Отдел продаж
8 800 555 33 40
Техническая поддержка
+7 (495) 662 87 34
icq: 563-191-479
тел.: +7 (495) 987 32 70
обратный звонок

Настройка фильтрации с помощью DNS в Ideco ICS

В новой версии Ideco ICS 5.6.0 нашими разработчиками был проведен рефакторинг DNS-сервера.

Теперь настраивать DNS на сервере стало значительно проще, в общем случае не нужно вообще никаких настроек. Гораздо удобнее стало использовать наш продукт с интернет-сервисами, предоставляющими услуги фильтрации трафика через DNS. Зачем это нужно и как воспользоваться этой возможностью рассказывается в данной статье.

Что такое DNS:

Domain Name System (система доменных имён) - это адресная книга Интернета, где каждому домену сопоставлен цифровой адрес. Например наш сайт, ideco.ru - живет по адресу 46.182.31.10.
Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS.

Настройка фильтрации с помощью DNS-серверов в Ideco ICS:

По умолчанию настраивать DNS-сервер в Ideco ICS не нужно. Нет необходимости даже в указании адресов dns-серверов в настройках интерфейсов. Наш сервер будет запрашивать сопоставление доменных имен через корневые dns-серверы интернета.

Но для фильтрации трафика и обеспечения безопасности интернета можно использовать не только средства нашего интернет-шлюза, но и внешние фильтрующие dns-сервисы, такие как SkyDNS, Яндекс.DNS, OpenDNS и другие.

Чем это может быть полезно:

  • Защита от зараженных сайтов.
    Злоумышленники создают сайты, содержащие вредоносные скрипты, заражающие компьютеры. Также они взламывают хорошие сайты и устанавливают вредоносные скрипты на них. В контент‑фильтре Ideco ICS есть специальная категория для блокировки таких сайтов, также трафик может проверяться на вирусы на шлюзе, но дополнительная защита от этих угроз, тем более с помощью круглосуточно обновляемых облачных сервисов, не помешает.
  • Защита от бот-сетей.
    Злоумышленники создают сети из чужих компьютеров для использования их в нелегальной деятельности: DDoS-атак серверов, рассылки спама, похищения паролей от интернет-банков и сервисов и других целей. Для получения инструкций программа-бот подключается к управляющим серверам. DNS-фильтрация позволяет ограничить доступ к выявленным серверам для управления бот-сетями. Таким образом, даже если компьютер заражен вредоносной программой, злоумышленники не смогут им управлять.
  • Защита от нежелательных сайтов.
    Яндекс.DNS позволяет заблокировать доступ к сайтам эротического и порнографического характера. SkyDNS предоставляет более широкие возможности для настроек - больше 50 категорий сайтов. Все это может служить хорошим дополнением к стандартному и расширенному контент-фильтру, встроенному в Ideco ICS, для повышения качества фильтрации нежелательного контента.

Настроить фильтрацию через сторонние DNS-сервера на Ideco ICS очень просто:

1. Достаточно прописать выбранный DNS-сервер в настройках:

настройка DNS-сервера в Ideco

В случае, если у вас внутри локальной сети, либо внутри сети провайдера, есть внутренняя dns-зона, не обслуживаемая внешними dns-серверами (например, есть домен Active Directory), нужно прописать ее в Forward-зонах.

2. На всех устройствах, которые требуется защитить, в качестве единственного DNS-сервера должен быть прописан ip-адрес Ideco ICS.

Пользователи, получающие адреса автоматически через DHCP-сервер Ideco ICS, либо авторизующиеся по VPN-подключению, получают нужные настройки автоматически. Остальным нужно прописать их вручную (либо настроить нужные параметры на стороннем DHCP-сервере).

Дополнительно можно запретить пользователям сети использовать внешние DNS-серверы (чтобы никто не мог обойти защиту, указав другой dns-сервер на локальном устройстве).

Проще всего это сделать через системный фаервол, указав следующее правило (разместив его выше всех разрешающих правил):

Если необходимо разрешить кому-нибудь использовать сторонние dns-сервера для обхода фильтрации, можно создать разрешающие правила для этих компьютеров, разместив их выше этого запрещающего правила.

3. При использовании динамического ip-адреса на внешнем интерфейсе сервера можно без дополнительных настроек использовать фильтрацию Яндекс.DNS и других сервисов, у которых для разных уровней фильтрации используются разные DNS-сервера. В случае использования SkyDNS с единым DNS-сервером и возможностью настроек доступа по категориям сайтов, необходимо установить SkyDNS Agent на один из компьютеров или windows-серверов локальной сети.

4. Настройка запрещенных категорий доступа настраивается на сайтах, предоставляющих услуги dns-фильтрации. Для Яндекс.DNS вы просто выбираете DNS-сервер, обеспечивающий необходимый вам уровень защиты. В случае использования SkyDNS - регистрируетесь на сайте и запрещаете выбранные категории сайтов в личном кабинете.

Комплект Ideco ICS + SkyDNS

Специально для школ наша компания совместно с сервисом SkyDNS предлагает комплект «Интернет-шлюз Ideco ICS + контент-фильтр SkyDNS», обеспечивающий максимальную защиту сети с учетом требований российских законов и методик фильтрации, рекомендованных Министерством образования РФ. Подробнее о преимуществах и ценах на комплект можно узнать в специальном разделе.