Фільтрація DNS в домені Windows на прикладі OpenDNS

Статтю присвячено питанням організації безпечної роботи користувачів в інтернеті за допомогою використання технології так званих "безпечних" DNS серверів. Зокрема сьогодні ми розглянемо особливості популярного хмарного DNS сервісу OpenDNS і можливості його використання в корпоративному середовищі на базі домену Windows.

OpenDNS - спеціальний хмарний сервіс, що надає всім бажаючим безкоштовну послугу DNS-серверів. Але не це головне. Основна "фішка" цього сервісу можливість організації на базі служби DNS ефективну системи захисту користувачів від шкідливого ПО, фішингових сайтів, ботнетів, обмеження доступ користувачів до різних категорій сайтів і багато іншого. Ще однією важливою перевагою OpenDNS є той факт, що його не потрібно розгортати і встановлювати на кожен з комп'ютерів домашньої / робочої мережі.

Примітка. Як вітчизняних аналогів OpenDNS порекомендуємо SkyDNS і Rejector. Дані сервіси мають високий (багато в чому схожим) функціоналом і більш дружні до російського користувачеві.

Принцип роботи сервісу OpenDNS і аналогів

Коротенько пояснимо, на чому заснований принцип фільтрації DNS запитів за допомогою OpenDNS і аналогічних сервісів.

При зверненні користувача за дозволом DNS-імені сайту (домена) до сервера OpenDNS, його запит пересилається найближчого до нього DNS сервера OpenDNS (ця можливість реалізується завдяки технології BGP Anycast). Сервер отримує запит користувача і перевіряє його за своєю внутрішньо базі сайтів, і якщо запитуваний сайт виявляється в категорії заборонених, фішингових або вірусних сайтів, то замість IP адреси шуканого сайту користувач отримує IP адресу сайту OpenDNS і замість "поганого" ресурсу від мене вимагається OpenDNS з попередженням , в якому вказана причина блокування даного домену. Якщо запитуваний домен не виявлено в "чорному" списку, сервер OpenDNS бере його IP адреса з власного кешу або запрошувати його та інших DNS серверів.

Основні функції OpenDNS

  • відкритий DNS сервер - природно, це його головна задача
  • Можливість фільтрація небажаного вмісту - можливість обмеження або заборони доступу до різних категорій сайтам. Фільтрація контенту здійснюється на підставі постійно актуалізується базою, що містить кілька мільйонів доменів, упорядкованих по 55 категоріям (гри, соціальні мережі, "18+", файлообмінники, кіно і т.д.). За допомогою OpenDNS можна захистити дитину від "недитячого" вмісту (обмеження доступу дітей до сайтів як засіб розширення технології батьківського контролю Windows), або обмежити співробітникам доступ до сайтів, що знижує продуктивність роботи.
  • Управління доступом до сайтів - крім фільтрації контенту за допомогою OpenDNS можна вести білі і чорні списки доменів, доступ до яких відповідно або завжди дозволений, або завжди заборонений
  • Захист від фішингу та шкідливих програм - OpenDNS використовує базу фішингових сайтів PhishTank .Примітка. Фішингові сайти - сайти-клони популярних сайтів, створені, щоб вичавити конфіденційну інформацію і паролі користувачів.

    Також сервіс забезпечує блокування серверів, до яких за отриманням керуючих команд звертаються комп'ютери, заражені вірусами.

  • Забезпечення доступності сайтів, навіть при недоступності їх авторитативні DNS серверів - сервіс OpenDNS завдяки технології кешування SmartCache може забезпечити доступ до сайтів, чиї авторитативні DNS-сервери в даний момент не працюють
  • Автоматична корекція помилок при наборі доменного імені дозволяє автоматично виправляти помилки при введенні доменних імен в частині домену верзнего рівня (.net, .ru, .com і т.д.)
  • ведення статистики - сервіс збирає і веде статистику по запитаним доменів, заблокованим доменів, рейтингів доменів за популярністю і т.д.
  • Можливість створення власних сторінок і форм зворотного зв'язку - при використанні OpenDNS в корпоративної мережі адміністратор може створити власні інформаційні повідомлення для користувачів

Все розширені функції OpenDNS доступні після реєстрації і налаштовуються в зручному веб-інтерфейсі. Безкоштовні тільки базові можливості DNS-сервісу. В іншому, послуги платні.

Щоб Ваш домашній комп'ютер запрацював через OpenDNS, досить в настройках підключення до інтернету прописати адреси його DNS серверів (208.67.222.222 і 208.67.220.220). У корпоративне середовищі, все дещо складніше.

Не секрет, що в домені Windows клієнти для розпізнавання імен використовують сервера DNS сервера домена Active Directory, використання ж сторонніх DNS серверів (тим більше зовнішніх) викличе безліч проблем мережевих проблем: зі входом в доменом, пошуком контролерів домену, серверів і клієнтів, виконанням групових політик і т.д. Це означає, що DNS сервера OpenDNS не можна виставляти безпосередньо на клієнтах. Оптимальним рішенням у цьому випадку була б настройка пересилання DNS запитів серверів імен OpenDNS на серверах DNS Windows (зазвичай це контролери домену Active Directory).

В даному прикладі, ми покажемо, як налаштувати пересилання DNS запитів на прикладі DNS сервера з ОС Windows Server 2012.

Налаштування пересилання DNS запитів на DNS сервері Windows Server 2012

Відкрийте панель управління DNS Manager (Знаходиться в розділі Administrative Tools). У DNS консолі виберіть свій DNS сервер і відкрийте розділ Forwarders

Перейдіть на вкладку Forwarders (Пересилання) і натисніть кнопку Edit.

В відкрилося вікні необхідно вказати ip адреси 2 публічних DNS серверів сервісу OpenDNS:

  • 208.67.222.222 (resolver1.opendns.com)
  • 208.67.220.220 (resolver2.opendns.com)

Ваш DNS сервер перевірить доступність даних серверів і протестує їх працездатність. збережіть зміни.

Переконайтеся, що прапорець Use root hints if no forwarders are available знятий. Якщо цього не зробити, ваш DNS сервер в деяких випадках за дозволом DNS запитів буде відправляти запити кореневих DNS сервера Інтернету, а сервера OpenDNS в цьому випадку можуть не опрашиваться. Тобто якщо служба OpenDNS використовується для фільтрації, це може бути неприйнятним (фільтр адже повинен спрацьовувати у всіх випадках!).

Примітка. Використання OpenDNS в якості основного DNS сервера буде накладати додаткову затримку на час очікування DNS відповіді клієнтом. Справа в тому, що, не дивлячись на те, що функціонал OpenDNS забезпечується на базі 12 географічно розподілених дата центрів, а завдяки технології маршрутизації Anycast, на DNS запит користувача відповідає найближчий дата-центр, найближчі до Росії дата-центри знаходиться в Амстердамі і Франкфурті, тому час відповіді від цих DNS серверів може бути істотно більше, ніж час відповіді від DNS сервера провайдера. У деяких випадках така затримка може бути неприпустимою. У цьому випадку варто спробувати один з російських аналогів OpenDNS, що володіють власними дата-центрами в різних регіонах Росії, наприклад SkyDNS або Rejector.

Збережіть налаштування пересилання, натиснувши ОК.

Щоб відразу ж скористатися можливостями OpenDNS, необхідно скинути DNS кеш на вашому DNS сервері. Для цього в меню View включите опцію Advanced, в результаті чого в консолі управління DNS з'явиться додатковий розділ Cached Lookups. Клацніть правою кнопкою по новому розділу і виберіть пункт Clear Cache.

Порада. Зазначені зміни необхідно провести на всіх DNS серверах організації, що мають можливість звернення до зовнішніх DNS провайдерам.

Залишилося очистити DNS кеш на клієнтах (або дочекатися, поки записи в локальному DNS кеші просочаться). Зробити це можна за допомогою команди:

ipconfig.exe / flushdns