RPZとは
RPZ (Response Policy Zones)とは、フィッシングサイトやマルウェア配布サイトといった、 特定のノードへの接続防止などを目的とした、DNSによるフィルタリング機能の一つです。
特定のWebサイトへの接続を防ぐには、さまざまな方法があります。 そのうちDNSを用いた防御策の一つとして、特定のドメイン名に関するDNSの問い合わせに対して、 本来の応答ではなく別の応答を返すといった方法があります。 その実装方法としては、対象となるドメイン名のゾーンを個別に持ち、 そのゾーン情報の中に変更したいレコードを記述するというやり方が、 従来は知られてきました。 しかし、新しくドメイン名を追加・削除するたびにリゾルバの設定変更が必要であったり、 リゾルバを複数運用している場合サーバそれぞれに設定する必要があったりするなど、 手順が複雑になりがちだという問題があります。
この問題を解決するために考え出されたのがRPZです。 RPZでは、一つだけ、もしくは運用ポリシーの数だけゾーンを作成し、 その中に対象となる複数のドメイン名やレコードを記述します。 そうすることで、RPZではドメイン名ごとにゾーンを用意したり、設定を変更したりする必要性がなく、 運用が容易になっています。
また、RPZで利用するゾーンも、通常のゾーン転送を用いることができます。 そのため、例えばセキュリティ事業者などから、 悪意のあるドメイン名のブラックリストを受信し接続防止に用いるといったことも、 簡単にできるようになります。
■参考
DNS firewall solution for BIND
Integrate real-time reputation data feeds with Response Policy Zones
https://www.isc.org/rpz/
Response Policy Zone support in PowerDNS Recursor
https://blog.powerdns.com/2016/06/28/response-policy-zone-support-in-powerdns-recursor/
Knot Resolver modules
https://knot-resolver.readthedocs.io/en/latest/modules.html#c.policy.rpz
