Skip to content

[WatchGuard] เคยรู้ไหม ทำไมการกรองมัลแวร์โดยใช้ DNS จึงเป็นจุดคัดกรองที่ดีที่สุด

หนึ่งในกระบวนการทำงานงานบนพื้นฐาน ที่ Firewall และอุปกรณ์อื่นๆที่ใช้ป้องกันและจัดการกับภัยคุกคาม สามารถทำได้คือการบล็อคผู้ใช้จากการที่โดนมัลแวร์เชื่อมต่อไปยังเซิร์ฟเวอร์ต้นทางเพื่อส่งข้อมูลกลับไป ซึ่งมีวิธีที่การป้องกันและมีข้อดีข้อเสียแตกต่างกันไป ทาง Mr.Ricardo Arroyo | Product Manager ได้เขียนโพสเพื่อขอความร่วมมือจากทาง Net Security ให้ช่วยอธิบายบางส่วนของวิธีการเหล่านี้และสาเหตุที่เขาเชื่อว่าการกรองตามระบบชื่อโดเมน (DNS) เหมาะสำหรับองค์กรหลายแห่ง

องค์กรสามารถบล็อคไซต์ที่เป็นอันตรายตามที่อยู่ IP ได้ แต่ที่อยู่ IP เดียวสามารถให้บริการได้หลากหลายบริการ ในทางปฏิบัติหากเราทำการบล็อคที่อยู่ IP เดียวนั้นจะทำให้บริการทั้งหมดถูกปิดกั้นโดยทันที หากใช้การกรองด้วยชื่อโดนเมน จะสามารถแยกบริการต่างๆออกจากที่อยู่ IP ได้อย่างทันที แต่ก็จะแบ่งแยกด้วยโปรโตคอลแอปพลิเคชั่น (เช่น HTTP และ FTP) ด้วยเหตุผลนี้การกรองประเภทนี้จึงใช้งานมากขึ้นในสวนของแบ็คเอนด์ การกรอง DNS อยู่ในจุดที่น่าสนใจระหว่างสองโปรโตคอลนี้

ตัวอย่างเช่น

หากคุณอ่านอีเมลล์ผ่าน Application Microsoft Outlook หรือ Web Browser หากมีการคลิกลิงค์ที่เป็นอันตรายจะส่งผลให้ไม่สามารถมีการเข้าถึงเนื่องจากมีชื่อโดเมนเดียวกันกับที่ระบุไว้ หมายความว่าการกรองระดับ DNS จะบล็อคลิงค์ที่เป็นอันตรายในทุกสถานะการณ์โดยไม่จำเป็นต้องปรับแต่งบนแอพพลิเคชั่นหรือโปรโตคอลที่ใช้งานเฉพาะ หากองค์กรมีพนักที่ใช้อีเมลล์จำนวนมากโดยสามารถตรวจสอบอีเมลล์บนโทรศัพท์และแอพพลิเคชั่น โดยที่ฝ่ายไอทีอาจไม่รู้ด้วยซ้ำว่าความยืดหยุ่นที่ได้จากการกรอง DNS มีประโยชน์อย่างยิ่ง

ที่มาของข่าวต้นฉบับ : Click !!