Articles

Come impedire agli utenti di aggirare OpenDNS usando le regole del firewall

Il Gennaio 2, 2022 da

Panoramica

Questo articolo fornisce un’ampia panoramica dei passi che si possono fare per prevenire l’aggiramento dei servizi OpenDNS da parte degli utenti sulla tua rete.

Spiegazione

Gli utenti internet più esperti potrebbero cercare di aggirare i servizi OpenDNS se la vostra configurazione di sicurezza della rete permette loro di cambiare l’indirizzo del server IP DNS locale in qualcosa di diverso dagli indirizzi dei nostri server pubblici. Questo renderebbe inutili le vostre politiche di sicurezza e potrebbe lasciare la vostra rete vulnerabile. Tuttavia, è possibile non permettere questi altri servizi DNS attraverso il vostro firewall di rete verso Internet, il che impedirà a questi utenti di aggirare la protezione.

Istruzioni generali

La maggior parte dei router e firewall vi permetterà di forzare tutto il traffico DNS sulla porta 53, richiedendo così a tutti sulla rete di usare le impostazioni DNS definite sul router/firewall (in questo caso, OpenDNS). La raccomandazione preferita è quella di inoltrare tutte le richieste DNS per andare agli IP openDNS elencati di seguito. In questo modo, si inoltrano semplicemente le richieste DNS degli utenti senza che lo sappiano, invece di avere la possibilità che qualcuno configuri manualmente il DNS e che non funzioni.

In sostanza, vorrete creare una regola del firewall per consentire solo i DNS (TCP/UDP) ai server OpenDNS e limitare tutto il traffico DNS a qualsiasi altro IP. Idealmente questo filtro o regola dovrebbe essere aggiunto al firewall che si trova al bordo più lontano della vostra rete. In parole povere, questo sarebbe definito come segue:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
La prima regola batte la seconda. In parole povere, qualsiasi richiesta a OpenDNS sarà consentita e qualsiasi richiesta a qualsiasi altro IP sarà bloccata.

  • A seconda dell’interfaccia di configurazione del firewall, potrebbe essere necessario configurare una regola separata per ciascuno di questi protocolli o una regola che li copre entrambi.
  • La regola può essere applicata sia sul firewall che sul router, ma normalmente è meglio posizionata sul dispositivo più al limite della rete. Una regola simile potrebbe essere applicata anche ai firewall software installati su una workstation, come il firewall integrato in Windows o Mac OS/X.

Purtroppo, le configurazioni individuali non sono qualcosa che OpenDNS è in grado di supportare, poiché ogni firewall o router ha un’interfaccia di configurazione unica e queste variano notevolmente. Se non siete sicuri, dovreste controllare la documentazione del vostro router o firewall o contattare il produttore per vedere se questo è possibile con il vostro dispositivo.

Se non siete sicuri, dovreste controllare la documentazione del vostro router o firewall o contattare il produttore per vedere se questo è possibile con il vostro dispositivo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.