(ali sebe pred kriptovirusi)

Naj kar takoj povem: če imate doma najstnike, tole ne bo dovolj. Kar bomo predstavili v nadaljevanju, lahko deluje dobro le, če se uporabniki zavedajo tveganj na internetu, ter da ukrepi, ki jih zanje dobrohotni starši izvajamo, koristijo vsem, in jih ni pametno zaobhajati. Analogno verjetno velja tudi za zaposlene v podjetjih, sploh bi tam z otroci in starši našli še mnogo analogij. Govorili bomo o zelo enostavni tehnologiji, ki pa presenetljivo dobro deluje. To je OpenDNS. Zadeva je brezplačna in deluje s praktično vsako opremo. Pokazali bomo po korakih, kako se zadevo vključi na vašem domačem usmerjevalniku. Za srečne imetnike Mikrotik naprav bomo šli še korak dlje – pokazali bomo, kako lahko naredimo dodatno pravilo, ki oteži uporabnikom interneta zaobiti te nastavitve. Za razliko od drugih člankov na tem blogu, bo ta napisan za manj vešče uporabnike, torej je vsak strah odveč.

Najprej na kratko o tem, kako OpenDNS deluje. Kot verjetno veste, ima vsak računalnik na internetu svojo številko. 8.8.8.8 je na primer številka googlovega strežnika, ki skrbi za DNS imenik. Poleg številke imajo nekateri računalniki na internetu tudi ime, www.ijs.si je recimo ime računalnika, ki je med prvimi v Sloveniji gostil spletno stran. Zato starejši sistemski administratorji še vedno preverjajo internetno povezljivost z ukazom:

ping www.ijs.si

Vsakič, ko ga sam napišem, se vprašam, do kdaj bo to delovalo. Kmalu bo verjetno treba na koncu ukaza dodati -4, ker bo (upam) ta strežnik dobil tudi IPv6 naslov. Ker ima IPv6 prednost v mnogih operacijskih sistemih, bo zgornji ukaz pravzaprav testiral IPv6 povezljivost, ne IPv4. Ampak to je že druga zgodba..

Ker se računalniki na internetu med seboj poznajo s številkami, ne z imeni, je dobro imeti storitev, podobno telefonskemu imeniku, ki iz imena naredi številko in včasih tudi obratno.

Taka storitev se imenuje DNS (Domain name server) in je ključna za delovanje interneta.

Kaj pa potem počne OpenDNS? Zadeva je še kar enostavna. Če navadne internet DNS strežnike vprašate za denimo ime strežnika gola.si, boste dobili pravilni IP naslov, in če boste naslov vnesli v vaš priljubljen internetni brskalnik (in bo ta namesto vas vprašal DNS strežnike), boste pač dobili stran in vso njeno vsebino, kakršna pač je. Če bi vaš računalnik nastavili tako, da bi namesto navadnega DNS strežnika, za naslov raje vprašal OpenDNS, bi morda (odvisno od vaših osebnih nastavitev), namesto prave številke, dobili drugo, ki bi vaš brskalnik popeljala na stran, kjer bi pisalo, da stran ni skladna z vašimi osebnimi nastavitvami.

Kako torej vključim OpenDNS?

Še kar preprosto je. DNS strežnike na vašem usmerjevalniku nastavite na:

208.67.222.222 in
208.67.220.220

Če govorite angleško in potrebujete bolj natančna navodila, jih dobite na strani ponudnika.

Kaj pa če imam Mikrotik?

Potem je pa še lažje. Prijavite se v Winbox in odprite ukazno konzolo “Terminal”.

Pripnite naslednje ukaze:

/ip dns set servers=208.67.222.222,208.67.222.220
/ip firewall nat chain=dstnat action=redirect to-ports=53 protocol=udp dst-port=53
/ip firewall nat chain=dstnat action=redirect to-ports=53 protocol=tcp dst-port=53

zelo pomembno je tudi, da na vašem dhcp klientu ali pptp povezavi, ki jo uporabljate, da od ponudnika ISP dobite vaš javni IP naslov,  ugasnete “use remote dns” nastavitev.

Prva vrstica zgornje kode bo nastavila dns strežnike na OpenDNS, drugi dve pa bosta preprečili direktna DNS povpraševanja računalnikov znotraj omrežja in jih preusmerila na lokalni dns strežnik in s tem na OpenDNS.

S to nastavitvijo boste dobili privzete varnostne nastavitve. Če želite zadevo regulirati bolj natančno, si naredite profil na OpenDNS. Kot boste videli, bo potrebno nekoliko več klikanja, med drugim bo zelo praktično, če boste imeli statični IP naslov. Tudi če ga nimate, je zadeva izvedljiva, vendar zahteva še uporabo enega od ponudnikov dinamičnih DNS strežnikov.

Veselo varno deskanje!