Google kontra OpenDNS

0

Na początku grudnia ubiegłego roku Google uruchomił własną, publiczną usługę DNS, rzucając rękawicę jedynemu znaczącemu graczowi na tym rynku – OpenDNS. To pokazuje, że rośnie świadomość, jak ważną rolę odgrywa system DNS. Przyjrzyjmy się bliżej, dlaczego DNS jest tak ważny, że przyciągnął nowego, potężnego gracza.

Udostępnienie przez Google publicznych serwerów DNS to z pewnością dobrych ruch dla użytkowników nie mających dotychczas wyboru. Dla OpenDNS nie było liczącej się konkurencji i trzeba przyznać, że pod względem liczby oferowanych funkcji wciąż przewyższa także ofertę Google. Jednak pojawienie się wyszukiwarkowego giganta na rynku DNS wróży, że wśród użytkowników upowszechni się wiedza o ważności tego systemu.

Serwery DNS należące do dostawców Internetu często są przeciążone i zaniedbane, przez co czasy otwierania stron WWW wydłużają się nawet o pół sekundy. Jednak szybkość nie jest jedynym powodem, dla którego warto rozejrzeć się za alternatywnymi serwerami DNS. Ten system jest wrażliwym punktem od strony bezpieczeństwa, szczególnie w kontekście ataków typu phishing i prób przekierowania użytkowników na fałszywe strony – jeśli takie wrogie działania zostaną dokonane z wykorzystaniem DNS, nawet eksperci od zabezpieczeń mogą nie zorientować się, że nastąpił atak.

To pokazuje, jak ważna jest rola DNS, a jednocześnie jak poważne potencjalne zagrożenia wiążące się z nim. Mimo tego ani administratorzy sieci, ani tym bardziej domowi użytkownicy nie przykładają dużej wagi do tego systemu. Na szczęście pojawili się w Internecie gracze, jak OpenDNS i Google, którzy doceniają wagę problemu i niosą pomoc, świadcząc usługi DNS.

Szybkość ma znaczenie
Specjaliści od bezpieczeństwa pewnie uznaliby szybkość za miły, choć nie istotny dodatek. Jednak w wielu przypadkach wydajność serwera DNS może być istotnym czynnikiem, decydującym o jego wyborze.

Wizyta na jednej stronie internetowej wiąże się z wysłaniem kilku, czy nawet kilkunastu zapytań do serwera DNS, co wynika z umieszczania na stronach treści zewnętrznych, np. reklam. Na wielu stronach znajdują się też pliki graficzne umieszczane na zewnętrznych serwerach. Jednak to, co wygodne dla twórców stron internetowych, dla użytkowników jest problemem, ponieważ wydłuża czas oczekiwania na wyświetlenie witryny.

Załóżmy, że otwierając stronę WWW przeglądarka musi wysłać tylko pięć zapytań do serwera DNS, a serwer DNS dostawcy Internetu działa całkiem sprawnie. Jednak w przypadku rekordów DNS, których nie ma w pamięci podręcznej serwera operatora, otrzymanie odpowiedzi na każde żądanie może zająć pół sekundy, co w sumie daje dwie i pół sekundy oczekiwania, zanim przeglądarka będzie w stanie nawiązać kontakt z poszukiwanymi serwerami WWW. Gdyby jednak te pięć rekordów znajdowało się w cache’u serwera DNS, czas odpowiedzi byłby dużo krótszy.

W powyższym przykładzie zakładamy, że nie występują żadne utrudnienia. Jednak serwery DNS obsługiwane przez ISP często nie funkcjonują tak, jak powinny. W efekcie znaczącą część czasu potrzebną na wyświetlenie zawartości witryny może pochłonąć oczekiwanie na otrzymanie wszystkich potrzebnych adresów IP. Dlatego szybkość ma znaczenie. Duże serwery DNS z milionami użytkowników “pracującymi” nad zapełnieniem ogromnej pamięci podręcznej mogą wyraźne przyspieszyć otwieranie stron WWW czy innych operacji wymagających korzystania z systemu DNS.

Szybkość działania OpenDNS i Google jest porównywalna, choć z przeprowadzonych w szeregu lokalizacji testów wynika, że z reguły Google działa nieco wydajniej.

Dodatkowe funkcje
DNS oferuje duże możliwości, jeśli tylko chce się je wykorzystać:

  • z zakresu bezpieczeństwa: wykrywanie i blokowanie botnetów, blokowanie stron przygotowanych przez oszustów (phishing), czarne listy;
  • filtrowanie adresów URL,
  • tworzenie własnych komunikatów o błędach DNS.

DNS jest skutecznym narzędziem bezpieczeństwa. Przykładowo, komputery, do których się włamano, mogą korzystać z wrogich serwerów DNS zarządzanych przez włamywacza, które będę zwracać fałszywe adresy IP, np. banków internetowych. Poza tym zainfekowany komputer będzie korzystał z serwerów DNS do znalezienie serwerów kontrolujących botnet. Tego typu aktywności mogą być monitorowane i blokowane, ale wymagają tworzenia na bieżąco czarnych list i korzystania z innych narzędzi angażujących znaczne środki, żeby mieć możliwie najbardziej aktualne informacje o tym, co złego dzieje się w Internecie.

Wykorzystanie usługi DNS, która oferuje takie mechanizmy zabezpieczeń, wyraźne podnosi poziom bezpieczeństwa. Szczególnie, jeśli samemu można konfigurować związane z nimi ustawienia. Google nie daje takich możliwości, ale użytkownicy OpenDNS mogą korzystać z webowego interfejsu do zarządzania ustawieniami dotyczącymi ich sieci. Można zablokować dostęp do wybranych stron, przeglądać statystyki i zarządzać indywidualnie różnymi sieciami.

Z punktu widzenie użytkowników korporacyjnych możliwości zarządzania poszczególnymi lokalizacjami z wykorzystaniem systemu DNS są bardziej efektywne niż zakup kosztownych rozwiązań typu Web proxy i utrzymywanie personelu do zarządzania nimi. W przypadku OpenDNS są nawet predefiniowane kategorie do blokowanie witryn zawierających określone treści. To pozwala na szybkie wdrożenie filtrowania, należy się jednak dokładnie zapoznać z opisem kategorii, żeby nie zablokować zbyt wiele.

Czy takie rozwiązanie jest faktycznie bezpieczne? Teoretycznie użytkownicy mogą łatwo obejść ten mechanizm. Jednak w przypadku filtrowania na bazie serwerów proxy użytkownicy również znajdą obejście, uruchamiając własne proxy czy korzystając z różnych usług oferujących taką funkcjonalność w Internecie. Blokowanie takich działań jest prawie niemożliwe, choć wielu administratorów sieci podejmuje wyzwanie.

Tymczasem sprawa z systemem DNS jest znacznie prostsza. Owszem, użytkownicy mogą skonfigurować sobie inny serwer DNS, ale wystarczy tak skonfigurować firmowy firewall, żeby blokował cały ruch na porcie 53 za wyjątkiem wychodzącego do zaufanego serwera DNS. Wprawdzie uparci użytkownicy nadal znajdą obejście, ale ich grupa mocno się zawęzi.

Podsumowując, należy się cieszyć, że powoli DNS przykuwa coraz większą uwagę, na którą bez wątpienia zasługuje. Oczywiście, jeśli mowa o bezpieczeństwie, każdy od razu myśli o DNSSEC, a specjaliści od bezpieczeństwa regularnie dyskutują o samym systemie DNS. Jednak nikt nie poradził sobie lepiej z problemem wydajności, niż usługi oferowane przez OpenDNS i Google.

PODZIEL SIĘ

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ