В августе 2015 года компания Cisco Systems закончила покупку компании OpenDNS.

Безусловно, это одна из самых громких и удачных покупок в области информационной безопасности. Для клиентов Cisco – это беспрецедентная возможность очень просто и быстро повысить уровень безопасности всей организации. Добавляем в качестве внешних серверов разрешения доменных имён (DNS) пару айпишников OpenDNS – вот и всё, что надо для начала использования высоконадёжной и, главное, безопасной инфраструктуры фильтрации угроз на базе DNS-запросов.

Как работает облачная безопасность от OpenDNS?
Обращаясь к сайтам в сети Интерент, вы чаще всего пользуетесь доменными именами. Пример - www.cisco.com — такое название просто запомнить, но за каждым таким названием скрывается цифровой адрес (или несколько) тех серверов, где размещён веб-сайт. При обращении на неблагонадёжные сайты инфраструктура OpenDNS поймёт это по своей огромной базе репутации и заблокирует доступ. Всё просто и эффективно.

Как начать пользоваться услугами OpenDNS?
Для корпоративных пользователей доступен сервис облачной фильтрации, визуализации и расследования. Подписка на такой сервис позволит выстроить первый эшелон защиты вашего предприятия на уровне глобальной инфраструктуры DNS-серверов. Со всеми деталями, включая ценообразование, вам помогут специалисты ближайшего офиса Cisco.

Совершенно бесплатно можно прописать пару адресов DNS-серверов OpenDNS:

  • 208.67.222.222
  • 208.67.220.220

Вы будете пользоваться надёжным сервисом DNS. Облако будет накапливать знания о направленных на вашу организацию угрозах. Когда решите использовать сервис по полной – знания о направленных на вас атаках помогут быстрее и качественнее противостоять злоумышленникам. Решение можно бесплатно протестировать в течение двух недель.


Что мне лично может дать OpenDNS?
Возможно, вам знакомы такого рода проблемы?

  • Вечерком (когда все поужинали и сели в Интернете посёрфить) ваш провайдер высокоскоростного доступа становится провайдером раздражения – сайты грузятся медленно, общее впечатление от использования Интернета как при работе с мобилки на GPRS. Одна из причин – загруженность DNS-инфраструктуры провайдера. Каждый баннер «живёт» по своему адресу на одной общей страничке. В результате подгрузка страницы целиком занимает слишком много времени в час пик.

  • Компьютер/планшет с Интернетом в руки ребёнку давать страшно. Слишком много там всего того, что точно не для детей. Начиная от интерент-мошенников и заканчивая «взрослыми сайтами». Ещё есть много таких ресурсов, о вреде которых узнаёшь только уже наткнувшись, а хотелось бы загодя. Или лучше вообще не натыкаться.

  • Бывает так, что единственным средством «полечить» плохой доступ к Интернету – поставить альтернативные DNS-ы от компании Google. Как правило, заветные 8.8.8.8 откликаются всегда, но скорость отклика от них – ещё одна проблема. Всё работает, но работает слишком медленно – вот обратная сторона медали.

    Есть простой выход – воспользоваться инфраструктурой облачного (глобально доступного) провайдера услуг DNS.
    OpenDNS уже много лет оттачивает как уровень сервиса, так и свои подходы к обеспечению безопасности своих клиентов.

    Очевидно же, что компания, которая специализируется на предоставлении такого рода услуг, сможет обеспечить сервис более высокого качества, чем те, у кого такие сервисы – побочная услуга.


OpenDNS для дома и небольших организаций
Интересный момент. Компания OpenDNS предоставляет услуги не только большим организациям на платной основе. Для каждого домашнего пользователя доступны сервисы OpenDNS, которые можно получить абсолютно бесплатно.



Самый простой вариант бесплатного домашнего сервиса – FamilyShield.
Достаточно просто установить пару IP-адресов с преднастроенной фильтрацией небезопасного и недетского контента:

  • 208.67.222.123
  • 208.67.220.123

Вот и всё! Теперь вы и ваш ребёнок под крылом облачной защиты от коварных интернет-ресурсов, которые так и норовят подорвать все ваши старания по защите вашего чада от превратностей этого самого Интернета.

Сервис OpenDNS Home требует регистрации. Он также бесплатен, но благодаря тому, что у вас появится своя учётка на OpenDNS, вы сможете настраивать параметры доступа и фильтрации самостоятельно.

Естественно, есть и платный OpenDNS Home VIP-пакет услуг, но это уже для тех, кому пакет бесплатных услуг окажется недостаточным.

Внимание: NO ROCKET SCIENCE!!! – всё слишком просто, очень удобно и, главное, надёжно.

Безопасного вам Интернета!
Поделиться с друзьями
-->

Комментарии (16)


  1. Ivan_83
    16.08.2016 15:05
    +7

    У кошатников уже была пара своих открытых резолверов, для тех кто настраивает всё по мануалам не слишком вникая :)
    Раньше вместо NXDOMAIN (не существовании имени) опен днс всегда возвращал адрес своего сервака где крутился их поиск с рекламой.

    Теперь по порядку.
    1. Скорость открытия сайта оно очень вряд ли увеличит.
    2. Писать что это быстрее чем 8.8.8.8 — явно враки в >90% случаев.
    3. Для фильтрации детям есть ещё куча сервисов, например скайднс и вроде у яндекса было. Но это вообще сильно отдельная тема про воспитание, и днс тут одно из хреновых средств с технической точки зрения.
    4. Сдаётся мне что домашнему юзеру/организации нужен статический IP либо ставить какую то софтину, иначе опенднс не сможет отличить клиента и фильтрации не будет.

    И как всегда о приватности.
    Прописывая 8.8.8.8, опенднс, яндекс днс и пр вы самолично сливаете им имена всех сайтов и прочих ресурсов с которыми вы взаимодействуете.
    Таким образом можно отслеживать даже мобильных юзеров, по «отпечаткам» из доменных имён.
    Для гугля, опенднс и прочих вы никто и они могут и будут делать с этой информацией всё что захотят.
    Не используйте чужие рекусеры для себя и тем более в организациях, берегите приватность с молоду :)

    Если нужен качественный рекурсер — ставьте unbound, он даже для венды есть.
    Там и валидация ответов DNSSec и кеширование (для ускорения инета), и фильтрация и даже есть приватность запросов: это новая опция чтобы, например, при резолве mail.ru отправлять на корневые сервера запрос на .ru, а серверам зоны ru уже пойдёт полностью весь запрос. Те минимизация информации в запросе.


    1. aleksashka
      17.08.2016 13:05

      Добавлю статистики:
      Ping statistics for 8.8.8.8: Minimum = 61ms, Maximum = 65ms, Average = 62ms
      Ping statistics for 77.88.8.7: Minimum = 61ms, Maximum = 69ms, Average = 63ms
      Ping statistics for 208.67.222.222: Minimum = 98ms, Maximum = 146ms, Average = 104ms

      Ну и DNS от Yandex работает без регистрации и смс (сам, правда, пользуюсь bind'ом, а не готовыми внешними сервисами), да ещё и в v6 резолвит :):
      > nslookup xxx.com 77.88.8.7
      Server: family.dns.yandex.ru
      Address: 77.88.8.7

      Non-authoritative answer:
      Name: xxx.com
      Addresses: 2a02:6b8::b10c:babe
      93.158.134.250


  1. claymen
    16.08.2016 21:24

    Еще стоит отметить тот факт что:
    1. Ростелеком втихушку, NAT-ит абонентов, выдавая то белые, то серые адреса (100.64.0.0/10)
    2. Сотовые компании сидят за NATом давно…

    И те и другие чего то ждут, но упорно не дают ipv6 даже по большой просьбе…


    1. craterman
      17.08.2016 14:06
      -1

      Ну дадут вам IPv6. И толку? В Интернете всего 20% автономных систем анонсируют IPv6 префиксы. Большая часть сервисов доступна только по IPv4 адресам.


      1. aleksashka
        17.08.2016 14:24

        ИМХО так себе аргумент. Получается как-то так:
        Провайдер: И толку? Зачем IPv6, если клиентов/серверов мало?
        Админы: И толку? Зачем IPv6, если клиентов/провайдеров мало?
        Клиенты: И толку? Зачем IPv6, если провайдеров/серверов мало?


        1. craterman
          17.08.2016 14:45
          +1

          Да это не аргумент а констатация факта. А на счёт сложившейся ситуации абсолютно с вами согласен. Примерно из-за таких измышлений мы до сих пор не похороним IPv4. Но главное, что сдерживает повсеместное внедрение IPv6 — отсутствие коммерческой выгоды.


        1. varnav
          17.08.2016 17:09

          Вот так и живём уже 10 лет!


  1. nevzorofff
    17.08.2016 14:01
    +1

    D:\Users\Nikolay>ping 8.8.8.8

    Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
    Ответ от 8.8.8.8: число байт=32 время=25мс TTL=57
    Ответ от 8.8.8.8: число байт=32 время=24мс TTL=57
    Ответ от 8.8.8.8: число байт=32 время=23мс TTL=57

    Это правда медленно?

    А это быстро, да?

    D:\Users\Nikolay>ping 208.67.222.222

    Обмен пакетами с 208.67.222.222 по с 32 байтами данных:
    Ответ от 208.67.222.222: число байт=32 время=62мс TTL=58
    Ответ от 208.67.222.222: число байт=32 время=61мс TTL=58
    Ответ от 208.67.222.222: число байт=32 время=62мс TTL=58


  1. timapple
    17.08.2016 14:01

    Аналогичный сервис DNS (обычный и семейный) есть у Яндекс. Разве что OpenDNS не российский и не подвержен законам РФ?


    1. alukatsky
      25.08.2016 09:47

      И аптайм у OpenDNS 100% на сегодняшний день


  1. maxzhurkin
    17.08.2016 14:07

    Сказки про трещащие по швам от нагрузки сервера служб DNS провайдеров появились больше 10 лет назад вместе с первыми подобными публичными сервисами и, с тех пор не меняясь, кочуют из текста в текст. До каких же пор?


  1. askbow
    17.08.2016 14:29

    Я пользовался OpenDNS раньше, до приобретения их Сиско. Для маленького офиса, на самом деле, это было неплохим решением. Не столько для форсирования политик (не нужно это в небольшой компании), сколько для мониторинга: они присылали алерты, если были обращения к известным доменам мальвари. Пару раз помогало.

    Обычно всё было неплохо, плюс какая-то статистика в отчётах в панельке. Красота.

    Потом я начал замечать, что они на некоторые запросы возвращали свои собственные адреса, вместо тех, которые я ожидал.
    Это breach of trust, и с тех пор отказался от использования этого сервиса.


  1. Acid_Jack
    17.08.2016 15:35

    Хорошая попытка, но нет. Только свой рекурсер.

    Предпочтитаю связку unbound+dnsmasq.


  1. dmitry_ch
    17.08.2016 15:59

    > Безусловно, это одна из самых громких и удачных покупок в области информационной безопасности.
    > Для клиентов Cisco – это беспрецедентная возможность очень просто и быстро повысить уровень безопасности всей организации

    Правильно написать: это одна из немногих компаний, имеющая шанс не загнуться после покупки Циской. Циска, большая и развитая, не осилила завести свой реестр сайтов и создать такой сервис. Более того, не осилила даже в свои корпоративные продукты встроить подобную проверку (даже взяв списки у OpenDNS.

    В общем, ловко признались в бессилии. Неужели не получилось нагнать индусов и сделать свое?

    P.S. И, да, статья не отвечает на простые вопросы: можно ли верить Cisco в смысле поддержания проекта (судя по комментам и опыту — нет), и есть ли вера, что высокодоступные серверы DNS от OopenDNS останутся высокодоступными и под именем Cisco?

    P.P.S. OpenDNS Home VIP — ура, я уже думал, что Cisco себе изменила, ан нет!


  1. postdig
    18.08.2016 08:55

    А разве FamilyShield, с преднастроенной фильтрацией небезопасного и недетского контента не эти?
    208.67.222.123
    208.67.220.123

    https://www.opendns.com/setupguide/?url=familyshield


    1. OVRASHKO
      18.08.2016 10:54

      Спасибо, исправил в тексте ошибку.