DNS filtriranje u Windows domeni koristeći OpenDNS kao primjer

Članak je posvećen organizaciji sigurnog rada korisnika na Internetu pomoću tehnologije takozvanih "sigurnih" DNS poslužitelja. Konkretno, danas ćemo razmotriti značajke popularne DNS usluge utemeljene u oblaku Otvoren i mogućnosti njegove upotrebe u korporativnom okruženju na temelju Windows domene.

OpenDNS je posebna usluga u oblaku koja svima pruža besplatnu uslugu DNS poslužitelja. Ali to nije glavna stvar. Glavna "značajka" ove usluge je mogućnost organiziranja učinkovitog sustava zaštite korisnika od zlonamjernog softvera, phishing web mjesta, botneta, ograničavanja korisničkog pristupa različitim kategorijama web mjesta i još mnogo toga, temeljenog na DNS usluzi. Druga važna prednost OpenDNS-a je činjenica da ga nije potrebno raspoređivati ​​i instalirati na svako od računala u vašoj kućnoj / radnoj mreži.

primjedba. Preporučujemo kao domaće analoge OpenDNS SkyDNS i potisni. Ove usluge imaju visoku (u mnogim aspektima sličnu) funkcionalnost i ruski su korisniji.

Princip rada servisa OpenDNS i analozi

Ukratko objasnite na čemu se temelji princip filtriranja DNS upita pomoću OpenDNS i sličnih usluga.

Kad se korisnik prijavi za rješavanje DNS imena web lokacije (domene) na OpenDNS poslužitelju, njegov se zahtjev šalje najbližem DNS poslužitelju OpenDNS (ova se značajka implementira zahvaljujući tehnologiji BGP Anycast). Poslužitelj prima zahtjev korisnika i provjerava ga u skladu s njegovom internom bazom podataka o web lokacijama, a ako se tražena web lokacija nalazi u kategoriji zabranjenih, krađi identiteta ili virusnih mjesta, onda umjesto IP adrese željene web stranice, korisnik prima IP adresu OpenDNS web mjesta i umjesto „lošeg“ resursa, stranica OpenDNS pojavljuje se s upozorenjem , što ukazuje na razlog blokiranja ove domene. Ako tražena domena nije pronađena na crnom popisu, OpenDNS poslužitelj uzima svoju IP adresu iz vlastite predmemorije ili je zahtijeva i druge DNS poslužitelje.

Ključne značajke OpenDNS-a

  • otvoreno DNS poslužitelj - naravno, to je njegov glavni zadatak
  • Sposobnost filtriranja neprimjerenog sadržaja - mogućnost ograničavanja ili zabrane pristupa različitim kategorijama web mjesta. Filtriranje sadržaja vrši se na temelju stalno ažurirane baze podataka koja sadrži nekoliko milijuna domena raspoređenih u 55 kategorija (igre, društvene mreže, "18+", dijeljenje datoteka, filmovi itd.). Korištenjem OpenDNS-a možete zaštititi svoje dijete od "djetinjastog" sadržaja (ograničavajući dječiji pristup web-lokacijama kao načinom širenja tehnologije Windows roditeljskog nadzora) ili ograničiti pristup zaposlenika web lokacijama koje smanjuju produktivnost.
  • Kontrola pristupa web mjestu - Uz filtriranje sadržaja putem OpenDNS-a, možete održavati bijele i crne popise domena, kojima je pristup, odnosno, uvijek dopušten ili uvijek uskraćen
  • Zaštita od krađe identiteta i zlonamjernog softvera - OpenDNS koristi bazu podataka PhishTank phishing web mjesta .primjedba. Web lokacije za krađu identiteta kloniraju popularne web lokacije dizajnirane za vađenje povjerljivih podataka i lozinki korisnika..

    Usluga također pruža blokiranje poslužitelja koji su zaraženi virusima zaraženim upravljačkim naredbama..

  • Osiguravanje pristupačnosti web mjesta, čak i kada su njihova autoritativna DNS poslužitelji - OpenDNS usluga zahvaljujući tehnologiji predmemoriranja SmartCache može pružiti pristup web lokacijama čiji autoritativni DNS poslužitelji trenutno ne rade
  • Automatsko ispravljanje pogrešaka pri upisivanju imena domene omogućuje vam automatsko ispravljanje pogrešaka pri upisu imena domena u gornji dio domene (.net, .ru, .com itd.)
  • statistika za praćenje - usluga prikuplja i održava statistiku o traženim domenama, blokiranim domenama, ocjeni domena prema popularnosti itd..
  • Sposobnost stvaranja vlastitih stranica i obrazaca za povratne informacije - kada koristi OpenDNS na korporacijskoj mreži, administrator može stvoriti vlastite informacijske poruke za korisnike

Sve napredne značajke OpenDNS dostupne su nakon registracije i konfigurirane su u prikladnom web sučelju. Besplatne su samo osnovne značajke DNS usluge. Inače se usluge plaćaju.

Da bi kućno računalo radilo putem OpenDNS-a, dovoljno je navesti adrese svojih DNS poslužitelja u postavkama za povezivanje s Internetom (208.67.222.222 i 208.67.220.220). U korporativnom okruženju stvari su malo složenije.

Nije tajna da klijenti u domeni Windows koriste DNS poslužitelje naziva domene Active Directory za rješavanje imena, dok će korištenje DNS poslužitelja trećih strana (posebno vanjskih) uzrokovati mnoge mrežne probleme: prijavljivanje u domenu, traženje kontrolera domena, poslužitelja i klijenata, obavljanje grupe političar itd. To znači da se DNS OpenDNS poslužitelja ne može postaviti izravno na klijentima. Najbolje rješenje u ovom slučaju bilo bi konfigurirati prosljeđivanje DNS upita na OpenDNS poslužitelje imena na Windows DNS poslužiteljima (obično su to kontroleri domena Active Directory).

U ovom ćemo primjeru pokazati kako konfigurirati DNS prosljeđivanje na primjeru DNS poslužitelja na kojem je pokrenut Windows Server 2012.

Konfiguriranje DNS prosljeđivanja na DNS poslužitelju Windows Server 2012

Otvorite upravljačku ploču DNS Manager (nalazi se u odjeljku Administrativni alati). U DNS konzoli odaberite svoj DNS poslužitelj i otvorite odjeljak otpremnici

Idite na karticu otpremnici (Prosljeđivanje) i kliknite Uređivanje.

U prozoru koji se otvori morate navesti ip adrese dva javna DNS poslužitelja OpenDNS usluge:

  • 208.67.222.222 (resolutionver1.opendns.com)
  • 208.67.220.220 (resolutionver2.opendns.com)

Vaš DNS poslužitelj provjerit će dostupnost ovih poslužitelja i testirati njihove performanse. Spremite promjene.

Provjerite je li potvrđen okvir. Koristite naputke korijena ako ne postoje prosljeđivači povučen. Ako se to ne učini, vaš DNS poslužitelj će u nekim slučajevima za rješavanje DNS upita poslati upite korijenskom DNS-u internetskog poslužitelja, a OpenDNS poslužitelji u ovom slučaju možda neće biti anketirani. tj Ako se OpenDNS usluga koristi za filtriranje, to možda nije prihvatljivo (filter bi trebao raditi u svim slučajevima!).

primjedba. Korištenje OpenDNS kao primarnog DNS poslužitelja nameće dodatno kašnjenje u vremenu kada klijent čeka DNS odgovor. Činjenica je da, unatoč činjenici da se OpenDNS funkcionalnost pruža na temelju 12 geografski raspoređenih podatkovnih centara, a zahvaljujući tehnologiji usmjeravanja Anycast, najbliži podatkovni centar odgovara na zahtjev korisnika za DNS, podaci centri najbliži Rusiji nalaze se u Amsterdamu i Frankfurtu, prema tome, vrijeme odziva s ovih DNS poslužitelja može biti znatno duže od vremena odziva od DNS poslužitelja davatelja usluga. U nekim slučajevima takva odgoda možda nije prihvatljiva. U ovom slučaju, vrijedno je isprobati jedan od ruskih analoga OpenDNS-a, koji, primjerice, imaju vlastite podatkovne centre u različitim regijama Rusije. SkyDNS ili potisni.

Spremite postavke prosljeđivanja klikom na U redu.

Da biste odmah iskoristili OpenDNS, morate resetirati DNS predmemoriju na vašem DNS poslužitelju. Da biste to učinili, u izborniku pogled opcija napredan, Kao rezultat, pojavljuje se dodatni odjeljak u upravljačkoj konzoli DNS-a Predmemorirane pretrage. Desnom tipkom miša kliknite novi odjeljak i odaberite Očistite predmemoriju.

vijeće. Te se promjene moraju izvršiti na svim DNS poslužiteljima organizacije koji imaju mogućnost pristupa vanjskim DNS pružateljima.

Ostaje očistiti DNS predmemoriju na klijentima (ili pričekati dok ne prođu unosi u lokalnoj DNS predmemoriji). To možete učiniti pomoću naredbe:

ipconfig.exe / flushdns