DNS w służbie bezpieczeństwa

Podstawowym zadaniem systemu DNS jest tłumaczenie adresów stron internetowych na adresy IP. Niewiele osób wie, że ten mechanizm może skutecznie chronić przed botnetami, nachalną reklamą, phishingiem czy innymi zagrożeniami.

W praktyce wyróżniamy dwa główne typy serwerów DNS: autorytatywne i rekursywne (podrzędne). Większość małych firm czy użytkowników indywidualnych korzysta z serwerów rekursywnych. Jest to standardowa usługa oferowana przez większość dostawców Internetu. Wszystkie opisywane w tym artykule firmy oferują serwery rekursywne, a niektóre z nich udostępniają również usługę autorytatywnych serwerów DNS, które umożliwiają właścicielom stron internetowych definiowanie adresów IP przyporządkowanych do ich nazw domen oraz zarządzanie ustawieniami DNS.

Serwery DNS są niezbędnym mechanizmem w komunikacji między przeglądarką internetową a serwerami WWW. Jest wiele różnych firm oferujących usługi DNS wyposażone w dodatkowe funkcje przydatne zarówno dla użytkowników końcowych, jak i dla administratorów sieci. Są to najczęściej:

Zobacz również:

  • filtrowanie treści – DNS umożliwia łatwe blokowanie niechcianych treści bez instalowania jakiegokolwiek oprogramowania w urządzeniu końcowym;
  • blokowanie szkodliwego oprogramowania – mechanizm blokowania niepożądanych treści można zastosować również w celu odcięcia dostępu do stron internetowych zawierających szkodliwe oprogramowanie;
  • ochrona przed botnetami – polega na blokowaniu ruchu przychodzącego ze znanych serwerów kontrolujących botnety, co uniemożliwia przejęcie kontroli nad chronionym urządzeniem;
  • blokowanie reklam – jest to kolejny typ filtrowania, na którym koncentrują się niektóre usługi DNS;
  • autokorekta adresów URL – serwer DNS może automatycznie kierować do właściwych stron internetowych w przypadku typowych pomyłek, np. adres gogle.com zaprowadzi do google.com.

Wiele usług oferujących takie możliwości jest w całości bezpłatnych lub oferuje bezpłatnie wybrane funkcje, które mogą okazać się przydatne. Ponieważ jest bardzo wiele usług DNS, wybraliśmy tylko te, które mają wstępnie skonfigurowane funkcje filtrowania treści. Przy okazji opisujemy, co dzieje się, gdy użytkownik próbuje odwiedzić zablokowaną stronę. To istotne, bo czasem zamiast prostego komunikatu pojawia się strona pełna reklam.

Zmiana rekursywnego serwera DNS, z którego korzystamy, jest prosta. Wystarczy zmienić jego adres w urządzeniu końcowym lub w przypadku automatycznego pobierania ustawień sieciowych wprowadzić nowy adres serwera DNS w urządzeniu pełniącym rolę serwera DHCP. Bez dalszych ingerencji będzie można korzystać z fabrycznej konfiguracji nowego serwera DNS, np. filtrowania treści.

Trzeba pamiętać, że poziom dostępności (niezawodność) i wydajności serwerów DNS jest różna. Opóźnienia w tłumaczeniu nazw będą odczuwalne jako wolniejsze otwieranie stron WWW. Można przeprowadzić test szybkości działania serwerów DNS, aby porównać ich wydajność. Polecamy do tego celu narzędzie namebench.

Comodo Secure DNS

www.comodo.com/secure-dns

Bezpłatny: dla użytkowników prywatnych

Adresy DNS: 8.26.56.26 oraz 8.20.247.20

Comodo Secure DNS to prosta usługa oferująca prekonfigurowane filtry blokujące dostęp do podejrzanych stron WWW, np. zawierających szkodliwe oprogramowanie czy służących wyłudzaniu poufnych danych (phishing). Dodatkowo firma chwali się większą szybkością i niezawodnością w porównaniu do serwerów DNS prowadzonych przez dostawców Internetu (ISP). Comodo sprzedaje również usługę autorytatywnego DNS dla stron internetowych oraz wiele innych rozwiązań bezpieczeństwa, jak certyfikaty SSL, bezpieczna usługa e-mail czy antywirus.

Comodo Secure DNS wyświetla specjalną stronę z ostrzeżeniem, gdy zablokuje dostęp do jakiejś witryny. Komunikat wyjaśnia powody zablokowania dostępu i umożliwia użytkownikowi zignorowanie blokady. Jeśli strona poszukiwana przez użytkownika nie zostanie znaleziona, wyświetli się strona Comodo Secure DNS Search. Zawiera ona sugestię co do sposobu odnalezienia poszukiwanej witryny i zwraca wyniki wyszukiwania dla tych wraz z wyszukiwarki Yahoo. Jednak mechanizm ten ma poważną wadę – zwraca tylko sponsorowane wyniki.

Dyn Internet Guide

dyn.com/labs/dyn-internet-guide

Bezpłatny: dla użytkowników prywatnych i firm

Adresy DNS: 216.146.35.35 oraz 216.146.36.36

Dyn Internet Guide to bezpłatna usługa, która automatycznie blokuje dostęp do stron służących wyłudzaniu danych lub zawierających szkodliwy kod. Poprawia typowe błędy popełniane podczas wpisywania adresów stron WWW. Oferuje również autorytatywny serwer DNS. Dodatkowo Dyn umożliwia użytkownikowi definiowanie własnych filtrów, ale wymaga to założenia konta. Można blokować do 30 predefiniowanych kategorii oraz tworzyć czarne i białe listy. Oprócz bezpłatnej, podstawowej usługi, użytkownicy mogą skorzystać z kilku wariantów płatnych subskrypcji oferujących dodatkowe możliwości.

W przypadku blokady dostępu pojawia się komunikat informujący, dlaczego uniemożliwiono dostęp do danej witryny internetowej. Użytkownik może jednak zignorować blokadę, jeśli ma takie życzenie. Ominięcie blokady nie jest możliwe, jeśli dana strona znalazła się na czarnej liście bądź została zakwalifikowana do blokowanej kategorii.

W przypadku nieistniejących domen użytkownik jest domyślnie kierowany na stronę wyszukiwania, na której otrzymuje listę stron o podobnej tematyce wyświetlanej w formie przypominającej wyniki wyszukiwania Google.


TOP 200