| RSS



Меню

Bookmark and Share


Статистика
Ваш IP: 3.144.37.212
Вы используете: v





Сейчас на сайте:

Тех поддержка ->

Облако тэгов
ОС видио Tor Обратная сторона антенна 4.6 PHP Эксплоит Windows Server 2008 qip Virtual chroot kernel proc sysctl tune FreeBSD bridge Boot Disk Bluetooth GEO game directx Emulator Python Shell DDoS червь Conficker вирус троян Лаборатория Касперского пиратство apple iPhone ИТ-отрасль Щеголев Microsoft экономический кризис Twitter социальная сеть анонимность Лицензия Open Source ASP.NET MVC уязвимость MySQL база данных файлообмен закон франция пират Skype мобильный Deutsche Telekom Хакер киберпреступник Trend Micro кибератака Германия робот утечка данных персональные данные ноутбук интернет Китай цензура ядро Linux Торвальдс Windows Vista Acer Linux патент браузер Firefox Internet Explorer Opera Net Applications Safari Intel Linux Foundation Moblin Oracle патч банкомат кардер HSM IBM X-Force Cofee сша кибервойна Эстония Dell ИТ-специалист хакерские атаки Pirate Bay контроль кибербезопасность язык программирования The Pirate Bay Пиратская партия утечка информации приговор Mozilla Chrome безопасность Госдума СМИ Windows 8 Баллмер взлом Пентагон ботнет Украина Facebook Cisco cloud Windows XP нетбук торрент музыка биометрический nokia ФБР IP-адрес CIPAV Comcast sms RSA java Google CAPTCHA Symantec спам конфиденциальная информация инсайдер Perimetrix антивирус тест Anti-Malware Windows 7 операционная система Windows провайдер авторское право RapidShare UNIX свиной грипп шантаж дети EFF BluWiki копирайт экстремизм Panda Security cloud computing McAfee Cybercrime Response Unit Bottle Domains HTTPS ICANN студент шпионское ПО Норвегия школьник New York Times XSS YouTube Warner Music кибершпионаж КНДР Ubuntu свободное ПО AMD ATI касперский Россия РФ сервер хостинг фальшивый антивирус Comodo CA Wi-Fi D-Link суд пароль блог фишинг Одноклассники медведев контрафакт мошенник штраф Sony GPS по Gumblar JAVASCRIPT хакеры вредоносное ПО Yahoo ФАС компьютер Софт MPAA кибероружие PandaLabs Red Hat Минкомсвязи сбой ASUSTeK Computer мошенничество Доктор Веб ВКонтакте Cyber-Arc исходный код PCI DSS МВД фильтр порнография BREIN свобода слова Казахстан GEMA Autodesk сисадмин Gmail кредитная карта кибермошенник LiveJournal шифрование криптография Deep Purple банк нанотехнологии Wikipedia zero-day ColdFusion выборы кража данных DNS BIND Android BASIC атака Black Hat Mac OS X Click Forensics Clampi домен фсб Прокуратура Уголовное дело icq Barrelfish киберпреступность Sophos AT&T ошибка Electa Gamma Knife OpenBSD DARPA военные Сайт Visual Studio 2010 .NET Framework 4 Chrome OS электронная почта турция конференция спамер FTC полиция российская ОС Koobface Великобритания БЕЛОРУССИЯ грузия BSA Bittorrent облачные вычисления Azure Европа Dr.Web Билл Гейтс спецслужбы Cryzip Живой Журнал Royal Bank of Scotland смартфон Canonical Pwn2Own F-Secure Symbian Hotmail фильм

Главная » Статьи » Общие Статьи

DNS как веб-фильтр

Репутационные базы сейчас становятся основой информационной безопасности. Связано это с тем, что нет единственной надёжной технологии защиты от всех угроз, но защититься от нападений можно только комплексно, по совокупности признаков.

Репутационные базы сейчас становятся основой информационной безопасности. Связано это с тем, что нет единственной надёжной технологии защиты от всех угроз, но защититься от нападений можно только комплексно, по совокупности признаков. Именно такую совокупность и обеспечивают репутационные технологии, которые сводят в свой вердикт множество самых разнообразных признаков.

 

Важность DNS

  Сейчас используются следующие три типа репутационных баз:   

  • URL - базы этого типа основаны на универсальном указателе ресурса (URL), ключевым элементом которого является доменное имя сервера; 
  • IP-адреса - эти черные или белые списки составляются по IP-адресам, которые используются в Интернет для связи. Однако сейчас IP-адресов не является указателем на конкретный сервер или компьютер, поэтому в таких базах очень много ложных срабатываний; 
  • Имена файлов - впрочем идентификация идет не по именам, но по контрольным суммам файлов, имена которых могут быть любыми. Впрочем, и эти базы часто привязываются к URL, если файл расположен где-то в Интернет.

 

Из списка технологий видно, что наиболее общим подходом являются репутационные базы, построенные на URL, к которому также можно привязвать самую разнообразную информацию о вредоносности того или иного ресурса. При этом он является даже не прямым адресом, но ссылкой, состоящей из различных компонент: доменного имени, каталога, имени файла (для него можно вычислить контрольную сумму) и самых разнообразных параметров. При этом имя сервера также является не его прямым IP-адресом, но только ссылкой на запись в системе преобразования доменных имен в IP-адреса - это преобразование выполняет система доменных имен (DNS). Фактически именно DNS является той ключевой системой, которая может быть использована для хранения репутационной информации о всех ресурсах сети Интернет.

 

По изначальной задумке DNS должна быть нейтральной и максимально быстро преобразовывать доменное имя в реальный IP-адрес сервера. Однако этот принцип нейтральности DNS является проблемой, поскольку злоумышленники часто используют и динамические доменные адреса, и переадресацию, и сервисы сокращенных ссылок, чтобы скрыть реальный URL, куда ведет та или иная ссылка. Однако в любом случае именно DNS-сервер в конце концов сообщает браузеру адрес вредоносного сайта, откуда может быть загружен вредоносный контент.

 

Если мы хотим обезопасить Интернет от вредоносной активности, то стоит несколько модифицировать принципы работы DNS - она не должна быть пассивной, но сопротивляться вредоносной активности. В частности, корпоративному DNS-серверу не стоит корректно разрешать ссылки на очевидно фишинговые сайты или ресурсы, заражающие своих посетителей вредоносным программным обеспечением. При этом, вполне возможно не нарушать структуру основного сайта, поскольку вредоносные вкрапления на сайте, как правило, делаются хакерами незаметно для посетителей, поэтому их блокировка также не должна вызвать проблем.

 

URL-фильтры

  Собственно есть достаточно большой класс продуктов, которые занимаются URL-фильтрацией. Однако большинство из них работает как специальное устройство, которое слушает весь корпоративный трафик, выделяя в нем URL и проверяя их по собственной репутационной базе. Если URL подозрительный, то он подменяется на другой - с предупреждением, которое располагается на соответствующем корпоративном сайте. Такие устройства устанавливаются на уровень шлюза и часто имеют ограниченную пропускную способность.   

В то же время можно не контролировать трафик URL, но изменить разрешение доменных имен. Если имя сервера имеет отрицательную репутацию, то выдавать клиенты не его реальный IP-адрес, а адрес специального сервера с соответствующим предупреждением. Такая фильтрация доменных имен на уровне корпоративного DNS-сервера не требует "на лету" разбирать HTTP-протокл, выделять из него URL, запрашивать репутацию его в базе - достаточно просто в базе DNS-сервера модифицировать записи, которые показались подозрительными.

 

Впрочем есть уже два сервиса фильтрации DNS: компании Google с помощью Google Safe Browsing API и российской компании Entensys под названием Gatewall DNS-Filter. Для подключения к ним достаточно перенастроить корпоративный DNS-сервер так, чтобы сведения о доменных именах он получал от указанных для каждого из этих сервсов IP-адреса. Это специфичные DNS-сервера, в которых собрана база всех опасных доменных имен. Эти имена совсем не те, которые выдят незащищенные пользователи Интернет, но специальные IP самого сервиса. В то же время остальные имена с хорошей репутацией сервера преобразуют вполне корректно.

 

Впрочем сервис Google по понятным причинам очень демократичен - в его базу попадают только те адреса, которые очевидно являются вредоносными. В результате, его база данных составляет всего чуть более трех сотен тысяч адресов, которые содержат вредоносный код. Эти адреса собираются практически вручную теми компаниями, которые следят за вредоносной активностью зомби-сетей и вредоносных программ. Этот сервис можно использовать только для защиты от вредоносов.

 

Облачный DNS-фильтр

  В то же время услуга Entensys является платной, и позволяет клиентам выполнять более тонкие настройки. База этого продукта основана на четырех партнерских облаках: "Лаборатории Касперского", Panda Security, BrightCloud и Commtouch. Две базы составляются антивирусными компаниями и они предоставляют сведения о вредоносных URL, а два последних поддерживают облачные сервисы по защите своих клиентов от вредоносного содержания. Поэтому база Entensys значительно точнее - в ней содержится репутация более 500 млн. адресов, при этом каждый день обновляются сведения по более 100 тыс. URL.   

Кроме того, в сервисе Entensys предусмотрено 82 категории, каждую из которых можно заблокировать или разрешить. Эти настройки делает администратор корпоративной сети в специально предназначенном для этого веб-интерфейсе. Таким образом, защита может быть настроена более точно - не только для предотвращения проникновения вредоносных программ, но также и для фильтрации других типов ненужной информации: порнографии, музыки, фильмов, веб-игр, социальных сетей и практически любых веб-приложений. Эти настройки делаются администратором на серверах Entensys и транслируются на соответствующие корпоративные DNS-сервера, а далее и на всех клиентов, как внутренних, так и внешних. В результате, можно фильтровать интернет в том числе и на мобильных устройствах, если настроить соответствующий DNS-сервер и заблокировать смену этой настройки.

 

Подобная система фильтрации хорошо подходит для государственных и образовательных учреждений, а также компаний, которые заботятся о сокращении непродуктивного расходования вычислительных ресурсов. Причем услуга не требует установки какого-нибудь дополнительного оборудования или программного обеспечения - для подключения достаточно изменить настройки корпоративного DNS-сервера, в котором указать соответствующие сервера компании Entensys.

 

В то же время компания предлагает провайдерам специальный набор API и модулей интеграции с биллинговыми системами, которые позволяют построить на их основе дополнительный сервис защиты, интегрированный с личным кабинетом пользователя. Это даст операторам возможность зарабатывать дополнительные средства на предоставлении безопасного доступа к Интернет.

 

Заключение

  Следует отметить, что DNS-фильтр не является панацеей от всех проблем информационной безопасности. В частности, он не исключает использования классических антивирусных продуктов, поскольку не контролирует, например, съемные носители и даже внутрикорпоративные сетевые диски. Тем не менее он позволяет защититься от наиболее популярного на текущий момент способа заражения компьютеров через встроенные в сайт или в электронное письмо перенаправляния на троянские страницы.   

К тому же этот тип защиты оказывается самым оперативным - поскольку не требует обновления антивирусных баз, но только оперативного очищения DNS-кешей. Кроме того, сервис DNS-Filter, в отличии от антивирусов, позволяет сократить корпоративный трафик, поскольку с его помощью можно заблокировать наиболее ресурсоемкие сетевые сервисы: мультимедийные ресурсы, интернет-игры, зомби-сети и другие непродуктивные веб-ресурсы.



Источник: http://www.securitylab.ru/analytics/423996.php
Категория: Общие Статьи | Добавил: aka_kludge (18.12.2012)
Просмотров: 3299 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
    Главная      
...
На службе : дней

21:33
Обновить


Пользователи
aka_kludge
qwerty
LeadyTOR
aka_Atlantis
AdHErENt
mAss
Sissutr
hiss
DrBio
tHick

Поиск


Copyright tHR - TeAM 2024 г. admin: aka_kludge (ICQ:334449009) Moderator's: LeadyTOR, ... Яндекс.Метрика