Guzik poprosił o komentarz w sprawie uruchomienia usługi DNS Blackholingu przez firmę Norton from Symantec http://nortondns.com/. O tego typu zabezpieczeniu mówiłem już prawie 3 lata temu na kilku konferencjach i przez cały ten czas twierdzę, że jest to bardzo skuteczna metoda na walkę ze szkodnikami w zarządzanej przez nas sieci. Zasady działania opiszę po krótce cytując swój tekst z tego bloga:
Co to jest DNS blackholing? A to taka technika obrony (i ataku, ale o tym może kiedy indziej) w której na zapytanie o hosta w domenie odpowiadamy dowolnym adresem IP (najczęściej 127.0.0.1), co skutecznie dezaktywuje boty próbujące łączyć się do domu. Krótką prezentację o DNS blackholingu przygotowaną na potrzeby jednej konferencji można obejrzeć tu. Szczegóły techniczne można doczytać w prezentacji, więc nie będę się tutaj powtarzać.
W skrócie, jeżeli komuś nie chce się oglądać prezentacji: po udanej infekcji malware próbuje się połączyć do serwera C&C pytając legalnych DNSów o jakiegoś hosta w jakiejś domenie. Po uzyskaniu adresu IP łączy się tam na określony port. I tutaj jest pole do zastosowania blackholingu: jeżeli bot zapyta gdzie jest jego serwer C&C i dostanie w odpowiedzi adres 127.0.0.1, to będzie próbował się tam połączyć. Oczywiście mu się nie uda, i nie będzie groźny. Oczywiście komputer będzie dalej zainfekowany, ale bot już z nikim się nie skontaktuje. Skuteczna technika, nawet bardzo skuteczna. W prezentacji jest pod koniec slajd o skuteczności z życia wziętej.
Minusy takiego rozwiązania to na pewno jakość połączenia do serwerów DNS firmy Symantec /które rzekomo są na bardzo wysokim poziomie/ oraz mimo zapewnień o niezbieraniu przez Symanteca informacji na temat zapytań – kwestie prywatności. Wolałbym aby dodatkowo dla zaawansowanych administratorów udostępniali listę szkodliwych domen, którą mógłbym zaimportować do swoich serwerów DNS. Tak jak mogę to zrobić z serwisu np. http://www.malwaredomains.com/.
Trzecim niebezpieczeństwem wynikającym z korzystania z firmy zarządzającej naszymi odpowiedziami DNS jest fakt, że każdy się może pomylić. Google potrafiło dodać w wyniku ludzkiego błędu strony legalne do listy stron niebezpiecznych i choćby cytowany bardzo dobry serwis malwaredomains.com popełnił krytyczny błąd i zablokował witrynę alexa.com (ktoś nie zweryfikował wpisów, który przybyły z systemów IDS). Pisałem o tym tutaj.
Na sam koniec warto przypomnieć, że jeśli zabezpieczenia firmy zarządzającej Waszymi serwerami DNS zostaną przełamane i serwery DNS zostaną przejęte to także narażacie się na niebezpieczeństwo.
Mimo tych wszystkich niebezpieczeństw bilansując zyski i straty osobiście uważam, że w większości przypadków warto korzystać z DNS blackholingu czy to w postaci importowania danych z serwisów typu malwaredomains.com czy też z używania serwerów DNS bezpośrednio z usług takich jak Norton DNS. Na prawdę warto.
Jeden komentarz do
31 października, 2010 o godzinie 16:41
Norton DNS, Comodo DNS, Clear Cloud DNS
Które wybrać ? Sprawdzałem i podobno najszybsze są DNSy Nortona
Korzystanie z takich DNS zawsze zwiększa poziom bezpieczeństwa
Ciekawością są DNSy od Sunbelta ( Clear Cloud DNS )
http://programyzadarmo.net.pl/2010/08/27/bezpiecznie-surfowanie-z-sunbelt-software-clearcloud/