DNSファイアウォールとは

DNSファイアウォールとはDNSクエリ―に対して不正サイトのチェックを行い、不正ならクエリ―元に警告を行う機能。
例えばクライアント上のブラウザがインターネットにアクセスするためにURLを入力したとする
そのURLが不正サイトなどの場合、そのサイトのIPアドレスを戻すのではなく、エラーメッセージを戻したりエラーコードを戻す機能。
これにより不正サイトへアクセスすることを防止する。

DNS ファイアウォール

C&Cサーバとの通信をブロックする

ブラウザだけではなくPCに潜りこんだボットが C&C サーバと通信する際に通信を防止する効果もある。
標的型攻撃などでPCへ潜り込んだマルウェアはC&Cサーバと通信しながら不正動作を行う。
C&Cサーバとの通信は一般的に http/https で行う場合が多い。これは一般的に組織のProxyで許可されている通信であるからである。
このマルウェアはC&C サーバと通信する場合にDNSクエリ―で名前解決を行うが、このDNS問い合わせで不正サイトのチェックを行う。これがDNSファイアウォールの機能となる。

Proxy の Web レピュテーションとの比較

DNSファイアウォール以外でも Proxy の Web レピュテーションでブロックすることができる。C&C サーバと通信するのは一般艇にProxyを経由するため、ProxyがURLをチェックしてフィルタリングするということである。

それ以外でも一部のサンドボックスではDNSクエリ―を検査しブロックすることができる。

参考：URL フィルタとWebレピュテーションの違い

マルウェア検知

このクエリが発生した場合、マルウェアが活動している可能性が高くなります。(もちろんユーザが手動で不正サイトへアクセスした可能もあります)
このようなクエリを検知した場合、管理者に通知する機能が必要です。これによりいち早く組織に入り込んだマルウェアを検知し、情報漏洩の被害を少なくすることができます。

カテゴリ：DNS

[セキュリティ用語集トップへ]

本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。このページはリンクフリーです。(このページへの直接リンクも可能です。) Copyright(c) securitychecklist.net 2014 - 2017