Hanya beberapa bulan yang lalu ada banyak buzz karena IETF dalam kerangka waktu yang dipercepat (sekitar satu tahun) menerima DNS over HTTPS (DoH) sebagai standar (
RFC-8484 ). Diskusi tentang itu masih berlangsung karena kontroversi. Pendapat pribadi saya adalah bahwa DoH baik untuk privasi pribadi (jika Anda tahu cara menggunakannya dan mempercayai penyedia DNS Anda) tetapi itu adalah risiko keamanan untuk perusahaan. DNS over TLS (
DoT ) adalah alternatif yang lebih baik untuk pelanggan perusahaan hanya karena menggunakan port TCP yang terdefinisi dengan baik tetapi untuk privasi pribadi itu tidak baik karena alasan yang sama (mudah diblokir).
Terlepas dari perbedaan DoH dan DoT pada dasarnya menyelesaikan masalah yang sama - mengamankan komunikasi DNS. Jadi aktor jahat tidak dapat menguping lalu lintas DNS yang tidak terenkripsi dan menggunakannya untuk mengidentifikasi tautan yang lemah dan untuk serangan. Ini banyak dibahas tetapi sepertinya satu topik benar-benar dilupakan atau tidak dibahas secara luas - transfer Zone Kebijakan Respons (RPZ).
RPZ / DNS Firewall adalah fitur keamanan yang didukung oleh beberapa server DNS: ISC Bind, PowerDNS, KnotDNS, dan produk yang berdasarkan pada mereka. RPZ mudah diterapkan, didukung, dan sangat skalabel dengan dampak minimal pada kinerja, sehingga server DNS dapat dimasukkan ke dalam keamanan organisasi sebagai lapisan tambahan. Zona Kebijakan Respons dapat dipelihara secara lokal atau diunduh dari penyedia pihak ketiga seperti Infoblox, SURBL, Farsight dll. Protokol transfer zona DNS standar digunakan untuk mengirimkan umpan RPZ. Biasanya Zona DNS ditransmisikan melalui TCP dan ditandatangani oleh kunci TSIG sehingga konten tidak dapat dengan mudah diubah tetapi tidak dienkripsi dan ini berpotensi menyebabkan masalah yang lebih buruk. Jika aktor jahat mencegat lalu lintas ini maka indikator yang diblokir (domain, IP) terbuka dan dimungkinkan untuk memotong lapisan keamanan DNS. DNS RPS (Response Policy Service) adalah fitur ISC Bind baru yang mungkin akan mengatasi masalah ini tetapi saat ini tidak terdokumentasi dengan baik dan tidak didukung oleh server DNS lainnya.
RFC DoT dan DoH tidak membatasi jenis permintaan dan respons yang dapat ditransfer melalui saluran terenkripsi sehingga dimungkinkan untuk meningkatkan standar-standar ini untuk transfer zona DNS termasuk umpan RPZ.
Dengan blogpost ini saya senang mengumumkan bahwa
ioc2rpz secara asli (tidak memerlukan proksi atau perangkat lunak tambahan) mendukung DoT, sehingga umpan RPZ dapat didistribusikan dengan aman melalui saluran yang tidak aman / Internet. Ini adalah rilis pertama (dengan DoT) sehingga ada beberapa batasan: satu permintaan per sesi dan TLS 1.2 hanya didukung, DNS Notify dan TLS PIN tidak didukung.
ioc2rpz.gui (antarmuka web) saat ini tidak mendukung konfigurasi DoT (ada di peta jalan) tetapi konfigurasinya sangat sederhana. Server memeriksa konfigurasi dan memulai pendengar TLS jika konfigurasi tersebut berisi sertifikat (dan kunci pribadi).
PEMBARUAN:
Anda dapat menguji umpan RPZ / DNS Firewall di
ioc2rpz.net Layanan ini didukung oleh ioc2rpz.