Фильтрация интернет-контента с помощью DNS
DNS-фильтрация (DNS filtering) — это процесс использования системы доменных имен для блокировки вредоносных веб-сайтов и фильтрации вредного или запрещенного контента. DNS фильтрация является важным инструментом для обеспечения безопасности сети и контроля доступа пользователей к ресурсам. С её помощью можно предотвратить угрозы безопасности и повысить производительность и безопасность сети организации.
Давайте разберемся, что такое DNS и DNS-фильтрация и как с их помощью можно обеспечить безопасность контролируемой сети.
Давайте разберемся, что такое DNS и DNS-фильтрация и как с их помощью можно обеспечить безопасность контролируемой сети.
Что такое система доменных имен?
Система доменных имен, или DNS (Domain Name System), сопоставляет доменные имена (символьные идентификаторы автономных областей в сети Интернет) с IP-адресами хостов (компьютеров или устройств). DNS необходим для того, чтобы интернет-пользователи могли получать доступ к веб-сайтам по их именам, не запоминая запутанные списки номеров (аналогично телефонной книге).
Каждый раз, когда пользователь открывает веб-сайт или обращается к веб-приложению, процесс загрузки контента начинается только после того, как устройство пользователя найдет правильный IP-адрес запрашиваемого хоста по следующему алгоритму:
DNS является важной частью доступа к веб-контенту: контент не может загружаться до разрешения домена. Это делает DNS-фильтрацию эффективным способом контроля над тем, к какому контенту могут получить доступ пользователи.
Каждый раз, когда пользователь открывает веб-сайт или обращается к веб-приложению, процесс загрузки контента начинается только после того, как устройство пользователя найдет правильный IP-адрес запрашиваемого хоста по следующему алгоритму:
- Пользователь вводит доменное имя в адресную строку веб-браузера.
- Устройство пользователя создает DNS-запрос и отправляет его на специализированный веб-сервер (DNS-резолвер).
- DNS-резолвер сопоставляет запрошенное доменное имя с IP-адресом либо путем запроса дополнительных DNS-серверов, либо путем проверки своего кэша.
- DNS-резолвер отправляет на устройство пользователя ответ с правильным IP-адресом — это называется «разрешением» домена.
- Устройство пользователя связывается с сервером по полученному IP-адресу, чтобы установить соединение и начать загрузку интернет-контента.
DNS является важной частью доступа к веб-контенту: контент не может загружаться до разрешения домена. Это делает DNS-фильтрацию эффективным способом контроля над тем, к какому контенту могут получить доступ пользователи.
Что такое блокировка контента на уровне DNS?
DNS-фильтрация является методом контроля доступа к сети путем фильтрации DNS-запросов и ответов.
Итак, все DNS-запросы передаются DNS-резолвер. Специально настроенные DNS-резолверы также могут действовать как фильтры, отказываясь разрешать запросы для определенных доменов, например, которые находятся в черном списке, тем самым блокируя доступ пользователей к этим доменам. Службы фильтрации DNS также могут использовать белый список вместо черного.
DNS-фильтрация может блокировать веб-ресурсы по доменному имени или по IP-адресу:
- по домену: DNS-резолвер вообще не разрешает и не ищет IP-адреса для определенных доменов.
- По IP-адресу: DNS-резолвер пытается разрешить все домены, но если IP-адрес находится в черном списке, то не отправит его обратно на запрашивающее устройство.
Теперь рассмотрим популярные подходы реализации DNS-фильтрации.
Как мы уже писали выше, чаще всего применяются черные списки (blacklists) и белые списки (whitelists). При использовании черных списков блокируются известные нежелательные или вредоносные домены и IP-адреса, а с белыми списками допускаются только известные и доверенные домены. Как правило, поставщики DNS-фильтров могут составлять черные списки на основании данных, принятых в сообществе кибербезопасности или от регулятора, но также самостоятельно создавать свои собственные черные списки. Некоторые DNS-фильтры даже оценивают веб-страницы и автоматически добавляют их в черный список по заданным критериям (например, выявление вредоносного кода на странице веб-сайта).
DNS-фильтрация также может содержать в черном списке домены, которые не обязательно используются для вредоносных программ или фишинговых атак, но содержат запрещенный или неприемлемый контент. Например, организация может захотеть добавить веб-сайты, на которых размещается контент для взрослых, в свой черный список DNS-фильтрации.
Далее рассмотрим фильтрацию на основе категорий. Вместо блокировки отдельных доменов можно задать фильтрацию, где ресурсы классифицируются по типу контента или уровню безопасности, например, блокировка доступа к сайтам социальных сетей или стримингового видео.
Наконец, службы DNS-фильтрации могут предоставлять специализированные DNS-фильтры. Как правило, это обширные базы данных с классификацией доменов и IP-адресов на основе различных параметров, таких как безопасность, репутация и контент. Эти фильтры обеспечивают автоматическое обновление и контроль доступа к различным категориям ресурсов.
Что такое безопасные DNS-серверы?
Безопасный DNS-сервер — это DNS, который блокирует вредоносные или запрещенные веб-сайты в рамках службы фильтрации DNS. Некоторые защищенные DNS-серверы также обеспечивают повышенную конфиденциальность пользовательских данных, например, очищая журналы пользовательских DNS-запросов через каждые 24 часа.
Изначально, DNS не была разработана с учетом безопасности и некоторые ее компоненты можно назвать уязвимыми. Так злоумышленники пытаются прослушивать DNS-сообщения и перехватывать информацию, связанную с адресами электронной почты или перенаправляя пользователей на мошеннические и фишинговые веб-сайты. В связи с этим для обеспечения безопасного взаимодействия с DNS применяется протокол DNSSEC — расширения безопасности системы доменных имен, которые исправляют некоторые уязвимости DNS и защищают ее от неправильного использования.
DNSSEC решает проблемы уязвимости путем реализации асимметричной криптографии, т. е. путем шифрования и дешифрования каналов связи с пользователем с помощью открытого ключа. Это усиливает аутентификацию в DNS и значительно повышает безопасность и надежность разрешаемого домена. Другими словами, протокол DNSSEC помогает убедиться, что DNS-резолверы предоставляют точную информацию и не были скомпрометированы злоумышленником. Протоколы DNS over TLS (DoT) и DNS over HTTPS (DoH) шифруют DNS-запросы и ответы, чтобы злоумышленники не могли отслеживать DNS-запросы пользователей и устанавливать веб-сайты, которые они посещают.
Как DNS-фильтрация помогает блокировать вредоносное ПО и фишинговые атаки?
Фильтрация DNS может помочь предотвратить проникновение вредоносного программного обеспечения в сеть организации и на устройства пользователей через ненадежные и нежелательные сайты, а также блокировать некоторые виды фишинговых атак. Так веб-сайт, на котором размещено вредоносное ПО, может попытаться обманом заставить пользователей загрузить вредоносную программу, либо выполнить его попутную загрузку (автоматическое скачивание вместе с основным контентом страницы). В противовес этому DNS-фильтрация может предотвратить подобные атаки, полностью блокируя загрузку пользователями вредоносных веб-страниц: IP-адреса или доменные имена, на которых, как известно, размещен запрещенный контент, заносятся в черный список, и пользователи не могут получить к ним доступ. Второй вариант основывается на белом списке: одобренные компанией веб-сайты добавляются в белый список, при этом DNS-фильтрация блокирует все остальные веб-сайты.
Еще одним важным преимуществом DNS-фильтрации является возможность предотвращения пользователей к злонамеренным или скомпрометированным, а также к фишинговым веб-сайтам, которые могут быть использованы для распространения вредоносных программ, кражи данных, проведения DDoS-атак и других угроз безопасности. Блокировка DNS-запросов к таким сайтам помогает повысить безопасность сети и обеспечить защиту от вредоносных действий. Некоторые DNS оснащены механизмами идентификации злонамеренных IP-адресов или доменных имен хостов по их поведению. И хотя DNS-фильтрация может блокировать эту вредоносную активность, злоумышленники, как правило, очень быстро создают новые домены, которые невозможно моментально внести в черный список.
Последним преимуществом DNS-фильтрации является возможность соблюдения политик безопасности организации и соответствие требованиям регулятора. Такая фильтрация может помочь контролировать использование сети, предотвращать доступ к нежелательным или запрещенным ресурсам и обеспечивать безопасную работу сетевых сервисов и приложений.
Какова ценность DNS-фильтрации для бизнеса?
Хотя DNS-фильтрации не должна быть единственным решением, используемым для защиты данных компании и её сети, она по-прежнему остается высокоэффективной мерой безопасности. Так блокировка контента на уровне DNS часто становится первой линией защиты от заражения вредоносным ПО.
Также фильтрация по DNS является разумной мерой, помогающей предотвратить утечку данных компании — в большинстве случаев пользователи не смогут установить соединение с недоверенным или злонамеренным хостом.
Кроме того, DNS-фильтрация служит защитой для сотрудников, которые обманом могут невольно могут стать жертвами фишинга.
Наконец, руководство организации может принимать на основании DNS решение, к каким веб-сайтам их сотрудники могут иметь доступ в рабочее время. Как правило, такие ограничения связаны с заботой о продуктивности сотрудников. Как правило, к запрещенным сайтам относятся:
Также фильтрация по DNS является разумной мерой, помогающей предотвратить утечку данных компании — в большинстве случаев пользователи не смогут установить соединение с недоверенным или злонамеренным хостом.
Кроме того, DNS-фильтрация служит защитой для сотрудников, которые обманом могут невольно могут стать жертвами фишинга.
Наконец, руководство организации может принимать на основании DNS решение, к каким веб-сайтам их сотрудники могут иметь доступ в рабочее время. Как правило, такие ограничения связаны с заботой о продуктивности сотрудников. Как правило, к запрещенным сайтам относятся:
- сайты для взрослых;
- сайты обмена торрент-файлами;
- развлекательные и новостные сайты;
- онлайн игры;
- социальные сети;
- онлайн казино.
Какие механизмы DNS-фильтрации предоставляет Ideco UTM?
Межсетевой экран следующего поколения Ideco UTM для дополнительной фильтрации трафика поддерживает интеграцию со сторонними облачными сервисами DNS-фильтрации:
Ideco UTM оснащен функциями перехвата пользовательских DNS-запросов для блокирования их использования путем туннелирования (DNS-over-TLS, DNS-over-QUIC, DNS-over-HTTPS). Данная опция позволяет избежать обход блокировок на рабочих станциях пользователей, на которых указаны сторонние DNS-серверы, а также подмены адреса ресурса при резолвинге его домена.
Дополнительно в качестве DNS-сервера локальной сети можно использовать встроенный в Ideco UTM кеширующий DNS-сервер. При резолвинге через DNS-сервер Ideco UTM адреса поисковых систем возвращаются с включенной фильтрацией неподобающего контента (безопасный поиск).
При интеграции с сервисом SkyDNS настройка запрета доступа к сайтам по категориям, безопасного поиска осуществляется через личный кабинет SkyDNS. Дополнительно для настройки разных параметров фильтрации для различных компьютеров контролируемой сети применяется SkyDNS Agent.
Мы рассмотрели еще один эффективный механизм фильтрации контента. С помощью блокировки контента на уровне DNS можно легко и быстро ограничить доступ пользователей к недоверенным и злонамеренным сайтам. Однако эксперты рекомендуют не пренебрегать другими средствами и механизмами защиты, используя DNS-фильтрацию в связке с ними.
- SkyDNS;
- Yandex DNS;
- Open DNS;
- Cloudflare DNS.
Ideco UTM оснащен функциями перехвата пользовательских DNS-запросов для блокирования их использования путем туннелирования (DNS-over-TLS, DNS-over-QUIC, DNS-over-HTTPS). Данная опция позволяет избежать обход блокировок на рабочих станциях пользователей, на которых указаны сторонние DNS-серверы, а также подмены адреса ресурса при резолвинге его домена.
Дополнительно в качестве DNS-сервера локальной сети можно использовать встроенный в Ideco UTM кеширующий DNS-сервер. При резолвинге через DNS-сервер Ideco UTM адреса поисковых систем возвращаются с включенной фильтрацией неподобающего контента (безопасный поиск).
При интеграции с сервисом SkyDNS настройка запрета доступа к сайтам по категориям, безопасного поиска осуществляется через личный кабинет SkyDNS. Дополнительно для настройки разных параметров фильтрации для различных компьютеров контролируемой сети применяется SkyDNS Agent.
Мы рассмотрели еще один эффективный механизм фильтрации контента. С помощью блокировки контента на уровне DNS можно легко и быстро ограничить доступ пользователей к недоверенным и злонамеренным сайтам. Однако эксперты рекомендуют не пренебрегать другими средствами и механизмами защиты, используя DNS-фильтрацию в связке с ними.
Как протестировать и где получить консультацию
Если у вас возникли вопросы по функциональности Ideco UTM или вы хотите протестировать наш межсетевой экран, оставьте заявку ниже для получения консультации или доступа к демо-версии
Форма обратной связи
Ваши ответы на вопросы в форме помогут нам правильно подготовиться и сэкономить ваше время.
Пожалуйста, заполняйте данные корректно.
Пожалуйста, заполняйте данные корректно.
Нажимая кнопку «Отправить» вы соглашаетесь с Политикой конфиденциальности