Apesar da Internet ser um ambiente rico em informações, nem sempre é conveniente disponibilizar acesso livre para os usuários da rede. Empresas que lidam com informações sensíveis não querem que seus dados saiam da empresa pelas mãos de colaboradores mal-intencionados e configurações específicas no DNS podem ajudá-las a evitar estes problemas.
Este artigo nos guiará pela configuração de uma lista negra (Blacklist) de domínios que não serão resolvidos pelo DNS Infoblox.
Para iniciar a configuração, vamos acessar o Infoblox.
Conectado ao Grid Manager, navegue até Data Management > DNS > Blacklist Rulesets
Dentro da aba Blacklist Rulesets, localize e clique no botão Add (destacado abaixo):
Dê um nome para o conjunto de regras. No nosso exemplo, utilizamos o nome Redes Sociais. Clique em Save & Close ao término.
A lista deve ser atualizada com o novo item criado.
Vamos adicionar mais dois conjuntos de regras: E-mail e Streaming, seguindo os mesmos passos acima:
A configuração dos domínios que serão bloqueados deve ser feita utilizando um arquivo CSV compatível com o Infoblox. Para tal, basta criar um arquivo CSV no Excel ou qualquer outro editor de arquivos de texto com as seguintes colunas:
Um exemplo desta lista preenchida está exibida abaixo.
Nota: os domínios fornecidos acima são apenas para referência. Uma lista com uma quantidade maior de domínios (e suas variações) deve ser fornecida para aumentar a cobertura da configuração.
Após criar e salvar o arquivo como CSV, vamos precisar importá-lo para o Infoblox. De volta ao console, localize e clique no botão CSV Import (destacado abaixo).
Na tela exibida, selecione a opção “Add” e clique em Next.
Na tela exibida a seguir, selecione o arquivo criado nos passos anteriores e clique novamente em Next.
A próxima tela fará a validação do conteudo do arquivo e exibirá as primeiras 6 linhas de dados. Certifique-se que as colunas estão perfeitamente alinhadas. Caso algo esteja estranho, altere o separador até o conteudo do arquivo ficar semelhante ao exibido abaixo. Clique em Import para prosseguir.
O Infoblox questionará se voce deseja mesmo prosseguir com a operação e informará que ela não pode ser desfeita. Clique em Yes para aceitar e prosseguir.
O progesso da importação será exibido na próxima tela. Certifique-se de que todas as linhas foram processadas e que não houve erros durante o import. Clique em close caso esteja tudo ok.
De volta ao menu Blacklist Rulesets, clique em uma delas para verificar seu conteúdo.
Agora que as regras estão configuradas, precisamos habilitar o recurso. Localize e clique no botão “Grid DNS Properties” no console.
Na tela exibida, clique em Toogle Advanced Mode para habilitar os menus avançados de configuração do DNS Infoblox.
Na tela exibida, clique em Blacklist.
Para habilitar o serviço, clique em “Enable Domain Name Blacklist”.
Em Blacklist Rulesets, utilize o botão “Add” (destacado abaixo) para adicionar todos os conjuntos de regras que criamos nos passos anteriores.
Em seguida, selecione o que o Infoblox deve retornar para o cliente que emite uma consulta a um domínio que esteja em uma das Blacklists:
É possível:
- Enviar uma resposta de “REFUSED” (Recusado) para o cliente.
- Fornecer um IP de um outro servidor como resposta.*
Nota: não confundir o item com encaminhamento de consultas (forwarding) pois o IP fornecido não processará a requisição de DNS para resolver a consulta do cliente.
Vamos utilizar a segunda opção acima, apontando em Addresses o IP de um servidor web com uma página informativa para o usuário.
Em Blacklist TTL, especificamos o tempo de um minuto, tempo este em que o endereço permanecerá no cache da máquina local que obtiver a resposta do Infoblox.
Por último, habilite a opção “Log queries for blacklisted domain names”. Este opção registrará as consultas aos domínios em listas negras no Syslog do appliance Infoblox.
Clique em Save & Close após o termino das configurações.
De volta a tela anterior, clique em Restart na parte superior da tela.
Nota: Não reiniciar o serviço fará a configuração não ser aplicada.
Agora, para testar as configurações realizadas em uma máquina de usuário, é necessário que o Infoblox seja o DNS configurado na interface da máquina ou que o servidor configurado nela encaminhe consultas recursivas para ao Infoblox. Dessa forma ele consiguirá identificar esta query e responder de acordo com as configurações realizadas.
Em uma máquina dentro destes dois cenários, vamos tentar acessar o site de acesso a e-mails do UOL. Veja a resposta exibida pelo browser.
Vamos utilizar o DiG para verificar qual é a resposta que está sendo fornecida pelo DNS.
Para verificar as consultas que estão sendo bloqueadas pelo Infoblox, navegue até Administration > Logs > Syslog.
O log fornecerá o domínio que foi bloqueado, em qual ruleset ele está configurado e o IP do cliente que tentou acessar. A imagem abaixo exibe o log do membro que configuramos.
Dica: Utilize um filtro com a palavra “Intercept” para exibir somente as linhas com as interceptações realizadas pelo Infoblox.
Como vimos acima, não é difícil configurar este tipo de feature no Infoblox. Entretanto, a segurança de um ambiente e das informações que nele transitam não podem ser deixadas na mão de uma única solução. Deve ser incrementada com um conjunto de diversas outras pequenas práticas que, aliadas, manterão seguras as informações de negócio da corporação. Até o próximo artigo.