Response policy zone
V oblasti výpočetní techniky slouží Response policy zone (zkratka RPZ) jako mechanismus pro použití rekurzivních resolverů systému doménového jména, které umožňují přizpůsobit zpracování řešení při sbírání informací o doménách (zón).
Historie[editovat | editovat zdroj]
Mechanismus RPZ byl vyvinut společností Internet Systems Consortium vedenou Paulem Vixiem jako součást doménového serveru BIND Domain Name Server (DNS). Poprvé byl RZP k dispozici ve verzi BIND 9.8.1, která byla vydána v roce 2010. Podpora pro Windows byla přidána do Windows Server 2016.[1][2]
Mechanismus RPZ je publikován jako otevřený a dodavatelsky neutrální standard pro výměnu informací o konfiguraci DNS brány firewall, který umožňuje jiným DNS rozlišovacím systémům, aby tyto informace implementovaly.[3][4][5]
RPZ byla vyvinuta jako technologie pro boj se zneužíváním DNS skupinami nebo osobami se zlým úmyslem nebo jinými hanebnými účely. Vychází z projektu prevence zneužívání pošty, který představil údaje o reputaci jako mechanismus ochrany před spamem. RPZ rozšiřuje používání reputačních dat do systému názvů domén.
Funkce[editovat | editovat zdroj]
RPZ umožňuje rekurzivnímu resolveru DNS zvolit konkrétní akce, které mají být provedeny pro větší množství sbírek dat doménových jmen (zón).
Pro každou zónu se může služba DNS rozhodnout, zda provede plné rozlišení (normální chování) nebo jiné akce, včetně prohlášení, že požadovaná doména neexistuje (technicky NXDOMAIN) nebo že uživatel by měl navštívit jinou doménu (technicky, CNAME), nebo jiné potenciální akce.
Informace o zóně lze získat z externích zdrojů (prostřednictvím zónového přenosu), což umožňuje službě DNS získat informace o doméně od externí organizace a poté se rozhodnout tyto informace zpracovat nestandardním způsobem.
Účel[editovat | editovat zdroj]
RPZ je v podstatě filtrovací mechanismus, který zabraňuje lidem v návštěvě internetových domén nebo je přesměrovává na jiná místa.
RPZ poskytuje možnost rekurzivním operátorům resolveru DNS získat reputační data od externích organizací o doménách, které mohou být škodlivé, a pak tyto informace použít, aby se zabránilo poškození počítačů, které rekurzivní resolver používají, tím, že zabránění těmto počítačům navštívit potenciálně škodlivé domény.
- Mechanismus a data
RPZ je mechanismus, který potřebuje znát údaje, na které má reagovat.
Některé internetové bezpečnostní organizace nabídly data o potenciálně nebezpečných doménách v počátcích vývoje mechanismu RPZ.
Rekurzivní operátor resolveru je také snadno schopen definovat svá vlastní data (zóny) doménového jména, které má RPZ používat.
Příklad použití[editovat | editovat zdroj]
Uvažujme, že Alice používá počítač, který používá službu DNS (rekurzivní resolver), který je nakonfigurován pro použití RPZ a má přístup k některým zdrojům zónových dat, které obsahují domény, které jsou považovány za nebezpečné.
Alice obdrží e-mail s odkazem, který vypadá, že ji odkáže na nějaké důvěryhodné místo, a chce kliknout na odkaz. Udělá tak, ale cílové místo není důvěryhodným zdrojem, naopak je pro službu NDS nebezpečné.
Namísto služby DNS, která informuje počítač o tom, jak se dostat na toto nebezpečné místo na webu, jsou místo toho zasílány informace, které vedou k bezpečnému umístění, což může být webová stránka, která informuje o tom, co se stalo.
Reference[editovat | editovat zdroj]
V tomto článku byl použit překlad textu z článku Response policy zone na anglické Wikipedii.
- ↑ Is there any function in Windows Server 2012 or prior to do RPZ DNS responses?. social.technet.microsoft.com [online]. [cit. 2018-02-25]. Dostupné v archivu pořízeném dne 2018-02-23.
- ↑ DNS Domain Blacklisting and Sinkhole for Microsoft Server. networkstr.com [online]. [cit. 2018-02-25]. Dostupné v archivu pořízeném z originálu dne 2018-02-27.
- ↑ RPZ mechanism
- ↑ Archivovaná kopie. deepthought.isc.org [online]. [cit. 2017-09-20]. Dostupné v archivu pořízeném dne 2016-03-04.
- ↑ https://datatracker.ietf.org/doc/draft-ietf-dnsop-dns-rpz/