Artykuł poświęcony jest organizacji bezpiecznej pracy użytkowników w Internecie z wykorzystaniem technologii tzw. „Bezpiecznych” serwerów DNS. W szczególności dzisiaj rozważymy funkcje popularnej usługi DNS opartej na chmurze Opendns oraz możliwości jego wykorzystania w środowisku korporacyjnym opartym na domenie Windows.
OpenDNS to specjalna usługa w chmurze, która zapewnia wszystkim bezpłatną usługę serwerów DNS. Ale to nie jest najważniejsze. Główną „funkcją” tej usługi jest zdolność do zorganizowania skutecznego systemu ochrony użytkowników przed złośliwym oprogramowaniem, witrynami wyłudzającymi informacje, botnetami, ograniczającymi dostęp użytkowników do różnych kategorii witryn w oparciu o usługę DNS. Kolejną ważną zaletą OpenDNS jest fakt, że nie trzeba go wdrażać i instalować na każdym komputerze w sieci domowej / służbowej.
Uwaga. Jako krajowe analogi OpenDNS zalecamy Skydny i Odrzutnik. Usługi te mają wysoką (pod wieloma względami podobną) funkcjonalność i są bardziej przyjazne dla rosyjskiego użytkownika.Zasada działania usługi OpenDNS i analogów
Krótko wyjaśnij, na czym polega zasada filtrowania zapytań DNS za pomocą OpenDNS i podobnych usług.
Gdy użytkownik składa wniosek o rozpoznanie nazwy DNS witryny (domeny) na serwerze OpenDNS, jego żądanie jest przekazywane do najbliższego mu serwera DNS OpenDNS (ta funkcja jest realizowana dzięki technologii BGP Anycast). Serwer odbiera żądanie użytkownika i sprawdza je w swojej wewnętrznej bazie danych witryn, a jeśli żądana witryna należy do kategorii stron zbanowanych, phishingowych lub wirusowych, to zamiast adresu IP żądanej witryny, użytkownik otrzymuje adres IP witryny OpenDNS i zamiast „złego” zasobu pojawia się strona OpenDNS z ostrzeżeniem , który wskazuje przyczynę zablokowania tej domeny. Jeśli żądanej domeny nie ma na czarnej liście, serwer OpenDNS pobiera adres IP z własnej pamięci podręcznej lub żąda go i innych serwerów DNS.
Kluczowe funkcje OpenDNS
- Odkryty Serwer DNS - oczywiście jest to jego główne zadanie
- Możliwość filtrowania nieodpowiednich treści - możliwość ograniczenia lub zakazu dostępu do różnych kategorii witryn. Filtrowanie treści odbywa się na podstawie stale aktualizowanej bazy danych zawierającej kilka milionów domen ułożonych w 55 kategoriach (gry, sieci społecznościowe, „18+”, hosting plików, filmy itp.). Korzystając z OpenDNS, możesz chronić swoje dziecko przed treściami „nie-dziecinnymi” (ograniczając dostęp dzieci do witryn jako sposób na rozszerzenie technologii kontroli rodzicielskiej Windows) lub ograniczać dostęp pracowników do witryn, które zmniejszają produktywność.
- Kontrola dostępu do witryny - oprócz filtrowania treści za pomocą OpenDNS, możesz utrzymywać białe i czarne listy domen, do których dostęp jest odpowiednio zawsze dozwolony lub zawsze zabroniony
- Ochrona przed phishingiem i złośliwym oprogramowaniem - OpenDNS korzysta z bazy danych witryn PhishingTank Phishing .Uwaga. Witryny wyłudzające informacje to klonowane witryny popularnych witryn zaprojektowane w celu wyodrębnienia poufnych informacji i haseł użytkowników..
Usługa zapewnia również blokowanie serwerów zainfekowanych wirusami zainfekowanymi poleceniami sterującymi..
- Zapewnienie dostępności stron, nawet jeśli są one wiarygodne Serwery DNS - Usługa OpenDNS dzięki technologii buforowania SmartCache może zapewnić dostęp do stron, których autorytatywne serwery DNS obecnie nie działają
- Automatyczna korekta literówek podczas wpisywania nazwy domeny pozwala automatycznie poprawiać literówki podczas wprowadzania nazw domen w części domeny najwyższego poziomu (.net, .ru, .com itp.)
- Statystyka - usługa zbiera i utrzymuje statystyki dotyczące żądanych domen, domen zablokowanych, ocen domen według popularności itp..
- Możliwość tworzenia własnych stron i formularzy opinii - podczas korzystania z OpenDNS w sieci firmowej administrator może tworzyć własne wiadomości informacyjne dla użytkowników
Wszystkie zaawansowane funkcje OpenDNS są dostępne po rejestracji i są skonfigurowane w wygodnym interfejsie internetowym. Tylko podstawowe funkcje usługi DNS są bezpłatne. W przeciwnym razie usługi są płatne.
Aby Twój komputer domowy działał przez OpenDNS, wystarczy podać adresy jego serwerów DNS w ustawieniach połączenia z Internetem (208,67.222.222 i 208,67.220.220) W środowisku korporacyjnym sprawy są nieco bardziej skomplikowane.
Nie jest tajemnicą, że w domenie Windows klienci używają serwerów DNS serwerów nazw domenowych Active Directory do rozpoznawania nazw, a korzystanie z zewnętrznych serwerów DNS (zwłaszcza zewnętrznych) spowoduje wiele problemów sieciowych: logowanie do domeny, wyszukiwanie kontrolerów domeny, serwerów i klientów, wykonywanie grupy polityk itp. Oznacza to, że DNS serwera OpenDNS nie może być ustawiony bezpośrednio na klientach. Najlepszym rozwiązaniem w tym przypadku byłoby skonfigurowanie przekazywania zapytań DNS do serwerów nazw OpenDNS na serwerach DNS systemu Windows (zwykle są to kontrolery domeny Active Directory).
W tym przykładzie pokażemy, jak skonfigurować przekazywanie DNS na przykładzie serwera DNS z systemem Windows Server 2012.
Konfigurowanie przekazywania DNS na serwerze DNS systemu Windows Server 2012
Otwórz panel sterowania Menedżer DNS (znajduje się w sekcji Narzędzia administracyjne) W konsoli DNS wybierz serwer DNS i otwórz sekcję Spedytorzy
Idź do zakładki Spedytorzy (Przekazywanie) i kliknij Edytuj.
W oknie, które zostanie otwarte, musisz podać adresy IP 2 publicznych serwerów DNS usługi OpenDNS:
- 208.67.222.222 (resolver1.opendns.com)
- 208.67.220.220 (resolver2.opendns.com)
Twój serwer DNS sprawdzi dostępność tych serwerów i przetestuje ich wydajność. Zapisz zmiany.
Upewnij się, że pole jest zaznaczone. Użyj wskazówek dotyczących roota, jeśli nie są dostępne żadne usługi przesyłania dalej nakręcony. Jeśli nie zostanie to zrobione, Twój serwer DNS w niektórych przypadkach, w celu rozwiązania zapytań DNS, wyśle zapytania do głównego DNS serwera internetowego, a serwery OpenDNS w tym przypadku mogą nie zostać odpytane. Tj. jeśli do filtrowania używana jest usługa OpenDNS, może to nie być akceptowalne (filtr powinien działać we wszystkich przypadkach!).
Uwaga. Użycie OpenDNS jako podstawowego serwera DNS spowoduje dodatkowe opóźnienie w czasie oczekiwania klienta na odpowiedź DNS. Faktem jest, że pomimo faktu, że funkcjonalność OpenDNS jest zapewniana w oparciu o 12 rozproszonych geograficznie centrów danych, a dzięki technologii routingu Anycast najbliższe centrum danych odpowiada na żądanie użytkownika dotyczące DNS, centra danych najbliżej Rosji znajdują się w Amsterdamie i Frankfurcie, dlatego czas odpowiedzi z tych serwerów DNS może być znacznie dłuższy niż czas odpowiedzi z serwera DNS dostawcy. W niektórych przypadkach takie opóźnienie może być nie do przyjęcia. W takim przypadku warto wypróbować jeden z rosyjskich analogów OpenDNS, które mają własne centra danych w różnych regionach Rosji, na przykład Skydny lub Odrzutnik.
Zapisz ustawienia przekazywania, klikając OK.
Aby natychmiast skorzystać z OpenDNS, musisz zresetować pamięć podręczną DNS na serwerze DNS. Aby to zrobić, w menu Zobacz włącz opcję Zaawansowane, w wyniku tego w konsoli zarządzania DNS pojawia się dodatkowa sekcja Wyszukiwanie w pamięci podręcznej. Kliknij nową sekcję prawym przyciskiem myszy i wybierz Wyczyść pamięć podręczną.
Pozostaje wyczyścić pamięć podręczną DNS na klientach (lub poczekać, aż wpisy w lokalnym wycieku pamięci podręcznej DNS). Możesz to zrobić za pomocą polecenia:
ipconfig.exe / flushdns
