Articles

Sådan forhindrer du brugere i at omgå OpenDNS ved hjælp af firewallregler

On januar 2, 2022 by

Oversigt

Denne artikel giver en bred oversigt over de skridt, du kan tage for at forhindre, at brugere på dit netværk omgår OpenDNS-tjenesterne.

Forklaring

Savvy internetbrugere kan forsøge at omgå OpenDNS-tjenesterne, hvis din netværkssikkerhedskonfiguration giver dem mulighed for at ændre den lokale DNS IP-serveradresse til noget andet end adresserne på vores offentlige servere. Dette vil gøre dine sikkerhedspolitikker ubrugelige og kan gøre dit netværk sårbart. Det er dog muligt ikke at tillade disse andre DNS-tjenester gennem din netværksfirewall til internettet, hvilket vil forhindre disse brugere i at omgå beskyttelsen.

Generelle anvisninger

De fleste routere og firewalls giver dig mulighed for at tvinge al DNS-trafik over port 53, hvilket betyder, at alle på netværket skal bruge de DNS-indstillinger, der er defineret på routeren/firewallen (i dette tilfælde OpenDNS). Den foretrukne anbefaling er at videresende alle DNS-anmodninger til at gå til de OpenDNS IP’er, der er anført nedenfor. På denne måde videresender du blot brugernes DNS-anmodninger, uden at de ved det, i stedet for at der er mulighed for, at nogen manuelt konfigurerer DNS, og at det ikke virker.

Væsentligt er, at du vil oprette en firewallregel, der kun tillader DNS (TCP/UDP) til OpenDNS’ servere og begrænser al anden DNS-trafik til andre IP’er. Ideelt set skal dette filter eller denne regel tilføjes til den firewall, der befinder sig længst væk fra dit netværk. I enkle lægmandstermer ville dette blive defineret på samme måde som nedenfor:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

og

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
Den første regel overtrumfer den anden regel. Kort sagt, alle anmodninger til OpenDNS vil blive tilladt, og alle anmodninger til andre IP-adresser vil blive blokeret.

  • Afhængigt af din firewallkonfigurationsgrænseflade skal du muligvis konfigurere en separat regel for hver af disse protokoller eller én regel, der dækker dem begge.
  • Reglen kan anvendes på enten firewallen eller routeren, men normalt er det bedst at placere den på den enhed, der er mest i netværkskanten. En lignende regel kan også anvendes på softwarefirewalls, der er installeret på en arbejdsstation, f.eks. den indbyggede firewall på Windows eller Mac OS/X.

Den individuelle konfiguration er desværre ikke noget, som OpenDNS kan hjælpe med at understøtte, da hver firewall eller router har en unik konfigurationsgrænseflade, og disse varierer meget. Hvis du er i tvivl, skal du se i dokumentationen til din router eller firewall eller kontakte producenten for at se, om dette er muligt med din enhed.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.