Articles

Como evitar que usuários contornem o OpenDNS usando regras de firewall

On Janeiro 2, 2022 by

Visão Geral

Este artigo fornece uma visão geral dos passos que se pode tomar para evitar que usuários contornem os serviços do OpenDNS na sua rede.

Explicação

Os usuários de Internet experientes podem tentar contornar os serviços OpenDNS se a configuração de segurança da sua rede permitir que eles alterem o endereço do servidor IP DNS local para algo diferente dos endereços dos nossos servidores públicos. Isso tornaria suas políticas de segurança inúteis e poderia deixar sua rede vulnerável. No entanto, é possível não permitir esses outros serviços DNS através do firewall da sua rede para a Internet, o que evitará que esses usuários contornem a proteção.

Instruções Gerais

Mais roteadores e firewalls permitirão que você force todo o tráfego DNS sobre a porta 53, exigindo assim que todos na rede utilizem as configurações de DNS definidas no roteador/firewall (neste caso, OpenDNS). A recomendação preferida é encaminhar todos os pedidos DNS para os IP’s do openDNS listados abaixo. Desta forma, você simplesmente encaminha os pedidos DNS dos usuários sem que eles saibam, ao invés de ter a possibilidade de alguém configurar manualmente o DNS e não funcionar.

Essencialmente, você vai querer criar uma regra de firewall para permitir apenas DNS (TCP/UDP) para os servidores do OpenDNS e restringir todo o outro tráfego DNS para quaisquer outros IPs. O ideal seria que esse filtro ou regra fosse adicionado ao firewall que está na borda mais distante da sua rede. No termo simples de leigos, isto seria definido de forma similar ao abaixo:
ALLOW TCP/UDP IN/OUT para 208.67.222.222 ou 208.67.220.220 na Porta 53

e

BLOCK TCP/UDP IN/OUT todos os endereços IP na Porta 53
A primeira regra ultrapassa a segunda regra. Simplificando, quaisquer pedidos para OpenDNS serão permitidos e quaisquer pedidos para qualquer outro IP serão bloqueados.

  • Dependente da interface de configuração do seu firewall, você pode precisar configurar uma regra separada para cada um desses protocolos ou uma regra que cubra ambos.
  • A regra pode ser aplicada tanto no firewall quanto no roteador, mas normalmente é melhor colocada no dispositivo mais na borda da rede. Uma regra similar poderia ser aplicada a firewalls de software instalados em uma estação de trabalho também, como o firewall embutido no Windows ou Mac OS/X.

Felizmente, configurações individuais não são algo que o OpenDNS é capaz de ajudar no suporte, já que cada firewall ou roteador tem uma interface de configuração única e estas variam muito. Se você tiver dúvidas, você deve verificar a documentação do seu roteador ou firewall ou entrar em contato com o fabricante para ver se isso é possível com seu dispositivo.

Deixe uma resposta

O seu endereço de email não será publicado.