Сервис доменных имен - DNS - является базовой основой сети Интернет. Он делает линейное пространство IP-адресов иерархическим и более понятным пользователям. Поэтому DNS также может быть использован как для атак, так и для защиты. В частности, подмена доменных имен активно используется фишерами для привлечения пользователей на их сайты. Хакеры могут этого добиться, например, с помощью отравления кеша - навязывания DNS-серверам провайдера неправильных записей (атака Каминского). Еще одной угрозой для корпоративных пользователей является блокировка DNS-сервера, что не позволит сотрудникам компании пользоваться ресурсами Интернет.
Для защиты от этих угроз компания Google предложила специальный сервис Google Public DNS, который регулярно проверяется на корректность записей. Компания Google гарантирует, что разрешаемые через ее публичный DNS имена совпадают с записями в корневых серверах системы DNS. Компания выбрала наиболее запоминающиеся IP-адреса для первичного (8.8.8.8) и вторичного (8.8.4.4) DNS-серверов, что позволяет быстро настроить разрешение доменных имен на любом компьютере и устройстве, подключенному к Интернет. Если же корпоративный DNS-сервер выведен из строя, то администраторы или даже сами пользователи очень быстро могут перенастроить свои компьютеры на публичный сервис Google.
Впрочем, DNS можно использовать и для более серьезной защиты корпоративных пользователей. В частности, компания Entensys приступила к бета-тестированию сервиса GateWall DNS Filter, который позволяет фильтровать корпоративный трафик с помощью выборочного разрешения DNS-запросов. Технологически подобная защита организована так: компания-производитель поддерживает специальный DNS-сервер, который разрешает доменные имена в конкретные IP-адреса. Однако если у такого сервера попросить разрешить подозрительное доменное имя, то IP-адрес будет возвращен не тот, который прописан в доменной структуре, но адрес специального сервиса. Этот сервис позволяет реализовать URL-фильтрацию на более высоком уровне, то есть у компаний появляется возможность блокировать не только вредоносные ссылки, но и различные бесполезные ресурсы. Причем политику блокирования доступа с помощью DNS можно настроить с помощью специального веб-интерфейса.
Аналогичный по функциональности продукт предлагают некоторые производители средств защиты, однако он реализован с помощью специального устройства, которое устанавливается на шлюз и контролирует обращение корпоративных пользователей к ресурсам Интернет. Однако в отличии от этих шлюзовых решений DNS-фильтр не требует специального устройства - для подключения подобной услуги достаточно перенастроить конфигурацию корпоративного DNS-сервера.
К тому же DNS-ориентирована на массовую обработку запросов, то есть имеет механизмы балансировки нагрузки и отказоустойчивости, кеширование запросов и другие - не все антивирусные производители поддерживают аналогичные методы оптимизации запросов в своих репутационных базах. Кроме того, DNS-фильтр блокирует доступ не только для HTTP протокола, но сразу для всех приложений. К тому же, этот сервис является единственным действенным средством защиты от технологии DNS-VPN, которая позволяет организовать канал утечки из защищенных сетей.
Впрочем, стоит отметить, что DNS-фильтрация имеет и свои "родимые пятна". В частности, она не позволяет фильтровать всех URL - стандарт на универсальный указатель допускает прямое указание IP-адреса сервера. Такие запросы может фильтровать только шлюзовой продукт. Однако обычно массовые атаки опираются на доменные имена и в них не используются точные IP-адреса. Это связано с том, что по IP-адресу проще найти злоумышленника, чем по доменному имени. Так что для более надежной защиты стоит комбинировать DNS и URL фильтрацию.
