Filtriranje DNS v domeni Windows z uporabo OpenDNS

Članek je namenjen organizaciji varnega dela uporabnikov na internetu z uporabo tehnologije tako imenovanih "varnih" DNS strežnikov. Še posebej bomo danes razmislili o značilnostih priljubljene storitve DNS v oblaku Denar in možnosti njegove uporabe v podjetniškem okolju, ki temelji na Windows domeni.

OpenDNS je posebna storitev v oblaku, ki vsem nudi brezplačno storitev strežnikov DNS. A to ni glavno. Glavna "značilnost" te storitve je zmožnost organiziranja učinkovitega sistema za zaščito uporabnikov pred zlonamerno programsko opremo, lažnimi spletnimi mesti, botneti, omejevanje uporabniškega dostopa do različnih kategorij spletnih mest na podlagi storitve DNS. Druga pomembna prednost OpenDNS je dejstvo, da ga ni treba namestiti in namestiti v vsak računalnik v vašem domačem / delovnem omrežju..

Opomba. Kot domače analoge OpenDNS priporočamo Skydns in Zavržnik. Te storitve imajo visoko (v marsičem podobno) funkcionalnost in so ruskemu uporabniku prijaznejše.

Načelo delovanja storitve OpenDNS in analogi

Na kratko pojasnite, na čem temelji princip filtriranja poizvedb DNS z uporabo OpenDNS in podobnih storitev.

Ko se uporabnik prijavi za razrešitev imena DNS spletnega mesta (domene) na strežniku OpenDNS, se njegova zahteva posreduje na najbližji DNS strežnik OpenDNS (ta funkcija se izvaja zahvaljujoč tehnologiji BGP Anycast). Strežnik prejme prošnjo uporabnika in jo preveri glede na svojo notranjo bazo spletnih mest, in če je zahtevano spletno mesto v kategoriji spletnih mest s prepovedanimi, lažnimi phishing ali virusi, potem namesto IP naslova želenega spletnega mesta uporabnik prejme IP naslov spletnega mesta OpenDNS in namesto "slabega" vira se na strani OpenDNS prikaže opozorilo , ki navaja razlog za blokiranje te domene. Če zahtevane domene ne najdete na črnem seznamu, strežnik OpenDNS vzame svoj IP naslov iz lastnega predpomnilnika ali ga zahteva in druge strežnike DNS.

Ključne funkcije OpenDNS

  • Zunaj DNS strežnik - seveda je to njegova glavna naloga
  • Sposobnost filtriranja neprimerne vsebine - možnost omejitve ali prepovedi dostopa do različnih kategorij spletnih mest. Filtriranje vsebine poteka na podlagi nenehno posodobljene baze podatkov, ki vsebuje več milijonov domen, razporejenih v 55 kategorijah (igre, družabna omrežja, "18+", gostovanje datotek, filmi itd.). Z uporabo OpenDNS lahko zaščitite svojega otroka pred "otroško" vsebino (omejite otrokov dostop do spletnih mest kot sredstva za razširitev tehnologije za starševski nadzor Windows) ali omejite dostop zaposlenih do spletnih mest, ki zmanjšujejo produktivnost.
  • Nadzor dostopa do spletnega mesta - poleg filtriranja vsebine z uporabo OpenDNS lahko vzdržujete bele in črne sezname domen, dostop do katerih je vedno dovoljen ali vedno zavrnjen
  • Zaščita pred lažnim predstavljanjem in zlonamerno programsko opremo - OpenDNS uporablja bazo podatkov phishing phishTank .Opomba. Lažna predstavljanja so klonirana spletna mesta priljubljenih spletnih mest, namenjena pridobivanju zaupnih informacij in uporabniških gesel..

    Storitev omogoča tudi blokiranje strežnikov, ki so okuženi z virusi, okuženi s kontrolnimi ukazi..

  • Zagotavljanje dostopnosti spletnih mest, tudi če so verodostojna DNS strežniki - Storitev OpenDNS zahvaljujoč tehnologiji predpomnjenja SmartCache lahko zagotovi dostop do spletnih mest, katerih avtoritativni DNS strežniki trenutno ne delujejo
  • Samodejni popravek tipk, ko vtipkate ime domene omogoča samodejno popravljanje tipk na napake pri vnosu domenskih imen v del domene najvišje ravni (.net, .ru, .com itd.)
  • Statistika - storitev zbira in vzdržuje statistike o zahtevanih domenah, blokiranih domenah, ocenah domen po priljubljenosti itd..
  • Sposobnost ustvarjanja lastnih strani in obrazcev za povratne informacije - pri uporabi OpenDNS v podjetniškem omrežju lahko skrbnik ustvari lastna informativna sporočila za uporabnike

Vse napredne funkcije OpenDNS so na voljo po registraciji in so konfigurirane v priročnem spletnem vmesniku. Brezplačne so samo osnovne funkcije storitve DNS. V nasprotnem primeru so storitve plačane.

Če želite, da domači računalnik deluje prek OpenDNS, je dovolj, da v nastavitvah za povezavo z internetom določite naslove svojih strežnikov DNS (208.67.222.222 in 208.67.220.220) V podjetniškem okolju so stvari nekoliko bolj zapletene.

Ni skrivnost, da stranke v domeni Windows uporabljajo strežnike imen DNS strežnika domen Active Directory, medtem ko bo uporaba DNS strežnikov drugih proizvajalcev (zlasti zunanjih) povzročila številne težave z omrežjem: prijava v domeno, iskanje krmilnikov domen, strežnikov in odjemalcev, izvajanje skupine politik itd. To pomeni, da DNS strežnika OpenDNS ni mogoče nastaviti neposredno na odjemalcih. Najboljša rešitev bi bila v tem primeru konfigurirati posredovanje poizvedb DNS na strežnike imen OpenDNS na strežnikih DNS Windows (običajno so to krmilniki domen Active Directory).

V tem primeru bomo prikazali, kako konfigurirati posredovanje DNS na primeru DNS strežnika, v katerem je nameščen Windows Server 2012.

Konfiguriranje posredovanja DNS na DNS strežniku Windows Server 2012

Odprite nadzorno ploščo DNS Manager (ki se nahaja v oddelku Upravna orodja) Na konzoli DNS izberite strežnik DNS in odprite razdelek Posredniki

Pojdite na zavihek Posredniki (Posredovanje) in kliknite Uredi.

V oknu, ki se odpre, morate določiti ip naslove dveh javnih DNS strežnikov storitve OpenDNS:

  • 208.67.222.222 (resoluver1.opendns.com)
  • 208.67.220.220 (resoluver2.opendns.com)

Vaš DNS strežnik bo preveril razpoložljivost teh strežnikov in preizkusil njihovo delovanje. Spremembe shranite.

Prepričajte se, da je polje potrjeno. Uporabite namige korenov, če ni na voljo posrednikov posnet. Če tega ne storite, bo vaš strežnik DNS v nekaterih primerih za reševanje poizvedb DNS poizvedbe poslal korenskemu DNS internetnega strežnika in strežniki OpenDNS v tem primeru morda ne bodo anketirani. I.e. če se za filtriranje uporablja storitev OpenDNS, to morda ni sprejemljivo (filter bi moral delovati v vseh primerih!).

Opomba. Uporaba OpenDNS kot primarnega strežnika DNS bo naložila dodatno zamudo za čas, ko odjemalec čaka na odgovor DNS. Dejstvo je, da kljub dejstvu, da je funkcija OpenDNS zagotovljena na podlagi 12 geografsko razporejenih podatkovnih centrov, in zahvaljujoč tehnologiji usmerjanja Anycast najbližji podatkovni center odgovori na prošnjo uporabnika za DNS, se podatkovni centri, ki so najbližji Rusiji, nahajajo v Amsterdamu in Frankfurtu, zato je odzivni čas teh strežnikov DNS lahko bistveno daljši kot odzivni čas ponudnikovega DNS strežnika. V nekaterih primerih takšna zamuda morda ni sprejemljiva. V tem primeru je vredno poskusiti enega od ruskih analogov OpenDNS, ki imajo svoje podatkovne centre v različnih regijah Rusije, na primer Skydns ali Zavržnik.

Nastavitve posredovanja shranite s klikom na V redu.

Če želite takoj izkoristiti OpenDNS, morate ponastaviti predpomnilnik DNS na strežniku DNS. Če želite to narediti, v meniju Pogled omogoči možnost Napredno, posledično se v konzoli za upravljanje DNS prikaže dodaten razdelek Predpomnjeni posnetki. Z desno miškino tipko kliknite nov razdelek in izberite Počisti predpomnilnik.

Namig. Te spremembe morajo biti izvedene na vseh DNS strežnikih organizacije, ki imajo možnost dostopa do zunanjih ponudnikov DNS.

Ostalo je počistiti predpomnilnik DNS na odjemalcih (ali počakati, da se vnosi v lokalni predpomnilnik DNS iztečejo). To lahko storite z ukazom:

ipconfig.exe / flushdns