Bisakah perubahan DNS dibatasi?
Ya, peralihan DNS dapat dibatasi di berbagai tingkat jaringan atau perangkat untuk memastikan bahwa pengguna atau sistem hanya menggunakan server DNS tertentu yang disediakan oleh administrator jaringan atau kebijakan keamanan.
Hal ini berguna untuk mencegah pengabaian kontrol konten, melindungi terhadap jenis serangan malware tertentu, atau sekadar memastikan resolusi nama ditangani secara efisien dan aman. Di sini saya merinci bagaimana hal ini dapat dilakukan dalam berbagai skenario:
Di Router atau Firewall
Sebagian besar router dan firewall memungkinkan Anda mengonfigurasi aturan untuk membatasi lalu lintas DNS ke server tertentu. Misalnya, Anda dapat mengonfigurasi router agar hanya mengizinkan kueri DNS ke server yang Anda tentukan, memblokir upaya kueri apa pun ke server DNS lain.
Hal ini dicapai dengan aturan firewall yang mencegat lalu lintas pada port 53 (port standar untuk lalu lintas DNS) dan hanya mengizinkan lalu lintas ke alamat IP server DNS yang disetujui.
Dalam Sistem Operasi
Windows, macOS, Linux
Sistem operasi desktop memungkinkan Anda mengonfigurasi pengaturan DNS, tetapi membatasi perubahan memerlukan langkah tambahan. Hal ini dapat ditangani melalui kebijakan grup di lingkungan Windows (GPO) atau dengan mengatur izin yang sesuai pada sistem berbasis Unix (seperti macOS dan Linux).
Misalnya, di Windows, Kebijakan Grup dapat digunakan untuk mencegah pengguna mengubah pengaturan DNS di properti koneksi jaringan mereka.
Perangkat Seluler (iOS, Android)
Pada perangkat seluler, pembatasan mungkin lebih sulit diterapkan secara universal karena perbedaan dalam sistem operasi dan lapisan penyesuaian produsen.
Namun, aplikasi manajemen perangkat seluler (MDM) dapat menawarkan kemampuan untuk membatasi pengaturan jaringan, termasuk server DNS.
Melalui Perangkat Lunak Pihak Ketiga
Ada aplikasi dan alat keamanan yang dapat membatasi perubahan server DNS pada masing-masing perangkat. Alat-alat ini mungkin merupakan bagian dari paket keamanan internet atau aplikasi kontrol orang tua yang, antara lain, membatasi akses ke pengaturan sistem.
Pertimbangan Keamanan
Penting untuk dicatat bahwa meskipun membatasi peralihan DNS dapat meningkatkan keamanan, hal ini juga dapat memengaruhi fungsionalitas jika server DNS yang dikonfigurasi mengalami masalah atau jika pengguna perlu terhubung ke jaringan di lingkungan yang berbeda (misalnya laptop yang berpindah-pindah antara kantor dan rumah).
Oleh karena itu, sangat penting untuk menjaga pengelolaan yang baik atas server DNS yang diizinkan dan memastikan bahwa server tersebut dapat diandalkan dan aman.
Di MikroTik RouterOS
Praktik ini dapat menimbulkan masalah karena berbagai alasan, termasuk penghindaran kebijakan konten, pemfilteran situs web, atau bahkan demi keamanan, untuk menghindari serangan phishing atau malware melalui DNS berbahaya. Ada dua solusi utama untuk memastikan bahwa, apa pun pengaturan DNS di perangkat pengguna, lalu lintas DNS ditangani sesuai dengan kebijakan jaringan:
1. DNS Transparan dengan NAT Redirect
Teknik ini digunakan ketika router MikroTik bertindak sebagai server DNS dan Anda ingin semua lalu lintas DNS klien diarahkan ke router tersebut, meskipun klien telah secara manual mengkonfigurasi server DNS yang berbeda pada perangkatnya.
Untuk mengimplementasikan konfigurasi ini, aturan NAT dibuat pada router MikroTik yang mencegat semua lalu lintas yang ditujukan untuk port 53 (port standar untuk lalu lintas DNS) dan mengalihkannya ke router MikroTik itu sendiri.
Dengan cara ini, meskipun klien telah mengkonfigurasi DNS yang berbeda, seperti 8.8.8.8 (Google DNS), lalu lintas DNS sebenarnya diproses oleh MikroTik. Konfigurasi pada perangkat klien tidak berubah secara visual, namun secara efektif lalu lintas DNS dialihkan.
Contoh Aturan untuk DNS Transparan:
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=udp to-ports=53
/ip firewall nat add action=redirect chain=dstnat dst-port=53 protocol=tcp to-ports=53Aturan ini mengalihkan semua lalu lintas yang ditujukan untuk port 53 ke port 53 router MikroTik, memastikan bahwa router menangani permintaan DNS.
2. Paksa Penggunaan DNS Tertentu dengan NAT dst-nat
Saat Anda ingin memaksakan penggunaan server DNS tertentu, baik internal maupun eksternal (selain router MikroTik), Anda dapat mengkonfigurasi aturan NAT yang memotong lalu lintas DNS dan mengarahkannya ke IP server DNS yang diinginkan, menggunakan dst-nat.
Pengaturan ini berguna jika Anda mengelola server DNS internal untuk mengontrol akses Internet atau jika Anda lebih suka menggunakan DNS eksternal tertentu untuk alasan keandalan, kinerja, atau pemfilteran konten.
Contoh Aturan untuk Memaksa DNS Tertentu:
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp to-addresses=192.168.1.1 to-ports=53
/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=tcp to-addresses=192.168.1.1 to-ports=53Menggantikan 192.168.1.1 dengan alamat IP server DNS yang ingin Anda paksa. Aturan ini memastikan bahwa semua lalu lintas yang ditujukan untuk port 53 dialihkan ke server DNS yang ditentukan, apa pun pengaturan DNS pada perangkat pengguna.
Pertimbangan Akhir
Kedua teknik ini efektif dalam mengelola bagaimana permintaan DNS diselesaikan dalam jaringan dan dapat membantu menjaga konsistensi kebijakan jaringan, meningkatkan keamanan, dan mengoptimalkan kinerja.
Namun, penting untuk mempertimbangkan kebutuhan spesifik jaringan dan pengguna Anda saat menerapkan solusi ini, serta menjaga praktik terbaik keamanan dan privasi.
Tidak ada tag untuk postingan ini.- Bagikan Artikel ini
1 komentar di “Dapatkah mengubah DNS dibatasi?”
Hai Ya! Anda ingin memaksa pengguna Anda untuk menggunakan DNS yang ingin Anda gunakan