Współcześnie antywirusy to zdecydowanie coś więcej niż jeszcze w poprzedniej dekadzie, ale podstawowa ochrona, jaką zapewniają bezpłatne odpowiedniki komercyjnych produktów to zbyt mało, aby można było mówić o stosunkowo skutecznej ochronie. Wektorów ataku jest cała masa. Prawdopodobnie najpopularniejszym sposobem infekowania urządzeń końcowych jest spam. Wystarczy przyciągający uwagę tytuł, by nieświadomy zagrożenia użytkownik otworzył załącznik. W efekcie atak zostanie przeprowadzony prawidłowo.

Warto wykorzystywać każdą dodatkową możliwość ochrony. Istnieją programy wyszukujące i automatycznie instalujące aktualizacje, szyfrujące dane i połączenia internetowe (VPN), przechowujące hasła, dbające o wydajność. Łatwo zauważyć, że wszystkie działają lokalnie, tzn. ich ochrona dotyczy tylko jednego urządzenia. Natomiast w jaki sposób zapewnić podstawowe zabezpieczenie wszystkich urządzeń w sieci?

Do tego celu wykorzystamy serwery OpenDNS od operatora Cisco

Aby skorzystać z bezpiecznych serwerów OpenDNS od Cisco, należy założyć konto i je skonfigurować według własnych wymagań. Zajmuje to tylko około 5 minut. Cisco oferuje pakiet dla firm, który jest płatny, ale jest też dostępny odpowiednik dla użytkowników indywidualnych.

Przygodę z OpenDNS rozpoczynamy od strony opendns.com/setupguide, na której wybieramy w jaki sposób chcemy wdrożyć ochronę, tj.:

  • dla wszystkich urządzeń w sieci konfigurując router,
  • dla jednego urządzenia ustawiając na nim adresy IP dla serwerów DNS,
  • dla jednego urządzenia mobilnego,
  • dla serwera w firmie.
Ochronę dla pojedynczego urządzenia (PC, laptopa, urządzenia mobilnego) konfigurujemy w połączeniu sieciowym karty sieciowej. Jeśli chcemy, aby ruch internetowy przechodził przez serwery OpenDNS i był filtrowany dla wszystkich komputerów, laptopów i smartfonów w sieci domowej, to serwery DNS od Cisco ustawiamy na routerze.

Ja wybrałem pierwszy sposób, który pozwoli mi zabezpieczyć tylko jedno urządzenie. A więc na podanej stronie wybieramy opcję „Computer Workstations and Laptops”. Niezależnie od decyzji zostaniemy przeniesieni na stronę pomocy technicznej. Następnie wybieramy system operacyjny np. Windows lub Linux. Co ciekawe, producent zamieścił też instrukcje dla niewspieranego Windows XP. Postępujemy zgodnie z graficznymi instrukcjami.

OpenDNS konfiguracja karty sieciowej.
Czy to Windows lub inny system operacyjny, jeśli chcemy zabezpieczyć tylko jedno urządzenie, to zmieniamy dla niego adresy DNS.

Mój wybór padł na Linux Mint, z którego korzystam, więc pokażę konfigurację OpenDNS na przykładzie tej dystrybucji:

Linux konfiguracja sieciowa
Adresy ustawione w systemie “mają pierwszeństwo” przed tymi ustawionymi w routerze.

Jeśli wszystko zostało poprawnie skonfigurowane, to na stronie welcome.opendns.com zostaniemy o tym poinformowani:

OpenDNS konto ustawienia
Panel zarządzania jest prosty w obsłudze.
OpenDNS dodawanie sieci
W zakładce SETTINGS dodajemy sieć. Jeśli nasze IP jest dynamiczne, konieczne jest pobranie programu.
OpenDNS kategorie filtrowania
Najwyższy poziom pozwala automatycznie blokować strony pornograficzne, strony niezgodne z prawem, portale społecznościowe oraz serwisy typu social media.

Istnieje 5 poziomów blokowania stron:

  • HIGH: gwarantuje najwyższy poziom ochrony dla najmłodszych użytkowników sieci.
  • MODERATE: automatycznie blokuje 13 kategorii.
  • LOW: blokuje tylko 4 kategorie, w tym pornografię.
  • NONE: filtrowanie jest wyłączone.
  • CUSTOM: zalecane dla większości rodziców. Z listy kategorii wybieramy te, które są nieodpowiednie.

Po założeniu konta możemy skonfigurować blokowanie kategorii stron, np. przeznaczonych dla dorosłych. Tą opcją powinni się zainteresować szczególnie rodzice. Gdy próbujemy odwiedzić stronę o tematyce pornograficznej, zostanie wyświetlony podobny komunikat:

OpenDNS blokowanie strony
Na próbę zablokowałem dostęp do stron wysyłających maile. OpenDNS uznał domenę Microsoftu jako niepożądaną.

Możemy też dodać zakres stron, które chcemy blokować, a których OpenDNS nie będzie filtrował. Jeśli DNS od Cisco blokuje domenę, która jest dla nas ważna, dodajemy ją do wyjątków.

OPEnDNS wyjątki
Możemy dodać facebook.com do listy domen, które nigdy nie powinny być blokowane.

W zakładce Security domyślnie mamy zaznaczoną ochronę przed złośliwym oprogramowaniem i phishingiem.

OpenDNS ochrona malware
Zaznaczenie wszystkich pozycji daje  większą skuteczność OpenDNS.

Mamy jeszcze kilka zakładek:

  • W zakładce "Customization" znajduje się opcja pozwalająca na wybranie własnej ikony profilu oraz konfiguracja treści, jaka będzie wyświetlana po zablokowaniu strony.
  • W „Stats and Logs” decydujemy, czy narzędzie ma zbierać logi aktywności użytkowników. Opcja całkowicie zalecana firmom. W domowej sieci nie ma większego znaczenia.
  • Po przejściu do kategorii „My Account” widzimy ustawienia naszego profilu. Możliwe jest też permanentne usunięcie konta.
  • W zakładce "Support", są przedstawione sposoby uzyskania pomocy w przypadku problemów z działaniem OpenDNS.

Czy OpenDNS jest godny polecenia? Myślę, że tak. Z pewnością to dodatkowa warstwa ochrony, którą powinny zainteresować się małe firmy, które chcę poprawić efektywność pracowników oraz rodzicie i opiekunowie, którzy za darmo mogą blokować dostępu do nieodpowiednich stron. Elastyczność rozwiązania, dodawanie wyjątków, edycja własnego profilu, wybór poziomu ochrony, to świetne funkcjonalności. Czas odpowiedzi serwerów OpenDNS jest bardzo niski, a więc strony powinny wczytywać się znacznie szybciej. W tym artykule znajdziecie porównanie pozostałych serwerów DNS.

AUTOR:Michał Giza
Tagi
Podziel się

Komentarze

Adrian Ścibor pon., 22-10-2018 - 17:35

Jak pewnie widziałeś odpowiedziałem w innym artykule do podobnego komentarza. Dodam jeszcze, że zadaniem DNS-ów nie jest ochrona. Trochę im daleko do rozwiązań bezpieczeństwa, ponieważ bazują wyłącznie na czarnych listach stron WWW. Musiałyby jeszcze skanować ruch w przeglądarce, a do tego potrzeba rozszerzenia do przeglądarki lub agenta w systemie z zainstalowanym certyfikatem SSL, aby odszyfrowywać ruch szyfrowany, skanować i z powrotem szyfrować. Czyli wykonywać atak man-in-the-browser, bo do tego tak naprawdę to się sprowadza.

Dodane przez mrbeckham w odpowiedzi na

Dodaj komentarz