Articles

Jak uniemożliwić użytkownikom obchodzenie OpenDNS za pomocą reguł zapory sieciowej

On 2 stycznia, 2022 by

Przegląd

Ten artykuł zawiera szeroki przegląd kroków, które można podjąć, aby zapobiec obchodzeniu usług OpenDNS przez użytkowników w sieci.

Wyjaśnienie

Sprytni użytkownicy Internetu mogą próbować obejść usługi OpenDNS, jeśli konfiguracja zabezpieczeń sieci pozwala im zmienić adres lokalnego serwera IP DNS na inny niż adresy naszych serwerów publicznych. Może to spowodować, że polityka bezpieczeństwa stanie się bezużyteczna, a sieć będzie podatna na ataki. Możliwe jest jednak nie dopuszczenie tych innych usług DNS przez zaporę sieciową do Internetu, co uniemożliwi tym użytkownikom ominięcie zabezpieczeń.

Instrukcje ogólne

Większość routerów i zapór sieciowych pozwala na wymuszenie całego ruchu DNS na porcie 53, wymagając w ten sposób, aby wszyscy w sieci używali ustawień DNS zdefiniowanych na routerze/zaporze (w tym przypadku OpenDNS). Preferowanym rozwiązaniem jest przekierowanie wszystkich żądań DNS na adresy IP OpenDNS wymienione poniżej. W ten sposób po prostu przekierujesz żądania DNS użytkowników bez ich wiedzy, zamiast mieć możliwość, że ktoś ręcznie skonfiguruje DNS i to nie zadziała.

Podsumowując, będziesz chciał stworzyć regułę firewalla, która będzie zezwalała tylko na DNS (TCP/UDP) do serwerów OpenDNS i ograniczy cały pozostały ruch DNS do innych IP. Idealnie byłoby dodać ten filtr lub regułę do firewalla, który znajduje się na najdalszym krańcu sieci. W prostych słowach, byłoby to zdefiniowane podobnie jak poniżej:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
Pierwsza reguła jest ważniejsza od drugiej. Mówiąc prościej, każde żądanie do OpenDNS będzie dozwolone, a każde żądanie do jakiegokolwiek innego IP będzie blokowane.

  • Zależnie od konfiguracji interfejsu firewalla, może być konieczne skonfigurowanie oddzielnej reguły dla każdego z tych protokołów lub jednej reguły, która obejmuje oba protokoły.
  • Reguła może być zastosowana zarówno na firewallu jak i na routerze, ale zazwyczaj najlepiej jest umieścić ją na urządzeniu znajdującym się najbardziej na brzegu sieci. Podobną regułę można zastosować również do zapór programowych instalowanych na stacjach roboczych, takich jak wbudowana zapora w systemach Windows lub Mac OS/X.

Niestety, indywidualna konfiguracja nie jest czymś, w czym OpenDNS jest w stanie pomóc, ponieważ każda zapora lub router ma unikalny interfejs konfiguracyjny, a te różnią się znacznie. W przypadku wątpliwości, należy sprawdzić dokumentację routera lub firewalla lub skontaktować się z producentem, aby sprawdzić, czy jest to możliwe w przypadku danego urządzenia.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.