V oblasti výpočetní techniky slouží Response policy zone (zkratka RPZ) jako mechanismus pro použití rekurzivních resolverů systému doménového jména, které umožňují přizpůsobit zpracování řešení při sbírání informací o doménách (zón).
Historie
Mechanismus RPZ byl vyvinut společností Internet Systems Consortium vedenou Paulem Vixiem jako součást doménového serveru BIND Domain Name Server (DNS). Poprvé byl RZP k dispozici ve verzi BIND 9.8.1, která byla vydána v roce 2010. Podpora pro Windows byla přidána do Windows Server 2016.[1][2]
Mechanismus RPZ je publikován jako otevřený a dodavatelsky neutrální standard pro výměnu informací o konfiguraci DNS brány firewall, který umožňuje jiným DNS rozlišovacím systémům, aby tyto informace implementovaly.[3][4][5]
RPZ byla vyvinuta jako technologie pro boj se zneužíváním DNS skupinami nebo osobami se zlým úmyslem nebo jinými hanebnými účely. Vychází z projektu prevence zneužívání pošty, který představil údaje o reputaci jako mechanismus ochrany před spamem. RPZ rozšiřuje používání reputačních dat do systému názvů domén.
Funkce
RPZ umožňuje rekurzivnímu resolveru DNS zvolit konkrétní akce, které mají být provedeny pro větší množství sbírek dat doménových jmen (zón).
Pro každou zónu se může služba DNS rozhodnout, zda provede plné rozlišení (normální chování) nebo jiné akce, včetně prohlášení, že požadovaná doména neexistuje (technicky NXDOMAIN) nebo že uživatel by měl navštívit jinou doménu (technicky, CNAME), nebo jiné potenciální akce.
Informace o zóně lze získat z externích zdrojů (prostřednictvím zónového přenosu), což umožňuje službě DNS získat informace o doméně od externí organizace a poté se rozhodnout tyto informace zpracovat nestandardním způsobem.
Účel
RPZ je v podstatě filtrovací mechanismus, který zabraňuje lidem v návštěvě internetových domén nebo je přesměrovává na jiná místa.
RPZ poskytuje možnost rekurzivním operátorům resolveru DNS získat reputační data od externích organizací o doménách, které mohou být škodlivé, a pak tyto informace použít, aby se zabránilo poškození počítačů, které rekurzivní resolver používají, tím, že zabránění těmto počítačům navštívit potenciálně škodlivé domény.
RPZ je mechanismus, který potřebuje znát údaje, na které má reagovat.
Některé internetové bezpečnostní organizace nabídly data o potenciálně nebezpečných doménách v počátcích vývoje mechanismu RPZ.
Rekurzivní operátor resolveru je také snadno schopen definovat svá vlastní data (zóny) doménového jména, které má RPZ používat.
Příklad použití
Uvažujme, že Alice používá počítač, který používá službu DNS (rekurzivní resolver), který je nakonfigurován pro použití RPZ a má přístup k některým zdrojům zónových dat, které obsahují domény, které jsou považovány za nebezpečné.
Alice obdrží e-mail s odkazem, který vypadá, že ji odkáže na nějaké důvěryhodné místo, a chce kliknout na odkaz. Udělá tak, ale cílové místo není důvěryhodným zdrojem, naopak je pro službu NDS nebezpečné.
Namísto služby DNS, která informuje počítač o tom, jak se dostat na toto nebezpečné místo na webu, jsou místo toho zasílány informace, které vedou k bezpečnému umístění, což může být webová stránka, která informuje o tom, co se stalo.
Reference
V tomto článku byl použit překlad textu z článku Response policy zone na anglické Wikipedii.
Externí odkazy