Articles

Wie man Benutzer daran hindert, OpenDNS mit Hilfe von Firewall-Regeln zu umgehen

On Januar 2, 2022 by

Überblick

Dieser Artikel gibt einen allgemeinen Überblick über Schritte, die man unternehmen kann, um die Umgehung von OpenDNS-Diensten durch Benutzer in Ihrem Netzwerk zu verhindern.

Erläuterung

Geschickte Internet-Benutzer können versuchen, OpenDNS-Dienste zu umgehen, wenn Ihre Netzwerksicherheitskonfiguration es ihnen erlaubt, die lokale DNS-IP-Serveradresse auf etwas anderes als die Adressen unserer öffentlichen Server zu ändern. Dies würde Ihre Sicherheitsrichtlinien unbrauchbar machen und könnte Ihr Netzwerk angreifbar machen. Es ist jedoch möglich, diesen anderen DNS-Diensten den Zugang zum Internet über Ihre Netzwerk-Firewall zu verwehren, wodurch diese Benutzer den Schutz nicht umgehen können.

Allgemeine Anweisungen

Die meisten Router und Firewalls erlauben es, den gesamten DNS-Verkehr über Port 53 zu leiten, so dass jeder im Netzwerk die auf dem Router/der Firewall definierten DNS-Einstellungen verwenden muss (in diesem Fall OpenDNS). Die bevorzugte Empfehlung ist, alle DNS-Anfragen an die unten aufgeführten openDNS-IPs weiterzuleiten. Auf diese Weise leiten Sie die DNS-Anfragen der Benutzer einfach weiter, ohne dass diese etwas davon wissen, anstatt die Möglichkeit zu haben, dass jemand DNS manuell konfiguriert und es nicht funktioniert.

Im Wesentlichen müssen Sie eine Firewall-Regel erstellen, die nur DNS (TCP/UDP) zu OpenDNS-Servern zulässt und allen anderen DNS-Verkehr auf andere IPs beschränkt. Idealerweise wird dieser Filter oder diese Regel zu der Firewall hinzugefügt, die sich am äußersten Rand Ihres Netzwerks befindet. In einfachen Worten würde dies wie folgt definiert werden:
ERLAUBE TCP/UDP IN/OUT zu 208.67.222.222 oder 208.67.220.220 auf Port 53

und

BLOCK TCP/UDP IN/OUT alle IP-Adressen auf Port 53
Die erste Regel übertrumpft die zweite Regel. Einfach ausgedrückt: Alle Anfragen an OpenDNS werden zugelassen und alle Anfragen an andere IP-Adressen werden blockiert.

  • Abhängig von Ihrer Firewall-Konfigurationsschnittstelle müssen Sie möglicherweise eine separate Regel für jedes dieser Protokolle oder eine Regel, die beide abdeckt, konfigurieren.
  • Die Regel kann entweder auf der Firewall oder dem Router angewendet werden, aber normalerweise ist es am besten, sie auf dem Gerät zu platzieren, das sich am meisten am Netzwerkrand befindet. Eine ähnliche Regel kann auch auf Software-Firewalls angewandt werden, die auf einer Workstation installiert sind, wie z.B. die eingebaute Firewall in Windows oder Mac OS/X.

Leider ist OpenDNS nicht in der Lage, individuelle Konfigurationen zu unterstützen, da jede Firewall oder jeder Router eine eigene Konfigurationsschnittstelle hat und diese sehr unterschiedlich sind. Wenn Sie unsicher sind, sollten Sie in der Dokumentation Ihres Routers oder Ihrer Firewall nachsehen oder den Hersteller kontaktieren, um zu erfahren, ob dies mit Ihrem Gerät möglich ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.