Penyaringan DNS dalam domain Windows menggunakan OpenDNS sebagai contoh

Artikel ini dikhususkan untuk organisasi kerja aman pengguna di Internet menggunakan teknologi yang disebut server DNS "aman". Secara khusus, hari ini kami akan mempertimbangkan fitur layanan DNS berbasis cloud yang populer Opendns dan kemungkinan penggunaannya dalam lingkungan perusahaan yang didasarkan pada domain Windows.

OpenDNS adalah layanan cloud khusus yang menyediakan layanan server DNS gratis bagi semua orang. Tapi ini bukan yang utama. "Fitur" utama dari layanan ini adalah kemampuan untuk mengatur sistem yang efektif untuk melindungi pengguna dari malware, situs phishing, botnet, membatasi akses pengguna ke berbagai kategori situs, dan banyak lagi, berdasarkan layanan DNS. Keuntungan penting lain dari OpenDNS adalah kenyataan bahwa OpenDNS tidak perlu digunakan dan diinstal pada masing-masing komputer di jaringan rumah / kerja Anda.

Catatan. Sebagai analog domestik dari OpenDNS, kami merekomendasikan Skydns dan Rejector. Layanan-layanan ini memiliki fungsionalitas yang tinggi (dalam banyak hal serupa) dan lebih bersahabat dengan pengguna Rusia.

Prinsip pengoperasian layanan OpenDNS dan analog

Jelaskan secara singkat prinsip penyaringan pertanyaan DNS menggunakan OpenDNS dan layanan serupa.

Ketika seorang pengguna mendaftar untuk menyelesaikan nama DNS suatu situs (domain) ke server OpenDNS, permintaannya dikirim ke server DNS OpenDNS terdekat (fitur ini diimplementasikan berkat teknologi BGP Anycast). Server menerima permintaan pengguna dan mengeceknya dengan basis data internal situs, dan jika situs yang diminta dalam kategori situs yang dilarang, phishing atau virus, maka alih-alih alamat IP dari situs yang diinginkan, pengguna menerima alamat IP dari situs OpenDNS dan alih-alih sumber daya “buruk”, halaman OpenDNS muncul dengan peringatan , yang menunjukkan alasan pemblokiran domain ini. Jika domain yang diminta tidak ditemukan dalam daftar hitam, server OpenDNS mengambil alamat IP-nya dari cache sendiri atau memintanya dan server DNS lainnya.

Fitur-Fitur Utama OpenDNS

  • Di luar Server DNS - secara alami, ini adalah tugas utamanya
  • Kemampuan untuk memfilter konten yang tidak pantas - kemampuan untuk membatasi atau melarang akses ke berbagai kategori situs. Pemfilteran konten dilakukan berdasarkan database yang terus diperbarui yang berisi beberapa juta domain yang disusun dalam 55 kategori (game, jejaring sosial, "18+", berbagi file, film, dll.). Dengan menggunakan OpenDNS, Anda dapat melindungi anak Anda dari konten "non-kekanak-kanakan" (membatasi akses anak-anak ke situs sebagai cara memperluas teknologi kontrol orangtua Windows), atau membatasi akses karyawan ke situs yang mengurangi produktivitas.
  • Kontrol Akses Situs - selain memfilter konten menggunakan OpenDNS, Anda dapat mempertahankan daftar domain putih dan hitam, akses yang, masing-masing, selalu diperbolehkan atau selalu ditolak
  • Phishing dan perlindungan malware - OpenDNS Menggunakan Database Situs PhishTank Phishing .Catatan. Situs phishing adalah situs tiruan dari situs populer yang dirancang untuk mengekstrak informasi rahasia dan kata sandi pengguna..

    Layanan ini juga menyediakan pemblokiran server yang terinfeksi oleh virus yang terinfeksi dengan perintah kontrol..

  • Memastikan aksesibilitas situs, meskipun otoritatif Server DNS - Layanan OpenDNS berkat teknologi caching SmartCache dapat menyediakan akses ke situs yang server DNS otoritatifnya saat ini tidak berfungsi
  • Koreksi kesalahan ketik otomatis saat mengetik nama domain memungkinkan Anda untuk memperbaiki kesalahan ketik saat memasukkan nama domain di bagian domain tingkat atas (.net, .ru, .com, dll.)
  • Statistik - layanan ini mengumpulkan dan mengelola statistik pada domain yang diminta, domain yang diblokir, peringkat domain berdasarkan popularitas, dll..
  • Kemampuan untuk membuat halaman Anda sendiri dan formulir umpan balik - saat menggunakan OpenDNS pada jaringan perusahaan, administrator dapat membuat pesan informasinya sendiri untuk pengguna

Semua fitur OpenDNS canggih tersedia setelah registrasi dan dikonfigurasi dalam antarmuka web yang nyaman. Hanya fitur dasar layanan DNS yang gratis. Kalau tidak, layanan dibayar.

Untuk membuat komputer di rumah Anda berfungsi melalui OpenDNS, cukup untuk menentukan alamat server DNS-nya di pengaturan untuk menghubungkan ke Internet (208.67.222.222 dan 208.67.220.220) Dalam lingkungan perusahaan, hal-hal sedikit lebih rumit.

Bukan rahasia lagi bahwa dalam domain Windows, klien menggunakan Active Directory server nama domain server DNS untuk resolusi nama, saat menggunakan server DNS pihak ketiga (terutama yang eksternal) akan menyebabkan banyak masalah jaringan: masuk ke domain, mencari pengontrol domain, server dan klien, melakukan grup politisi dll. Ini berarti bahwa DNS server OpenDNS tidak dapat diatur secara langsung pada klien. Solusi terbaik dalam hal ini adalah mengkonfigurasi penerusan permintaan DNS ke server nama OpenDNS pada server DNS Windows (biasanya ini adalah pengontrol domain Direktori Aktif).

Dalam contoh ini, kami akan menunjukkan cara mengkonfigurasi penerusan DNS menggunakan contoh server DNS yang menjalankan Windows Server 2012.

Mengkonfigurasi Penerusan DNS pada Windows Server 2012 DNS Server

Buka panel kontrol Manajer DNS (terletak di bagian Alat administrasi) Di konsol DNS, pilih server DNS Anda dan buka bagian itu Forwarder

Buka tab Forwarder (Penerusan) dan klik Edit.

Di jendela yang terbuka, Anda harus menentukan alamat ip 2 server DNS publik dari layanan OpenDNS:

  • 208.67.222.222 (resolver1.opendns.com)
  • 208.67.220.220 (resolver2.opendns.com)

Server DNS Anda akan memeriksa ketersediaan server ini dan menguji kinerjanya. Simpan perubahan.

Pastikan kotak dicentang. Gunakan petunjuk root jika tidak ada forwarder yang tersedia difilmkan. Jika ini tidak dilakukan, server DNS Anda dalam beberapa kasus, untuk menyelesaikan permintaan DNS, akan mengirim pertanyaan ke DNS root dari server Internet, dan server OpenDNS dalam kasus ini mungkin tidak diinterogasi. Yaitu jika layanan OpenDNS digunakan untuk pemfilteran, ini mungkin tidak dapat diterima (filter harus bekerja dalam semua kasus!).

Catatan. Menggunakan OpenDNS sebagai server DNS utama akan memberlakukan penundaan tambahan pada saat klien menunggu tanggapan DNS. Faktanya adalah bahwa, terlepas dari kenyataan bahwa fungsionalitas OpenDNS disediakan berdasarkan 12 pusat data yang didistribusikan secara geografis, dan berkat teknologi routing Anycast, pusat data terdekat menjawab permintaan pengguna untuk DNS, pusat data yang paling dekat dengan Rusia terletak di Amsterdam dan Frankfurt, oleh karena itu, waktu respons dari server DNS ini dapat secara signifikan lebih lama daripada waktu respons dari server DNS penyedia. Dalam beberapa kasus, penundaan seperti itu mungkin tidak dapat diterima. Dalam hal ini, ada baiknya mencoba salah satu analog Rusia OpenDNS, yang memiliki pusat data sendiri di berbagai wilayah Rusia, misalnya Skydns atau Rejector.

Simpan pengaturan penerusan dengan mengklik OK.

Untuk memanfaatkan OpenDNS dengan segera, Anda perlu mengatur ulang cache DNS di server DNS Anda. Untuk melakukan ini, di menu Lihat aktifkan opsi Mahir, sebagai hasilnya, bagian tambahan muncul di konsol manajemen DNS Pencarian dalam cache. Klik kanan pada bagian baru dan pilih Kosongkan cache.

Kiat. Perubahan ini harus dilakukan pada semua server DNS organisasi yang memiliki kemampuan untuk mengakses penyedia DNS eksternal.

Tetap menghapus cache DNS pada klien (atau menunggu sampai entri dalam cache DNS lokal bocor). Anda dapat melakukan ini menggunakan perintah:

ipconfig.exe / flushdns
Kategori