[MASOCH-L] Bloqueio de sites no Bind

MARLON BORBA MBORBA at trf3.jus.br
Thu May 21 13:31:39 BRT 2009 

Eu (e tenho certeza que Danton concordará comigo) vou insistir num
ponto: DNS não é o local adequado para esse tipo de filtragem. Motivos
para isso:

a) Interfere no processo padronizado de resolução de nomes (as Teles
têm abusado disso ao introduzir "páginas personalizadas" que aparecem
quando um "host" não é resolvido. Se não existe, não existe e ponto
final);

b) Como os "sites" de pornografia simplesmente mudam de lugar
periodicamente, você vai ter de "mexer" na configuração do BIND inúmeras
vezes. Ou seja, se você cometer algum erro de configuração ou de
sintaxe, a estabilidade do seu servidor de DNS será posta em risco. Se
esse servidor é autoritativo para domínios dos seus clientes, qualquer
instabilidade afetará a acessibilidade das páginas deles. "If it is
working, don't fix it";

c) DNS é pouco flexível em termos de filtragem. Você pode criar
"views", ou simplesmente introduzir registros AA para evitar que os
"sites" sejam resolvidos, mas não mais do que isso. Filtros de conteúdo
baseados no Squid suportam REGEXes, além de regras "prontas", permitindo
construir bloqueios para vários "sites" de uma só vez. Acredito que seja
possível encontrar listas públicas de "sites" reconhecidamente
pornográficos e usá-las para os bloqueios.

Além disso, redirecionamento de DNS é algo arriscado, pois diminui a
disponibilidade do serviço (por exemplo, se você fizer alguma "caca" com
o seu servidor DNS, de qualquer maneira terá de modificar ou de remover
o redirecionamento, para que seus clientes não fiquem sem resolução de
nomes, o que impede TOTALMENTE sua navegação pela Web). Force seus
clientes, isso sim, a usarem seus "proxies" via redirecionamento HTTP.

É a minha modesta opinião.


-- 

Abraços,

Marlon Borba, CISSP, APC DataCenter Associate
Técnico Judiciário · Segurança da Informação
Comissão Local de Resposta a Incidentes - CLRI
TRF 3 Região
(11) 3012-1581
--
Practically no IT system is risk free.
(NIST Special Publication 800-30)
--


Em 21/5/2009 às 13:00, "Alexandre J. Correa - Onda Internet"
<alexandre at onda.psi.br> gravou:

> Pode alem de bloquear peo dns, desviar todo trafego DNS para o DNS 
> local.. assim se o seu cliente mudar de DNS, vai ser sempre
consultado o 
> dns local !!
> 
> 
> Juliano Primavesi - Cyberweb Networks wrote:
>>
>> Resolve local ué... cria os sites no teu dns e manda pra 127.0.0.1
ou 
>> para um IP que diga: "acesso a este site foi bloquado por decisao 
>> judicial"
>>
>> Juliano
>>
>> MARLON BORBA escreveu:
>>> Squid + ACLs já ajuda. Não tem aí um servidor velho que possa
servir de
>>> proxy?
>>> Você pode inclusive implementar proxy transparente - seus "core
>>> switches" podem redirecionar HTTP para o Squid.
>>> Não aconselho fazer isso no DNS por ser uma quebra do padrão.
>>>   
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l 
>>
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list