Фильтрация DNS в домене Windows на примере OpenDNS

09.01.2020

Windows Server 2012

Статья посвящена вопросам организации безопасной работы пользователей в интернете с помощью использования технологии так называемых «безопасных» DNS серверов. В частности сегодня мы рассмотрим особенности популярного облачного DNS сервиса OpenDNS и возможности его использования в корпоративной среде на базе домена Windows.

OpenDNS – специальный облачный сервис, предоставляющий всем желающим бесплатную услугу DNS-серверов. Но не это главное. Основная «фишка» этого сервиса возможность организации на базе службы DNS эффективную системы защиты пользователей от вредоносного ПО, фишинговых сайтов, ботнетов, ограничения доступ пользователей к различным категориям сайтов и многое другое. Еще одним важным преимуществом OpenDNS является тот факт, что его не нужно разворачивать и устанавливать на каждый из компьютеров домашней/рабочей сети.

Примечание. В качестве отечественных аналогов OpenDNS порекомендуем SkyDNS и Rejector. Данные сервисы обладают высоким (во многом схожим) функционалом и более дружественны к российскому пользователю.

Принцип работы сервиса OpenDNS и аналогов

Вкратце объясним, на чем основан принцип фильтрации DNS запросов с помощью OpenDNS и аналогичных сервисов.

При обращении пользователя за разрешением DNS-имени сайта (домена) к серверу OpenDNS, его запрос пересылается ближайшему к нему DNS серверу OpenDNS (эта возможность реализуется благодаря технологии BGP Anycast) . Сервер получает запрос пользователя и проверяет его по своей внутренне базе сайтов, и если запрашиваемый сайт оказывается в категории запрещенных, фишинговых или вирусных сайтов, то вместо IP адреса искомого сайта пользователь получает IP адрес сайта OpenDNS и вместо «плохого» ресурса появляется страница OpenDNS с предупреждением, в котором указана причина блокировки данного домена. Если запрашиваемый домен не обнаружен в «черном» списке, сервер OpenDNS берет его IP адрес из собственного кэша или запрашивает его и других DNS серверов.

Основные функции OpenDNS

Открытый DNS сервер – естественно, это его главная задача
Возможность фильтрация нежелательного содержимого – возможность ограничения или запрета доступа к различным категориям сайтам. Фильтрация контента осуществляется на основании постоянно актуализируемой базой, содержащей несколько миллионов доменов, упорядоченных по 55 категориям (игры, социальные сети, «18+», файлообменники, кино и т.д.). При помощи OpenDNS можно защитить ребенка от «недетского» содержимого (ограничение доступа детей к сайтам как средство расширения технологии родительского контроля Windows), либо ограничить сотрудникам доступ к сайтам, снижающим продуктивность работы.
Управление доступом к сайтам – помимо фильтрации контента с помощью OpenDNS можно вести белые и черные списки доменов, доступ к которым соответственно либо всегда разрешен, либо всегда запрещен
Защита от фишинга и вредоносных программ – OpenDNS использует базу фишинговых сайтов PhishTank .
Примечание. Фишинговые сайты — сайты-клоны популярных сайтов, созданные, чтобы выжать конфиденциальную информацию и пароли пользователей.
Также сервис обеспечивает блокировку серверов, к которым за получением управляющих команд обращаются компьютеры, зараженные вирусами.
Обеспечение доступности сайтов, даже при недоступности их авторитативных DNS серверов – сервис OpenDNS благодаря технологии кэширования SmartCache может обеспечить доступ к сайтам, чьи авторитативные DNS-серверы в данный момент не работают

Автоматическая коррекция опечаток при наборе доменного имени позволяет автоматически исправлять опечатки при вводе доменных имен в части домена верзнего уровня (.net, .ru, .com и т.д.)
Ведение статистики – сервис собирает и ведет статистику по запрошенным доменам, заблокированным доменам, рейтингов доменов по популярности и т.д.
Возможность создания собственных страниц и форм обратной связи – при использовании OpenDNS в корпоративной сети администратор может создать собственные информационные сообщения для пользователей

Все расширенные функции OpenDNS доступны после регистрации и настраиваются в удобном веб-интерфейсе. Бесплатные только базовые возможности DNS-сервиса. В остальном, услуги платные.

Чтобы Ваш домашний компьютер заработал через OpenDNS, достаточно в настройках подключению к интернету прописать адреса его DNS серверов (208.67.222.222 и 208.67.220.220). В корпоративное среде, все несколько сложнее.

Не секрет, что в домене Windows клиенты для разрешения имен используют сервера DNS сервера домена Active Directory, использование же сторонних DNS серверов (тем более внешних) вызовет множество проблем сетевых проблем: со входом в доменом, поиском контроллеров домена, серверов и клиентов, выполнением групповых политик и т.д. Это означает, что DNS сервера OpenDNS нельзя выставлять непосредственно на клиентах. Оптимальным решением в этом случае была бы настройка пересылки DNS запросов серверам имен OpenDNS на серверах DNS Windows (обычно это контролеры домена Active Directory).

В данном примере, мы покажем, как настроить пересылку DNS запросов на примере DNS сервера с ОС Windows Server 2012.

Настройка пересылка DNS запросов на DNS сервере Windows Server 2012

Откройте панель управления DNS Manager (находится в разделе Administrative Tools). В DNS консоли выберите свой DNS сервер и откройте раздел Forwarders

Перейдите на вкладку Forwarders (Пересылка) и нажмите кнопку Edit.

В открывшееся окне необходимо указать ip адреса 2 публичных DNS серверов сервиса OpenDNS:

208.67.222.222 (resolver1.opendns.com)
208.67.220.220 (resolver2.opendns.com)

Ваш DNS сервер проверит доступность данных серверов и протестирует их работоспособность. Сохраните изменения.

Удостоверьтесь, что флажок Use root hints if no forwarders are available снят. Если этого не сделать, ваш DNS сервер в некоторых случаях за разрешением DNS запросов будет отправлять запросы корневым DNS сервера Интернета, а сервера OpenDNS в этом случае могут не опрашиваться. Т.е. если служба OpenDNS используется для фильтрации, это может быть неприемлемо (фильтр ведь должен срабатывать во всех случаях!).

Примечание. Использования OpenDNS в качестве основного DNS сервера будет накладывать дополнительную задержку на время ожидания DNS ответа клиентом. Дело в том, что, несмотря на то, что функционал OpenDNS обеспечивается на базе 12 географически распределенных дата центров, а благодаря технологии маршрутизации Anycast, на DNS запрос пользователя отвечает ближайший дата-центр, ближайшие к России дата-центры находится в Амстердаме и Франкфурте, поэтому время ответа от этих DNS серверов может быть существенно больше, чем время ответа от DNS сервера провайдера. В некоторых случаях такая задержка может быть недопустимой. В этом случае стоит попробовать один из российских аналогов OpenDNS, обладающих собственными дата-центрами в различных регионах России, например SkyDNS или Rejector.

Сохраните настройки пересылки, нажав ОК.

Чтобы сразу же воспользоваться возможностями OpenDNS, необходимо сбросить DNS кэш на вашем DNS сервере. Для этого в меню View включите опцию Advanced, в результате чего в консоли управления DNS появится дополнительный раздел Cached Lookups. Щелкните правой кнопкой по новому разделу и выберите пункт Clear Cache.

Совет. Указанные изменения необходимо произвести на всех DNS серверах организации, имеющих возможность обращения к внешним DNS провайдерам.

Осталось очистить DNS кэш на клиентах (либо дождаться, пока записи в локальном DNS кэше просочатся). Сделать этом можно с помощью команды: