Безусловно, это одна из самых громких и удачных покупок в области информационной безопасности. Для клиентов Cisco – это беспрецедентная возможность очень просто и быстро повысить уровень безопасности всей организации. Добавляем в качестве внешних серверов разрешения доменных имён (DNS) пару айпишников OpenDNS – вот и всё, что надо для начала использования высоконадёжной и, главное, безопасной инфраструктуры фильтрации угроз на базе DNS-запросов.
Как работает облачная безопасность от OpenDNS?
Обращаясь к сайтам в сети Интерент, вы чаще всего пользуетесь доменными именами. Пример - www.cisco.com — такое название просто запомнить, но за каждым таким названием скрывается цифровой адрес (или несколько) тех серверов, где размещён веб-сайт. При обращении на неблагонадёжные сайты инфраструктура OpenDNS поймёт это по своей огромной базе репутации и заблокирует доступ. Всё просто и эффективно.
Как начать пользоваться услугами OpenDNS?
Для корпоративных пользователей доступен сервис облачной фильтрации, визуализации и расследования. Подписка на такой сервис позволит выстроить первый эшелон защиты вашего предприятия на уровне глобальной инфраструктуры DNS-серверов. Со всеми деталями, включая ценообразование, вам помогут специалисты ближайшего офиса Cisco.
Совершенно бесплатно можно прописать пару адресов DNS-серверов OpenDNS:
- 208.67.222.222
- 208.67.220.220
Вы будете пользоваться надёжным сервисом DNS. Облако будет накапливать знания о направленных на вашу организацию угрозах. Когда решите использовать сервис по полной – знания о направленных на вас атаках помогут быстрее и качественнее противостоять злоумышленникам. Решение можно бесплатно протестировать в течение двух недель.
Что мне лично может дать OpenDNS?
Возможно, вам знакомы такого рода проблемы?
- Вечерком (когда все поужинали и сели в Интернете посёрфить) ваш провайдер высокоскоростного доступа становится провайдером раздражения – сайты грузятся медленно, общее впечатление от использования Интернета как при работе с мобилки на GPRS. Одна из причин – загруженность DNS-инфраструктуры провайдера. Каждый баннер «живёт» по своему адресу на одной общей страничке. В результате подгрузка страницы целиком занимает слишком много времени в час пик.
- Компьютер/планшет с Интернетом в руки ребёнку давать страшно. Слишком много там всего того, что точно не для детей. Начиная от интерент-мошенников и заканчивая «взрослыми сайтами». Ещё есть много таких ресурсов, о вреде которых узнаёшь только уже наткнувшись, а хотелось бы загодя. Или лучше вообще не натыкаться.
- Бывает так, что единственным средством «полечить» плохой доступ к Интернету – поставить альтернативные DNS-ы от компании Google. Как правило, заветные 8.8.8.8 откликаются всегда, но скорость отклика от них – ещё одна проблема. Всё работает, но работает слишком медленно – вот обратная сторона медали.
Есть простой выход – воспользоваться инфраструктурой облачного (глобально доступного) провайдера услуг DNS.
OpenDNS уже много лет оттачивает как уровень сервиса, так и свои подходы к обеспечению безопасности своих клиентов.
Очевидно же, что компания, которая специализируется на предоставлении такого рода услуг, сможет обеспечить сервис более высокого качества, чем те, у кого такие сервисы – побочная услуга.
OpenDNS для дома и небольших организаций
Интересный момент. Компания OpenDNS предоставляет услуги не только большим организациям на платной основе. Для каждого домашнего пользователя доступны сервисы OpenDNS, которые можно получить абсолютно бесплатно.
Самый простой вариант бесплатного домашнего сервиса – FamilyShield.
Достаточно просто установить пару IP-адресов с преднастроенной фильтрацией небезопасного и недетского контента:
- 208.67.222.123
- 208.67.220.123
Вот и всё! Теперь вы и ваш ребёнок под крылом облачной защиты от коварных интернет-ресурсов, которые так и норовят подорвать все ваши старания по защите вашего чада от превратностей этого самого Интернета.
Сервис OpenDNS Home требует регистрации. Он также бесплатен, но благодаря тому, что у вас появится своя учётка на OpenDNS, вы сможете настраивать параметры доступа и фильтрации самостоятельно.
Естественно, есть и платный OpenDNS Home VIP-пакет услуг, но это уже для тех, кому пакет бесплатных услуг окажется недостаточным.
Внимание: NO ROCKET SCIENCE!!! – всё слишком просто, очень удобно и, главное, надёжно.
Безопасного вам Интернета!
Комментарии (16)
claymen
16.08.2016 21:24Еще стоит отметить тот факт что:
1. Ростелеком втихушку, NAT-ит абонентов, выдавая то белые, то серые адреса (100.64.0.0/10)
2. Сотовые компании сидят за NATом давно…
И те и другие чего то ждут, но упорно не дают ipv6 даже по большой просьбе…craterman
17.08.2016 14:06-1Ну дадут вам IPv6. И толку? В Интернете всего 20% автономных систем анонсируют IPv6 префиксы. Большая часть сервисов доступна только по IPv4 адресам.
aleksashka
17.08.2016 14:24ИМХО так себе аргумент. Получается как-то так:
Провайдер: И толку? Зачем IPv6, если клиентов/серверов мало?
Админы: И толку? Зачем IPv6, если клиентов/провайдеров мало?
Клиенты: И толку? Зачем IPv6, если провайдеров/серверов мало?craterman
17.08.2016 14:45+1Да это не аргумент а констатация факта. А на счёт сложившейся ситуации абсолютно с вами согласен. Примерно из-за таких измышлений мы до сих пор не похороним IPv4. Но главное, что сдерживает повсеместное внедрение IPv6 — отсутствие коммерческой выгоды.
nevzorofff
17.08.2016 14:01+1D:\Users\Nikolay>ping 8.8.8.8
Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=25мс TTL=57
Ответ от 8.8.8.8: число байт=32 время=24мс TTL=57
Ответ от 8.8.8.8: число байт=32 время=23мс TTL=57
Это правда медленно?
А это быстро, да?
D:\Users\Nikolay>ping 208.67.222.222
Обмен пакетами с 208.67.222.222 по с 32 байтами данных:
Ответ от 208.67.222.222: число байт=32 время=62мс TTL=58
Ответ от 208.67.222.222: число байт=32 время=61мс TTL=58
Ответ от 208.67.222.222: число байт=32 время=62мс TTL=58
maxzhurkin
17.08.2016 14:07Сказки про трещащие по швам от нагрузки сервера служб DNS провайдеров появились больше 10 лет назад вместе с первыми подобными публичными сервисами и, с тех пор не меняясь, кочуют из текста в текст. До каких же пор?
askbow
17.08.2016 14:29Я пользовался OpenDNS раньше, до приобретения их Сиско. Для маленького офиса, на самом деле, это было неплохим решением. Не столько для форсирования политик (не нужно это в небольшой компании), сколько для мониторинга: они присылали алерты, если были обращения к известным доменам мальвари. Пару раз помогало.
Обычно всё было неплохо, плюс какая-то статистика в отчётах в панельке. Красота.
Потом я начал замечать, что они на некоторые запросы возвращали свои собственные адреса, вместо тех, которые я ожидал.
Это breach of trust, и с тех пор отказался от использования этого сервиса.
Acid_Jack
17.08.2016 15:35Хорошая попытка, но нет. Только свой рекурсер.
Предпочтитаю связку unbound+dnsmasq.
dmitry_ch
17.08.2016 15:59> Безусловно, это одна из самых громких и удачных покупок в области информационной безопасности.
> Для клиентов Cisco – это беспрецедентная возможность очень просто и быстро повысить уровень безопасности всей организации
Правильно написать: это одна из немногих компаний, имеющая шанс не загнуться после покупки Циской. Циска, большая и развитая, не осилила завести свой реестр сайтов и создать такой сервис. Более того, не осилила даже в свои корпоративные продукты встроить подобную проверку (даже взяв списки у OpenDNS.
В общем, ловко признались в бессилии. Неужели не получилось нагнать индусов и сделать свое?
P.S. И, да, статья не отвечает на простые вопросы: можно ли верить Cisco в смысле поддержания проекта (судя по комментам и опыту — нет), и есть ли вера, что высокодоступные серверы DNS от OopenDNS останутся высокодоступными и под именем Cisco?
P.P.S. OpenDNS Home VIP — ура, я уже думал, что Cisco себе изменила, ан нет!
Ivan_83
У кошатников уже была пара своих открытых резолверов, для тех кто настраивает всё по мануалам не слишком вникая :)
Раньше вместо NXDOMAIN (не существовании имени) опен днс всегда возвращал адрес своего сервака где крутился их поиск с рекламой.
Теперь по порядку.
1. Скорость открытия сайта оно очень вряд ли увеличит.
2. Писать что это быстрее чем 8.8.8.8 — явно враки в >90% случаев.
3. Для фильтрации детям есть ещё куча сервисов, например скайднс и вроде у яндекса было. Но это вообще сильно отдельная тема про воспитание, и днс тут одно из хреновых средств с технической точки зрения.
4. Сдаётся мне что домашнему юзеру/организации нужен статический IP либо ставить какую то софтину, иначе опенднс не сможет отличить клиента и фильтрации не будет.
И как всегда о приватности.
Прописывая 8.8.8.8, опенднс, яндекс днс и пр вы самолично сливаете им имена всех сайтов и прочих ресурсов с которыми вы взаимодействуете.
Таким образом можно отслеживать даже мобильных юзеров, по «отпечаткам» из доменных имён.
Для гугля, опенднс и прочих вы никто и они могут и будут делать с этой информацией всё что захотят.
Не используйте чужие рекусеры для себя и тем более в организациях, берегите приватность с молоду :)
Если нужен качественный рекурсер — ставьте unbound, он даже для венды есть.
Там и валидация ответов DNSSec и кеширование (для ускорения инета), и фильтрация и даже есть приватность запросов: это новая опция чтобы, например, при резолве mail.ru отправлять на корневые сервера запрос на .ru, а серверам зоны ru уже пойдёт полностью весь запрос. Те минимизация информации в запросе.
aleksashka
Добавлю статистики:
Ping statistics for 8.8.8.8: Minimum = 61ms, Maximum = 65ms, Average = 62ms
Ping statistics for 77.88.8.7: Minimum = 61ms, Maximum = 69ms, Average = 63ms
Ping statistics for 208.67.222.222: Minimum = 98ms, Maximum = 146ms, Average = 104ms
Ну и DNS от Yandex работает без регистрации и смс (сам, правда, пользуюсь bind'ом, а не готовыми внешними сервисами), да ещё и в v6 резолвит :):
> nslookup xxx.com 77.88.8.7
Server: family.dns.yandex.ru
Address: 77.88.8.7
Non-authoritative answer:
Name: xxx.com
Addresses: 2a02:6b8::b10c:babe
93.158.134.250