Статья посвящена вопросам организации безопасной работы пользователей в интернете с помощью использования технологии так называемых «безопасных» DNS серверов. В частности сегодня мы рассмотрим особенности популярного облачного DNS сервиса OpenDNS и возможности его использования в корпоративной среде на базе домена Windows.
OpenDNS – специальный облачный сервис, предоставляющий всем желающим бесплатную услугу DNS-серверов. Но не это главное. Основная «фишка» этого сервиса возможность организации на базе службы DNS эффективную системы защиты пользователей от вредоносного ПО, фишинговых сайтов, ботнетов, ограничения доступ пользователей к различным категориям сайтов и многое другое. Еще одним важным преимуществом OpenDNS является тот факт, что его не нужно разворачивать и устанавливать на каждый из компьютеров домашней/рабочей сети.
Принцип работы сервиса OpenDNS и аналогов
Вкратце объясним, на чем основан принцип фильтрации DNS запросов с помощью OpenDNS и аналогичных сервисов.
При обращении пользователя за разрешением DNS-имени сайта (домена) к серверу OpenDNS, его запрос пересылается ближайшему к нему DNS серверу OpenDNS (эта возможность реализуется благодаря технологии BGP Anycast) . Сервер получает запрос пользователя и проверяет его по своей внутренне базе сайтов, и если запрашиваемый сайт оказывается в категории запрещенных, фишинговых или вирусных сайтов, то вместо IP адреса искомого сайта пользователь получает IP адрес сайта OpenDNS и вместо «плохого» ресурса появляется страница OpenDNS с предупреждением, в котором указана причина блокировки данного домена. Если запрашиваемый домен не обнаружен в «черном» списке, сервер OpenDNS берет его IP адрес из собственного кэша или запрашивает его и других DNS серверов.
Основные функции OpenDNS
- Открытый DNS сервер – естественно, это его главная задача
- Возможность фильтрация нежелательного содержимого – возможность ограничения или запрета доступа к различным категориям сайтам. Фильтрация контента осуществляется на основании постоянно актуализируемой базой, содержащей несколько миллионов доменов, упорядоченных по 55 категориям (игры, социальные сети, «18+», файлообменники, кино и т.д.). При помощи OpenDNS можно защитить ребенка от «недетского» содержимого (ограничение доступа детей к сайтам как средство расширения технологии родительского контроля Windows), либо ограничить сотрудникам доступ к сайтам, снижающим продуктивность работы.
- Управление доступом к сайтам – помимо фильтрации контента с помощью OpenDNS можно вести белые и черные списки доменов, доступ к которым соответственно либо всегда разрешен, либо всегда запрещен
- Защита от фишинга и вредоносных программ – OpenDNS использует базу фишинговых сайтов PhishTank .Примечание. Фишинговые сайты — сайты-клоны популярных сайтов, созданные, чтобы выжать конфиденциальную информацию и пароли пользователей.
Также сервис обеспечивает блокировку серверов, к которым за получением управляющих команд обращаются компьютеры, зараженные вирусами.
- Обеспечение доступности сайтов, даже при недоступности их авторитативных DNS серверов – сервис OpenDNS благодаря технологии кэширования SmartCache может обеспечить доступ к сайтам, чьи авторитативные DNS-серверы в данный момент не работают
- Автоматическая коррекция опечаток при наборе доменного имени позволяет автоматически исправлять опечатки при вводе доменных имен в части домена верзнего уровня (.net, .ru, .com и т.д.)
- Ведение статистики – сервис собирает и ведет статистику по запрошенным доменам, заблокированным доменам, рейтингов доменов по популярности и т.д.
- Возможность создания собственных страниц и форм обратной связи – при использовании OpenDNS в корпоративной сети администратор может создать собственные информационные сообщения для пользователей
Все расширенные функции OpenDNS доступны после регистрации и настраиваются в удобном веб-интерфейсе. Бесплатные только базовые возможности DNS-сервиса. В остальном, услуги платные.
Чтобы Ваш домашний компьютер заработал через OpenDNS, достаточно в настройках подключению к интернету прописать адреса его DNS серверов (208.67.222.222 и 208.67.220.220). В корпоративное среде, все несколько сложнее.
Не секрет, что в домене Windows клиенты для разрешения имен используют сервера DNS сервера домена Active Directory, использование же сторонних DNS серверов (тем более внешних) вызовет множество проблем сетевых проблем: со входом в доменом, поиском контроллеров домена, серверов и клиентов, выполнением групповых политик и т.д. Это означает, что DNS сервера OpenDNS нельзя выставлять непосредственно на клиентах. Оптимальным решением в этом случае была бы настройка пересылки DNS запросов серверам имен OpenDNS на серверах DNS Windows (обычно это контролеры домена Active Directory).
В данном примере, мы покажем, как настроить пересылку DNS запросов на примере DNS сервера с ОС Windows Server 2012.
Настройка пересылка DNS запросов на DNS сервере Windows Server 2012
Откройте панель управления DNS Manager (находится в разделе Administrative Tools). В DNS консоли выберите свой DNS сервер и откройте раздел Forwarders
Перейдите на вкладку Forwarders (Пересылка) и нажмите кнопку Edit.
В открывшееся окне необходимо указать ip адреса 2 публичных DNS серверов сервиса OpenDNS:
- 208.67.222.222 (resolver1.opendns.com)
- 208.67.220.220 (resolver2.opendns.com)
Ваш DNS сервер проверит доступность данных серверов и протестирует их работоспособность. Сохраните изменения.
Удостоверьтесь, что флажок Use root hints if no forwarders are available снят. Если этого не сделать, ваш DNS сервер в некоторых случаях за разрешением DNS запросов будет отправлять запросы корневым DNS сервера Интернета, а сервера OpenDNS в этом случае могут не опрашиваться. Т.е. если служба OpenDNS используется для фильтрации, это может быть неприемлемо (фильтр ведь должен срабатывать во всех случаях!).
Сохраните настройки пересылки, нажав ОК.
Чтобы сразу же воспользоваться возможностями OpenDNS, необходимо сбросить DNS кэш на вашем DNS сервере. Для этого в меню View включите опцию Advanced, в результате чего в консоли управления DNS появится дополнительный раздел Cached Lookups. Щелкните правой кнопкой по новому разделу и выберите пункт Clear Cache.
Осталось очистить DNS кэш на клиентах (либо дождаться, пока записи в локальном DNS кэше просочатся). Сделать этом можно с помощью команды:
ipconfig.exe /flushdns