Vanuit SURFdomeinen bieden we DNS resolvers aan die gebruikt kunnen worden door iedereen die op het SURF-netwerk is aangesloten. Een DNS resolver wordt gebruikt om, bijvoorbeeld, op het moment dat je met je browser een website wilt bezoeken het IP adres op te vragen dat bij de domeinnaam van de website hoort. Ook malware maakt gebruik van DNS om domeinnamen op te vragen. Hierdoor kan een DNS resolver dus een interessante plek zijn om malware besmettingen of phising te detecteren, maar ook om de communicatie hiervan met de buitenwereld te blokkeren. Dit laatste kan bereikt worden door gebruik te maken van DNS Firewall. DNS Firewall bestaat uit een aantal resolvers die opvragingen voor bekende kwaadaardige domeinnamen blokkeren. Deze resolver draaien naast de bestaande resolvers zonder filtering. Instellingen kunnen hierbij dus een keuze maken of ze wel of niet gebruik willen maken van de filtering van DNS Firewall.
Hoe kan ik DNS Firewall gebruiken?
Het gebruiken van DNS Firewall gaat hetzelfde als elke andere resolver. De clients kunnen worden ingesteld om direct van de resolvers van DNS Firewall gebruik te maken, bijvoorbeeld door middel van DHCP, of een bestaande resolver kan worden ingesteld om alle queries door te sturen naar de resolvers van DNS Firewall. De adressen van de DNS Firewall resolvers zijn:
| Hostname | IPv6 | IPv4 |
|---|---|---|
| ns0-filtered.tilburg1.surf.net | 2001:610:3:200a:192:87:36:37 | 192.87.36.37 |
| ns0-filtered.amsterdam1.surf.net | 2001:610:1:800a:192:87:106:107 | 192.87.106.107 |
Beide resolvers zijn ook bereikbaar via DNS-over-TLS (DoT) op poort 853. De fingerprint voor deze resolvers is op dit moment:
Q7jmtIG/hw6KdIRs2PZjYPzKzNbv9kl3qVRAAz5zkng=
Hoe werkt DNS Firewall?
DNS Firewall maakt gebruikt van Response Policy Zones (RPZ). Dit zijn lijsten met domeinnamen of mogelijke antwoorden die geblokkeerd moeten worden. De lijsten die gebruikt worden binnen DNS Firewall komen van Switch, de Zwitserse zusterorganisatie van SURF, en zijn samengesteld uit lijsten van meerdere leveranciers. Daarnaast wordt MISP als bron gebruikt, waarvoor op dit moment hits alleen worden gelogd.
Op het moment dat een client een query stuurt naar een resolver wordt gekeken of de opgevraagde domeinnaam of het antwoord op een RPZ voorkomt om te bepalen hoe de query moet worden afgehandeld.
Wat gebeurt er als een domein geblokkeerd wordt?
In het geval dat een gebruiker een geblokkeerde domeinnaam of IP adres opvraagt, zal deze worden doorgestuurd, door middel van een zogenaamd CNAME record, naar een webserver met een pagina om de gebruiker te informeren over de blokkade. Dit werkt ook voor HTTPS, maar dan zal er wel een melding worden getoond door de browser aangezien het certificaat op de webserver niet matcht met de opgevraagde domeinnaam. Op dezelfde server draait ook een SMTP server die een foutmelding terug zal geven voor mogelijk emailverkeer richting geblokkeerde domeinnamen of IP adressen. Daarnaast zal een ‘hit’ ook worden doorgestuurd naar SURFcert voor logging. Op het moment werken we ook aan een integratie met Netwerk Dashboard zodat de hits ook voor instellingen inzichtelijk worden.
De hostnames waar naar wordt verwezen door de CNAME records zijn:
- landingpage.mw.rpz.surfdomeinen.nl (Malware)
- landingpage.ph.rpz.surfdomeinen.nl (Phishing)
- landingpage.misc.rpz.surfdomeinen.nl (Overig)
Is het ook mogelijk om DNS Firewall te gebruiken zonder gebruik van de CNAME redirect?
Als alternatief voor de CNAME redirect naar onze webserver is het ook mogelijk om een NXDOMAIN terug te laten geven. In dit geval is het dus niet direct duidelijk voor de eindgebruiker dat een domein niet bereikbaar is omdat deze geblokkeerd wordt. Dit kan worden ingesteld per IP prefix. Neem voor deze optie contact met ons op via via dns-beheer@surf.nl.
Hoe kan ik testen of het werkt?
Om te testen of het blokkeren functioneert kan gebruikt worden gemaakt van het testrecord check.dnsfirewall.ch. Deze domeinnaam wordt altijd geblokkeerd.
Is er logging beschikbaar?
De logging van DNS Firewall-hits is in te zien via het Netwerkdashboard (SURFcert > DNS Firewall) voor personen met de rol ‘Beveiligingsverantwoordelijke’ of ‘Infraverantwoordelijke’.
In de logging zijn de volgende velden opgenomen:
- IP-adres: Het IP-adres van waaruit de DNS-query is uitgevoerd.
- RPZ-feed: De feed waar het gedetecteerde kwaadaardige domein onderdeel van is.
- Hit: Het kwaadaardige domein dat is opgevraagd.
- Waargenomen op: Het tijdstip waarop de DNS-query is uitgevoerd.
- Resolver: De gebruikte resolver voor de query.
- Actie: De genomen actie, zoals redirect to landingspage of log only.
Bij wie moet ik zijn als er een domein niet geblokkeerd moet worden?
Het melden van domeinnamen die verkeerd worden geblokkeerd loopt in eerste instantie via SURFdomeinen (dns-beheer@surf.nl). De webpagina die wordt getoond bij een blokkade bevat ook een formulier om een melding te doen.
Ben ik volledig veilig als ik DNS Firewall gebruik?
Nee, gebruikers kunnen andere resolvers instellen, malware kan andere manier gebruiken om te communiceren en hoewel de lijsten met zorg worden samengesteld zullen deze door de snelle ontwikkelingen nooit helemaal compleet zijn. DNS Firewall biedt de mogelijkheid om een mogelijke aanval in een vroeg stadium te voorkomen of verstoren, maar zal altijd een onderdeel moeten zijn van een bredere aanpak.
Waar kan ik terecht voor vragen?
Voor vragen kan je contact met ons opnemen via dns-beheer@surf.nl.