NFsec Logo

OpenDNS – bezpieczniej, szybciej, mądrzej.

01/06/2009 w Administracja Brak komentarzy.  (artykuł nr 56, ilość słów: 1092)

O

penDNS jest darmową dla wszystkich (obejmuje cały świat) usługą DNS (ang. Domain Name System – System Nazw Domenowych), która umożliwia translację adresów internetowych zrozumiałych i łatwych do zapamiętania dla użytkowników na adresy, które są zrozumiałe dla urządzeń tworzących sieci komputerowe. Mówiąc prościej – potrafi ona przetłumaczyć adres w postaci www.nfsec.pl na adres IP (ang. Internet Protocol address): 205.97.59.2 – pozwalając w ten sposób zlokalizować konkretny komputer w sieci Internet. OpenDNS został stworzony w lipcu 2006 roku, z myślą o dostarczeniu użytkownikom bezpieczniejszej, szybszej i inteligentniejszej usługi DNS.

Bezpieczeństwo w tej usłudze objawia się filtrowaniem adresów, które są uznane za sfałszowane – czyli używane do ataku typu phishing. Użytkownik przed wejściem na taką stronę jest ostrzegany o możliwości oszustwa. W tym celu wykorzystywana jest baza serwisu PhishTank, który jest rozwijany siłami ludzkimi (użytkownicy sami zgłaszają strony podejrzane o phishing) opierając się na systemie oceny przesłanych adresów. Firma dba także o krótszy czas reakcji na odpowiedzi swoich serwerów poprzez zastosowanie optymalnego routingu oraz równoważności obciążenia (ang. load balancing), czyli rozproszenia obciążenia pomiędzy wiele swoich serwerów DNS. Dlaczego OpenDNS jest inteligentniejsze od przeciętnych serwerów DNS providerów Internetu? Ponieważ w przypadku popełnienia błędu w składni podczas wpisywania danego adresu do przeglądarki np. opendnss.com nie zostanie nam zwrócona zwyczajna strona błędu przeglądarki, lecz strona internetowa z sugestią poprawnego adresu („Czy miałeś na myśli opendns.com?”), a pod nią lista odnośników, które posiadają informacje związane z wpisanym adresem. To samo tyczy się pomyłek przy wpisywaniu konkretnych domen. Po wpisaniu adresu www.google.cmo zostaniemy automatycznie skierowani pod adres www.google.com.

     Aktualnie OpenDNS możemy skonfigurować na każdym systemie operacyjnym, routerze, urządzeniu mobilnym czy nawet konsoli do grania. Jedynym stawianym wymogiem jest możliwość ręcznego wpisu adresów DNS, które dany system / urządzenie ma używać. W przypadku systemu Linux, będzie to następujący wpis do pliku /etc/resolv.conf:

nameserver 208.67.222.222
nameserver 208.67.220.220

Jeśli nasz komputer otrzymuje adres IP poprzez usługę DHCP (ang. Dynamic Host Configuration Protocol) używając klienta DHCP stworzonego przez ISC (ang. Internet System Consortium), prawdopodobnie plik /etc/resolv.conf będzie nadpisywany poprzez ustawienia serwera DHCP, z którego korzystamy. W ten sposób, o ile na danym serwerze DHCP nie zostały ustawione DNSy OpenDNS będziemy korzystali z tych, które zostaną nam przyznane odgórnie. W celu uniknięcia takiej sytuacji wystarczy zamienić / dopisać następującą linię w pliku /etc/dhclient.conf:

prepend domain-name-servers 208.67.222.222, 208.67.220.220;

Wpis ten spowoduje, że serwery OpenDNS będą używane z pierwszeństwem (ulokowane w liście na samej górze) przed pozostałymi przekazanymi przez serwer DHCP. W ten sposób nie musimy się obawiać każdorazowego ustawiania wpisów po restarcie komputera. W dodatku serwery DNS naszego lokalnego dostawcy Internetu będą używane jako zapasowe (aby użyć tylko serwerów OpenDNS należy użyć tej samej dyrektywy tylko zaczynającej się od „supersede domian…”). Natomiast jeśli korzystamy z klienta DHCPCD autorstwa Yoichi Hariguchi musimy tylko zadbać by był on uruchomiony z parametrem -R powstrzymującym program przed nadpisaniem resolv.conf. Na oficjalnej stronie serwisu zawarty jest także opis jak skonfigurować własny serwer DNS (BIND, dnscache czy Microsoft DNS Server – jeśli takowy posiadamy), aby kierował zapytania DNS do serwerów OpenDNS – w ten sposób nasz serwer może zapamiętać wyniki zapytań w pamięci podręcznej, gdzie są przechowywane przez określony czas i znacznie szybciej zwracane; bez oczekiwania na przyjście odpowiedzi przez sieć Internet. Dla serwera BIND – w zależności od posiadanej dystrybucji musimy znaleźć deklarację opcji serwera, których możemy szukać m.in. w:

/etc/bind/named.conf.options
/etc/named.conf
/etc/bind/named.conf
/etc/namedb/named.conf

Szukamy frazy options, która ma postać:

options {
	...
};

Wewnątrz niej definiujemy serwery OpenDNS, do których mają być przekazywane (ang. forwarded) zapytania DNS:

options {
	forwarders { 208.67.222.222; 208.67.220.220; };
	...
};

Po tym fakcie należy przeładować konfigurację serwera np. poleceniem /etc/init.d/named reload lub rndc reload. W przypadku serwera dnscache czynność sprowadza się do utworzenia pustego pliku FORWARDONLY:

touch /etc/dnscache/env/FORWARDONLY

Oraz zastąpienie istniejących wpisów w:

/etc/dnscache/root/servers/@

Adresami IP serwerów OpenDNS. OpenDNS także sprawdza się świetnie podczas posiadania serwera pocztowego. Jedyną rzeczą, na którą należy zwrócić uwagę w tym przypadku to lista serwisów DNSBL (DNS Black List – lista czarnych adresów IP nadawców spamu) oraz URIBL (URI Black List – lista czarnych odnośników internetowych przesyłanych w spamie), z którymi współpracuje OpenDNS, ponieważ w przypadku korzystania z usług innych portali mogą być nam zwracane nieprawidłowe dane i blokowane hosty, które w cale na czarnych listach się nie znajdują. Aby móc skorzystać z serwisów URIBL, które nie są uznane jako oficjalni partnerzy OpenDNS – wystarczy wyłączyć wcześniej wspomnianą usługę korekcji błędów w wpisywanych domenach.

     Po dokonaniu odpowiednich wpisów możemy odwiedzić stronę welcome.opendns.com, aby upewnić się, że wszystko działa. Po założeniu darmowego konta w serwisie jesteśmy w stanie kontrolować, z których usług chcemy dokładnie korzystać. Ochronę antyphishingową możemy sprawdzić wchodząc na stronę o adresie: www.internetbadguys.com. Serwis ponadto udostępnia CacheCheck (www.opendns.com/cache), czyli możliwość sprawdzenia czy wszystkie serwery DNS zwracają prawidłowe dane na temat odpytywanej domeny. Usługa ta szczególnie przydaje się w przypadku kiedy przenosimy domenę z jednego serwera DNS na inny i chcemy ją odświeżyć w trakcie trwania jej starej ważności (TTL – Time To Live) przechowywania w bazach danych DNS. Dodatkowo posiadamy także wgląd do aktualnego stanu systemu. Na stronie system.opendns.com posiadamy dokładną historię każdego z serwerów DNS, ilość dziennych zapytań, kiedy i z jakich przyczyn był niedostępny oraz jego aktualny stan. Poprzez dodanie do Ulubionych / Zakładek adresu http://208.67.219.60 możemy oglądać stronę statusu nawet jeśli nasze serwery DNS z jakiś powodów nie działają.

Osoby posiadające stały adres IP – mają możliwość założenia darmowego konta umożliwiającego dostosowanie wielu opcji według własnego uznania (dla dynamicznych adresów IP wymagana jest dodatkowa konfiguracja programów uaktualniających wpisy DNS). Po wpisaniu własnych adresów IP lub adresu całej sieci do zakładki Networks nasze indywidualne ustawienia będą identyfikowane z naszymi maszynami, a oprócz w/w usług otrzymujemy takie dodatkowe możliwości jak:

  • Definiowanie własnych skrótów słownych dla długich nazw domenowych np. po wpisaniu słowa ‚poczta’ w pasku adresu przeglądarki – zostaniemy automatycznie skierowani pod adres http://www.moja.poczta.domowa.com.
  • Możliwość wpisania dowolnych domen, które mają być zawsze blokowane / dopuszczane w Internecie.
  • Możliwość monitorowania i logowania ruchu DNS (statystyki)
  • Ochronę przed atakiem DNS Rebinding polegającym na podmianie adresu IP domeny pomiędzy żądaniami DNS w celu uzyskania dostępu do sieci lokalnej.
  • Możliwość wyboru filtrów treści odwiedzanych stron np. pornografii, broni, alkoholu itp., co stanowi pewnego rodzaju filtr rodzinny.

     OpenDNS jest globalną usługą DNS będącą alternatywą dla lokalnych dostawców Internetu, których serwery DNS nie zawsze są tak sprawne i wydajne. Usługę tę można wykorzystać szczególnie w sieciach lokalnych w celu częściowej ochrony użytkowników przed atakami phishingu. W wielu przypadkach oferuje ona szybsze korzystanie z możliwości posiadanych łączy (istnieją oczywiście przypadki, w których przejście na te serwery znacznie obniża dotychczasową wydajność). Osoby zainteresowane korzystaniem z tej usługi powinny same zdecydować i przekonać się czy taka zmiana będzie im służyć.

Więcej informacji: OpenDNS FAQ, Phishtank

Kategorie K a t e g o r i e : Administracja

Tagi T a g i : , , , , , , ,

Podobne artykuły:

  • Brak tematycznie powiązanych artykułów.

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.