Google Public DNS як засіб захисту, Безпека ПЗ, Security & Hack, статті

Сервіс доменних імен – DNS – є базовою основою мережі Інтернет. Він робить лінійний простір IP-адрес ієрархічним і зрозумілішим користувачам. Тому DNS також може бути використаний як для атак, так і для захисту. Зокрема, підміна доменних імен активно використовується фішерами для залучення користувачів на їх сайти. Хакери можуть цього домогтися, наприклад, за допомогою отруєння кеша – Нав’язування DNS-серверів провайдера неправильних записів (атака Камінського). Ще однією загрозою для корпоративних користувачів є блокування DNS-сервера, що не дозволить співробітникам компанії користуватися ресурсами Інтернет.


Для захисту від цих загроз компанія Google запропонувала спеціальний сервіс Google Public DNS, який регулярно перевіряється на коректність записів. Компанія Google гарантує, що вирішуються через її публічний DNS імена збігаються з записами в кореневих серверах системи DNS. Компанія вибрала найбільш запам’ятовуються IP-адреси для первинного (8.8.8.8) і вторинного (8.8.4.4) DNS-серверів, що дозволяє швидко налаштувати дозвіл доменних імен на будь-якому комп’ютері і пристрої, підключеному до Інтернет. Якщо ж корпоративний DNS-сервер виведений з ладу, то адміністратори або навіть самі користувачі дуже швидко можуть переналаштувати свої комп’ютери на публічний сервіс Google.


Втім, DNS можна використовувати і для більш серйозного захисту корпоративних користувачів. Зокрема, компанія Entensys приступила до бета-тестування сервісу GateWall DNS Filter, що дозволяє фільтрувати корпоративний трафік за допомогою вибіркового дозволу DNS-запитів. Технологічно подібний захист організована так: компанія-виробник підтримує спеціальний DNS-сервер, який дозволяє доменні імена в конкретні IP-адреси. Однак якщо у такого сервера попросити дозволити підозріле доменне ім’я, то IP-адреса буде повернуто не той, який прописаний в доменній структурі, але адреса спеціального сервісу. Цей сервіс дозволяє реалізувати URL-фільтрацію на більш високому рівні, тобто у компаній з’являється можливість блокувати не тільки шкідливі посилання, але і різні непотрібні ресурси. Причому політику блокування доступу за допомогою DNS можна настроїти за допомогою спеціального веб-інтерфейсу.


Аналогічний по функціональності продукт пропонують деякі виробники засобів захисту, проте він реалізований за допомогою спеціального пристрою, який встановлюється на шлюз і контролює обіг корпоративних користувачів до ресурсів Інтернет. Однак на відміну від цих шлюзових рішень DNS-фільтр не вимагає спеціального пристрою – для підключення подібної послуги досить переналаштувати конфігурацію корпоративного DNS-сервера.


До того ж DNS-орієнтована на масову обробку запитів, тобто має механізми балансування навантаження і відмовостійкості, кешування запитів та інші – не всі антивірусні виробники підтримують аналогічні методи оптимізації запитів в своїх репутаційних базах. Крім того, DNS-фільтр блокує доступ не тільки для HTTP протоколу, але відразу для всіх програм. До того ж, цей сервіс є єдиним дієвим засобом захисту від технології DNS-VPN, яка дозволяє організувати канал витоку із захищених мереж.


Втім, варто зазначити, що DNS-фільтрація має і свої “рідні плями”. Зокрема, вона не дозволяє фільтрувати всіх URL – стандарт на універсальний покажчик допускає пряму вказівку IP-адреси сервера. Такі запити може фільтрувати тільки шлюзовий продукт. Проте зазвичай масові атаки спираються на доменні імена і в них не використовуються точні IP-адреси. Це пов’язано з тім, що по IP-адресою простіше знайти зловмисника, ніж по доменному імені. Так що для більш надійного захисту варто комбінувати DNS і URL фільтрацію.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*