Mô hình hoạt động
Thông thường, CC Server sẽ sử dụng tên miền thay cho IP cụ thể, để giảm, tránh khả năng phát hiện và dễ dàng thay đổi tên miền khi bị phát hiện. Các tên miền này thường được chỉ rõ (hard code) trong mã nguồn của mã độc, cho phép các máy trạm tải xuống các bản cập nhật hoặc tải lên dữ liệu đã được thu thập. DNS Protection lợi dụng điều này để ngăn chặn các máy trạm truy cập vào các tên miền độc hại.
Hệ thống DNS Protection hoạt động bằng cách giả mạo một DNS Server, trên đó có chứa bản ghi của các tên miền độc hại. DNS Protection sẽ trả về địa chỉ IP giả (hoặc IP máy chủ Honeypot) cho các truy vấn DNS tới tên miền độc hại này.
Sử dụng phương pháp DNS Protection giúp dễ dàng phát hiện các máy trạm đã bị nhiễm mã độc, botnet bằng cách sử dụng nhật ký của hệ thống Sinkhole. Đối với thông báo thời gian thực, có thể tùy chỉnh IDS (Honeypot, …) để phát hiện và cảnh báo ngay lập tức khi có máy trạm trong mạng kết nối tới các địa chỉ IP được cung cấp bởi DNS Protection.
(1): Máy trạm nhiễm mã độc gửi yêu cầu truy vấn tên miền tới máy chủ DNS Server, DNS Server tiến hành tìm kiếm bản ghi trên cơ sở dữ liệu DNS nội bộ. DNS Server gửi truy vấn sang hệ thống DNS Protection. Hệ thống DNS Protection tiến hành tìm kiếm và đưa ra kết quả cho DNS Server.
(2): Trong trường hợp tên miền máy trạm truy vấn nằm trong danh sách cấm, danh sách tên miền độc hại, máy chủ DNS nội bộ trả kết truy vấn cho máy trạm là địa chỉ của máy chủ Honeypot.
(3): Máy trạm sẽ kết nối đến máy chủ Honeypot, hệ thống này sẽ giám sát hành vi kết nối của các phần mềm mã độc.
(4): Hệ thống Honeypot gửi các thông báo/cảnh báo về nhiễm mã độc tới các máy trạm có truy vấn tới các tên miền của máy chủ điều khiển mã độc.
(5): Hệ thống Log Monitoring sẽ thu thập log từ máy chủ DNS Server phục vụ giám sát, lưu vết, truy vết.
Các hệ thống thành phần gồm có:
- Máy chủ DNS Sinkhole: Sử dụng nền tảng Linux DNS.
- Máy chủ Trung tâm: Hệ thống lưu vết giám sát, sử dụng nền tảng Linux.
- Máy chủ Honeypot: Thành phần tùy chọn, sử dụng nền tảng Linux.
Tính năng chính
Phát hiện và ngăn chặn kết nối đến các máy chủ độc hại
Kiểm soát truy cập vào các máy chủ, tên miền vi phạm chính sách
Lợi ích
Hệ thống DNS Protection dễ triển khai và có thể mở rộng với chi phí thấp; có thể cài đặt trên bất kỳ nền tảng phần cứng nào.
VNPT DNS Protection dễ xử lý, cập nhật danh sách tên miền độc hại. Danh sách này có thể cập nhật từ nhiều danh sách mã nguồn mở được cộng đồng cung cấp trên Internet và VNPT Threat Intelligence Platform.
Hệ thống đơn giản, hiệu quả trong việc phát hiện, ngăn chặn các cuộc tấn công nguy hiểm và không mong muốn.
Yêu cầu máy chủ cho các hệ thống
Máy chủ DNS Sinkhole: 16 vCPUs, 16 GB RAM, 100 GB HDD.
Máy chủ Trung tâm: 2 x (8 vCPUs, 16 GB RAM, 100 GB HDD + 300GB lưu trữ) + 1 x (4 vCPUs, 4GB RAM, 100 GB HDD).
Máy chủ Honeypot: 8 vCPUs, 16 GB RAM, 200 GB HDD.