Articles

Jak zabránit uživatelům v obcházení služby OpenDNS pomocí pravidel brány firewall

On 2 ledna, 2022 by

Přehled

Tento článek poskytuje široký přehled kroků, které lze podniknout, abyste zabránili obcházení služeb OpenDNS uživateli ve vaší síti.

Vysvětlení

Ochotní uživatelé internetu se mohou pokusit obejít služby OpenDNS, pokud jim konfigurace zabezpečení vaší sítě umožní změnit adresu místního serveru IP DNS na jinou než na adresy našich veřejných serverů. Tím by se zásady zabezpečení staly nepoužitelnými a vaše síť by mohla být zranitelná. Je však možné tyto jiné služby DNS přes síťovou bránu firewall do internetu nepovolit, což těmto uživatelům zabrání ochranu obejít.

Obecné pokyny

Většina směrovačů a firewallů umožňuje vynutit veškerý provoz DNS přes port 53, čímž vyžaduje, aby všichni v síti používali nastavení DNS definované na směrovači/firewallu (v tomto případě OpenDNS). Preferovaným doporučením je přesměrovat všechny požadavky DNS na níže uvedené IP adresy služby OpenDNS. Tímto způsobem jednoduše přesměrujete požadavky DNS uživatelů, aniž by o tom věděli, namísto možnosti, že někdo ručně nakonfiguruje DNS a nebude to fungovat.

V podstatě budete chtít vytvořit pravidlo brány firewall, které povolí pouze DNS (TCP/UDP) na servery OpenDNS a omezí veškerý ostatní provoz DNS na jakékoli jiné IP adresy. V ideálním případě by tento filtr nebo pravidlo mělo být přidáno do brány firewall, která je na nejvzdálenějším okraji vaší sítě. Zjednodušeně laicky řečeno by bylo definováno podobně jako níže:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
První pravidlo má přednost před druhým pravidlem. Jednoduše řečeno, všechny požadavky na OpenDNS budou povoleny a všechny požadavky na jakoukoli jinou IP adresu budou blokovány.

  • V závislosti na konfiguračním rozhraní brány firewall může být nutné nakonfigurovat samostatné pravidlo pro každý z těchto protokolů nebo jedno pravidlo, které pokrývá oba.
  • Pravidlo lze použít buď na bráně firewall, nebo na směrovači, ale obvykle je nejlepší umístit ho na zařízení, které je nejvíce na okraji sítě. Podobné pravidlo lze aplikovat i na softwarové brány firewall nainstalované na pracovní stanici, například na integrovanou bránu firewall v systému Windows nebo Mac OS/X.

S podporou individuálních konfigurací bohužel služba OpenDNS nemůže pomoci, protože každá brána firewall nebo směrovač má jedinečné konfigurační rozhraní a ta se značně liší. Pokud si nejste jisti, měli byste se podívat do dokumentace ke svému směrovači nebo bráně firewall nebo se obrátit na výrobce a zjistit, zda je to u vašeho zařízení možné.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.