Konfiguracja MikroTik — Część 54: MikroTik jako Transparentny Proxy DNS z Wbudowaną Filtrowaniem Dostępu
Konfiguracja MikroTik — Część 54: MikroTik jako Transparentny Proxy DNS z Wbudowaną Filtrowaniem Dostępu
Wprowadzenie
W dobie wzmożonych zagrożeń sieciowych i dynamicznie rosnącej liczby złośliwych domen, kontrola nad zapytaniami DNS staje się jednym z kluczowych elementów bezpieczeństwa sieci. MikroTik, choć powszechnie kojarzony głównie z routingiem i firewallem, posiada wbudowany serwer DNS, który z powodzeniem można wykorzystać jako transparentny filtr DNS.
W tej części naszej serii pokażę Ci, jak krok po kroku zbudować funkcjonalne środowisko transparentnego DNS Proxy na MikroTik z funkcją blokowania dostępu do niepożądanych domen oraz logowaniem ruchu DNS do zewnętrznych systemów SIEM.
Czym jest Transparentny DNS Proxy?
Transparentne Proxy DNS polega na przechwytywaniu zapytań DNS z urządzeń w sieci lokalnej i przekierowywaniu ich do wskazanego serwera DNS — w tym przypadku lokalnego serwera na MikroTik, który pełni funkcję cache oraz może filtrować zapytania.
Korzyści:
- Blokowanie szkodliwych lub niepożądanych domen
- Możliwość monitoringu DNS dla SIEM
- Zmniejszenie opóźnień dzięki cache
- Transparentne dla użytkowników końcowych
Krok 1 — Włączenie DNS Server na MikroTik
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,8.8.8.8
Zaleca się użycie niezawodnych i szybkich serwerów DNS upstream.
Krok 2 — Lista Domen do Blokowania
/ip dns static
add address=0.0.0.0 name="badexample.com" comment="Blokada domeny szkodliwej"
add address=0.0.0.0 name="ads.example.com" comment="Blokada reklam"
Możesz zarządzać setkami lub tysiącami rekordów ręcznie lub automatycznie poprzez API lub skrypty.
Krok 3 — Transparentne Przekierowanie Zapytań DNS
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53
To przechwyci wszystkie zapytania DNS niezależnie od ustawień użytkownika.
Krok 4 — Blokowanie Prób Omijania DNS Proxy
/ip firewall filter
add chain=forward protocol=udp dst-port=53 action=drop out-interface=!LAN
Dzięki temu użytkownicy nie będą w stanie ominąć DNS proxy używając zewnętrznych DNS bezpośrednio.
Krok 5 — Monitorowanie Ruchu DNS
/ip firewall mangle
add chain=prerouting protocol=udp dst-port=53 action=log log-prefix="DNS UDP"
add chain=prerouting protocol=tcp dst-port=53 action=log log-prefix="DNS TCP"
Działa to doskonale przy integracji z SIEM poprzez syslog.
Krok 6 — Wysyłka Logów DNS do Zewnętrznego SIEM
/system logging action
add name=siem-dns target=remote remote-address=192.0.2.100 remote-port=514
/system logging
add topics=firewall action=siem-dns
Krok 7 — Automatyczne Aktualizowanie Listy Blokowanych Domen (Skrypt)
Przykładowy skrypt pobierający listę blokad:
/system script
add name=dns-blocklist-update source="
/tool fetch url=\"http://blocklist.example.com/list.rsc\" mode=https
/import file-name=list.rsc
"
Krok 8 — Zabezpieczenie DNS Server
- Ogranicz dostęp do DNS tylko do lokalnych interfejsów
- Monitoruj liczbę zapytań i obciążenie
- Przeglądaj statystyki DNS cache
Scenariusze Wdrożenia
- W szkołach i instytucjach edukacyjnych jako filtr treści
- W firmach dla podstawowej ochrony przed phishingiem
- W sieciach publicznych Wi-Fi jako element polityki bezpieczeństwa
Podsumowanie
Transparentny DNS Proxy na MikroTik to potężne narzędzie, które można wykorzystać zarówno do zwiększenia bezpieczeństwa jak i kontroli dostępu w sieciach lokalnych.
Łącząc funkcję DNS Proxy z monitoringiem i SIEM, można uzyskać efektywne narzędzie do zarządzania bezpieczeństwem na poziomie warstwy aplikacji, bez konieczności instalowania dodatkowych systemów czy urządzeń.
Konfiguracja MikroTik — Część 63: MikroTik jako Control Plane dla Rozproszonego Systemu IoT z Zastosowaniem VPN, Dynamic DNS i Zdalnej Czytaj dalej
🌐 Migracja z IPv4 na IPv6: Techniki przejściowe w Linuksie Omówienie i konfiguracja tunelowania (6to4, Teredo), tłumaczenia adresów (NAT64/DNS64) oraz Czytaj dalej
