Безусловно, это одна из самых громких и удачных покупок в области информационной безопасности. Для клиентов Cisco – это беспрецедентная возможность очень просто и быстро повысить уровень безопасности всей организации. Добавляем в качестве внешних серверов разрешения доменных имён (DNS) пару айпишников OpenDNS – вот и всё, что надо для начала использования высоконадёжной и, главное, безопасной инфраструктуры фильтрации угроз на базе DNS-запросов.
Как работает облачная безопасность от OpenDNS?
Обращаясь к сайтам в сети Интерент, вы чаще всего пользуетесь доменными именами. Пример - www.cisco.com — такое название просто запомнить, но за каждым таким названием скрывается цифровой адрес (или несколько) тех серверов, где размещён веб-сайт. При обращении на неблагонадёжные сайты инфраструктура OpenDNS поймёт это по своей огромной базе репутации и заблокирует доступ. Всё просто и эффективно.
Как начать пользоваться услугами OpenDNS?
Для корпоративных пользователей доступен сервис облачной фильтрации, визуализации и расследования. Подписка на такой сервис позволит выстроить первый эшелон защиты вашего предприятия на уровне глобальной инфраструктуры DNS-серверов. Со всеми деталями, включая ценообразование, вам помогут специалисты ближайшего офиса Cisco.
Совершенно бесплатно можно прописать пару адресов DNS-серверов OpenDNS:
- 208.67.222.222
- 208.67.220.220
Вы будете пользоваться надёжным сервисом DNS. Облако будет накапливать знания о направленных на вашу организацию угрозах. Когда решите использовать сервис по полной – знания о направленных на вас атаках помогут быстрее и качественнее противостоять злоумышленникам. Решение можно бесплатно протестировать в течение двух недель.
Что мне лично может дать OpenDNS?
Возможно, вам знакомы такого рода проблемы?
- Вечерком (когда все поужинали и сели в Интернете посёрфить) ваш провайдер высокоскоростного доступа становится провайдером раздражения – сайты грузятся медленно, общее впечатление от использования Интернета как при работе с мобилки на GPRS. Одна из причин – загруженность DNS-инфраструктуры провайдера. Каждый баннер «живёт» по своему адресу на одной общей страничке. В результате подгрузка страницы целиком занимает слишком много времени в час пик.
- Компьютер/планшет с Интернетом в руки ребёнку давать страшно. Слишком много там всего того, что точно не для детей. Начиная от интерент-мошенников и заканчивая «взрослыми сайтами». Ещё есть много таких ресурсов, о вреде которых узнаёшь только уже наткнувшись, а хотелось бы загодя. Или лучше вообще не натыкаться.
- Бывает так, что единственным средством «полечить» плохой доступ к Интернету – поставить альтернативные DNS-ы от компании Google. Как правило, заветные 8.8.8.8 откликаются всегда, но скорость отклика от них – ещё одна проблема. Всё работает, но работает слишком медленно – вот обратная сторона медали.
Есть простой выход – воспользоваться инфраструктурой облачного (глобально доступного) провайдера услуг DNS.
OpenDNS уже много лет оттачивает как уровень сервиса, так и свои подходы к обеспечению безопасности своих клиентов.
Очевидно же, что компания, которая специализируется на предоставлении такого рода услуг, сможет обеспечить сервис более высокого качества, чем те, у кого такие сервисы – побочная услуга.
OpenDNS для дома и небольших организаций
Интересный момент. Компания OpenDNS предоставляет услуги не только большим организациям на платной основе. Для каждого домашнего пользователя доступны сервисы OpenDNS, которые можно получить абсолютно бесплатно.
![](https://habrastorage.org/files/89e/1fc/b59/89e1fcb59bbf4f7bbffa25f2db8fa557.png)
Самый простой вариант бесплатного домашнего сервиса – FamilyShield.
Достаточно просто установить пару IP-адресов с преднастроенной фильтрацией небезопасного и недетского контента:
- 208.67.222.123
- 208.67.220.123
Вот и всё! Теперь вы и ваш ребёнок под крылом облачной защиты от коварных интернет-ресурсов, которые так и норовят подорвать все ваши старания по защите вашего чада от превратностей этого самого Интернета.
Сервис OpenDNS Home требует регистрации. Он также бесплатен, но благодаря тому, что у вас появится своя учётка на OpenDNS, вы сможете настраивать параметры доступа и фильтрации самостоятельно.
Естественно, есть и платный OpenDNS Home VIP-пакет услуг, но это уже для тех, кому пакет бесплатных услуг окажется недостаточным.
Внимание: NO ROCKET SCIENCE!!! – всё слишком просто, очень удобно и, главное, надёжно.
Безопасного вам Интернета!
Комментарии (16)
claymen
16.08.2016 21:24Еще стоит отметить тот факт что:
1. Ростелеком втихушку, NAT-ит абонентов, выдавая то белые, то серые адреса (100.64.0.0/10)
2. Сотовые компании сидят за NATом давно…
И те и другие чего то ждут, но упорно не дают ipv6 даже по большой просьбе…craterman
17.08.2016 14:06-1Ну дадут вам IPv6. И толку? В Интернете всего 20% автономных систем анонсируют IPv6 префиксы. Большая часть сервисов доступна только по IPv4 адресам.
aleksashka
17.08.2016 14:24ИМХО так себе аргумент. Получается как-то так:
Провайдер: И толку? Зачем IPv6, если клиентов/серверов мало?
Админы: И толку? Зачем IPv6, если клиентов/провайдеров мало?
Клиенты: И толку? Зачем IPv6, если провайдеров/серверов мало?craterman
17.08.2016 14:45+1Да это не аргумент а констатация факта. А на счёт сложившейся ситуации абсолютно с вами согласен. Примерно из-за таких измышлений мы до сих пор не похороним IPv4. Но главное, что сдерживает повсеместное внедрение IPv6 — отсутствие коммерческой выгоды.
nevzorofff
17.08.2016 14:01+1D:\Users\Nikolay>ping 8.8.8.8
Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время=25мс TTL=57
Ответ от 8.8.8.8: число байт=32 время=24мс TTL=57
Ответ от 8.8.8.8: число байт=32 время=23мс TTL=57
Это правда медленно?
А это быстро, да?
D:\Users\Nikolay>ping 208.67.222.222
Обмен пакетами с 208.67.222.222 по с 32 байтами данных:
Ответ от 208.67.222.222: число байт=32 время=62мс TTL=58
Ответ от 208.67.222.222: число байт=32 время=61мс TTL=58
Ответ от 208.67.222.222: число байт=32 время=62мс TTL=58
maxzhurkin
17.08.2016 14:07Сказки про трещащие по швам от нагрузки сервера служб DNS провайдеров появились больше 10 лет назад вместе с первыми подобными публичными сервисами и, с тех пор не меняясь, кочуют из текста в текст. До каких же пор?
askbow
17.08.2016 14:29Я пользовался OpenDNS раньше, до приобретения их Сиско. Для маленького офиса, на самом деле, это было неплохим решением. Не столько для форсирования политик (не нужно это в небольшой компании), сколько для мониторинга: они присылали алерты, если были обращения к известным доменам мальвари. Пару раз помогало.
Обычно всё было неплохо, плюс какая-то статистика в отчётах в панельке. Красота.
Потом я начал замечать, что они на некоторые запросы возвращали свои собственные адреса, вместо тех, которые я ожидал.
Это breach of trust, и с тех пор отказался от использования этого сервиса.
Acid_Jack
17.08.2016 15:35Хорошая попытка, но нет. Только свой рекурсер.
Предпочтитаю связку unbound+dnsmasq.
dmitry_ch
17.08.2016 15:59> Безусловно, это одна из самых громких и удачных покупок в области информационной безопасности.
> Для клиентов Cisco – это беспрецедентная возможность очень просто и быстро повысить уровень безопасности всей организации
Правильно написать: это одна из немногих компаний, имеющая шанс не загнуться после покупки Циской. Циска, большая и развитая, не осилила завести свой реестр сайтов и создать такой сервис. Более того, не осилила даже в свои корпоративные продукты встроить подобную проверку (даже взяв списки у OpenDNS.
В общем, ловко признались в бессилии. Неужели не получилось нагнать индусов и сделать свое?
P.S. И, да, статья не отвечает на простые вопросы: можно ли верить Cisco в смысле поддержания проекта (судя по комментам и опыту — нет), и есть ли вера, что высокодоступные серверы DNS от OopenDNS останутся высокодоступными и под именем Cisco?
P.P.S. OpenDNS Home VIP — ура, я уже думал, что Cisco себе изменила, ан нет!
Ivan_83
У кошатников уже была пара своих открытых резолверов, для тех кто настраивает всё по мануалам не слишком вникая :)
Раньше вместо NXDOMAIN (не существовании имени) опен днс всегда возвращал адрес своего сервака где крутился их поиск с рекламой.
Теперь по порядку.
1. Скорость открытия сайта оно очень вряд ли увеличит.
2. Писать что это быстрее чем 8.8.8.8 — явно враки в >90% случаев.
3. Для фильтрации детям есть ещё куча сервисов, например скайднс и вроде у яндекса было. Но это вообще сильно отдельная тема про воспитание, и днс тут одно из хреновых средств с технической точки зрения.
4. Сдаётся мне что домашнему юзеру/организации нужен статический IP либо ставить какую то софтину, иначе опенднс не сможет отличить клиента и фильтрации не будет.
И как всегда о приватности.
Прописывая 8.8.8.8, опенднс, яндекс днс и пр вы самолично сливаете им имена всех сайтов и прочих ресурсов с которыми вы взаимодействуете.
Таким образом можно отслеживать даже мобильных юзеров, по «отпечаткам» из доменных имён.
Для гугля, опенднс и прочих вы никто и они могут и будут делать с этой информацией всё что захотят.
Не используйте чужие рекусеры для себя и тем более в организациях, берегите приватность с молоду :)
Если нужен качественный рекурсер — ставьте unbound, он даже для венды есть.
Там и валидация ответов DNSSec и кеширование (для ускорения инета), и фильтрация и даже есть приватность запросов: это новая опция чтобы, например, при резолве mail.ru отправлять на корневые сервера запрос на .ru, а серверам зоны ru уже пойдёт полностью весь запрос. Те минимизация информации в запросе.
aleksashka
Добавлю статистики:
Ping statistics for 8.8.8.8: Minimum = 61ms, Maximum = 65ms, Average = 62ms
Ping statistics for 77.88.8.7: Minimum = 61ms, Maximum = 69ms, Average = 63ms
Ping statistics for 208.67.222.222: Minimum = 98ms, Maximum = 146ms, Average = 104ms
Ну и DNS от Yandex работает без регистрации и смс (сам, правда, пользуюсь bind'ом, а не готовыми внешними сервисами), да ещё и в v6 резолвит :):
> nslookup xxx.com 77.88.8.7
Server: family.dns.yandex.ru
Address: 77.88.8.7
Non-authoritative answer:
Name: xxx.com
Addresses: 2a02:6b8::b10c:babe
93.158.134.250