Threat shield DNS

Threat shield DNS#

Threat shield DNS utilizza Adblock, che blocca qualsiasi richiesta verso domini considerati dannosi. Il servizio può caricare liste di blocco mantenute dalla comunità oppure utilizzare feed Enterprise forniti da Nethesis e Yoroi, un’azienda leader focalizzata sulla CyberSecurity e membro della Cyber Threat Alliance.

Si noti che, per accedere alle blocklist di Nethesis e Yoroi, l’unità deve disporre di un abbonamento extra valido per questo servizio.

Configurazione#

Nota

Utilizzare Threat shield DNS solo se non si sta già utilizzando il servizio FlashStart. Entrambi i servizi operano a livello DNS e non possono essere utilizzati insieme. L’interfaccia utente impedisce di abilitarli contemporaneamente per evitare conflitti.

Il servizio è disattivato per impostazione predefinita; per abilitarlo, navigare alla pagina Threat shield DNS nella sezione Sicurezza. Accedere alla scheda Impostazioni e attivare l’interruttore Stato.

Quando il servizio è abilitato, la scheda Sorgenti blocklist mostrerà tutte le blocklist disponibili. È possibile abilitare o disabilitare ciascuna blocklist utilizzando l’interruttore sul lato destro dell’elenco. Le blocklist abilitate verranno aggiornate automaticamente a intervalli regolari.

Per specificare su quali zone il servizio deve essere attivo, selezionarle nella combobox Forza la redirezione DNS in queste zone.

Porte redirezionate consente di specificare quali porte devono essere reindirizzate al servizio DNS di Threat shield.

Blocklist della community#

Le blocklist della community sono fornite da contributori della community e bloccano vari domini relativi a: pubblicità, malware, spam, tracker, contenuti sessuali espliciti, pirateria e così via. NethSecurity le rende disponibili così come sono.

Le liste della community non forniscono un parametro «Confidence» standardizzato, pertanto l’interfaccia utente mostra la loro affidabilità come «Sconosciuta». Come euristica pratica, quando il nome della lista contiene un indicatore di severità o affidabilità (ad esempio, «lvl 1», «level 1»), generalmente indica il tasso di falsi positivi più basso e la massima affidabilità; al contrario, livelli più alti indicati (ad esempio, «lvl 2», «lvl 3», «lvl 4») tipicamente implicano una minore affidabilità e un rischio maggiore di voci aggressive o errate. Le convenzioni di denominazione variano e non tutti i fornitori della community includono tali indicatori, quindi è sempre consigliabile esaminare il contenuto e lo scopo di una lista della community prima di abilitarla in produzione. Il tipo di licenza d’uso può variare a seconda del fornitore, quindi se l’utilizzo non è personale, potrebbe essere necessario informarsi presso il fornitore.

Manutenzione delle liste della community

Ogni blocklist è gestita dal relativo provider specifico. NethSecurity include già gli URL per il download dei feed, che sono validi al momento del rilascio. Tuttavia, poiché questi URL sono codificati all’interno del sistema, se il provider li modifica, alcune blocklist potrebbero non essere più scaricabili.

Blocklist Enterprise#

Subscription richiesta

Questa funzionalità è disponibile solo se l’unità dispone di un valido abbonamento Community o Enterprise.

Le blocklist enterprise sono specificamente focalizzate sulla sicurezza e offrono diversi vantaggi rispetto alle blocklist mantenute dalla comunità:

  1. Qualità e accuratezza: Le blocklist aziendali, come quelle fornite da Nethesis e Yoroi, sono curate e mantenute da aziende di cybersecurity affidabili. Queste aziende dispongono di team dedicati che monitorano e aggiornano continuamente le blocklist per garantire che siano accurate ed efficaci nel bloccare il traffico dannoso. Questo si traduce in un livello superiore di qualità e accuratezza rispetto alle blocklist mantenute dalla comunità, che potrebbero non ricevere la stessa attenzione e frequenza di aggiornamenti.

  2. Tempestività: Le blocklist aziendali vengono aggiornate frequentemente per includere le minacce più recenti e gli indirizzi IP dannosi. Aziende di cybersecurity come Nethesis e Yoroi monitorano attivamente le minacce emergenti e le aggiungono tempestivamente alle loro blocklist. Questo garantisce che il sistema sia protetto contro le minacce più recenti e in evoluzione.

  3. Falsi positivi ridotti: I falsi positivi si verificano quando il traffico legittimo viene bloccato per errore. Le blocklist Enterprise sono progettate per ridurre al minimo i falsi positivi attraverso una selezione e una verifica accurata degli indirizzi IP e dei nomi host elencati. Le aziende che gestiscono le blocklist Enterprise dispongono di processi solidi per garantire che solo entità malevole vengano incluse nelle blocklist. Questo riduce la possibilità che il traffico legittimo venga bloccato, minimizzando le interruzioni alla rete o ai servizi.

  4. Supporto Enterprise: Le blocklist Enterprise spesso includono supporto aggiuntivo e servizi pensati per ambienti aziendali. Questo comprende l’accesso al supporto tecnico, alla documentazione e all’assistenza per l’integrazione. In caso di problemi o domande durante l’utilizzo delle blocklist Enterprise, è possibile fare affidamento sul supporto fornito dalle aziende di cybersecurity per affrontarli in modo efficace.

Affidabilità#

Le blocklist Enterprise includono un punteggio di «Affidabilità» che viene mostrato nell’interfaccia utente. Il punteggio è espresso come un valore da 1 a 10 e rappresenta la valutazione del provider sulla qualità della lista: valori più alti indicano una maggiore affidabilità e una minore probabilità di falsi positivi. Questa metrica di «Affidabilità» è disponibile solo per le liste Enterprise; le liste Community vengono presentate «così come sono» e mostrano «Sconosciuto» per l’affidabilità.

Le blocklist Yoroi e Nethesis sono blocklist Enterprise. Queste liste saranno visualizzate solo se l’unità dispone di un valido abbonamento Enterprise o Community e di un diritto valido per il servizio Threat Shield.

Bypass del filtro#

Alcuni host o subnet potrebbero dover bypassare il filtro DNS di Threat shield. Per configurare il bypass del filtro, navigare nella scheda Bypass filtro di Threat shield DNS. Utilizzare il pulsante Aggiungi bypass per aggiungere un nuovo indirizzo all’elenco. L’indirizzo può essere un indirizzo IPv4/IPv6 valido con notazione CIDR opzionale.

Allowlist locale#

Per consentire domini specifici che potrebbero essere inclusi nelle blocklist, è possibile navigare nella scheda Allowlist locale di Threat shield DNS. Utilizzare il pulsante Aggiungi dominio per aggiungere un dominio all’elenco; è possibile aggiungere una descrizione al dominio per ricordare il motivo per cui è stato aggiunto.

I domini presenti nella allowlist hanno priorità rispetto alle Blocklists e alla Blocklist locale.

Blocklist locale#

Per bloccare domini specifici non inclusi nelle blocklist, è possibile navigare nella scheda Blocklist locale di Threat shield DNS. Utilizzare il pulsante Aggiungi dominio per aggiungere un dominio all’elenco; è possibile aggiungere una descrizione al dominio per ricordare il motivo per cui è stato aggiunto.

Avvertimento

La risoluzione DNS per i nomi elencati nella blocklist influenzerà anche l’unità stessa

Verificare se un dominio è bloccato#

Se si riscontrano problemi con la risoluzione dei domini e si desidera verificare se un dominio specifico è bloccato, è possibile eseguire una query direttamente dal terminale locale.

Utilizzare il seguente comando per verificare un dominio:

/etc/init.d/adblock query <domain>

Ad esempio:

root@nethsecurity8:~# /etc/init.d/adblock query baddomain.com

L’output potrebbe apparire così:

:::
::: domain 'baddomain.com' in active blocklist
:::
  + baddomain.com

:::
::: domain 'baddomain.com' in backups and black-/whitelist
:::
  + adb_list.adult.gz             baddomain.com

Questa schermata mostra se il dominio è attualmente bloccato da una qualsiasi delle blocklist attive. In questo esempio specifico, il dominio baddomain.com fa parte della categoria adult, come indicato da adb_list.adult.gz. Questo aiuta a identificare quale categoria o lista ha causato il blocco del dominio.

Configurazione avanzata#

Quando Threat shield DNS è abilitato:

  • Un nuovo file sorgente di categoria viene generato in base alla registrazione dell’unità e ai diritti.

  • Tutte le query DNS vengono reindirizzate alla macchina locale.

  • Adblock è configurato per utilizzare il nuovo file di origine delle categorie e verrà avviato automaticamente.

Anche se non è raccomandato, è possibile utilizzare Adblock senza Threat shield DNS. Per opzioni di configurazione più dettagliate, consultare il manuale per sviluppatori.