Articles

Cum să împiedicați utilizatorii să ocolească OpenDNS folosind reguli de firewall

On ianuarie 2, 2022 by

Prezentare generală

Acest articol oferă o prezentare generală a pașilor pe care îi puteți face pentru a împiedica ocolirea serviciilor OpenDNS de către utilizatorii din rețeaua dumneavoastră.

Explicație

Utilizatorii de internet pricepuți pot încerca să ocolească serviciile OpenDNS dacă configurația de securitate a rețelei dumneavoastră le permite să schimbe adresa serverului IP DNS local cu altceva decât adresele serverelor noastre publice. Acest lucru ar face ca politicile dvs. de securitate să devină inutile și vă poate lăsa rețeaua vulnerabilă. Cu toate acestea, este posibil să nu permiteți acestor alte servicii DNS să treacă prin firewall-ul rețelei dvs. către internet, ceea ce va împiedica acești utilizatori să ocolească protecția.

Instrucțiuni generale

Majoritatea routerelor și firewall-urilor vă vor permite să forțați tot traficul DNS prin portul 53, cerând astfel ca toată lumea din rețea să utilizeze setările DNS definite pe router/firewall (în acest caz, OpenDNS). Recomandarea preferată este de a redirecționa toate cererile DNS către IP-urile OpenDNS enumerate mai jos. În acest fel, veți redirecționa pur și simplu solicitările DNS ale utilizatorilor fără ca aceștia să știe, în loc să existe posibilitatea ca cineva să configureze manual DNS și să nu funcționeze.

În esență, veți dori să creați o regulă de firewall pentru a permite doar DNS (TCP/UDP) către serverele OpenDNS și să restricționați tot restul traficului DNS către orice alte IP-uri. Ideal ar fi ca acest filtru sau regulă să fie adăugat la firewall-ul care se află la marginea cea mai îndepărtată a rețelei dumneavoastră. În termeni simpli, aceasta ar fi definită în mod similar ca mai jos:
PERMITE TCP/UDP IN/OUT către 208.67.222.222 sau 208.67.220.220 pe portul 53

și

BLOCHEAZĂ TCP/UDP IN/OUT toate adresele IP pe portul 53
Prima regulă o depășește pe cea de-a doua. Pur și simplu, orice solicitare către OpenDNS va fi permisă și orice solicitare către orice alt IP va fi blocată.

  • În funcție de interfața de configurare a firewall-ului, poate fi necesar să configurați o regulă separată pentru fiecare dintre aceste protocoale sau o singură regulă care să le acopere pe amândouă.
  • Regula poate fi aplicată fie pe firewall, fie pe router, dar în mod normal este mai bine să fie plasată pe dispozitivul cel mai la marginea rețelei. O regulă similară ar putea fi aplicată și firewall-urilor software instalate pe o stație de lucru, cum ar fi firewall-ul încorporat în Windows sau Mac OS/X.

Din păcate, configurațiile individuale nu sunt un lucru la care OpenDNS poate oferi asistență, deoarece fiecare firewall sau router are o interfață de configurare unică și acestea variază foarte mult. Dacă nu sunteți sigur, ar trebui să verificați documentația routerului sau a firewall-ului dumneavoastră sau să contactați producătorul pentru a vedea dacă acest lucru este posibil cu dispozitivul dumneavoastră.

Lasă un răspuns

Adresa ta de email nu va fi publicată.