Tips: Symantec Norton DNS

torsdag, 24 februari 2011 | Skriv ut | E-mail

DNS är som säkert många av er vet protokollet som används för att mappa namn till ip-adresser som atea.se -> 91.195.58.96.

Flera leverantörer har nappat på den möjlighet som finns att filtrera trafik på DNS-namn, denna är ingen stensäker metod eftersom användarna fortfarande kan komma åt innehållet
de vill åt genom att skippa DNS-namn (atea.se) och istället kontakta ip-adressen direkt. Malware använder sig också ofta av ip-adresser eftersom DNS-namn potentiellt kan lämna
efter sig loggar på DNS-servrarna.

Men, det är fortfarande en bra metod att förhindra det mesta av det "skräp" som användarna surfar in på när de använder Internet.

 

Hur fungerar tekniken?

Jag slår in www.atea.se i min webbläsare, mitt operativsystem letar då igenom:
1) Lokal cache. (Windows: ipconfig /displaydns)
2) hosts-fil (Windows: %windir%\system32\etc\hosts, Linux: /etc/hosts, Mac OS: /private/etc/hosts)
3) DNS-server/servrar (här kan man t ex använda en extern DNS-leverantör för att filtrera trafik som använder sig av DNS
4) Netbios över TCP (NBT)

Om korresponderande ip-adress finns lagrad i cache eller hosts-fil så används dessa först, om inte så använder man extern DNS.
Därför är också DNS-filtrering verkningslöst om en trojan lyckats installera sig med Administrativa rättigheter (möjlighet att modifiera hosts-filen och därmed ta kontrollen över fördefinierade DNS-uppslagningar).
Nämnd anledning är också en förklaring till varför man aldrig enbart ska förlita sig på denna typ av tjänst som mer än ett komplement till befintlig säkerhetslösning.

Nu finns det i alla fall en ny tjänst som Symantec har börjat lansera lite smått, Norton DNS vilken integrerar sin URL-filtrering i DNS-uppslagningsprocessen.
När Symantecs DNS-server får en DNS-förfrågning (t ex www.atea.se) kollar man alltså först om denna är en känd malware-dns. Om så är fallet så stoppar man trafiken till denna destination
och förhindrar därmed förhoppningsvis en del infektioner via webben. DNS används av alla mjukvaror som t ex använder sig av funktionen "gethostbyaddr()" (< Winsock 2) eller "getaddrinfo()" (Winsock 2 >)

 

Att tänka på

Tjänsten är endast för icke-kommersiellt bruk, om Ditt företag, Din myndighet eller organisation är intresserad av säkerhetsskydd så kontakta Atea så hjälper vi Dig med att bygga Din lösning.


För att nyttja denna tjänst på ett effektivt sätt behöver man dock se över hur länge man tillåter DNS-namn att mellanlagras i cachen (Windows XP har ett defaultvärde om 86400 sekunder, 24 timmar).
Om du vill titta på vilket timeoutvärde du har så finns denna i registret : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters

Ett scenario där det kan vara bra att ha ett lägre timeout-värde är om man vill kunna skydda sig snabbt i de fall en redan mellanlagrat DNS-namn (t ex facebook.com) av någon anledning skulle börja servera malware.
Har man defaultvärdet kan det ju ta upp till 24 timmar innan klienten börjar kontakta Symantec Norton DNS för att förnya cachen och då kan det redan vara för sent (klienten blir exempelvis infekterad).

 

Så här börjar du använda Symantec Norton DNS

Antingen surfar du in på http://nortondns.com/, eller så matar du in Nort DNS-servrarna manuellt - 198.153.192.1 och 198.153.194.1

< Föregående
 
Prenumerera på Jonathans bytes
twitter Bird Follow me on Twitter

Copyright © 2011 Jonathan James.