Blog Agility

Configurando Blacklist de domínios no DNS Infoblox

Configurando Blacklist de domínios no DNS Infoblox

 

Apesar da Internet ser um ambiente rico em informações, nem sempre é conveniente disponibilizar acesso livre para os usuários da rede. Empresas que lidam com informações sensíveis não querem que seus dados saiam da empresa pelas mãos de colaboradores mal-intencionados e configurações específicas no DNS podem ajudá-las a evitar estes problemas.

Este artigo nos guiará pela configuração de uma lista negra (Blacklist) de domínios que não serão resolvidos pelo DNS Infoblox.

Para iniciar a configuração, vamos acessar o Infoblox.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_01

Conectado ao Grid Manager, navegue até Data Management > DNS > Blacklist Rulesets

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_02

Dentro da aba Blacklist Rulesets, localize e clique no botão Add (destacado abaixo):

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_03

Dê um nome para o conjunto de regras. No nosso exemplo, utilizamos o nome Redes Sociais. Clique em Save & Close ao término.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_04

A lista deve ser atualizada com o novo item criado.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_05

Vamos adicionar mais dois conjuntos de regras: E-mail e Streaming, seguindo os mesmos passos acima:

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_06

A configuração dos domínios que serão bloqueados deve ser feita utilizando um arquivo CSV compatível com o Infoblox. Para tal, basta criar um arquivo CSV no Excel ou qualquer outro editor de arquivos de texto com as seguintes colunas:

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_07

Um exemplo desta lista preenchida está exibida abaixo.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_08

Nota: os domínios fornecidos acima são apenas para referência. Uma lista com uma quantidade maior de domínios (e suas variações) deve ser fornecida para aumentar a cobertura da configuração.

Após criar e salvar o arquivo como CSV, vamos precisar importá-lo para o Infoblox. De volta ao console, localize e clique no botão CSV Import (destacado abaixo).

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_09

Na tela exibida, selecione a opção “Add” e clique em Next.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_10

Na tela exibida a seguir, selecione o arquivo criado nos passos anteriores e clique novamente em Next.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_11

A próxima tela fará a validação do conteudo do arquivo e exibirá as primeiras 6 linhas de dados. Certifique-se que as colunas estão perfeitamente alinhadas. Caso algo esteja estranho, altere o separador até o conteudo do arquivo ficar semelhante ao exibido abaixo. Clique em Import para prosseguir.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_12

O Infoblox questionará se voce deseja mesmo prosseguir com a operação e informará que ela não pode ser desfeita. Clique em Yes para aceitar e prosseguir.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_13

O progesso da importação será exibido na próxima tela. Certifique-se de que todas as linhas foram processadas e que não houve erros durante o import. Clique em close caso esteja tudo ok.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_14

De volta ao menu Blacklist Rulesets, clique em uma delas para verificar seu conteúdo.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_15

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_16

Agora que as regras estão configuradas, precisamos habilitar o recurso. Localize e clique no botão “Grid DNS Properties” no console.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_17

Na tela exibida, clique em Toogle Advanced Mode para habilitar os menus avançados de configuração do DNS Infoblox.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_18

Na tela exibida, clique em Blacklist.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_19

Para habilitar o serviço, clique em “Enable Domain Name Blacklist”.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_20

Em Blacklist Rulesets, utilize o botão “Add” (destacado abaixo) para adicionar todos os conjuntos de regras que criamos nos passos anteriores.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_21

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_22

Em seguida, selecione o que o Infoblox deve retornar para o cliente que emite uma consulta a um domínio que esteja em uma das Blacklists:

É possível:

  • Enviar uma resposta de “REFUSED” (Recusado) para o cliente.
  • Fornecer um IP de um outro servidor como resposta.*

Nota: não confundir o item com encaminhamento de consultas (forwarding) pois o IP fornecido não processará a requisição de DNS para resolver a consulta do cliente.

Vamos utilizar a segunda opção acima, apontando em Addresses o IP de um servidor web com uma página informativa para o usuário.

Em Blacklist TTL, especificamos o tempo de um minuto, tempo este em que o endereço permanecerá no cache da máquina local que obtiver a resposta do Infoblox.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_23

Por último, habilite a opção “Log queries for blacklisted domain names”. Este opção registrará as consultas aos domínios em listas negras no Syslog do appliance Infoblox.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_24

Clique em Save & Close após o termino das configurações.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_25

De volta a tela anterior, clique em Restart na parte superior da tela.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_26

Nota: Não reiniciar o serviço fará a configuração não ser aplicada.

Agora, para testar as configurações realizadas em uma máquina de usuário, é necessário que o Infoblox seja o DNS configurado na interface da máquina ou que o servidor configurado nela encaminhe consultas recursivas para ao Infoblox. Dessa forma ele consiguirá identificar esta query e responder de acordo com as configurações realizadas.

Em uma máquina dentro destes dois cenários, vamos tentar acessar o site de acesso a e-mails do UOL. Veja a resposta exibida pelo browser.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_27

Vamos utilizar o DiG para verificar qual é a resposta que está sendo fornecida pelo DNS.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_28

Para verificar as consultas que estão sendo bloqueadas pelo Infoblox, navegue até Administration > Logs > Syslog.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_29

O log fornecerá o domínio que foi bloqueado, em qual ruleset ele está configurado e o IP do cliente que tentou acessar. A imagem abaixo exibe o log do membro que configuramos.

Dica: Utilize um filtro com a palavra “Intercept” para exibir somente as linhas com as interceptações realizadas pelo Infoblox.

2015_09_Blacklist_de_dominios_no_DNS_Infoblox_30
Como vimos acima, não é difícil configurar este tipo de feature no Infoblox. Entretanto, a segurança de um ambiente e das informações que nele transitam não podem ser deixadas na mão de uma única solução. Deve ser incrementada com um conjunto de diversas outras pequenas práticas que, aliadas, manterão seguras as informações de negócio da corporação.  Até o próximo artigo.