ООО «АЙДЕКО» | Защитим ваш сетевой периметр
Скачать
UTM
Получить
Демо

Поддержка
Блог Айдеко

Настройка фильтрации с помощью DNS на Ideco ICS

В новой версии Ideco ICS 5.6.0 нашими разработчиками был проведен рефакторинг DNS-сервера.

Теперь настраивать DNS на сервере стало значительно проще, в общем случае не нужно вообще никаких настроек. Гораздо удобнее стало использовать наш продукт с интернет-сервисами, предоставляющими услуги фильтрации трафика через DNS. Зачем это нужно и как воспользоваться этой возможностью рассказывается в данной статье.

ЧТО ТАКОЕ DNS:


Domain Name System (система доменных имён) - это адресная книга Интернета, где каждому домену сопоставлен цифровой адрес. Например наш сайт, ideco.ru - живет по адресу 46.182.31.10.

Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS.

НАСТРОЙКА ФИЛЬТРАЦИИ С ПОМОЩЬЮ DNS-СЕРВЕРОВ В IDECO ICS:


По умолчанию настраивать DNS-сервер в Ideco ICS не нужно. Нет необходимости даже в указании адресов dns-серверов в настройках интерфейсов. Наш сервер будет запрашивать сопоставление доменных имен через корневые dns-серверы интернета.
Но для фильтрации трафика и обеспечения безопасности интернета можно использовать не только средства нашего интернет-шлюза, но и внешние фильтрующие dns-сервисы, такие как SkyDNSЯндекс.DNSOpenDNS и другие.

ЧЕМ ЭТО МОЖЕТ БЫТЬ ПОЛЕЗНО:


  • Защита от зараженных сайтов.
Злоумышленники создают сайты, содержащие вредоносные скрипты, заражающие компьютеры. Также они взламывают хорошие сайты и устанавливают вредоносные скрипты на них. В контент‑фильтре Ideco ICS есть специальная категория для блокировки таких сайтов, также трафик может проверяться на вирусы на шлюзе, но дополнительная защита от этих угроз, тем более с помощью круглосуточно обновляемых облачных сервисов, не помешает.

  • Защита от бот-сетей.
Злоумышленники создают сети из чужих компьютеров для использования их в нелегальной деятельности: DDoS-атак серверов, рассылки спама, похищения паролей от интернет-банков и сервисов и других целей. Для получения инструкций программа-бот подключается к управляющим серверам. DNS-фильтрация позволяет ограничить доступ к выявленным серверам для управления бот-сетями. Таким образом, даже если компьютер заражен вредоносной программой, злоумышленники не смогут им управлять.

  • Защита от нежелательных сайтов.
Яндекс.DNS позволяет заблокировать доступ к сайтам эротического и порнографического характера. SkyDNS предоставляет более широкие возможности для настроек - больше 50 категорий сайтов. Все это может служить хорошим дополнением к стандартному и расширенному контент-фильтру, встроенному в Ideco ICS, для повышения качества фильтрации нежелательного контента.

НАСТРОИТЬ ФИЛЬТРАЦИЮ ЧЕРЕЗ СТОРОННИЕ DNS-СЕРВЕРА НА IDECO ICS ОЧЕНЬ ПРОСТО:


1. Достаточно прописать выбранный DNS-сервер в настройках:



В случае, если у вас внутри локальной сети, либо внутри сети провайдера, есть внутренняя dns-зона, не обслуживаемая внешними dns-серверами (например, есть домен Active Directory), нужно прописать ее в Forward-зонах.


2. На всех устройствах, которые требуется защитить, в качестве единственного DNS-сервера должен быть прописан ip-адрес Ideco ICS.

Пользователи, получающие адреса автоматически через DHCP-сервер Ideco ICS, либо авторизующиеся по VPN-подключению, получают нужные настройки автоматически. Остальным нужно прописать их вручную (либо настроить нужные параметры на стороннем DHCP-сервере).

Дополнительно можно запретить пользователям сети использовать внешние DNS-серверы (чтобы никто не мог обойти защиту, указав другой dns-сервер на локальном устройстве).
Проще всего это сделать через системный фаервол, указав следующее правило (разместив его выше всех разрешающих правил):

Если необходимо разрешить кому-нибудь использовать сторонние dns-сервера для обхода фильтрации, можно создать разрешающие правила для этих компьютеров, разместив их выше этого запрещающего правила.

3. При использовании динамического ip-адреса на внешнем интерфейсе сервера можно без дополнительных настроек использовать фильтрацию Яндекс.DNS
 и других сервисов, у которых для разных уровней фильтрации используются разные DNS-сервера. В случае использования SkyDNS с единым DNS-сервером и возможностью настроек доступа по категориям сайтов, необходимо установить SkyDNS Agent на один из компьютеров или windows-серверов локальной сети.

4. Настройка запрещенных категорий доступа настраивается на сайтах, предоставляющих услуги dns-фильтрации. Для Яндекс.DNS вы просто выбираете DNS-сервер, обеспечивающий необходимый вам уровень защиты. В случае использования SkyDNS - регистрируетесь на сайте и запрещаете выбранные категории сайтов в личном кабинете.

КОМПЛЕКТ IDECO ICS + SKYDNS


Специально для школ наша компания совместно с сервисом SkyDNS предлагает комплект «Интернет-шлюз Ideco ICS + контент-фильтр SkyDNS», обеспечивающий максимальную защиту сети с учетом требований российских законов и методик фильтрации, рекомендованных Министерством образования РФ. Подробнее о преимуществах и ценах на комплект можно узнать в специальном разделе.