف آن دامنه سطح بالای Wildcard (.*) است که منجر به پاسخ Nodata می شود ("هیچ داده ای از آن نوع متصل به نام دامنه وجود ندارد.")

No-Op/Passthru

این rrset از یک CNAME منفرد تشکیل شده است که هدف آن خود نام پرس و جو است و یک استثناء را بیان می کند که از هرگونه اقدام سیاسی برای نام جلوگیری می کند. شما می توانید از این نوع پاسخ به عنوان "عبور از طریق" فکر کنید ، و به اطلاعات دامنه اجازه می دهد تا از یک فیلتر بدون کنترل عبور کند. از آنجا که یک قاعده در منطقه مطابقت دارد ، ما یک ورودی در سیاههها را مشاهده خواهیم کرد و اطلاعاتی را به مدیر ارائه می دهیم.

داده های محلی

RRSET مطابق با qtype پرس و جو اصلی. در صورت وجود RRSET اما با QTYPE پرس و جو مطابقت ندارد ، سرور نام یک پاسخ Nodata را ارسال می کند.

نکته کوتاه این است که ما می توانیم دو نوع پاسخ منفی را برگردانیم که یک موفقیت و بدون اطلاعات (Nodata) یا یک خطا (NXDOMAIN) ، می توانیم یک تغییر مسیر را برگردانیم ، یا فقط می توانیم وارد شویم که یک ماشه ضربه خورده است.