Thursday, May 28, 2009

WebFiltering mediante OPENDNS

Este post es el primero que voy a dedicar.

Para quienes trabajen en una Pyme y no tengan el presupuesto para comprar Websense.

Para los que esten locos porque el nivel de pornografia y p2p en la oficina no les deja leer el diario.

Para quienes les resulta complicado configurar SquidGuard.

Para ellos este post les explicara como utilizar OPENDNS como una solucion de filtrado de contenido.


Que es OPENDNS ?

Como su nombre lo indica OPENDNS es un servicio gratuito de DNS que tiene ademas la particularidad de integrar un servicio de Webfiltering y Antipishing.


Como se configura ?

Es muy sencillo. Solamente tenemos tres pasos :

El primero consiste en modificar los DNS en nuestros equipos. Supongamos que tenemos un router Linksys, entonces debemos hacer lo siguiente :

1. Acceder a la consola web del router

http://192.168.1.1 es la IP que viene por default en los routers Linksys.

2. Ingresar la password.



3. Ingresar las direccion de OpenDNS en los campos Static DNS 1 y Static DNS 2 .


Guardar las IP's actuales en caso de que exista algun problema.


4. Click Save para guardar la configuracion.


Ya podemos navegar resolviendo los DNS por medio de OPEN DNS, ahora el paso siguiente.

Para poder tener los servicios de Webfiltering y Antipishing debemos crear una cuenta en OPEN DNS.





Una vez confirmado el usuario, ya podemos configurar los filtros


Luego de dar click en Manage settings in your Dashboard seremos redirigidos hacia la siguiente pagina :


Tenemos 5 opciones para estableces el filtrado.

Alto -- Filtra contenido de tipo

Adulto, Redes Sociales, Actividades ilegales, sitios con videos y otros catalogados como "perdida de tiempo".

Digamos que es un filtro para maquinas usadas por niños.

En este caso seria conveniente configurar el servicio de DNS en la maquina y no en el router.

Moderado --Filtra contenido de tipo

Adulto, Actividades ilegales.

  • Adware
    Sites that distribute applications which display advertisements without user's knowledge or choice. Does NOT include sites which serve advertising.
  • Alcohol
    Sites about alcohol use, commercial and otherwise.
  • Dating
    Sites for meeting other people.
  • Drugs
    Sites about illegal or recreational drug use.
  • Gambling
    Sites that offer gambling or information about gambling.
  • Hate/Discrimination
    Sites that promote intolerance based on gender, age, race, nationality, religion, sexual orientation or other group identities.
  • Weapons
    Sites about weapons, commercial and otherwise.
  • Tasteless
    Sites that contain information on such subjects as mutilation, torture, horror, or the grotesque.
  • Lingerie/Bikini
    Sites displaying or dedicated to lingerie/bikini that could be considered adult-only.
  • Proxy/Anonymizer
    Sites providing proxy bypass information or services. Also, sites that allow the user to surf the net anonymously, including sites that allow the user to send anonymous emails.
  • Sexuality
    Sites that provide information, images or implications of bondage, sadism, masochism, fetish, beating, body piercing or self-mutilation.
  • Nudity
    Sites that provide images or representations of nudity.
  • Pornography
    Anything relating to pornography, including mild depiction, soft pornography or hard-core pornography.
  • Phishing Protection
    By enabling phishing protection, you'll protect everyone on your network from known phishing sites using the best data available.

Low --Filtra contenido de tipo

Pornografia y Pishing, es un filtro para utilizar en oficinas.

  • Tasteless
    Sites that contain information on such subjects as mutilation, torture, horror, or the grotesque.
  • Proxy/Anonymizer
    Sites providing proxy bypass information or services. Also, sites that allow the user to surf the net anonymously, including sites that allow the user to send anonymous emails.
  • Sexuality
    Sites that provide information, images or implications of bondage, sadism, masochism, fetish, beating, body piercing or self-mutilation.
  • Pornography
    Anything relating to pornography, including mild depiction, soft pornography or hard-core pornography.
  • Phishing Protection
    By enabling phishing protection, you'll protect everyone on your network from known phishing sites using the best data available.

Minimal--Filtra contenido de tipo

Protege contra sitios que contienen pishing.


Por ultimo tenemos la opcion de deshabilitar el Webfiltering o crear un filtrado customizado.


Una vez aplicado el filtro, tomara unos 3 minutos la actualizacion.

Veamos los resultados :



Como vemos es una solucion facil de implementar y que sirve como otra capa mas de proteccion.

Como evitar que los usuarios burlen este control ?

La solucion mas efectiva, es atarles las manos a las espaldas. Pero en algunos lugares esto es ilegal, asi que pensando en una solucion generica podemos hacer lo siguiente.


  • Los usuarios no deben tener permiso de administrador en las maquinas.
  • El firewall debe solamente permitir trafico al puerto 53UDP/TCP de las IP's de OPENDNS.
  • En caso que los usuarios encuentre un anonymizer, esto puede ser detectado por medio de las estadisticas que entrega OPENDNS y luego agregado a una blacklist, por medio del formulario que se encuentra en la pagina de filtrados.

De todas maneras los usuarios siempre estaran probando todo lo posible para burlar esto, llegado el caso trataran de asesinarlo. Por eso nunca debemos olvidar la recomendacion de atarles las manos.

Dado que todos los dias surgen sitios con proxies anonymos, es convenientes vistar los foros de OPENDNS donde podemos estar actualizados sobre estos sitios.


Otros servicios interesantes

Quienes tengan IP's Dinamicas pueden configurar su router ( en caso que lo permita ) para actualizar la cuenta de OPENDNS en forma automatica.

En caso que esto no fuera posible, se puede instalar un cliente ( para Windows/MAC) en una de las maquinas que actualizara la IP de nuestro router en los registros de OPENDNS.




Algo interesante que permite OPENDNS es la generacion de Shortcuts de direciones WEB.

Por ejemplo si nuestro Webmail es http://www.gmail.com , podemos crear un shortcut llamado Mail y luego ingresando esta palabra en el browser seremos redirigidos al sitio de GMAIL.


Otras consideraciones

El servicio que brinda OPENDNS desde el punto de vista de la seguridad tiene algunos puntos a considerar.

El primer punto esta dado por la disponibilidad de los servers DNS, cualquier problema en un enlace internacional y nos quedamos sin servicio. Por eso es bueno tener a mano los IP's de los DNS otorgados por el proveedor.

El segundo punto es sobre la privacidad que perdemos, ya que OPENDNS posee nuestra IP, nuestros datos y todos "TODOS" los sitios que visitamos durante el dia. Esta informacion es sumamente critica.
Podemos decir que es mejor que la tenga una empresa externa y no el ISP quien ademas hace DPI.



Links interesantes :


Opendns
InformIT

10 comments:

>> s E t H << said...

pero con esto tanto el isp como opendns saben que hacemos :P

yo los use cuando los de mi isp andaban mal, pero me molestaba que cuando no encontraba un dominio me mostraba un buscador malísimo. Como uso firefox, al usar otros dns hace la búsqueda en google que es mucho mas efectivo
Capaz se puede modificar teniendo una cuenta pero me dió fiaca :P

Julio Jaime said...

Bueno los tipos tienen que ganar de alguna manera, gratis lo unico que hay por ahora es D3ny4ll.

>> s E t H << said...

y 0verl0ad :P

si le pedis a alguien que te de el ip de una de las paginas bloqueadas y la pones en el /etc/hosts te salteas la restriccion, no?

Julio Jaime said...

En verdad ese no seria el problema porque se supone que el usuario no debe tener privilegios para modificar esos archivos.

El problema es cuando accede por IP y no pasa por el DNS.

Por eso la frase "El precio de la libertad es la eterna vigilancia", hay que regularmente estudiar que hay en los logs.

Para esos casos contratar un par de golpeadores que ronden los escritorios puede ser una solucion eficaz ( no eficiente )

Juan Esteban said...

Hola Julio! He creado un video basandome en este post pero desde GNU/Linux (Arch). Te he mencionado en el video (perdón por las confianzas de "Amigo" :P).

Espero no haya problemas.
Hasta luego!

Julio Jaime said...

Hola Cortex

No hay problema, gracias por la mencion.

Saludos !!

kaki said...

Para los que poseen ip dinamica y quieren actualizar su ip en openDNS basta con:
/usr/bin/wget -O - -q --http-user=USERNAME --http-passwd=PASSWORD https://updates.opendns.com/nic/update?hostname=NETWORK-NAME
(Para multiples NETWORKS)

o para los que no hayan definido diferentes networks:
wget -O - -q --http-user=USERNAME --http-passwd=PASSWORD https://updates.opendns.com/nic/update

Eso se puede agregar a una entrada de cron y listoli:)

muy linda informacion

abrazo de gol

Julio Jaime said...

Gracias por el dato, lo voy a incorporar al post.

Saludos

Nikitux said...

Algo que me di cuenta el otro dia usando el comando dig es que la demora que tiene opendns es casi 8 veces superior al de los DNS de ARNET por ejemplo

google.com.ar
;; Query time: 196 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)

google.com.ar
;; Query time: 27 msec
;; SERVER: 200.45.191.35#53(200.45.191.35) ARNET

Talvez puede ser mejor tener un servidor de DNS local con los forwarders apuntados a opendns??

Julio Jaime said...

Es valido tu aporte, tener un DNS local aceleraría las búsquedas.

El tema es que mientras mas equipos agreguemos, mas puntos de falla tenemos.

Saludos