Umbrella by OpenDNS es la solución mas potente de DNS en cuanto a protección antimalware, filtrado, estadísticas y sobretodo politicas de aplicación según varias opciones que hay disponibles entre las que se incluyen desde IPs de internet, dispositivos moviles y hasta usuarios y grupos de directorios activo de Windows. Sin duda una gran solución de seguridad, de la mano de OpenDNS, para usar en entornos empresariales y de una gran potencia de uso.
CAMBIO DE DNS Y COMPROBACION DE CORRECTO FUNCIONAMIENTO
Lo primero que hay que hacer cuando se trabaja con un producto de estas características es el cambio de DNS, el cambio de DNS es fundamental para que Umbrella pueda funcionar. En este caso los DNS de OpenDNS son 208.67.222.222 y 208.67.220.220. Una vez cambiados, mejor hacerlo a nivel de router, podemos testear con la página web de comprobación de OpenDNS para ver si tenemos los DNS correctamente instalados y funcionando.
SETUP GUIDE
Según entramos en el panel de control de Umbrella accedemos a la primera sección que nos muestra de una manera clara las distintas opciones que ofrece, una guía de configuración, vista de estadísticas, configuración y acceso a reportes. En la primera sección que muestra podemos acceder a una guia de aprendizaje para configurar según que dispositivo deseemos.
OVERVIEW
En el segundo apartado accedemos a las estadísticas de uso, un resumen de las peticiones en las últimas 24 horas así como si ha habido intentos de acceso a webs de malware o botnets. Lo importante en este apartado, cuya información tenemos opción de configurar que se nos envie por email diariamente, es fundamentalmente la parte de malware y botnet. Aunque en un entorno empresarial tambien esta bien el acceso a los top domains y asi ver si los empleados están navegando por las webs que deben por motivos laborales.
CONFIGURATION
En este apartado es donde podemos configurar todas las políticas que se emplearán según que tipos de dispositivos, usuarios o grupos de directorio activo, tengamos intención de utilizar. Tambien podemos configurar las listas blancas y negras de dominios admitidos o excluidos independientemente de que fueran afectados o nó por alguna de las políticas configuradas.
En mi caso, para las pruebas, he configurado dos políticas de actuación, una para la red con ip pública de mi router, y otra para los dispositivos móviles. En el caso de no configurar nada se aplica una política por defecto que actua sobre todos los dispositivos.
Si nos vamos a identities y es ahí donde podemos configurar las identidades de cada tipo de acceso, es decir, sobre lo que deseemos actuar. Podemos configurar equipos en paso, dispositivos móviles mediante descarga de cliente solo valido para iphone, redes de ip publica y redes internas. En mi caso he configurado dos ips de redes públicas, es decir, actuación basada en la IP pública de mi router y además, como no tengo iphone, la ip pública de mi móvil android.
En Policy Settings podemos configurar realmente donde está lo mejor de Umbrella, aquí podemos crear varias politicas de configuración para que cada política sea aplicada a según que tipo de dispositivos, redes o usuarios deseemos. En mi caso me he limitado a configurar una política de control de contenidos que bloquee el porno y luego en la sección de malware he configurado una politica con la protección antimalware activada.
En el control de contenidos se pueden elejir entre varias configuraciones preestablecidas o se puede seleccionar manualmente que grupos de webs deseamos bloquear y así personalizar el bloqueo de contenidos.
Las distintas secciones de la protección antimalware son las siguientes: Malware, Drive-by-downloads/exploits, Mobile Threats, Suspicious Response, Dynamic DNS, Botnets, Phising y sitios de alto riesgo.
La siguiente sección son las opciones de la pagina de bloqueo. Aqui podemos dejar el bloqueo por defecto o bien configurar nuestra pagina de bloqueo personalizada incluyendo el logo de la empresa si es necesario. Además de eso podemos configurar los usuarios a los que permitimos saltarse el bloque o incluso configurar codigos bypass, incluyendo la caducidad de los mismos, que durante un tiempo mediante ellos se puede saltar el bloqueo. Esto es util cuando tenemos alguien en nuestra red y le queremos permitir saltarse los bloqueos del filtrado durante un tiempo determinado.
En la siguiente sección, tambien muy importante, es donde configuramos los permisos de acceso por sitio y directorio activo. Tambien podemos definir cuentas de usuario que podrán acceder de forma mas limitada e incluso saltarse el bloqueo. En la seccion de sites&active directory podemos descargarnos los clientes de conexión para que de esta forma Umbrella pueda controlar tambien los sitios, usuarios o incluso grupos de trabajo en directorio activo.
REPORTS
La sección de Reports, como su propio nombre indica, es donde podemos acceder a todo el registro de movimientos que hay en nuestras redes configuradas. Se pueden hacer busquedas filtradas, exportar datos y auditar accesos de administración. A continuación pongo una muestra de como se muestran los datos recopilados.
PANTALLA DE BLOQUEO Y BYPASS
La pantalla de bloqueo y ByPass del bloqueo es la siguiente. En mi caso no he personalizado nada y estamos viendo la página por defecto, recordamos que esto es configurable. En la página de bloqueo se puede acceder no solo a enviar un email al administrador sino tambien al apartado para hacer un ByPass del bloqueo por usuario o codigo.
DATACENTERS DISPONIBLES
OpenDNS dispone de 20 datacenters repartidos en todo el mundo. En Europa, que es lo que nos interesa, dispone de 9 datacenters ubicados en los mayores nodos de concentración europeos, concretamente en Londres, París, Amsterdam, Frankfourt, Praga, Berlín, Conpenhage, Varsovia y Bucarest.
CONCLUSIONES FINALES
Para su uso en entorno empresarial estamos, sin lugar a dudas, ante un buen sistema de protección y filtrado. La pega que tiene es que es algo destinado para una empresa de un tamaño ya aceptable, sale caro en empresas pequeñas porque lo mínimo que cuesta son 1500 dolares al año, estariamos hablando de algo pensado para una empresa ya mas o menos grande con un buen número de ordenadores instalados.
OTROS ARTÍCULOS DE INTERÉS SOBRE SERVICIOS DNS PÚBLICOS
– AdGuard DNS: Servicio especializado en bloqueo publicitario y rastreadores.
– CleanBrowsing DNS: Varios niveles de filtrado y versión de pago.
– Cloudflare DNS: Nuevo DNS público con varias preconfiguraciones.
– Control D: Nuevo servicio DNS personalizable y con resolución desde España.
– DNS0.eu: Nuevo servicio de DNS público, europeo, privado y seguro.
– DNS.sb: DNS europeo privado y seguro.
– Foundation for Applied Privacy: DNS privado y seguro.
– GCore DNS: DNS público de una red de entrega de contenido.
– Mullvad DNS: Servidores DOH/DOT con varios niveles de filtrado.
– NextDNS: Servicio con personalización de perfiles, dispositivos y muchas opciones.
– NTT DNS: Un servicio de resolución muy poco conocido con presencia en España.
– Quad9 DNS: Excelente protección antimalware sin falsos positivos.
– Restena: DNS Público neutral y privado.
– RethinkDNS: Bloqueo de publicidad y malware por DOH/DOT.
– UncensoredDNS: Un proyecto personal de DNS sin censura.