Implementar filtragem de DNS

Navegue suas respostas
1

Eu queria saber qual seria a melhor maneira de implementar a filtragem de DNS.

O cenário é o seguinte: precisamos configurar dois servidores DNS personalizados para usar nos computadores de nossa empresa para que possamos filtrar as solicitações de DNS para determinados domínios e retornar IPs personalizados e encaminhar outras solicitações para nossos servidores DNS de ISPs.

Pensamos em usar o PowerDNS ou o MyDNS porque eles oferecem suporte ao MySQL e precisamos alterar a lista de domínios para filtrar com bastante frequência.

    
por Michele 23.02.2010 / 14:31

2 respostas

1

Como Ed Fries sugere, as soluções de DNS são:

  1. Configure um (ou dois) servidores DNS com encaminhamento ou a zona de dicas de raiz, o que fará com que ele retorne respostas não autoritativas para todos os domínios na Internet.
  2. Defina seus clientes para usarem estes / esses servidores DNS, configurando seu servidor DHCP apropriadamente (ou manualmente no cliente).
  3. Opcionalmente, bloqueie a saída de 53 / udp em seu firewall para impedir que os clientes em sua rede usem outro servidor DNS.
  4. Crie uma zona autoritativa em seu servidor DNS para os domínios que você deseja bloquear e, opcionalmente, crie registros A / CNAME etc. para eles. Isso impedirá que o seu servidor DNS encaminhe a solicitação e obtenha a resposta real, pois acredita ser autoritativa.

Existem maneiras de contornar isso:

  • Se você não fizer a etapa 3, os clientes poderão simplesmente usar um servidor DNS público (por exemplo, o Google fornece DNS público )
  • As pessoas podem usar uma VPN / proxy para passar por isso
  • Para alguns sites, eles poderão digitar o IP (se souberem) e acessar o site de qualquer maneira, sem necessidade de alterações de configuração.

Existem outras maneiras de bloquear sites (bloquear o IP no firewall, por exemplo) que podem ser um pouco mais confiáveis / menos trabalhosos, embora, para quase tudo, haja uma maneira de contorná-los se seus usuários forem experientes o suficiente. / p>     

por 12.03.2010 / 20:38
0

A filtragem é mais fácil do que o "reencaminhamento", mas é melhor realizada por meio de um proxy ou filtro de conteúdo da Web, seja hardware ou serviço.

O reencaminhamento de determinados domínios, por exemplo MySpace.com, criando uma zona autorizada no seu servidor DNS e criando os seus próprios registos A / CNAME, será provavelmente um desafio administrativo na melhor das hipóteses e difícil ignorar centralmente se alguém tiver uma necessidade legítima para acessar o site. Por outro lado, pode ser facilmente contornado por usuários mais experientes com um serviço proxy / cliente na estação de trabalho.

Você deve postar mais detalhes sobre o que você está tentando realizar e por que uma resposta mais detalhada.

    
por 23.02.2010 / 19:12

Tags

TFS 2008, edição espacial O TTL mais baixo que pode ser definido no BIND9