Articles

Hogyan lehet megakadályozni, hogy a felhasználók tűzfalszabályok segítségével megkerüljék az OpenDNS-t

On január 2, 2022 by

Áttekintés

Ez a cikk átfogó áttekintést nyújt azokról a lépésekről, amelyekkel megakadályozható, hogy a felhasználók megkerüljék az OpenDNS szolgáltatásait a hálózaton.

Magyarázat

A hozzáértő internetfelhasználók megpróbálhatják megkerülni az OpenDNS-szolgáltatásokat, ha a hálózat biztonsági konfigurációja lehetővé teszi számukra, hogy a helyi DNS IP-kiszolgáló címét a nyilvános kiszolgálóink címétől eltérőre módosítsák. Ez használhatatlanná tenné a biztonsági irányelveket, és sebezhetővé teheti a hálózatot. Lehetőség van azonban arra, hogy ne engedje át ezeket az egyéb DNS-szolgáltatásokat a hálózati tűzfalon keresztül az internetre, ami megakadályozza, hogy ezek a felhasználók megkerüljék a védelmet.

Általános utasítások

A legtöbb útválasztó és tűzfal lehetővé teszi, hogy minden DNS-forgalmat az 53-as porton keresztül kényszerítsen, így a hálózaton mindenki köteles a routeren/tűzfalon meghatározott DNS-beállításokat (ebben az esetben az OpenDNS-t) használni. Az előnyben részesített ajánlás az összes DNS-kérés továbbítása az alább felsorolt openDNS IP-címekre. Így egyszerűen továbbítja a felhasználók DNS-kéréseit anélkül, hogy tudnának róla, ahelyett, hogy valaki manuálisan konfigurálná a DNS-t, és az nem működne.

Lényegében egy olyan tűzfalszabályt kell létrehoznia, amely csak a DNS-t (TCP/UDP) engedi az OpenDNS szerverekre, és minden más DNS-forgalmat korlátozza bármely más IP-címre. Ideális esetben ezt a szűrőt vagy szabályt a hálózat legtávolabbi szélén lévő tűzfalhoz kell hozzáadni. Egyszerű, laikus nyelven ez az alábbi módon lenne definiálva:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
Az első szabály felülírja a második szabályt. Egyszerűen fogalmazva, az OpenDNS-hez érkező kérések engedélyezettek lesznek, és minden más IP-hez érkező kérés blokkolva lesz.

  • A tűzfal konfigurációs felületétől függően előfordulhat, hogy mindegyik protokollra külön szabályt kell beállítania, vagy egy szabályt, amely mindkettőre kiterjed.
  • A szabály alkalmazható akár a tűzfalon, akár az útválasztón, de általában a legjobb a hálózat szélén lévő eszközön elhelyezni. Hasonló szabály alkalmazható a munkaállomásra telepített szoftveres tűzfalakra is, például a Windows vagy a Mac OS/X beépített tűzfalára.

Az egyedi konfigurációkat az OpenDNS sajnos nem tudja támogatni, mivel minden tűzfal vagy router egyedi konfigurációs felülettel rendelkezik, és ezek nagyon eltérőek. Ha bizonytalan, nézze meg az útválasztó vagy tűzfal dokumentációját, vagy lépjen kapcsolatba a gyártóval, hogy megtudja, lehetséges-e ez az Ön eszközével.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.