Articles

How to prevent users from circumventing OpenDNS using firewall rules

On 1月 2, 2022 by

Overview

この記事は、ネットワーク上のユーザーによるOpenDNSサービスの回避を防ぐためにできる手順の概要を説明します。

Explanation

ネットワーク セキュリティ設定により、ローカル DNS IP サーバー アドレスを当社の公開サーバーのアドレス以外のものに変更できる場合、賢明なインターネット ユーザーは OpenDNS サービスを回避しようとする可能性があります。 これは、セキュリティ ポリシーを無意味にし、ネットワークの脆弱性を残す可能性があります。 ただし、これらの他のDNSサービスをネットワーク・ファイアウォールを介してインターネットに接続できないようにすることは可能であり、これにより、これらのユーザーが保護を回避するのを防ぐことができます。

一般的な説明

ほとんどのルーターとファイアウォールでは、すべての DNS トラフィックをポート 53 で強制的に処理できるため、ネットワーク上のすべてのユーザーがルーター/ファイアウォールで定義された DNS 設定 (この場合、OpenDNS) を使用しなければなりません。 推奨される方法は、すべてのDNSリクエストを以下に示すopenDNSのIPに転送することです。 この方法では、誰かが手動でDNSを設定し、それが動作しない可能性がある代わりに、ユーザーに知られずにユーザーのDNSリクエストを転送するだけです。

基本的には、OpenDNS のサーバーへの DNS (TCP/UDP) のみを許可し、他のすべての DNS トラフィックを他の IP に制限するファイアウォール ルールを作成したいと思うことでしょう。 理想的には、このフィルターやルールは、ネットワークの最も端にあるファイアウォールに追加されます。 平たく言えば、これは以下のように定義されます。
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
最初の規則は、次の規則に取って代わられるでしょう。 簡単に言うと、OpenDNSへのリクエストはすべて許可され、他のIPへのリクエストはすべてブロックされます。

  • ファイアウォール構成インタフェースによっては、これらのプロトコルそれぞれに個別のルールを設定するか、または両方をカバーする 1 つのルールを設定する必要があります。

残念ながら、個々の設定は、OpenDNSがサポートできるものではありません。各ファイアウォールやルーターは、独自の設定インターフェースを持っており、これらは大きく異なるからです。 不明な場合は、ルータまたはファイアウォールのドキュメントを確認するか、メーカーに連絡して、お使いのデバイスで可能かどうかを確認してください。

コメントを残す

メールアドレスが公開されることはありません。