Příkladem je filtrování DNS v doméně Windows pomocí OpenDNS

Článek je věnován organizaci bezpečné práce uživatelů na internetu pomocí technologie tzv. „Zabezpečených“ serverů DNS. Zejména dnes vezmeme v úvahu funkce populární cloudové služby DNS Opendns a možnosti jeho použití v podnikovém prostředí založeném na doméně Windows.

OpenDNS je speciální cloudová služba, která každému poskytuje bezplatnou službu serverů DNS. Ale to není hlavní věc. Hlavní „funkcí“ této služby je schopnost organizovat účinný systém ochrany uživatelů před malwarem, phishingovými weby, botnety, omezením přístupu uživatelů k různým kategoriím webů a mnohem více na základě služby DNS. Další důležitou výhodou OpenDNS je skutečnost, že není nutné jej instalovat a instalovat na každém z počítačů ve vaší domácí / pracovní síti..

Poznámka:. Jako domácí analoga OpenDNS doporučujeme Skydns a Rejektor. Tyto služby mají vysokou (v mnoha ohledech podobnou) funkčnost a jsou vůči ruskému uživateli přátelštější.

Princip fungování služby OpenDNS a analogů

Stručně vysvětlete, na čem je založen princip filtrování DNS dotazů pomocí OpenDNS a podobných služeb.

Když uživatel požádá o překlad názvu DNS serveru (domény) na server OpenDNS, je jeho žádost odeslána na nejbližší server OpenDNS DNS (tato funkce je implementována díky technologii BGP Anycast). Server obdrží žádost uživatele a zkontroluje ji ve své interní databázi webů. Pokud je požadovaný web v kategorii zakázaných, phishingových nebo virových webů, pak místo IP adresy požadovaného webu uživatel obdrží IP adresu webu OpenDNS a místo „špatného“ zdroje se objeví stránka OpenDNS s upozorněním , což ukazuje důvod blokování této domény. Pokud není požadovaná doména na černém seznamu, server OpenDNS vezme svou IP adresu ze své vlastní mezipaměti nebo o ni požádá a další servery DNS.

Klíčové vlastnosti OpenDNS

  • Venkovní DNS server - to je samozřejmě jeho hlavní úkol
  • Schopnost filtrovat nevhodný obsah - schopnost omezit nebo zakázat přístup k různým kategoriím stránek. Filtrování obsahu se provádí na základě neustále aktualizované databáze obsahující několik milionů domén uspořádaných do 55 kategorií (hry, sociální sítě, „18+“, sdílení souborů, filmy atd.). Pomocí OpenDNS můžete své dítě chránit před „ned dětským“ obsahem (omezení přístupu dětí na weby jako prostředek rozšíření technologie rodičovské kontroly Windows) nebo omezit přístup zaměstnanců na weby, které snižují produktivitu.
  • Řízení přístupu na web - kromě filtrování obsahu pomocí OpenDNS můžete také udržovat bílé a černé seznamy domén, k nimž je vždy povolen nebo vždy odepřen přístup
  • Ochrana proti phishingu a malwaru - OpenDNS používá databázi webů PhishTank Phishing .Poznámka:. Webové stránky phishingu jsou klonovací weby oblíbených webů, které mají extrahovat důvěrné informace a hesla uživatelů..

    Služba také poskytuje blokování serverů infikovaných viry infikovanými kontrolními příkazy..

  • Zajištění dostupnosti webů, i když jsou jejich autoritativní Servery DNS - Služba OpenDNS díky technologii ukládání do mezipaměti SmartCache může poskytnout přístup k webům, jejichž autorizované servery DNS v současné době nefungují
  • Automatická oprava překlepů při psaní názvu domény umožňuje automaticky opravit překlepy při zadávání názvů domén v části domény nejvyšší úrovně (.net, .ru, .com atd.)
  • Statistika - služba shromažďuje a udržuje statistiky o požadovaných doménách, blokovaných doménách, hodnocení domén podle oblíbenosti atd..
  • Schopnost vytvořit si vlastní stránky a formuláře zpětné vazby - při používání OpenDNS v podnikové síti může administrátor vytvářet své vlastní informační zprávy pro uživatele

Všechny pokročilé funkce OpenDNS jsou k dispozici po registraci a jsou konfigurovány ve vhodném webovém rozhraní. Bezplatné jsou pouze základní funkce služby DNS. Jinak jsou služby placeny.

Aby váš domácí počítač fungoval prostřednictvím OpenDNS, stačí v nastavení pro připojení k internetu zadat adresy jeho serverů DNS (208,67,222,222 a 208,67,220,220) V podnikovém prostředí jsou věci trochu složitější.

Není žádným tajemstvím, že v doméně Windows klienti používají pro rozlišení názvů servery DNS se jménem serveru DNS Active Directory, zatímco používání serverů DNS třetích stran (zejména externích) způsobí mnoho problémů se sítí: přihlášení do domény, hledání řadičů domény, serverů a klientů, provedení skupiny politik atd. To znamená, že DNS serveru OpenDNS nelze nastavit přímo na klientech. Nejlepší řešení v tomto případě by bylo nakonfigurovat předávání dotazů DNS na jmenné servery OpenDNS na serverech Windows DNS (obvykle se jedná o řadiče domény Active Directory).

V tomto příkladu si ukážeme, jak nakonfigurovat předávání DNS pomocí příkladu serveru DNS se systémem Windows Server 2012.

Konfigurace přesměrování DNS na serveru DNS systému Windows Server 2012

Otevřete ovládací panel Správce DNS (nachází se v sekci Nástroje pro správu) V konzole DNS vyberte server DNS a otevřete sekci Dopravci

Přejděte na kartu Dopravci (Přesměrování) a klikněte na Upravit.

V okně, které se otevře, musíte zadat IP adresy 2 veřejných serverů DNS služby OpenDNS:

  • 208.67.222.222 (resolver1.opendns.com)
  • 208.67.220.220 (resolver2.opendns.com)

Váš server DNS zkontroluje dostupnost těchto serverů a otestuje jejich výkon. Uložit změny.

Zkontrolujte, zda je políčko zaškrtnuto. Pokud nejsou k dispozici žádné forwardery, použijte kořenové rady natáčel. Pokud tak neučiníte, odešle váš server DNS v některých případech dotazy na řešení dotazů DNS kořenovému serveru DNS internetového serveru a servery OpenDNS v tomto případě nemusí být vyslýchány. I.e. pokud je pro filtrování použita služba OpenDNS, nemusí to být přijatelné (filtr by měl fungovat ve všech případech!).

Poznámka:. Používání OpenDNS jako primárního serveru DNS způsobí další zpoždění v době, kdy klient čeká na odpověď DNS. Faktem je, že navzdory skutečnosti, že funkce OpenDNS je poskytována na základě 12 geograficky distribuovaných datových center, a díky technologii směrování Anycast odpovídá nejbližší datové centrum na žádost uživatele o DNS, datová centra nejblíže k Rusku se nacházejí v Amsterdamu a Frankfurtu, proto doba odezvy z těchto serverů DNS může být výrazně delší než doba odezvy ze serveru DNS poskytovatele. V některých případech nemusí být takové zpoždění přijatelné. V tomto případě stojí za vyzkoušení jeden z ruských analogů OpenDNS, které mají svá vlastní datová centra v různých regionech Ruska, například Skydns nebo Rejektor.

Uložte nastavení přeposílání kliknutím na OK.

Abyste mohli okamžitě využívat výhody OpenDNS, musíte resetovat mezipaměť DNS na serveru DNS. To provedete v nabídce Zobrazit povolit možnost Pokročilé, v důsledku toho se v konzole pro správu DNS objeví další sekce Vyhledávání v mezipaměti. Klepněte pravým tlačítkem myši na novou sekci a vyberte Vymazat mezipaměť.

Tip. Tyto změny musí být provedeny na všech serverech DNS organizace, které mají schopnost přístupu k externím poskytovatelům DNS.

Zbývá vymazat mezipaměť DNS na klientech (nebo počkat, až budou položky v místní mezipaměti DNS nevraceny). Můžete to provést příkazem:

ipconfig.exe / flushdns