Response Policy Zones

Introduccion

RPZ es una caracteristica de los resolvers, que permite listar dominios que no se quiere que el usuario o sistema que utiliza ese resolver acceda a ellos.

Esto puede deberse a una orden judicial, una accion de censura, o , en el caso mas comun , una medida de Ciberseguridad asociada a la proteccion de Endpoints.

Es decir, cuando un usuario recibe un mail con un link malicioso , o cuando un usuario tiene su PC infectada con un malware que precisa acceder a un dominio de Command & Control , si tiene su resolver en una IP de Resolver RPZ provista por Planisys, lo mas probable es que no se pueda acceder a dicho dominio, y desaparezca el peligro porque el Malware o el Command-and-Control-Server no estan ubicables.

../_images/rpz.png

Resolvers

Una de las primeras pantallas con la que nos encontramos es con la de resolvers. En ella estan listados los resolvers que tenemos asignados y que tenemos que configurar en nuestro ambiente.

../_images/resolvers1.png

Luego si hacemos click en STATS podremos ver diversas estadisticasde nuestros resolvers.

../_images/resolvers2.png ../_images/resolvers3.png

A continuación se presentan los códigos de respuesta que pueden generarse al realizar una consulta a un servidor BIND9 que podemos observar al pie de los graficos:

  • NOERROR: Indica que la consulta DNS fue exitosa. El servidor pudo resolver el nombre de dominio y devolver una respuesta válida.

  • FORMERR (Format Error): El servidor DNS indica que recibió una consulta mal formada. Esto significa que la solicitud enviada no cumple con las especificaciones del protocolo DNS.

  • SERVFAIL (Server Failure): El servidor DNS no pudo procesar la consulta debido a un problema interno, como una falta de recursos o un error en la configuración. Es una respuesta genérica cuando algo salió mal en el servidor.

  • NXDOMAIN (Non-Existent Domain): Indica que el nombre de dominio solicitado no existe en el DNS. El servidor está informando que no hay registros para ese dominio.

  • NOTIMP (Not Implemented): El servidor DNS no admite el tipo de consulta o la operación solicitada. Es posible que el servidor no esté configurado para manejar cierto tipo de solicitudes o que la función solicitada no esté implementada.

  • REFUSED: El servidor DNS se niega a procesar la consulta. Esto puede suceder por varias razones, como restricciones de seguridad o configuración del servidor para rechazar consultas desde ciertas direcciones IP.

  • NOTAUTH (Not Authorized): El servidor DNS está informando que no está autorizado para proporcionar una respuesta para la zona en cuestión. Esto puede suceder si la consulta está dirigida a un servidor que no es el autoritativo para la zona solicitada.

  • BADVERS (Bad Version): Este código indica que la consulta usó una versión del protocolo DNS que no es compatible o es incorrecta.

  • BADCOOKIE: Está relacionado con la validación de cookies en DNS, que se utiliza en DNS Cookies para proteger contra ataques de denegación de servicio (DoS). Este error ocurre cuando la cookie DNS que se recibe es inválida o no coincide con lo esperado por el servidor.

  • RPZ_Rewrites: «RPZ» se refiere a Response Policy Zones, una característica de BIND que permite sobreescribir respuestas DNS basadas en políticas. Cuando ves «RPZ_Rewrites», significa que el servidor DNS ha modificado la respuesta de acuerdo con las políticas definidas en una zona RPZ, como bloquear ciertos dominios o redirigirlos.

Blackhole Domains

En el podemos introducir manualmente, subir y descargar registros para nuestro RPZ.

../_images/BlackHole2.png

Para el caso de archivos con gran cantidad de dominios, como los provistos por el gobierno, se pueden catgar sin problemas de tamano o duracion de la carga en esta pantalla con una de progreso.

../_images/subir-dominios-rpz.png

Trusted Blocks

En esta pantalla se encuentra la lista de bloques CIDR permitidos para utilizar los resolvers. Con los botones “Add IPv4 CIDR” y “Add IPv6 CIDR” se pueden agregar rangos de IP o IP específicas.

../_images/Trusted3.png

RPZ List

En esta pantalla se encuentran todas las listas y categorías que forman parte del servicio de seguridad DNS Response Policy Zones (RPZ). Estas listas son actualizadas por el Threat Intelligence de Planisys asi por como por su SOC constantemente, quien se encarga de mantener la información al día sobre amenazas, sitios peligrosos y publicidad. De este modo, el ISP puede habilitar o deshabilitar las listas según el nivel de seguridad que desee implementar.

../_images/Rpz4.png

RPZ Query

Con la funcionalidad RPZ Query, el operador puede realizar tareas de soporte y verificar si un dominio está siendo filtrado por el servicio en respuesta a una solicitud de un cliente. Esto facilita el soporte, y en caso de que un dominio conocido se esté filtrando por error, la pantalla informa cuál lista lo está filtrando, permitiendo deshabilitarla y/o reportarla si es necesario.

../_images/Rpz5.png

En la foto podemos observar que en Domain Name ingresamos el sitio a buscar/revisar. Y en RPZ Zone or Other Response vemos si el dominio en cuestion es filtrado por nuestro servicio. Si es filtrado, nos aparece como se muestra en la foto explicando porque lista fue filtrado. Permitiendonos en el caso de ser necesario apagar dicha lista. En el caso de que el dominio no este listado nos diría: is not RPZ filtered.

A partir de la más reciente actualización del sistema, se ha añadido un nuevo botón llamado «VirusTotal Lookup». Este botón, disponible una vez que el sitio ha sido listado en alguna de las listas RPZ, permite realizar una búsqueda directa en VirusTotal. Con esta función, podemos evaluar la reputación del sitio en cuestión, consultando los resultados proporcionados por todos los proveedores de seguridad que colaboran con VirusTotal. Esta integración facilita la revisión exhaustiva del estado de seguridad del dominio, brindándonos una herramienta adicional para proteger nuestra red.