Фильтрация dns что это

Обновлено: 07.07.2024

У Яндекса — более 80 DNS-серверов, расположенных в разных городах и странах. Запросы каждого пользователя обрабатывает ближайший к нему сервер, поэтому с Яндекс.DNS в «Базовом» режиме сайты открываются быстрее.

Защита от опасных сайтов

Некоторые сайты в интернете содержат вредоносный код, способный заразить компьютер. Иногда вирус можно подхватить и на проверенном сайте. Другие страницы созданы злоумышленниками, чтобы красть пароли и данные или вытягивать деньги с телефонных счетов. При попытке открыть такой сайт Яндекс.DNS в «Безопасном» и «Семейном» режиме остановит загрузку данных и покажет пользователю предупреждение. В Яндекс.DNS используется собственный антивирус, работающий на алгоритмах Яндекса и сигнатурной технологии Sophos.

Защита от «взрослых» материалов

Многие пользователи хотят оградить себя или своих детей от сайтов для взрослых. Алгоритмы семейного поиска Яндекса умеют выявлять эротику и порно. При открытии порносайта на компьютере или в сети с Яндекс.DNS в «Семейном» режиме пользователь увидит только заглушку.

Защита от ботов

Сегодня злоумышленники создают целые сети из чужих компьютеров, чтобы с их помощью атаковать сервера, взламывать украденные пароли, рассылать спам. Пользователь обычно и не подозревает, что его компьютер состоит в такой сети — программа-бот никак не проявляет себя. Для получения инструкций боты подключаются к специальным управляющим серверам. Яндекс.DNS в «Безопасном» и «Семейном» режимах блокирует попытки соединения с такими серверами — даже если компьютер заражён, злоумышленники не смогут им управлять. Данные о действующих сетях ботов и управляющих серверах предоставляет система Virus Tracker.

Что такое DNS

Каждый раз, когда вы заходите на веб-страницу, браузер ищет её адрес в системе DNS. Чем быстрее работает ближайший к вам DNS-сервер, тем быстрее откроется сайт.

Яндекс.DNS в домашней сети или на отдельном устройстве:

Как настроить Яндекс.DNS в сети Wi-Fi

Защищена вся домашняя сеть. В настройках роутера можно отдельно выбрать режим работы Яндекс.DNS для каждого компьютера и мобильного устройства. Сменить настройки может только пользователь с паролем.

Чтобы лучше понимать DNS-фильтрацию, надо сначала ответить на вопрос "Что такое DNS"?

Что такое DNS?

DNS расшифровывается как "Domain name system", или "Система доменных имён". Её цель — переводить имена доменов, понятные человеку, в нечто, что понятно браузерам, т.е. в IP-адреса. Таким образом, каждый раз, когда вы переходите на сайт, ваш браузер посылает запрос на специальный сервер (DNS-сервер). Этот сервер смотрит на имя запрашиваемого домена и отвечает соответствующим IP-адресом. Очень схематично это выглядит так:


Всё то же самое применимо, разумеется, и к приложениям и программам, которые посылают какие-либо веб-запросы, а не только к браузерам.

Как работает DNS-фильтрация?


DNS-фильтрация — это мощный инструмент, который поддерживается всеми основными приложениями AdGuard: AdGuard для Windows, AdGuard для Mac, AdGuard для Android и AdGuard для iOS.

DNS-фильтрация может быть условно разделена на две основные функции: шифрование DNS-трафика и его перенаправление на DNS-сервер, а также блокировка определённых доменов с помощью локальных DNS-фильтров.

DNS-серверы


Другие DNS-провайдеры могут работать иначе, так что узнайте все подробности перед тем, как делать выбор в пользу того или иного сервера. Вы можете найти список некоторых популярных DNS-провайдеров в этой статье. Все приложения AdGuard, которые поддерживают DNS-функционал, также предоставляют на выбор список проверенных DNS-серверов и даже дают возможность вручную указать любой предпочитаемый вами DNS-сервер.

Локальные DNS-фильтры

Но если полагаться только на DNS-серверы в вопросе фильтрации DNS-трафика, то неизбежны потери в гибкости. Если выбранный сервер блокирует какой-либо домен, вы не сможете на него перейти, пока не переключитесь на другой сервер. С AdGuard же вам даже не обязательно настраивать какой-то конкретный DNS-сервер, чтобы фильтровать DNS-трафик. Все продукты AdGuard позволяют добавлять локальные DNS-фильтры, будь то простые файлы hosts или фильтры, использующие более сложный DNS-синтаксис. Они работают сходным образом с обычными рекламными фильтрами: когда DNS-запрос подходит под одно из правил в активном фильтре, он блокируется. Чтобы быть более точным, перенаправляется "в никуда".

Чтобы получить доступ к DNS-фильтрации в AdGuard для iOS, вам сначала потребуется включить "Расширенный режим" в настройках.

Вы можете добавлять столько собственных DNS-фильтров, сколько захотите. Например, вы можете задействовать DNS-фильтр AdGuard. Он буквально блокирует всё то же самое, что и сервер AdGuard DNS, но в данном случае вы вольны использовать любой другой DNS-сервер. Плюс, при использовании данного метода вы можете добавить больше фильтров или же создать собственные правила-исключения. Всё это было бы невозможно в случае с использованием только DNS-сервера.

Существуют сотни различных DNS-фильтров, вы можете выбрать нужные вам здесь.

Сравнение DNS-фильтрации с сетевой фильтрацией

Мы называем сетевой фильтрацией "обычный" способ, которым самостоятельные приложения AdGuard (кроме браузерных расширений) фильтруют весь сетевой трафик, отсюда и название. Освежить знания о сетевой фильтрации можно, прочитав эту статью.

Во-первых, мы сразу хотим оговориться, что с AdGuard вам не нужно выбирать между ними. Вы всегда можете использовать обычную сетевую фильтрацию и DNS-фильтрацию одновременно. Однако важно понимать разницу между этими двумя подходами. DNS-фильтрация обладает как своими уникальными преимуществами, так и недостатками.

Команда AdGuard инвестирует много времени и усилий в разработку решений защиты конфиденциальности пользователей, и многие пользователи ценят продукты AdGuard именно по этой причине. Самым большим вызовом для разработчиков AdGuard является не только обеспечение эффективной защиты, но и предоставление ее любому пользователю, независимо от используемого устройства.

Как раз для этого был создан AdGuard DNS – DNS-служба с акцентом на защиту конфиденциальности, которая блокирует трекеры, рекламные блоки где угодно, будь то стационарные компьютеры, мобильные устройства или смарт-ТВ и устройства «Интернета вещей». Официальный запуск AdGuard DNS состоялся в прошлом году, 18 декабря 2018 года, спустя два года после начала разработки службы.

Что такое DNS?

Схематическое изображение работы DNS

Схематическое изображение работы DNS

На самом деле система DNS является более сложной, но этой информации достаточно, чтобы получить базовое понимание. Обычно ваш интернет-провайдер (или оператор используемой сети) сам решает, какой DNS-преобразователь следует использовать.

Проблема конфиденциальности DNS

Заметили ли вы проблему на схеме выше? Действительно, случайное лицо, которое предоставляет вам доступ в Интернет, знает каждый домен, который вы посетили и когда происходил сеанс посещения. Одно из исследований на практике продемонстрировало, что модель поведения, полученная путем анализа исключительно данных DNS, позволила правильно идентифицировать 86% пользователей.

DNS-трафик уязвим для злоумышленников

DNS-трафик уязвим для злоумышленников

К счастью, существуют эффективное решение данной проблемы. Почти все устройства, которые позволяют вам выходить в Интернет, также дают возможность выбрать собственный преобразователь DNS. Какой выбрать? На рынке доступно много различных вариантов, но не все из них ставят в приоритет конфиденциальность. AdGuard предлагает сервис, который не только сохранит ваши действия в Интернете в тайне, но и предоставит дополнительные возможности защиты от сетевых угроз.

Давайте подробнее рассмотрим AdGuard DNS и выясним, почему это один из самых безопасных для вас вариантов на сегодняшний день.

Тернистая дорога к безопасности

Выбор альтернативного DNS-резольвера является первым шагом для повышения конфиденциальности, но этого может быть недостаточно. Если никто не может иметь доступ к вашему DNS-трафику сейчас, это не значит, что никто не мог ранее. Протокол DNS совсем не новый, и тогда, когда он был разработан, стандарты конфиденциальности практически отсутствовали. В результате сегодня существует высокий риск того, что ваши DNS-запросы могут быть подслушаны или даже изменены злоумышленниками. Чтобы противостоять им, команда AdGuard приняла несколько действенных мер.

DNSCrypt

DNSCrypt стал первой попыткой обезопасить DNS-трафик от злоумышленников. Это специальный протокол, который зашифровывает связь между вашим устройством и DNS-сервером, защищая его от несанкционированного доступа и атак типа «человек посередине» (MITM-атаки). AdGuard DNS уже давно поддерживает эту технологию.

С AdGuard DNS ваш трафик защищен

С AdGuard DNS ваш трафик защищен

DNS-over-TLS

DNS-over-TLS или DoT – протокол шифрования DNS-запросов и передачи по TLS-протоколу. DoT более надежен, чем DNSCrypt. Все больше и больше DNS сервисов поддерживают его, и AdGuard с гордостью вступает в их ряды.

Стоит упомянуть, что начиная с Android 9, устройства Android имеют встроенную поддержку DNS-over-TLS. Вы можете настроить свой смартфон или планшет на использование этого протокола в несколько нажатий без необходимости установки какого-либо дополнительного программного обеспечения.

AdGuard DNS недавно получил поддержку DoH, которая выводит сервис на передний план защиты конфиденциальности. К сожалению, этот протокол все еще относительно новый, и способов применения его на вашем устройстве немного. Тем не менее, новая версия AdGuard для Android уже поддерживает эту опцию.

Другие меры защиты

Когда решена проблема с конфиденциальностью DNS, самое время подумать о других потенциальных угрозах. Ни для кого не секрет, что Интернет буквально кишит тысячами трекеров, которые следят за каждым вашим кликом, а затем используют эту информацию, чтобы нацелить вас на рекламу и создать цифровой отпечаток. Как с этим бороться? AdGuard DNS — это не только DNS-преобразователь, но и фильтр трафика. Всякий раз, когда ваше устройство отправляет «плохой» запрос для нужд рекламных блоков и трекеров, то вместо правильного IP-адреса DNS-сервер AdGuard ничего не вернет. Просто, но эффективно.

AdGuard DNS блокирует запросы к рекламным и отслеживающим доменам

AdGuard DNS блокирует запросы к рекламным и отслеживающим доменам

Наконец, AdGuard фактически предоставляет два варианта службы DNS – «По умолчанию» и «Семейный». Единственная разница между ними заключается в том, что в режиме «Семейный» дополнительно блокируется доступ к любому контенту, не предназначенному для детей, и принудительно используется параметр Safe Search в браузерах, которые поддерживают данную функцию.

Подводим итоги

Как же настроить AdGuard DNS? Укажите DNS-сервера для вашего подключения или прямо на маршрутизаторе, используя нашу инструкцию.

DNS сервера

94.140.14.14 и 94.140.15.15 для серверов «По умолчанию»

94.140.14.140 и 94.140.14.141 для серверов «Нефильтрующие»

94.140.14.15 и 94.140.15.16 для серверов «Семейный»

DNS-over-TLS

Помните, что AdGuard DNS – проект с открытым исходным кодом, как и все бесплатные продукты AdGuard. Компания считает чрезвычайно важным, чтобы услуги и продукты, которым вы доверяете защиту конфиденциальности данных, были максимально прозрачными и заслуживающими доверия. Чтобы просмотреть исходный код, узнать все о AdGuard DNS или даже оставить предложение, посетите репозиторий в GitHub.

Команда разработчиков надеется, что пользователям понравится AdGuard DNS. Они убеждены, что проект будет только расти. В будущем будет добавлено больше расположений серверов и новые дополнительные функции.

DNS работает как сетевая телефонная книга. Посещая определенный веб-сайт, пользователь вводит доменное имя сайта и легко получает к нему доступ. Однако только за кулисами происходит тот самый процесс, который и делает этот доступ возможным.

Фильтрация системы доменных имен (DNS) относится к процессу использования DNS для блокировки вредоносных, неподходящих и мошеннических веб-сайтов. Она гарантирует, что сеть пользователя остается защищенной от кибератак; это позволит ему лучше контролировать доступ сотрудников к Интернету, что приведет к повышению производительности всей компании.

Как это работает?

Если человек включил фильтрацию DNS в своей сети, то оценивается как его входящий, так и исходящий веб-трафик. В результате только безопасный трафик может попасть в его сеть или исходить из нее .

О чем именно идет речь?

Когда пользователь входит на домен сайта, включенное решение фильтрации системы доменных имен (DNS) будет фильтровать трафик между IP-адресом и запрашиваемой страницей. Затем тот же процесс фильтрации классифицирует сайты на такие, как новостные, социальные сети, неподходящие сайты, мошеннические сайты, вредоносные сайты, фишинговые кампании.

Таким образом, DNS-фильтр проверяет входящий и исходящий трафик и блокирует подозрительный, основываясь на определенных заданных параметрах. Он разрешает сети получать и отправлять только безопасный трафик. DNS-фильтр также может защитить Wi-Fi человека от эксплойтов, что является прекрасной дополнительной функцией программы.

Как фильтрация системы доменных имен (DNS) может помочь бизнесу в плане безопасности компании?

Фильтрация DNS усиливает безопасность бизнеса и повышает производительность сотрудников, ограничивая их доступ к непродуктивным сайтам.

Защита от кибератак

Любой бизнес подвержен риску кибератак, таких как фишинг, вымогательство, шпионское ПО, ботнеты, DDoS-атаки . Эти мошеннические нападения привели к убыткам миллионов компаний и нанесли ущерб их оффлайн- и онлайн-репутации, снизив количество постоянных клиентов.

Миллионы различных нарушений могут произойти за несколько минут. Не стоит волноваться: многие из них можно предотвратить, используя эффективное решение для фильтрации DNS.

Защита сети Wi-Fi

Фильтрация системы доменных имен (DNS) не ограничивается защитой только одной конкретной машины – она также защищает проводные сети, общедоступные точки доступа Wi-Fi и внутренний Wi-Fi.

Однако многие компании не принимают никаких мер безопасности или не устанавливают специальных фильтров для своих сетей Wi-Fi, что создает благоприятную среду для проведения онлайн-атак и внедрения вредоносных вирусов.

Если пользователь установит антивирусное программное обеспечение, риск уменьшится, но не исчезнет полностью. Антивирусники не спасут человека от атак, подобных вредоносным программам нулевого дня. Более того, подобные программы нужно часто обновлять, потому что их сведения о вирусах устаревают. Следует отметить, что DNS-фильтр в этом плане является более надежным решением.

Защита сотрудников, работающих не в офисе

Многие компании теперь дают возможность сотрудникам работать из дома. Они, в свою очередь, могут использовать небезопасные сети для выполнения своей работы, что приводит к возможным онлайн-угрозам и утечке бизнес-данных. В этом случае для повышения безопасности следует использовать DNS-фильтры.

1. Perimeter 81

Пользователи смогут защитить свой бизнес, включив фильтрацию DNS от Perimeter 81 . Есть возможность ограничить доступ сотрудников к несанкционированным и опасным сайтам. Расширенные функции программы для фильтрации системы доменных имен (DNS) помогут легко управлять веб-фильтром во всей сети.

Видео с гайдом по установке программы.

Perimeter 81 включает в себя черный список вредоносных IP-адресов и доменов и позволяет пользователю внести в белый список веб-сайты, к которым сотрудники должны получить доступ. С помощью фильтрации по категориям администратор сети может блокировать определенные сайты по категориям, таким как социальные сети, игровые и азартные сайты, порнография.

DNS-фильтрация от Perimeter 81 повышает безопасность сети, ограничивая доступ к вредоносным сайтам и скачивание вредоносных программ. Программа использует элементы управления на основе политик безопасности для получения доступа к ресурсам только после проверки запроса.

Используя Perimeter 81, пользователь получает полную видимость сети и ее точную сегментацию. Система обладает высокой масштабируемостью, что позволяет легко перейти в облачную среду при необходимости.

2. Cloudflare Gateway

Можно хранить личные данные и информацию о пользователях в безопасности с помощью Cloudflare Gateway . Система помогает избавиться от обратной передачи пользовательского трафика через централизованный межсетевой экран, что способно замедлить работу сайта. Вместо этого используется передовая технология Cloudflare для получения комплексной защиты без ущерба производительности ресурса.

Такие угрозы, как фишинговые кампании и крипто-майнинг, больше не будут беспокоить пользователя. Он также сможет управлять потоком данных, входящим и исходящим из его сети, с помощью проверки SSL, политики и элементов управления типами файлов.

Можно реализовать DLP и предотвратить потерю данных с помощью элементов управления типа файлов. Это помешает нежелательному скачиванию вредоносных файлов с веб-сайтов. Кроме того, администратор сети также может запретить сотрудникам загружать вредоносные файлы с помощью той же технологии.

Анализ угроз от Cloudflare – очень надежный, он включает в себя более 100 категорий ранее составленных списков, которые пользователь может использовать для блокировки опасных и вредоносных сайтов . Он также способен блокировать веб-сайты на уровне URL или домена с помощью пользовательских или встроенных списков.

Cloudflare Gateway заменяет собой локальное дорогостоящее оборудование, создавая компромисс между безопасностью и производительностью, перенаправляя трафик в центр обработки данных. Им владеет сам Cloudflare .

Возможности ведения журнала позволяют пользователю узнать об несанкционированном использовании SaaS-приложений. Можно также использовать эту политику безопасности для блокировки неподтвержденных администратором приложений. Пользователь способен ограничить доступ к определенным поддоменам , а также – к функциям некоторых SaaS-приложений корпоративного уровня.

Журналы дают пользователю более широкий взгляд на веб-трафик и Интернет в целом ( все устройства и пользователи ). Человек может экспортировать журналы в свою облачную платформу хранения данных или SIEM.

3. DNSFilter

С этой системой не нужно беспокоиться о вредном контенте и угрозах безопасности. Ему доверяют компании из списка Fortune 500, такие как NVIDIA. С DNSFilter она может защитить 13 тысяч своих сотрудников от вредоносных программ и фишинговых угроз.

Искусственный интеллект программы может ловко обнаружить эти угрозы и уничтожить их, обеспечивая пользователю фильтрацию и защиту на уровне предприятия. Этот облачный DNS-фильтр защищает предприятия всех размеров и добавляет дополнительный уровень безопасности к технологическому стеку для предотвращения вторжений.

DNSFilter включает в себя международную систему адресации, что позволяет стабильно собирать данные. Он также помогает K-12 и сетям крупных университетов соблюдать правила CIPA и защитить своих студентов и сотрудников от вредоносных доменов и неподходящих сайтов.

У системы есть более 30 центров обработки данных, доступных в различных частях земного шара, охватывающих 6 континентов и 6 крупных городов по всему миру (со 100% гарантией безотказной работы для обеспечения постоянной безопасности). DNSFilter легко развертывается и даст возможность пользователю начать работу в течение нескольких минут. Он имеет доступную цену для различных типов бизнеса в зависимости от их размеров.

Веб-панель мониторинга DNSFilter обладает удобным дизайном и оперативностью реагирования. Она предлагает пользователю быстрый обзор веб-сайта и его статистики, местоположения и возможных рисков. DNSFilter предоставляет простые для анализа отчеты, которые помогут человеку четко визуализировать модели использования программы наряду с основными целями фирмы.

DNSFilter способен провести интеграцию и на уровне API.

4. SafeDNS

SafeDNS – это еще одна система, которую пользователь может использовать, чтобы включить фильтрацию DNS и повысить безопасность своего бизнеса. Она защищает внутренние сети от вторжений и точки доступа Wi-Fi, что обеспечивает безопасный просмотр онлайн-страниц.

SafeDNS защищает сеть Wi-Fi во время крупных общественных мероприятий, концертов, собраний, поэтому ничто и никто не сможет проникнуть в нее, несмотря на интенсивный трафик. Его база данных категоризации использует искусственный интеллект и машинное обучение для анализа и обработки данных, собранных с помощью облачных служб фильтрации и веб-сканеров.

Таким образом, пользователь получает доступ к полной и точной классификации веб-сайтов. Кроме того, это экономит время, которое он в противном случае потратил бы на повторение всей классификации или чрезмерную блокировку ресурсов. Система работает автоматически и способна быстро обнаруживать ботнеты и вредоносные программы для обеспечения кибербезопасности.

За последние 5 лет SafeDNS успешно заблокировала около 98,5% запросов к контенту для взрослых и вернула ноль ложных срабатываний . Пользователь способен фильтровать веб-контент по категориям: насилие, расизм, порнография, наркотики, алкоголь, азартные игры, оружие.

У системы есть обширная база данных из более чем 100 миллионов сайтов , сегментированных на более чем 60 категорий. SafeDNS способен блокировать вредоносный контент и рекламу всех типов, включая видео, аудио, контекстную рекламу, всплывающие окна, баннеры. Объединенные протоколом BGP Anycast, серверы SafeDNS обеспечивают быстрый доступ к сети по всему миру.

5. Webroot

Пользователь получит полную видимость веб-использования сети и сможет защитить свою DNS-сеть от атак с помощью Webroot . Она обеспечивает соблюдение политик использования Интернета, которые еще больше снижают риски безопасности. Webroot – это облачный сервис , надежный и безопасный. Его развертывание занимает всего несколько минут.

Пользователи могут получить подробные отчеты об угрозах, к которым их бизнес будет восприимчив, если у них нет защиты DNS. Они также способны контролировать использование Интернета с помощью пользовательских или предварительно настроенных политик безопасности по IP-адресу, устройству и группе. 80+ категорий URL-адресов включают в себя основанный на политике безопасности контроль для автоматической блокировки опасных сайтов .

Более 100 ведущих технологических компаний доверяют Webroot защиту своего бизнеса. Их безопасность DNS включает в себя актуальные меры защиты и поддерживает DoH и IPv6. Это помогает компаниям подготовиться к интернет-запросам и протоколам даже следующего поколения.

В результате администратор сети может защитить своих пользователей в общедоступных точках доступа, сохраняя при этом безопасность, конфиденциальность, административный контроль и видимость сети. Стоит также сказать, что Webroot DNS Protection теперь доступна и для облачной платформы Google, что обеспечивает клиентам повышенную производительность, надежность и безопасность сети.

Кроме того, пользователи также получают преимущества от встроенного смягчения и предотвращения DoS-атак от Google. Это поможет им смягчить атаки, прежде чем они смогут проникнуть в ядро агента.

6. DNSCyte

DNSCyte , разработанный CyberCyte, – это облачная платформа безопасности для фильтрации DNS. Она использует машинное обучение и системы разведки киберугроз для блокирования онлайн-угроз в режиме реального времени.

DNSCyte имеет огромную базу данных, состоящую примерно из 99,90% всех сайтов в Интернете, включая более 1,7 миллиарда страниц и 350 миллионов доменов . Платформа использует искусственный интеллект для защиты бизнеса, базирующегося в любой точке земного шара. Она защищает ресурс от вредоносных действий, таких как атаки нулевого дня, программы-вымогатели и т.д.

DNSCyte обрабатывает все DNS-запросы с помощью искусственного интеллекта, а затем перенаправляет вредоносные запросы на IP-адрес глубокой воронки и обеспечивает безопасность системы. Программа защищает от пред- и пост-инфекций, обеспечивает веб-фильтрацию и безопасность всех протоколов и портов.

Развертывание DNSCyte выполняется в течение нескольких минут без изменения инфраструктуры – нужно просто включить DNS Relay или DNS Forwarding.

  • DNS Relay – это образ на базе Hyper-V или VMWARE, который предоставляется для поиска источника вредоносного трафика. Это еще и DNS-сервер, установленный в корпоративной сети и способный принимать запросы на уровне локального DNS.
  • DNS Forwarding – это сервис, который обрабатывает DNS-запросы и выполняет классификацию и идентификацию трафика, а также перенаправляет вредоносные запросы в воронку, как было описано выше.

DNSCyte интегрируется с помощью Bind DNS, Windows DNS, F5, Infoblox и Citrix Netscaler, чтобы найти вредоносные источники трафика. DNSCyte также облегчает туннелирование DNS, имеет белый список, проводит анализ журнала отладки и ведет отчетность в режиме реального времени.

7. Cisco Umbrella

Пользователь может контролировать свою сеть и выполнять фильтрацию системы доменных имен (DNS) с помощью Cisco Umbrella . Система помогает эффективно управлять доступом в Интернет в своей организации с помощью фильтрации DNS на основе категорий, блокирует или разрешает запросы, а также позволяет использовать SafeSearch .

Программа охватывает более 80 категорий, состоящих из миллионов веб-доменов и страниц. Cisco Umbrella предоставляет пользователю возможность получить полный контроль над своей сетью и позволяет выбирать высокие, низкие или умеренные настройки контента. Человек может создать индивидуальный список сайтов на основе своих потребностей.

Umbrella облегчает массовую загрузку и неограниченное количество записей для удобства администрирования. Таким образом, человек может предоставить доступ и информацию людям, которые действительно нуждаются в этом.

Администратор сети способен применить веб-фильтрацию для YouTube, Google, Bing, чтобы убедиться, что пользователи получают доступ только к продуктивной информации. Однако функция обхода блокировки Umbrella позволяет некоторым людям, таким как менеджеры по маркетингу, руководители команд, получить доступ к определенным категориям фильтрации, включая социальные сети и отдельные домены.

Umbrella учитывает местоположение и имеет гибкое правоприменение. Она помогает назначать политики безопасности пользователям с различными настройками ведения журнала и ограничениями доступа в Интернет в сети.

Веб-консоль Umbrella проста в использовании и предлагает пользователям быструю настройку политик и управление для каждого устройства, пользователя, сети или IP-адреса для обеспечения большего контроля использования Интернета. Кроме того, пользователь также может запустить моделирование с помощью тестера политик, чтобы проверить, как реализуются его политики безопасности.


Чем бы ни занималась компания, безопасность DNS должна являться неотъемлемой частью ее плана по обеспечению безопасности. Службы обработки имен, преобразовывающие имена сетевых узлов в IP-адреса, используются буквально всеми приложениями и службами в сети.

Что такое безопасность DNS?


В понятие безопасности DNS входят две важные составляющие:

  1. Обеспечение общей целостности и доступности служб DNS, преобразовывающих имена сетевых узлов в IP-адреса
  2. Мониторинг активности DNS для определения возможных проблем безопасности где-либо в вашей сети

Почему DNS уязвима для атак?

Технология DNS была создана на заре развития интернета, задолго до того, как кто-либо вообще начал думать о сетевой безопасности. DNS работает без аутентификации и шифрования, вслепую обрабатывая запросы любого пользователя.

В связи с этим существует множество способов обмануть пользователя и подделать информацию о том, где на самом деле осуществляется преобразование имен в IP-адреса.

Безопасность DNS: вопросы и компоненты


  • Усиление безопасности серверов и процедур управления: повышайте уровень защищенности серверов и создайте стандартный шаблон ввода в эксплуатацию
  • Совершенствование протокола: внедрите DNSSEC, DoT или DoH
  • Аналитика и отчетность: добавьте журнал событий DNS в SIEM-систему для дополнительного контекста при расследовании инцидентов
  • Киберразведка и обнаружение угроз: подпишитесь на активный канал получения аналитических данных об угрозах
  • Автоматизация: создайте максимально возможное количество сценариев, чтобы автоматизировать процессы

Атаки на DNS


  • подмена DNS или «отравление» кэша: использование уязвимости системы для управления кэшем DNS с целью перенаправления пользователей в другое место
  • DNS-туннелирование: в основном используется для обхода средств защиты от удаленных подключений
  • перехват DNS: перенаправление обычного трафика DNS на другой целевой DNS-сервер путем изменения регистратора домена
  • атака NXDOMAIN: проведение DDoS-атаки на авторитетный сервер DNS путем отправки неправомерных доменных запросов для получения принудительного ответа
  • фантомный домен: заставляет DNS-преобразователь (DNS resolver) ждать ответа от несуществующих доменов, что приводит к снижению производительности
  • атака на случайный субдомен: взломанные хосты и ботнеты проводят DDoS-атаку на действующий домен, но сосредотачивают огонь на ложных субдоменах, чтобы принудить DNS-сервер выполнять поиск записей и захватить управление над службой
  • блокировка домена: представляет собой отправку множества спам-откликов для блокировки ресурсов DNS-сервера
  • ботнет-атака с абонентского оборудования: совокупность компьютеров, модемов, роутеров и других устройств, концентрирующих вычислительную мощность на определенном веб-сайте для его перегрузки запросами трафика

Атаки с использованием DNS

  • Fast-Flux
  • Одиночные сети Flux
  • Двойные сети Flux

Атаки на DNS

  • Подмена DNS или «отравление» кэша
  • Перехват DNS

Что такое DNSSEC?


DNSSEC — модули безопасности службы доменных имен — используются для проверки записей DNS без необходимости знать общую информацию по каждому конкретному DNS-запросу.

DNSSEC использует ключи цифровой подписи (PKI) для подтверждения того, получены ли результаты запроса доменного имени из допустимого источника.
Внедрение DNSSEC является не только лучшей отраслевой практикой, но также эффективно помогает избежать большинство атак на DNS.

Принцип работы DNSSEC

  1. Записи DNS подписываются парой закрытого и закрытого ключей
  2. Ответы на запросы DNSSEC содержат запрошенную запись, а также подпись и открытый ключ
  3. Затем открытый ключ используется для сравнения подлинности записи и подписи

Безопасность DNS и DNSSEC


DNSSEC — это средство для проверки целостности DNS-запросов. Оно не влияет на конфиденциальность DNS. Иными словами, DNSSEC может дать вам уверенность в том, что ответ на ваш DNS-запрос не подделан, но любой злоумышленник может увидеть эти результаты в том виде, в каком они были переданы вам.

DoT — DNS поверх TLS

Transport Layer Security (безопасность на транспортном уровне, TLS) — это криптографический протокол для защиты передаваемой информации по сетевому соединению. Как только между клиентом и сервером установлено безопасное соединение TLS, передаваемые данные шифруются и никакие посредники не смогут их увидеть.



Источник: University of California Irvine

Стандартные DNS-запросы передаются через UDP. Запросы и ответы можно отслеживать с помощью таких инструментов, как Wireshark. DoT шифрует эти запросы, но они по-прежнему идентифицируются как довольно отчетливый трафик UDP в сети.

  1. DNS-фильтрация — это распространенный способ фильтрации веб-трафика для защиты пользователей от фишинговых атак, сайтов, распространяющих вредоносные программы, или другой потенциально опасной интернет-активности в корпоративной сети. Протокол DoH обходит эти фильтры, потенциально подвергая пользователей и сеть более высокому риску.
  2. В текущей модели преобразования имен каждое устройство в сети в той или иной степени получает DNS-запросы из одного и того же места (из указанного DNS-сервера). DoH и, в частности, его реализация от Firefox показывают, что в будущем это может измениться. Каждое приложение на компьютере может получать данные из разных источников DNS, что значительно усложняет поиск и устранение проблем, обеспечение безопасности и моделирование рисков.

Оповещения мониторинга DNS


Возможность эффективно отслеживать трафик DNS в вашей сети на предмет подозрительных аномалий имеет решающее значение для раннего обнаружения взлома. Использование такого инструмента, как Varonis Edge даст вам возможность быть в курсе всех важных показателей и создавать профили для каждой учетной записи в вашей сети. Вы можете настроить генерацию оповещений в результате комбинации действий, происходящих за определенный период времени.

Мониторинг изменений DNS, местоположений учетной записи, а также фактов первого использования и получения доступа к конфиденциальным данным, а также активности в нерабочее время — это лишь несколько показателей, которые можно сопоставить для составления более обширной картины обнаружения.

Читайте также: