Articles

Miten estää käyttäjiä kiertämästä OpenDNS:ää palomuurisääntöjen avulla

On 2 tammikuun, 2022 by

Yleiskatsaus

Tämässä artikkelissa annetaan laaja yleiskatsaus vaiheisiin, joita voi toteuttaa estääkseen verkossasi olevia käyttäjiä kiertämästä OpenDNS-palveluja.

Selitys

Tietävät Internet-käyttäjät voivat yrittää kiertää OpenDNS-palvelut, jos verkon tietoturvamääritykset sallivat heidän muuttaa paikallisen DNS-IP-palvelimen osoitteen joksikin muuksi kuin julkisten palvelintemme osoitteiksi. Tämä tekisi tietoturvakäytännöistäsi hyödyttömiä ja saattaisi jättää verkkosi haavoittuvaksi. On kuitenkin mahdollista olla päästämättä näitä muita DNS-palveluja verkon palomuurin kautta Internetiin, mikä estää näitä käyttäjiä kiertämästä suojausta.

Yleiset ohjeet

Useimmat reitittimet ja palomuurit sallivat kaiken DNS-liikenteen pakottamisen portin 53 kautta, jolloin kaikkien verkossa olevien on käytettävä reitittimessä/palomuurissa määriteltyjä DNS-asetuksia (tässä tapauksessa OpenDNS). Suositeltavin suositus on ohjata kaikki DNS-pyynnöt alla lueteltuihin openDNS:n IP-osoitteisiin. Näin voit yksinkertaisesti ohjata käyttäjien DNS-pyynnöt eteenpäin heidän tietämättään sen sijaan, että joku määrittäisi DNS:n manuaalisesti ja se ei toimisi.

Välttämättä haluat luoda palomuurisäännön, joka sallii vain DNS:n (TCP/UDP) OpenDNS:n palvelimille ja rajoittaa kaiken muun DNS-liikenteen muille IP-osoitteille. Ihannetapauksessa tämä suodatin tai sääntö lisätään palomuuriin, joka on verkon kaukaisimmassa reunassa. Yksinkertaisesti maallikon kielellä tämä määriteltäisiin samalla tavalla kuin alla:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
Ensimmäinen sääntö ohittaa toisen säännön. Yksinkertaisesti sanottuna kaikki OpenDNS:ään kohdistuvat pyynnöt sallitaan ja kaikki muihin IP-osoitteisiin kohdistuvat pyynnöt estetään.

  • Palomuurin konfigurointirajapinnasta riippuen saatat joutua määrittämään erillisen säännön kummallekin protokollalle tai yhden säännön, joka kattaa molemmat.
  • Sääntöä voidaan soveltaa joko palomuurissa tai reitittimessä, mutta tavallisesti se on parasta sijoittaa laitteeseen, joka on eniten verkon reunalla. Samanlaista sääntöä voidaan soveltaa myös työasemaan asennettuihin ohjelmistopalomuureihin, kuten Windowsin tai Mac OS/X:n sisäänrakennettuun palomuuriin.

OpenDNS ei valitettavasti pysty tukemaan yksilöllisiä konfiguraatioita, koska jokaisella palomuurilla tai reitittimellä on yksilöllinen konfiguraatiorajapinta ja nämä vaihtelevat suuresti. Jos olet epävarma, tarkista reitittimesi tai palomuurisi dokumentaatiosta tai ota yhteyttä valmistajaan selvittääksesi, onko tämä mahdollista laitteessasi.

Vastaa

Sähköpostiosoitettasi ei julkaista.