OpenDNS mette
a disposizione degli utilizzatori di Internet un servizio di Domain
Name System consultabile da qualunque host, indipendentemente dalla
network IP da cui arriva la richiesta e gratuitamente. Tale sistema di
DNS vede crescere sempre più il suo utilizzo, che ormai coinvolge
milioni di utenti, poiché offre un insieme di vantaggi assenti sui DNS
tradizionali messi a disposizione dagli Internet Service Provider.
Questo documento elenca i vantaggi che
derivano dall’uso dei DNS di OpenDNS e ne descrive la configurazione su
di un Router/Firewall Zeroshell. Zeroshell, inoltre, dispone di un
updater che gli permette di aggiornare OpenDNS con l’IP dinamico
assegnato al router. Grazie a questa caratteristica è possibile,
mediante il suo pannello di controllo web (Dashboard) di OpenDNS,
personalizzarne le funzionalità, permettendo di sfruttarne a pieno le
caratteristiche avanzate quale per esempio il controllo dei contenuti
web.
Il resto del documento è suddiviso nelle seguenti sezioni:
- OpenDNS per migliorare i tempi di risposta nella navigazione Web
- OpenDNS contro il fenomeno del Phishing
- Controllo dei contenuti Web e controllo parentale
- Statistiche di utilizzo di Internet
- Correzione ortografica degli URL
- Shortcut per gli URL
- Configurare Zeroshell per utilizzare i DNS di OpenDNS
- Configurare il Dynamic DNS Updater per OpenDNS
- Configurazione del firewall per evitare l’uso di DNS non OpenDNS
OpenDNS per migliorare i tempi di risposta nella navigazione Web
Una delle
cause della lentezza della navigazione sul web, ma anche dell’uso di
altri servizi Internet, è la bassa velocità di risposta dei DNS.
OpenDNS, dovendo soddisfare un così elevato numero di richieste, dispone
di una cache molto grande e aggiornata. Ciò significa, che se un client
chiede una risoluzione di un nome in IP, molto probabilmente OpenDNS
conosce già la risposta, senza doversi rivolgere ai DNS autoritari per
ottenerla. Peraltro, OpenDNS fornisce dei DNS ricorsivi, cioè tali da
rispondere direttamente alle richieste dei client. Il non dover ottenere
la risposta per iterazioni successive, contribuisce a ridurre il tempo
di attesa per il client.
OpenDNS contro il fenomeno del Phishing
Una delle insidie più pericolose, che si presenta durante la navigazione, è nota con il termine Phishing.
Un utente potrebbe essere indotto a fornire dati sensibili come il
numero di carta di credito o le credenziali di accesso al conto corrente
on-line ad un sito che appare come l’originale, ma che in realtà ha il
solo scopo di acquisire tali informazioni che poi verrebbero usate in
maniera fraudolenta. I nomi di questi siti di Phishing sono molto simili
ai nomi dei siti originali sotto cui cercano di camuffarsi. Ci si
arriva cliccando su dei collegamenti ipertestuali contenuti nei messaggi
di SPAM o per errori di battitura nella barra degli indirizzi del
browser web. Ovviamente, questi siti non utilizzano il protocollo
criptato https e quindi l’utente non riceve neanche il warning relativo
al certificato digitale non valido. L’uso dei DNS di OpenDNS aiuta a
prevenire il Phishing poiché, disponendo di un database contenente un
elenco molto accurato di siti utilizzati per il Phishing, ne blocca la
risoluzione dell’indirizzo IP e quindi la visualizzazione.
Controllo dei contenuti Web e controllo parentale
Per
utilizzare OpenDNS allo scopo di migliorare i tempi di risposta e contro
il fenomeno del Phishing è sufficiente utilizzare i due DNS 208.67.222.222 e 208.67.220.220 senza
preoccuparsi di altro. Tuttavia, creando un account OpenDNS è possibile
accedere ad un pannello di controllo web (Dashboard) che consente di
configurare il servizio per soddisfare al meglio le proprie esigenze ed
accedere ai servizi avanzati di OpenDNS. In particolare, è possibile
filtrare i siti web suddividendoli per categorie ritenute inadeguate per
i nostri fruitori di Internet. Per esempio, dalla Dashboard è possibile
disabilitare la risoluzione dei nomi dei siti classificati come
contenenti materiale pornografico, che parlano di argomenti illegali o
sono social network come Facebook e istant messaging. Oltre al controllo
dei contenuti mediante categorie predefinite, è possibile definire
delle proprie blackliste whitelist che blocchino o consentano l’accesso a determinati siti.
È evidente, che se si vogliono ottenere da
OpenDNS queste feature avanzate, è necessario creare un legame tra
l’account personale su OpenDNS e gli IP da cui gli utenti accedono alla
rete. Se gli IP sono statici, allora basta definirli usando la
Dashboard. Altrimenti, nel caso di IP dinamici bisogna utilizzare un DNS
updater che comunichi le variazioni di indirizzo IP al database di
OpenDNS. Zeroshell è in grado di assolvere a tale compito e vedremo
successivamente come configurarlo.
Statistiche di utilizzo di Internet
Uno dei
sistemi più efficaci per rendersi conto di quali sono i servizi Internet
più richiesti sulla propria LAN, consiste nell’ottenere le statistiche
relative alle richieste di risoluzione dei domini. Con ciò si deve
concordare, se si pensa che qualunque sia il servizio richiesto (WWW,
eMail, VoIP, …), difficilmente si accede ai server tramite l’indirizzo
IP, che sarebbe difficile da ricordare e potrebbe peraltro cambiare
dinamicamente, ma nella quasi totalità si accede tramite un hostname.
OpenDNS mette a disposizione la
consultazione delle statistiche di accesso ai domini. Si tenga presente,
che la raccolta delle statistiche va preventivamente attivata mediante
la Dashboard a cui si accede registrandosi sul sito OpenDNS.
Correzione ortografica degli URL
Un’altra feature di OpenDNS, non essenziale ma senz’altro comoda, è la correzione ortografica degli hostname. Se si digita un URL che non esiste, prima che OpenDNS risponda con l’IP del suo web server mostrando la sua pagina di ricerca, tenta di interpretare la richiesta dell’utente e quando ci riesce la corregge automaticamente.
Shortcut per gli URL
Avendo un account su OpenDNS è possibile, dalla Dashboard, creare i cosidetti shortcut (scorciatoie) che permettono di attribuire ad un indirizzo web, magari molto lungo e complesso, una parola semplice da ricordare e da digitare. Inserendo tale shortcut all’interno della barra degli indirizzi del browser si verrà automaticamente rediretti verso il sito associato. Anche questa possibilità non è essenziale, ma può comunque risultare utile come supporto alla navigazione web.
Configurare Zeroshell per utilizzare i DNS di OpenDNS
Per sfruttare i vantaggi offerti da OpenDNS è sufficiente aggiungere i due DNS (208.67.222.222 e 208.67.220.220) nella configurazione di ognuno dei client da cui si deve accedere ad Internet. Altrimenti, si può configurare il server DHCP affinché faccia ciò in automatico. L’altra possibilità, disponibile se si ha nella LAN un proprio server DNS, consiste nel far lavorare quest’ultimo come DNS cache configurato per usare i DNS di OpenDNS come Forwarders per la risoluzione di qualsiasi dominio di cui non sia autoritario. In questa maniera, il DNS della LAN, quando non ha nella sua cache la risposta da fornire al client, invece di rivolgersi ai ROOT DNS, chiede ai server OpenDNS. Optando per questa soluzione, oltre al beneficio di disporre di una cache locale, ci si avvantaggia del poter gestire le feature avanzate di OpenDNS creando un unico account e mantenendo aggiornato il solo indirizzo IP del server DNS locale all’interno del database di OpenDNS.
Configurare i server OpenDNS come DNS forwarder
Per configurare il server DNS di Zeroshell come descritto, cioè affinché usi i DNS OpenDNS come forwarders, bisogna semplicemente visualizzare la sezione [DNS][Forwarders] ed aggiungere i server con IP 208.67.222.222 e 208.67.220.220 separati da una virgola e specificando il dominio ANY (qualsiasi dominio). Il risultato è quello illustrato nella figura sopra.
Configurare il Dynamic DNS Updater per OpenDNS
A questo punto, configurati i due DNS forwarders, OpenDNS viene già utilizzato dai client della LAN. Tuttavia, come già accennato, affinché si possa usufruire dei servizi avanzati quali i filtri web personalizzati, le statistiche di accesso a Internet e gli shortcut è necessario comunicare a OpenDNS l’IP da cui avvengono le richieste. Nel caso si disponga di un IP statico ciò lo si può fare una volta per tutte dal pannello di controllo di OpenDNS, mentre nel caso di IP dinamico è meglio utilizzare un Dynamic DNS Updater.
Updater OpenDNS per mantenere aggiornato l’IP dinamico nel database di OpenDNS
Zeroshell dispone di un client DNS dinamico compatibile con OpenDNS. Per configurarlo, dalla sezione [DNS][Dynamic DNS] (vedi figura sopra), basta scegliere OpenDNS come dominio, inserire Username e Password scelti durante la creazione dell’account sul sito di OpenDNS e attivare il servizio.
Configurazione del firewall per evitare l’uso di DNS non OpenDNS
Soprattutto se si intende abilitare i filtri web per negare l’accesso a determinate categorie di siti, è opportuno fare in modo che l’unico DNS utilizzabile dai client sia quello di Zeroshell che usa OpenDNS come forwarder. Così facendo, gli utenti non potranno cambiare i DNS dei loro client riuscendo ad aggirare i divieti. Per far ciò, nell’ipotesi che Zeroshell agisca da default gateway o da bridge trasparente per l’accesso a Internet, si deve impostare nel Firewall il blocco delle comunicazioni aventi come porta di destinazione la porta 53 UDP/TCP.
Configurazione del firewall per impedire l’uso di DNS diversi da quelli di OpenDNS
Si noti, che tale blocco va impostato nella chain FORWARD che è quella che agisce sul traffico che attraversa il router. Il server DNS di Zeroshell riuscirà comunque a contattare i server OpenDNS visto che il traffico generato da un processo locale non è influenzato dalla chain FORWARD.