Articles

Hoe voorkomen dat gebruikers OpenDNS omzeilen met firewallregels

On januari 2, 2022 by

Overzicht

Dit artikel geeft een breed overzicht van stappen die men kan nemen om het omzeilen van OpenDNS-diensten door gebruikers op uw netwerk te voorkomen.

Uitleg

Vaardige internetgebruikers kunnen proberen OpenDNS-services te omzeilen als uw netwerkbeveiligingsconfiguratie hen toestaat het lokale DNS IP-serveradres te wijzigen in iets anders dan de adressen van onze openbare servers. Dit zou uw beveiligingsbeleid nutteloos maken en kan uw netwerk kwetsbaar maken. Het is echter mogelijk om deze andere DNS-diensten via uw netwerkfirewall niet toe te staan tot het internet, waardoor deze gebruikers de beveiliging niet kunnen omzeilen.

Algemene instructies

De meeste routers en firewalls staan u toe al het DNS-verkeer via poort 53 te forceren, waardoor iedereen op het netwerk de DNS-instellingen moet gebruiken die op de router/firewall zijn gedefinieerd (in dit geval OpenDNS). Het verdient de voorkeur om alle DNS verzoeken door te sturen naar de hieronder vermelde OpenDNS IP’s. Op deze manier stuurt u eenvoudig de DNS verzoeken van gebruikers door zonder dat ze het weten, in plaats van de mogelijkheid te hebben dat iemand handmatig DNS configureert en dat het niet werkt.

In essentie wil je een firewall regel maken om alleen DNS (TCP/UDP) naar OpenDNS’ servers toe te staan en al het andere DNS verkeer naar andere IP’s te beperken. Idealiter zou deze filter of regel toegevoegd worden aan de firewall die zich aan de verste rand van uw netwerk bevindt. In eenvoudige lekentaal zou dit ongeveer als volgt worden gedefinieerd:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
De eerste regel overtroeft de tweede regel. Eenvoudig gezegd, alle verzoeken aan OpenDNS zullen toegelaten worden en alle verzoeken aan een ander IP zullen geblokkeerd worden.

  • Afhankelijk van de configuratie-interface van uw firewall, kan het nodig zijn om voor elk van deze protocollen een aparte regel te configureren, of één regel die ze beide bestrijkt.
  • De regel kan zowel op de firewall als op de router worden toegepast, maar wordt normaal gesproken het best geplaatst op het apparaat dat het meest aan de rand van het netwerk staat. Een soortgelijke regel kan ook worden toegepast op software firewalls die op een werkstation zijn geïnstalleerd, zoals de ingebouwde firewall op Windows of Mac OS/X.

In individuele configuraties is OpenDNS helaas niet in staat om te helpen bij het ondersteunen, aangezien elke firewall of router een unieke configuratie-interface heeft en deze sterk variëren. Als u niet zeker bent, moet u de documentatie van uw router of firewall bekijken of contact opnemen met de fabrikant om te zien of dit mogelijk is met uw apparaat.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.