DNS-Filterung mit NxFilter

Optimaler Durchlauf

Um die Anwender vor Bedrohungen aus dem Web zu schützen, setzen Unternehmen vielfach auf das Filtern von HTTP-Verbindungen und Content mithilfe von klassischen Proxyservern. Doch deren Einsatz schafft neue Probleme wie eine erhöhte Latenz im Netz. DNS-Filter wären die bessere Option, doch ihnen mangelt es an Authentifizierung. Nicht so beim kostenlosen NxFilter, den wir in diesem Artikel in Betrieb nehmen.
Ob die IT läuft oder nicht, sollte der Administrator im Idealfall nicht erst durch Beschwerden der Mitarbeiter erfahren. Eine proaktive Überwachung der ... (mehr)

Webfilter basierend auf dem HTTP-Proxyserver-Prinzip gehören zu den Standardinstrumenten für den Schutz von Unternehmensnetzwerken. Der Einsatz solcher Filter, die häufig auf dem Squid-Proxyserver und vergleichbaren Werkzeugen basieren, führt in der Praxis zu ernsthaften Latenzproblemen im Netzwerk. Der Grund hierfür ist darin zu suchen, dass der Proxyserver den Webtraffic analysiert und filtert und so zum Flaschenhals wird. Diese Latenzprobleme wachsen mit der Anzahl der Benutzer. Doch das ist nicht das einzige Problem: Proxyserver sind primär auf die Filterung von HTTP-Verbindungen spezialisiert.

Lösen lässt sich diese Einschränkung mit Hilfe eines DNS-Filters: Der kann jeden Traffic überwachen, und zwar unabhängig vom verwendeten Protokoll für das Senden oder Empfangen von Daten. Mit NxFilter [1] steht Unternehmen ein DNS-Filter als Freeware zur Verfügung, der sich bezüglich seiner Funktionalität und Leistungsfähigkeit mit kommerziellen Produkten messen kann. Im Kern handelt es sich bei NxFilter um einen weiterleitenden DNS-Server mit Filterfunktion. Da das DNS-Protokoll zum Einsatz kommt, muss der Datenverkehr nicht über einen speziellen Filter laufen – womit die Latenzprobleme beseitigt sind.

Es kommt sogar noch besser: Erfahrungsberichte deuten darauf hin, dass sich der Einsatz von NxFilter positiv auf die Internetverbindung der gesamten Netzwerkclients auswirkt. Ursächlich für den Performancegewinn ist der lokale Cache, den NxFilter für die DNS-Suche verwendet und verwaltet. Angenommen, ein Unternehmensnetzwerk nutzt DNS-Server des Internetproviders, dann müssen die DNS-Abfragen an diese DNS-Server übermittelt werden und die Netzwerkclients warten auf eine Antwort des Servers. Beim Betrieb eines lokalen DNS-Filters bedient der DNS-Server vor Ort die entsprechenden Abfragen. Idealerweise stellt der Cache die Antworten zur Verfügung, wodurch sich eine signifikante Reduktion des Netzwerkverkehrs ergibt. Bild 1 verdeutlicht

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020