Filtrowanie URL i DNS, dlaczego to takie ważne?

Co to jest adres URL?

URL (Uniform Resource Locator) to ciąg tekstu, który pojawia się w pasku adresu przeglądarki. Adresy URL wskazują dokładnie, gdzie użytkownik znajduje się w Internecie.

Adresy URL są bardziej szczegółowe niż nazwy domen. Adres URL może odnosić się do konkretnych stron lub plików hostowanych w danej domenie, a nie tylko do samej domeny.

Pracownik logujący się na stronie zawierającej szkodliwe treści lub zwykłej stronie podszywającej się pod popularne medium społecznościowe, może nieumyślnie otworzyć „tylne drzwi” dla hakera.

Mechanizmy obronne

Dlatego właśnie rozwiązania filtrowania adresów URL i filtrowania DNS należą do najpopularniejszych metod walidacji treści, które pomagają utrzymać bezpieczeństwo sieci i zmniejszyć ryzyko. Usługi te oceniają zawartość witryn i przypisują im ocenę ryzyka na podstawie ruchu użytkowników, historii zagrożeń na stronach w danej domenie, lokalizacji geograficznej, powiązanych sieci, linków wewnętrznych i zewnętrznych oraz innych trendów kontekstowych.

Nadal toczy się dyskusja na temat tego, która z opcji – filtrowanie DNS czy filtrowanie URL – jest lepsza do zabezpieczenia środowiska internetowego. Połączenie obu opcji jest uważane za optymalną metodę walki z zagrożeniami w sieci. Oba rozwiązania współpracują ze sobą w celu zapewnienia istotnych zabezpieczeń przed szkodliwymi witrynami.

Jak działa filtrowanie adresów URL?

Blokuje ładowanie adresów URL w sieci firmowej lub zezwala na ładowanie tylko niektórych. Gdy użytkownik próbuje wejść stronę, która została zablokowana, zostaje przekierowany na wewnętrzną witrynę gdzie widnieje informacja o tym że jest to potencjalnie niebezpieczny adres a dostęp został zablokowany.

Filtrowanie adresów URL opiera swoje zasady na bazie danych, która klasyfikuje adresy URL według statusu „zablokowany” lub „dozwolony”. Zazwyczaj firma nie tworzy takiej bazy danych wewnętrznie, polegając w tym zakresie na dostawcy usługi filtrowania. Jednak większość dostawców umożliwia firmom dostosowanie adresów URL, na te które są blokowane i na te dozwolone.

Filtrowanie adresów URL może blokować pojedyncze adresy URL lub ich kategorie. Blokując poszczególne adresy URL, firmy mogą nie dopuszczać określonych stron internetowych, o których wiadomo, że są niebezpieczne lub nieodpowiednie. Z kolei blokowanie kategorii pozwala firmom skuteczniej ograniczać rodzaj treści dostępnych w ich sieciach poprzez blokowanie dużych grup adresów URL jednocześnie, zamiast konieczności wymieniania setek pojedynczych adresów.

Zazwyczaj dostawca usług filtrowania adresów URL tworzy kategorie i wypełnia je grupami na te które są związane z pewnym tematem lub są uważane za niewłaściwe z innych powodów. Na przykład, wszystkie znane adresy URL wykorzystywane do ataków phishingowych mogą być śledzone w jednej kategorii „phishing”, a firma może zablokować wszystkie te strony za pomocą jednej kategorii. Kategoryzacja może być procesem automatycznym: niektóre usługi filtrowania adresów URL mogą wykorzystywać uczenie maszynowe do identyfikowania witryn, które pasują do określonej kategorii.

Filtrowanie adresów URL odbywa się w warstwie aplikacyjnej w Internecie. Protokoły sieciowe najczęściej używane w tej warstwie to HTTP, FTP i SMTP.

Filtrowanie DNS

Na naszym blogu wiele razy już poruszaliśmy temat DNS, przeprowadziliśmy kampanie na temat zróżnicowanych ataków DNS czy też na co zwracać uwagę zabezpieczając DNS.

Filtrowanie DNS natomiast to proces wykorzystywania systemu nazw domen do blokowania złośliwych witryn i odfiltrowywania szkodliwych lub nieodpowiednich treści. Dzięki temu tak jak w przypadku filtrowania URL dane firmowe pozostają bezpieczne, a przedsiębiorstwa mają kontrolę nad tym, do czego ich pracownicy mogą mieć dostęp w sieciach zarządzanych przez firmę.

Jak działają usługi filtrowania DNS?

Wszystkie zapytania DNS trafiają do resolwera DNS. Specjalnie skonfigurowane resolwery mogą również działać jak filtry, odmawiając rozwiązywania zapytań dla określonych domen. Usługi filtrowania DNS mogą również wykorzystywać listę dozwolonych adresów zamiast listy bloków (więcej poniżej).

Załóżmy, że pracownik firmy otrzymuje wiadomość phishingową i nieumyślnie klika łącze prowadzące do złośliwej witryny phishing-site.com. Zanim komputer pracownika załaduje tę witrynę, wysyła najpierw zapytanie do firmowej usługi rozwiązywania DNS, która stosuje filtrowanie. Jeśli ta złośliwa witryna znajduje się na liście blokowanych stron, resolwer DNS zablokuje zapytanie, uniemożliwiając załadowanie złośliwej witryny i udaremniając atak phishingowy.

Filtrowanie DNS może blokować strony internetowe według nazwy domeny lub adresu IP:

• Według domeny: resolwer DNS w ogóle nie rozwiązuje lub nie wyszukuje adresów IP dla niektórych domen.
• Według adresu IP: resolwer DNS próbuje rozwiązać wszystkie domeny, ale jeśli adres IP znajduje się na liście blokowania, nie odsyła go do urządzenia żądającego.

Podsumowanie

Podsumowując, DNS i funkcja filtrowania adresów URL współpracują ze sobą w celu podniesienia poziomu bezpieczeństwa organizacji. Odpowiednio stosowane, mogą stworzyć silną barierę chroniącą przed niepożądanymi treściami online, zapobiegać naruszeniom danych i zabezpieczać witryny z całego świata za pomocą zaledwie kilku kliknięć.