Фильтрация DNS в домене Windows на примере OpenDNS | Windows для системных администраторов

Фильтрация DNS в домене Windows на примере OpenDNS

Статья посвящена вопросам организации безопасной работы пользователей в интернете с помощью использования технологии так называемых  «безопасных» DNS серверов. В частности сегодня мы рассмотрим особенности популярного облачного DNS сервиса OpenDNS и возможности его использования в корпоративной среде на базе домена Windows.

OpenDNS – специальный облачный сервис, предоставляющий всем желающим бесплатную услугу DNS-серверов. Но не это главное. Основная «фишка»  этого сервиса возможность организации на базе службы DNS  эффективную системы защиты пользователей от вредоносного ПО, фишинговых сайтов, ботнетов, ограничения доступ пользователей к различным категориям сайтов и многое другое. Еще одним важным преимуществом OpenDNS является тот факт, что его не нужно разворачивать и устанавливать на каждый из компьютеров домашней/рабочей сети.

Примечание. В качестве отечественных аналогов OpenDNS порекомендуем SkyDNS и Rejector. Данные сервисы обладают высоким (во многом схожим) функционалом и более дружественны к российскому пользователю.

Принцип работы сервиса OpenDNS и аналогов


Вкратце объясним, на чем основан принцип фильтрации DNS запросов с помощью OpenDNS и аналогичных сервисов.

При обращении пользователя за разрешением DNS-имени сайта (домена) к серверу OpenDNS, его запрос пересылается ближайшему к нему DNS серверу OpenDNS (эта возможность реализуется благодаря технологии BGP Anycast) . Сервер получает запрос пользователя и проверяет его по своей внутренне базе сайтов, и если запрашиваемый сайт оказывается в категории запрещенных, фишинговых или вирусных сайтов, то вместо IP адреса искомого сайта пользователь получает IP адрес сайта OpenDNS и вместо «плохого» ресурса появляется страница  OpenDNS с предупреждением, в котором указана причина блокировки данного домена. Если запрашиваемый домен не обнаружен в «черном» списке, сервер OpenDNS берет его IP адрес из собственного кэша или запрашивает его и других DNS серверов.

opendns - блокировка домена domain is blocked

Основные функции OpenDNS


  • Открытый DNS сервер – естественно, это его главная задача
  • Возможность фильтрация нежелательного содержимого – возможность ограничения или запрета доступа к различным категориям сайтам. Фильтрация контента осуществляется на основании  постоянно актуализируемой базой, содержащей несколько миллионов доменов, упорядоченных по 55 категориям (игры, социальные сети, «18+», файлообменники, кино и т.д.). При помощи OpenDNS можно защитить ребенка от «недетского» содержимого (ограничение доступа детей к сайтам как средство расширения технологии родительского контроля Windows), либо ограничить сотрудникам  доступ к сайтам, снижающим продуктивность работы.
  • Управление доступом к сайтам – помимо фильтрации контента с помощью OpenDNS можно вести белые и черные списки доменов, доступ к которым соответственно либо всегда разрешен, либо всегда запрещен
  • Защита от фишинга и вредоносных программ – OpenDNS использует  базу фишинговых сайтов PhishTank .
    Примечание. Фишинговые сайты — сайты-клоны популярных сайтов, созданные, чтобы выжать конфиденциальную информацию и пароли пользователей.

    Также сервис обеспечивает блокировку серверов, к которым за получением управляющих команд обращаются компьютеры, зараженные вирусами.

  • Обеспечение доступности сайтов, даже при недоступности их авторитативных DNS серверов – сервис OpenDNS благодаря технологии кэширования SmartCache может обеспечить доступ к сайтам, чьи авторитативные DNS-серверы в данный момент не работают
  • Автоматическая коррекция опечаток при наборе доменного имени позволяет автоматически исправлять опечатки при вводе доменных имен в части домена верзнего уровня (.net, .ru, .com  и т.д.)
  • Ведение статистики – сервис собирает и ведет статистику по запрошенным доменам, заблокированным доменам, рейтингов доменов по популярности и т.д.
  • Возможность создания собственных страниц и форм обратной связи – при использовании OpenDNS в корпоративной сети администратор может создать собственные информационные сообщения для пользователей

Все расширенные функции OpenDNS доступны после регистрации и настраиваются в  удобном веб-интерфейсе. Бесплатные только базовые возможности DNS-сервиса. В остальном, услуги платные.

Чтобы Ваш домашний компьютер заработал через OpenDNS, достаточно в настройках подключению к интернету прописать адреса его DNS серверов (208.67.222.222 и 208.67.220.220). В корпоративное среде, все несколько сложнее.

Не секрет, что в домене Windows клиенты для разрешения имен используют сервера  DNS сервера домена Active Directory, использование же сторонних DNS серверов (тем более внешних) вызовет множество проблем сетевых проблем: со входом в доменом, поиском контроллеров домена, серверов и клиентов,  выполнением групповых политик и т.д. Это означает, что DNS сервера OpenDNS нельзя выставлять непосредственно на клиентах. Оптимальным решением в этом случае была бы настройка пересылки DNS запросов серверам имен OpenDNS на серверах DNS Windows (обычно это контролеры домена Active Directory).

В данном примере, мы покажем, как настроить пересылку DNS запросов на примере DNS сервера с ОС Windows Server 2012.

Настройка пересылка DNS запросов на DNS сервере Windows Server 2012

Откройте панель управления DNS Manager (находится в разделе Administrative Tools). В DNS консоли выберите свой DNS сервер и откройте раздел Forwarders

dns пересылка в windows server 2012

Перейдите на вкладку Forwarders (Пересылка) и нажмите кнопку Edit.

Правка списоков DNS сервером, на которые пересылаются запросы Windows DNS Server

В открывшееся окне необходимо указать ip адреса  2 публичных DNS серверов сервиса OpenDNS:

  • 208.67.222.222 (resolver1.opendns.com)
  • 208.67.220.220 (resolver2.opendns.com)

Ваш DNS сервер проверит доступность данных серверов и протестирует их работоспособность. Сохраните изменения.

opendns сервера в качетве внешнего источника имен в домене windows

 

Удостоверьтесь, что флажок Use root hints if no forwarders are available снят. Если этого не сделать, ваш DNS сервер в некоторых случаях за разрешением DNS запросов будет отправлять запросы корневым DNS сервера Интернета, а сервера OpenDNS в этом случае могут не опрашиваться. Т.е. если служба OpenDNS используется для фильтрации, это может быть неприемлемо (фильтр ведь должен срабатывать во всех случаях!).

Примечание. Использования OpenDNS в качестве основного DNS сервера будет накладывать дополнительную задержку на время ожидания DNS ответа клиентом. Дело в том, что, несмотря на то, что  функционал OpenDNS обеспечивается на базе 12 географически распределенных дата центров, а благодаря технологии   маршрутизации Anycast, на DNS запрос пользователя отвечает ближайший дата-центр, ближайшие к России дата-центры находится  в Амстердаме и Франкфурте, поэтому время ответа от этих DNS серверов может быть существенно больше, чем время ответа от DNS сервера провайдера. В некоторых случаях такая задержка может быть недопустимой. В этом случае стоит попробовать один из российских аналогов OpenDNS, обладающих собственными дата-центрами в различных регионах России, например SkyDNS или Rejector.

Опция Use root hints if no forwarders are available - Использовать ли корневые DNS сервера Интерене

 

Сохраните настройки пересылки, нажав ОК.

Чтобы сразу же воспользоваться возможностями OpenDNS, необходимо сбросить DNS кэш на вашем DNS сервере. Для этого в меню View включите опцию Advanced, в результате чего в консоли управления DNS появится дополнительный раздел Cached Lookups. Щелкните правой кнопкой по новому разделу и выберите пункт Clear Cache.

clear cache - очистка DNS кэша в windows server 2012

Совет. Указанные изменения необходимо произвести на всех DNS серверах организации, имеющих возможность обращения к внешним DNS провайдерам.

Осталось очистить DNS кэш на клиентах (либо дождаться, пока записи в локальном DNS кэше просочатся). Сделать этом можно с помощью команды:

ipconfig.exe /flushdns

 

Еще записи по теме: Windows Server 2012
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00101 sec