Response Policy Zones (RPZ) на страже сети

Все блоги / Про интернет 9 сентября 2014 720

    Мой эксперимент с открытием рекурсивного DNS сервера для всех желающих получился настолько успешным, что срочно пришлось менять правила игры. Вместо полного закрытия рекурсивного DNS я решил ограничить доступ к наиболее популярным у атакующих доменам с помощью механизма RPZ (Response Policy Zone).
     RPZ – это функционал DNS-сервера Bind, грамотное использование которого позволяет решить следующие проблемы:

блокировать коммуникации botnet и malware с управляющими центрами (C&C);

снизить нагрузку на кэширующий DNS и канал связи;

блокировать доступ по списку «запрещенных» сайтов (как для предприятий, так и для провайдеров);

перенаправлять пользователей на локальные ресурсы.

    Рассмотрим подробно варианты применения RPZ и его настройку.
Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Критическая уязвимость механизма аутентификации BIND позволяет похищать и изменять DNS-записи серверов

В популярном DNS-сервере BIND обнаружена критическая уязвимость. Ее эксплуатация позволяет злоумышленнику получить корректную подпись для произвольных данных и с помощью этой подписи вносить в него изменения или получать список всех DNS-записей сервера (dns zone transfer attack). Читать дальше

подробнее »

11 июля 2017

Уязвимость BIND позволяет «уронить» любой сервер: как и почему это работает

Почти месяц назад, 11 января 2017 года, разработчики наиболее популярного DNS сервера с открытым исходным кодом BIND выпустили исправления для четырех новых уязвимостей, которые позволяют удаленному атакующему аварийно завершить работу DNS сервера. В числе уязвимостей присутствует CVE-2016-9147, о

подробнее »

8 февраля 2017

[Из песочницы] Обход CSP при помощи расширений Google Chrome

Не так давно настроил я на своем проекте CSP (content security policy), и решил что жизнь удалась. Ведь теперь невозможно подгрузить скрипты с запрещенных ресурсов, и даже о попытке сделать это, я буду уведомлен соответствующей ошибкой. А если кто-то и подгрузить скрипт, то все равно ничего не

подробнее »

18 ноября 2016

[Перевод] Улучшение сетевой безопасности с помощью Content Security Policy

Content Security Policy (CSP, политика защиты контента) — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента, например, межсайтового скриптинга (XSS, cross site scripting). CSP описывает безопасные источники загрузки ресурсов, устанавливает

подробнее »

25 ноября 2015

С 1 августа интернет в России станут блокировать целыми подсетями

Печально известный «закон о блоггерах» начинает действовать с 1 августа, и на днях Роскомнадзор выложил изменения в формат выгрузки своего реестра запрещенных сайтов. Читать дальше →

подробнее »

10 июля 2014

Критические уязвимости DNS-сервера BIND позволяют удаленно отключать его и проводить DoS-атаки

В популярном DNS-сервере BIND обнаружены критические уязвимости. Их эксплуатация может открывать злоумышленникам возможности для проведения DoS-атаки а также удаленно останавливать его работу. Информация об уязвимостях была опубликована специалистами компании ISC, под лицензией которой

подробнее »

17 марта 2016