- Responsabili
-
Sartori Andrea
- Data inizio
- 01/01/14
- Durata (mesi)
- 12
Descrizione
Ogni giorno la consultazione dei report di sicurezza mette in evidenza un gran numero di dispositivi infetti all’interno della rete. Buona parte di queste postazioni sono riconducibili a postazioni wireless, magari di utenti di passaggio, che non hanno provveduto ad aggiornare il sistema operativo o i programmi applicativi con gli aggiornamenti di sicurezza. Una grossa fetta di queste infezioni, che possono provocare rallentamenti e disservizi sulla rete, utilizza connessioni di tipo callback con server di Command and Control (C&C). Per impedire che questi dispositivi compromessi possano ricevere le istruzioni dalle reti Botnet è necessario interrompere queste connessioni, che di norma avvengono mediante richieste DNS. Il servizio di DNS firewall analizza le richieste DNS provenienti dalle postazioni client e sulla base di black list o attraverso gli algoritmi di generazione dei siti C&C delle botnet intercetta e modifica la risposta, o rigetta direttamente la connessione.
L’architettura attualmente implementata prevede che lo svolgimento di tale compito sia a carico del dispositivo UTM, che effettua una analisi a livello applicativo del traffico ed è connesso direttamente ai DNS stessi. Ciò ha il vantaggio di sgravare i server stessi dal fornire una risposta, specie nel caso di DNS flooding.
Evoluzione prevista
E’ in fase di test una versione di DNS firewall equipaggiata direttamente nei dispositivi che erogano il servizio DNS. L’opportunità dell’adozione di tale soluzione dipenderà dalla valutazione dei risultati dei test effettuati.