Uso do DNS para bloqueio de sites

06/06/2024

Por Hugo Salgado, DNS Architect em Tucows Domains

O uso do DNS (Sistemas de Nomes de Domínio) para bloqueio de sites na Internet é uma técnica utilizada por administradores de redes em empresas ou em organizações, assim como por provedores de serviços de Internet (ISP) para restringir o acesso a determinados conteúdos e proteger os usuários de conteúdo não desejado ou malicioso.

Devido às propostas dos participantes no curso do Campus LACNIC, apresentamos esta ferramenta no LACNIC 41  com o intuito de destacar a utilidade dos bloqueios nos casos de proteção de segurança perante sites perigosos (malware, phishing, etc); para controles familiares e parentais e diante de potenciais exigências legais.

O uso de filtro nas redes, muito comum hoje em dia na Internet, pode ocorrer utilizando o DNS para bloqueio. Esse bloqueio pode ser transversal (para web, mail, mensagens, etc.), para domínios completos (não é possível diferenciar “urls”) ou mais complexo quando são tocados serviços legítimos (em caso de “hackeado” parcial de sites, fica bloqueada também a parte “legítima”).

Na nossa palestra oferecemos uma ferramenta muito simples de ativar para uso operativo: Response Policy Zone (RPZ).  Trata-se de uma tecnologia usada na gestão de redes para implementar políticas de resposta de DNS. As RPZ permitem aos administradores alterar as respostas das consultas DNS para bloquear, redirecionar ou interromper o acesso a certos domínios. Esta tecnologia, a pesar de não estar ainda formalmente padronizada, já está implementada nos sistemas DNS de código aberto mais conhecidos e dispõe de uma especificação no site dnsrpz.info. Na palestra é mostrado um exemplo de funcionamento, com as diretrizes exatas para ativá-lo em Bind.

RPZ é uma ferramenta muito útil, já que é configurada nos resolvers, quando um cliente consulta por um nome que encaixa com um padrão, a resposta é reescrita, fazendo com que o usuário não consiga chegar até o site bloqueado.

Quais padrões de bloqueio podemos usar? Uma vez configurada, a ferramenta pode bloquear ou redirecionar consultas a domínios ou endereços IP especificados nas políticas do operador ISP. O bloqueio pode ser feito mediante o nome consultado (encaixe exato ou subdomínio completo), mediante o servidor de nome utilizado (ou seja, o servidor que dá a resposta), mediante o endereço/faixa IP na resposta ou através do endereço IP do cliente.

É possível configurar a ferramenta para que o cliente final receba como resposta um erro, que não foi possível acessar a página, ou redirecionar para um portal próprio do ISP, onde receberá mais informação de advertência sobre os riscos de acessar esse site.

Com RPZ, é possível obter distintas “áreas” com regras RPZ, cada uma possivelmente administrada por unidades diferentes da organização, ou dá para utilizar áreas externas, mantidas por terceiros. Isso significa que são utilizadas diferentes fontes para fazer os bloqueios.

Na imagem a seguir, podemos ver como é uma arquitetura típica ou simples da utilização da ferramenta nas redes de uma organização.

No futuro seria interessante a padronização da técnica de RPZ em IETF e que os CSIRTs ou CERTs nacionais oferecessem listas com sites ou endereços com risco em formato RPZ.

Por último, é importante mencionar que qualquer bloqueio dentro de uma organização deve ser considerado com cuidado, seguindo as regras de uso e a legislação particular. Um bloqueio deve considerar temas como neutralidade da rede, censura perante liberdade de expressão e o efeito colateral que pode causar perante sites legítimos.