Articles

Hur du förhindrar användare från att kringgå OpenDNS med hjälp av brandväggsregler

On januari 2, 2022 by

Översikt

Den här artikeln ger en bred översikt över de åtgärder som du kan vidta för att förhindra att användare i ditt nätverk kringgår OpenDNS-tjänster.

Förklaring

Smarta internetanvändare kan försöka kringgå OpenDNS-tjänsterna om nätverkets säkerhetskonfiguration gör det möjligt för dem att ändra den lokala DNS IP-serveradressen till något annat än adresserna för våra offentliga servrar. Detta skulle göra dina säkerhetsprinciper värdelösa och kan göra ditt nätverk sårbart. Det är dock möjligt att inte tillåta dessa andra DNS-tjänster genom din nätverksbrandvägg till Internet, vilket hindrar dessa användare från att kringgå skyddet.

Allmänna anvisningar

De flesta routrar och brandväggar gör det möjligt att tvinga all DNS-trafik över port 53, vilket innebär att alla i nätverket måste använda de DNS-inställningar som definierats på routern/brandväggen (i det här fallet OpenDNS). Den bästa rekommendationen är att vidarebefordra alla DNS-förfrågningar till de OpenDNS IP:er som anges nedan. På så sätt vidarebefordrar du helt enkelt användarnas DNS-förfrågningar utan att de vet om det, i stället för att ha möjligheten att någon manuellt konfigurerar DNS och att det inte fungerar.

I huvudsak vill du skapa en brandväggsregel som endast tillåter DNS (TCP/UDP) till OpenDNS-servrarna och som begränsar all annan DNS-trafik till alla andra IP-adresser. Helst skulle det här filtret eller den här regeln läggas till i den brandvägg som ligger längst bort i nätverket. I enkla lekmannatermer skulle detta definieras på följande sätt:
ALLOW TCP/UDP IN/OUT to 208.67.222.222 or 208.67.220.220 on Port 53

and

BLOCK TCP/UDP IN/OUT all IP addresses on Port 53
Den första regeln är överordnad den andra. Enkelt uttryckt tillåts alla förfrågningar till OpenDNS och alla förfrågningar till andra IP-adresser blockeras.

  • Beroende på din brandväggs konfigurationsgränssnitt kan du behöva konfigurera en separat regel för vart och ett av dessa protokoll eller en regel som täcker dem båda.
  • Regeln kan tillämpas på antingen brandväggen eller routern, men normalt sett är det bäst att placera den på den enhet som befinner sig närmast nätverksgränsen. En liknande regel kan också tillämpas på programvarubrandväggar som installeras på en arbetsstation, t.ex. den inbyggda brandväggen i Windows eller Mac OS/X.

Tyvärr är individuella konfigurationer inget som OpenDNS kan hjälpa till med, eftersom varje brandvägg eller router har ett unikt konfigurationsgränssnitt och dessa varierar kraftigt. Om du är osäker bör du kontrollera dokumentationen för din router eller brandvägg eller kontakta tillverkaren för att se om detta är möjligt med din enhet.

Lämna ett svar

Din e-postadress kommer inte publiceras.