Response Policy Zones

Introdução

RPZ é uma característica dos resolvers que permite listar domínios aos quais não se deseja que o usuário ou sistema que utiliza esse resolver tenha acesso.

Isto pode ocorrer devido a uma ordem judicial, uma ação de censura ou, no caso mais comum, uma medida de Cibersegurança associada à proteção de Endpoints.

Ou seja, quando um usuário recebe um email com um link malicioso, ou quando um usuário tem seu PC infectado com um malware que precisa acessar um domínio de Command & Control, se o resolver estiver configurado com um IP de Resolver RPZ fornecido pela Planisys, o mais provável é que não seja possível acessar esse domínio e o perigo desapareça, porque o Malware ou o Command-and-Control-Server não estarão acessíveis.

Resolvers

Uma das primeiras telas que encontramos é a de resolvers. Nela estão listados os resolvers atribuídos e que devemos configurar em nosso ambiente.

Estatísticas por resolver

Se clicarmos em STATS poderemos visualizar diversas estatísticas dos nossos resolvers.

A seguir são apresentados os códigos de resposta que podem ser gerados ao realizar uma consulta a um servidor BIND9, que podem ser observados na parte inferior dos gráficos:

NOERROR: Indica que a consulta DNS foi bem-sucedida. O servidor conseguiu resolver o nome de domínio e retornar uma resposta válida.
FORMERR (Format Error): O servidor DNS indica que recebeu uma consulta malformada. Isso significa que a solicitação enviada não segue as especificações do protocolo DNS.
SERVFAIL (Server Failure): O servidor DNS não conseguiu processar a consulta. É uma resposta genérica quando existe algum problema de formato ou comando que não corresponde ao DNS.
NXDOMAIN (Non-Existent Domain): Indica que o nome de domínio solicitado não existe no DNS. O servidor está informando que não há registros para esse domínio.
NOTIMP (Not Implemented): O servidor DNS não suporta o tipo de consulta ou a operação solicitada.
REFUSED: O servidor DNS se recusa a processar a consulta. Isso pode acontecer por várias razões, como restrições de segurança ou configurações do servidor para rejeitar consultas provenientes de determinados endereços IP.
NOTAUTH (Not Authorized): O servidor DNS está informando que não está autorizado a fornecer uma resposta para a zona em questão. Isso pode acontecer se a consulta estiver direcionada a um servidor que não é autoritativo para a zona solicitada.
BADVERS (Bad Version): Este código indica que a consulta utilizou uma versão do protocolo DNS que não é compatível ou está incorreta.
BADCOOKIE: Está relacionado à validação de cookies no DNS, utilizada em DNS Cookies para proteger contra ataques de negação de serviço (DoS). Esse erro ocorre quando o cookie DNS recebido é inválido ou não corresponde ao esperado pelo servidor.
RPZ_Rewrites: «RPZ» refere-se a Response Policy Zones, uma característica do BIND que permite sobrescrever respostas DNS com base em políticas. Quando você vê «RPZ_Rewrites», significa que o servidor DNS modificou a resposta de acordo com as políticas definidas em uma zona RPZ, como bloquear determinados domínios ou redirecioná-los.

Estatísticas unificadas dos resolvers

Abaixo da lista de resolvers foi adicionado um novo botão no qual podem ser observadas as seguintes estatísticas. Elas são o resultado da soma dos resolvers.

Relatório Top 100 hits RPZ

Abaixo do gráfico é exibida uma tabela com o top 100 de domínios/IPs que geraram mais hits na análise contínua realizada pelo DNS RPZ durante um determinado período.

Esta tabela inclui três colunas principais:

RPZ Domain: O domínio que foi bloqueado por sua associação com atividades maliciosas ou suspeitas.
Hits: O número de vezes que esse domínio foi consultado e bloqueado.
List: Mostra o detalhe dos endereços IP envolvidos, seguindo o formato de RPZ-IP.

Esta tabela é atualizada periodicamente e reflete os domínios mais relevantes em termos de atividade maliciosa ou indesejada.

Sobre os Endereços RPZ-IP

Por exemplo, uma entrada como:

32.82.31.17.85.rpz-ip

Pode ser interpretada da seguinte maneira:

O número «32» indica um prefixo /32, que se refere a um IP específico que foi bloqueado.
O restante do endereço é invertido, o que significa que o IP associado seria 85.17.31.82.

Em outros casos, como:

12.0.0.0.223.rpz-ip

O número «12» refere-se a um bloco CIDR /12, que abrange um intervalo de endereços IP, neste caso 223.0.0.0/12. Se for realizada uma consulta que caia dentro desse bloco, ela será bloqueada e retornará um NXDOMAIN.

Em resumo, a tabela Top 100 hits mostra os principais vetores que o RPZ detectou. Ela interrompeu o acesso ao destino e protegeu tanto a rede quanto seus usuários. Compreender como interpretar os endereços e blocos associados é fundamental para manter sua rede protegida contra possíveis ameaças.

Blackhole Domains

Nele podemos inserir manualmente, enviar e baixar registros para o nosso RPZ.

No caso de arquivos que contenham uma grande quantidade de domínios, como os fornecidos pelo governo, eles podem ser carregados sem inconvenientes relacionados ao tamanho ou à duração do processo. Além disso, esta tela exibe uma barra de progresso para facilitar o acompanhamento do carregamento.

Importante!! Para que isso seja ativado, é necessário ter ativa a lista rpz_local, localizada em RPZ List, como pode ser visto no seguinte print:

Trusted Blocks

Nesta tela encontra-se a lista de blocos CIDR permitidos para utilizar os resolvers. Com os botões “Add IPv4 CIDR” e “Add IPv6 CIDR” podem ser adicionados intervalos de IP ou IPs específicos.

RPZ List

En esta pantalla se encuentran todas las listas y categorías que forman parte del servicio de seguridad DNS Response Policy Zones (RPZ). Estas listas son actualizadas por el Threat Intelligence de Planisys asi por como por su SOC constantemente, quien se encarga de mantener la información al día sobre amenazas, sitios peligrosos y publicidad. De este modo, el ISP puede habilitar o deshabilitar las listas según el nivel de seguridad que desee implementar.

Aviso

Esta imagen sirve de ejemplo de como deberia configurarse un ISP Argentino con menos de 500 mil abonados.

Se agregaron las siguientes listas, a continuacion una descripcion de las mismas:

newly_registered14 Newly Registered domains 14days Cambia todos los días una vez por día y tiene los dominios registrados en los últimos 14 días, que en gran cantidad de casos se usan para el cibercrimen.
planisys_grayzone cheap, abused or insignificant gTLDs by ICANN Son dominios baratos que se usan mucho en cibercrimen como .top, .xyz , etc.
planisys_islands abused or insignificant ccTLDs - Islands.

Esta lista contiene global Top-Level-Domains correspondientes a islas que no tienen infraestructura Internet, pero ponen sus dos letras a disposición para hacer dinero con Registries que venden subdominios.

Esos nombres han sido abusados por hackers provocando una alta curva de cibercrimen. No es necesario que lo prendan, solo en caso de encontrar en los reportes muchos ataques de nombres terminado p.ej. en ac o me o similar.

La siguiente es un extracto de la lista de:

*.bl      IN CNAME .   ; Saint Barthélemy
*.bv      IN CNAME .   ; Bouvet Island (uninhabited)
*.cx      IN CNAME .   ; Christmas Island
*.eh      IN CNAME .   ; Western Sahara
*.fk      IN CNAME .   ; Falkland Islands
*.fo      IN CNAME .   ; Faroe Islands
*.gf      IN CNAME .   ; French Guiana
*.gl      IN CNAME .   ; Greenland
*.gp      IN CNAME .   ; Guadeloupe
*.gs      IN CNAME .   ; South Georgia and South Sandwich Islands
*.hm      IN CNAME .   ; Heard and McDonald Islands
*.je      IN CNAME .   ; Jersey
*.mf      IN CNAME .   ; Saint Martin
*.nf      IN CNAME .   ; Norfolk Island
*.pm      IN CNAME .   ; Saint Pierre and Miquelon
*.pn      IN CNAME .   ; Pitcairn Islands
*.sh      IN CNAME .   ; Saint Helena and Ascension
*.sx      IN CNAME .   ; Sint Maarten
*.tc      IN CNAME .   ; Turks and Caicos
*.vg      IN CNAME .   ; British Virgin Islands
*.wf      IN CNAME .   ; Wallis and Futuna
*.yt      IN CNAME .   ; Mayotte

Aviso

Nos hemos encontrado que Microsoft está utilizando aka.ms, por lo que hemos eliminado al *.ms de la lista de islas, así como *.gl que ya sabemos de antemano que Google lo había usado

RPZ Query

Con la funcionalidad RPZ Query, el operador puede realizar tareas de soporte y verificar si un dominio está siendo filtrado por el servicio en respuesta a una solicitud de un cliente. Esto facilita el soporte, y en caso de que un dominio conocido se esté filtrando por error, la pantalla informa cuál lista lo está filtrando, permitiendo deshabilitarla y/o reportarla si es necesario.

En la foto podemos observar que en Domain Name ingresamos el sitio a buscar/revisar. Y en RPZ Zone or Other Response vemos si el dominio en cuestion es filtrado por nuestro servicio. Si es filtrado, nos aparece como se muestra en la foto explicando porque lista fue filtrado. Permitiendonos en el caso de ser necesario apagar dicha lista. En el caso de que el dominio no este listado nos diría: is not RPZ filtered.

A partir de la más reciente actualización del sistema, se ha añadido un nuevo botón llamado «VirusTotal Lookup». Este botón, disponible una vez que el sitio ha sido listado en alguna de las listas RPZ, permite realizar una búsqueda directa en VirusTotal. Con esta función, podemos evaluar la reputación del sitio en cuestión, consultando los resultados proporcionados por todos los proveedores de seguridad que colaboran con VirusTotal. Esta integración facilita la revisión exhaustiva del estado de seguridad del dominio, brindándonos una herramienta adicional para proteger nuestra red.

RPZ Whitelist

En esta pantalla, el operador tiene la opción de añadir uno o varios dominios que realizarán un bypass en cualquiera de las RPZ-Lists donde se encuentren listados. Esto permite gestionar excepciones de manera eficiente, asegurando que los dominios especificados no sean bloqueados por las listas de protección activas.

En el siguiente ejemplo vemos como listar todos los subdominios para googlesindication.com quedando como se muestran en la siguinte pantalla: