Článok je venovaný organizácii bezpečnej práce používateľov na internete pomocou technológie tzv. „Bezpečných“ serverov DNS. Najmä dnes zvážime vlastnosti populárnej služby DNS založenej na cloude nechránený a možnosti jeho použitia v podnikovom prostredí založenom na doméne Windows.
OpenDNS je špeciálna cloudová služba, ktorá každému poskytuje bezplatnú službu serverov DNS. Toto však nie je hlavná vec. Hlavnou „funkciou“ tejto služby je schopnosť organizovať efektívny systém ochrany používateľov pred škodlivým softvérom, phishingovými servermi, botnetmi, ktorý obmedzuje prístup používateľov k rôznym kategóriám lokalít na základe služby DNS. Ďalšou dôležitou výhodou OpenDNS je skutočnosť, že nemusí byť nasadený a inštalovaný na každom počítači vo vašej domácej / pracovnej sieti..
poznámka. Ako domáce analógy OpenDNS odporúčame SkyDNS a kto odmieta. Tieto služby majú vysokú (v mnohých ohľadoch podobnú) funkčnosť a sú priateľskejšie k ruskému užívateľovi.Princíp fungovania služby OpenDNS a analógov
Stručne vysvetlite, na čom je založený princíp filtrovania DNS dotazov pomocou OpenDNS a podobných služieb.
Keď užívateľ požiada o preklad názvu DNS stránky (domény) na server OpenDNS, jeho žiadosť sa postúpi na server OpenDNS DNS, ktorý je mu najbližšie (táto funkcia je implementovaná vďaka technológii BGP Anycast). Server dostane žiadosť používateľa a skontroluje ju vo svojej internej databáze stránok. Ak je požadovaná stránka v kategórii zakázaných, phishingových alebo vírusových serverov, potom namiesto IP adresy požadovaného webu užívateľ dostane IP adresu lokality OpenDNS a namiesto „zlého“ zdroja sa stránka s upozornením zobrazí s varovaním , čo naznačuje dôvod blokovania tejto domény. Ak sa požadovaná doména nenachádza v čiernej listine, server OpenDNS vezme svoju IP adresu zo svojej vlastnej vyrovnávacej pamäte alebo si ju vyžiada a ďalšie servery DNS.
Kľúčové vlastnosti OpenDNS
- otvorený DNS server - Toto je samozrejme jeho hlavná úloha
- Schopnosť filtrovať nevhodný obsah - schopnosť obmedziť alebo zakázať prístup k rôznym kategóriám lokalít. Filtrovanie obsahu sa vykonáva na základe neustále aktualizovanej databázy obsahujúcej niekoľko miliónov domén usporiadaných do 55 kategórií (hry, sociálne siete, „18+“, hosting súborov, filmy atď.). Pomocou OpenDNS môžete chrániť svoje dieťa pred „nedeti“ obsahom (obmedzuje prístup detí na stránky ako prostriedok rozširovania technológie rodičovskej kontroly Windows) alebo obmedzuje prístup zamestnancov na stránky, ktoré znižujú produktivitu.
- Kontrola prístupu na web - okrem filtrovania obsahu pomocou OpenDNS môžete viesť aj biele a čierne zoznamy domén, ku ktorým je vždy povolený alebo vždy odmietnutý prístup
- Ochrana pred phishingom a škodlivým softvérom - OpenDNS používa databázu PhishingTank Phishing .poznámka. Webové stránky, ktoré neoprávnene získavajú údaje (phishing) sú klonované stránky populárnych webových stránok určených na získavanie dôverných informácií a hesiel používateľov..
Táto služba poskytuje aj blokovanie serverov infikovaných vírusmi infikovanými kontrolnými príkazmi..
- Zabezpečenie dostupnosti lokalít, aj keď sú autoritatívne Servery DNS - Služba OpenDNS vďaka technológii ukladania do vyrovnávacej pamäte SmartCache môže poskytnúť prístup na stránky, ktorých autorizované servery DNS momentálne nefungujú
- Automatická oprava preklepov pri zadávaní názvu domény umožňuje automaticky opraviť preklepy pri zadávaní názvov domén v časti domény najvyššej úrovne (.net, .ru, .com atď.)
- štatistiky Tracking - služba zhromažďuje a udržuje štatistiky o požadovaných doménach, blokovaných doménach, hodnotení domén podľa popularity atď..
- Schopnosť vytvárať si vlastné stránky a formuláre spätnej väzby - pri používaní OpenDNS v podnikovej sieti môže správca vytvárať svoje vlastné informačné správy pre používateľov
Všetky rozšírené funkcie OpenDNS sú k dispozícii po registrácii a sú nakonfigurované vo vhodnom webovom rozhraní. Zadarmo sú iba základné funkcie služby DNS. V opačnom prípade sú služby platené.
Aby váš domáci počítač fungoval prostredníctvom OpenDNS, stačí v nastaveniach pre pripojenie k internetu uviesť adresy jeho serverov DNS (208.67.222.222 a 208.67.220.220). V podnikovom prostredí sú veci trochu komplikovanejšie.
Nie je žiadnym tajomstvom, že v doméne Windows klienti používajú na preklad názvov servery DNS servera DNS s názvami Active Directory, zatiaľ čo používanie serverov DNS tretích strán (najmä externých) spôsobí veľa problémov so sieťou: prihlásenie do domény, vyhľadávanie radičov domény, serverov a klientov, vykonávanie skupiny politik atď. To znamená, že DNS servera OpenDNS sa nedá nastaviť priamo na klientov. Najlepším riešením v tomto prípade by bolo nakonfigurovať preposielanie dotazov DNS na názvy serverov OpenDNS na serveroch Windows DNS (zvyčajne ide o radiče domény Active Directory)..
V tomto príklade ukážeme, ako nakonfigurovať presmerovanie DNS pomocou príkladu servera DNS so systémom Windows Server 2012.
Konfigurácia presmerovania DNS na serveri Windows Server 2012 DNS
Otvorte ovládací panel Správca DNS (nachádza sa v časti Administratívne nástroje). V konzole DNS vyberte server DNS a otvorte časť transportéry
Prejdite na kartu transportéry (Preposielanie) a kliknite na editovať.
V okne, ktoré sa otvorí, musíte zadať ip adresy 2 verejných serverov DNS služby OpenDNS:
- 208.67.222.222 (resolver1.opendns.com)
- 208.67.220.220 (resolver2.opendns.com)
Váš server DNS skontroluje dostupnosť týchto serverov a otestuje ich výkon. Uložte zmeny.
Skontrolujte, či je políčko začiarknuté. Ak nie sú k dispozícii žiadne forwardery, použite root rady stiahnutý. Ak to neurobíte, váš server DNS v niektorých prípadoch odošle dotazy na riešenie problémov DNS koreňovému serveru DNS internetového servera a servery OpenDNS v tomto prípade nemusia byť vypočúvané. tj ak sa na filtrovanie používa služba OpenDNS, nemusí to byť prijateľné (filter by mal fungovať vo všetkých prípadoch!).
poznámka. Použitie OpenDNS ako primárneho servera DNS spôsobí ďalšie oneskorenie v čase, keď klient čaká na odpoveď DNS. Faktom je, že napriek tomu, že funkčnosť OpenDNS je poskytovaná na základe 12 geograficky distribuovaných dátových centier a vďaka technológii smerovania Anycast, najbližšie dátové centrum odpovedá na žiadosť používateľa o DNS, dátové centrá najbližšie k Rusku sa nachádzajú v Amsterdame a Frankfurte, preto doba odozvy z týchto serverov DNS môže byť podstatne dlhšia ako doba odozvy zo servera DNS poskytovateľa. V niektorých prípadoch nemusí byť také oneskorenie prijateľné. V tomto prípade stojí za vyskúšanie jeden z ruských analógov OpenDNS, ktoré majú vlastné dátové centrá v rôznych regiónoch Ruska, napríklad SkyDNS alebo kto odmieta.
Uložte nastavenia preposielania kliknutím na OK.
Ak chcete okamžite využiť výhody OpenDNS, musíte resetovať vyrovnávaciu pamäť DNS na vašom serveri DNS. Ak to chcete urobiť, v ponuke vyhliadka povoliť možnosť pokročilý, v konzole pre správu DNS sa preto objaví ďalšia časť Vyhľadávanie vo vyrovnávacej pamäti. Pravým tlačidlom myši kliknite na novú sekciu a vyberte položku Vymazať vyrovnávaciu pamäť.
Zostane až do vymazania vyrovnávacej pamäte DNS na klientoch (alebo počkajte, kým položky v miestnej medzipamäte DNS nevniknú). Môžete to urobiť pomocou príkazu:
ipconfig.exe / flushdns
