Articles

Comment empêcher les utilisateurs de contourner l’OpenDNS à l’aide de règles de pare-feu

On janvier 2, 2022 by

Aperçu

Cet article donne un aperçu général des mesures que l’on peut prendre pour empêcher le contournement des services OpenDNS par les utilisateurs de votre réseau.

Explication

Des internautes avisés peuvent essayer de contourner les services OpenDNS si la configuration de la sécurité de votre réseau leur permet de changer l’adresse du serveur IP DNS local par autre chose que les adresses de nos serveurs publics. Cela rendrait vos politiques de sécurité inutiles et pourrait rendre votre réseau vulnérable. Cependant, il est possible de ne pas autoriser ces autres services DNS à travers le pare-feu de votre réseau vers Internet, ce qui empêchera ces utilisateurs de contourner la protection.

Instructions générales

La plupart des routeurs et des pare-feu vous permettront de forcer tout le trafic DNS sur le port 53, obligeant ainsi tout le monde sur le réseau à utiliser les paramètres DNS définis sur le routeur/pare-feu (dans ce cas, OpenDNS). La meilleure recommandation est de transférer toutes les requêtes DNS vers les adresses IP d’OpenDNS indiquées ci-dessous. De cette façon, vous transférez simplement les demandes DNS des utilisateurs sans qu’ils le sachent, au lieu d’avoir la possibilité que quelqu’un configure manuellement le DNS et que cela ne fonctionne pas.

Essentiellement, vous voudrez créer une règle de pare-feu pour autoriser uniquement le DNS (TCP/UDP) vers les serveurs d’OpenDNS et restreindre tout autre trafic DNS à toute autre IP. Idéalement, ce filtre ou cette règle devrait être ajouté(e) au pare-feu le plus éloigné de votre réseau. En termes simples, cela serait défini de la manière suivante :
ALOUTER TCP/UDP IN/OUT à 208.67.222.222 ou 208.67.220.220 sur le port 53

et

BLOQUER TCP/UDP IN/OUT toutes les adresses IP sur le port 53
La première règle l’emporte sur la seconde. Pour faire simple, toute requête vers OpenDNS sera autorisée et toute requête vers une autre IP sera bloquée.

  • Selon l’interface de configuration de votre pare-feu, vous devrez peut-être configurer une règle distincte pour chacun de ces protocoles ou une seule règle qui les couvre tous les deux.
  • La règle peut être appliquée sur le pare-feu ou le routeur, mais il est normalement préférable de la placer sur le dispositif le plus à la périphérie du réseau. Une règle similaire pourrait également être appliquée aux pare-feu logiciels installés sur un poste de travail, comme le pare-feu intégré de Windows ou Mac OS/X.

Malheureusement, les configurations individuelles ne sont pas quelque chose qu’OpenDNS est en mesure d’aider à supporter, car chaque pare-feu ou routeur a une interface de configuration unique et celles-ci varient grandement. Si vous n’êtes pas sûr, vous devez vérifier la documentation de votre routeur ou de votre pare-feu ou contacter le fabricant pour voir si cela est possible avec votre appareil.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.