Om hackers weer een stapje voor te zijn hebben we sinds december vorig jaar al onze Cloud-Edge klanten ondergebracht bij een DNS-based content filtering-service. Dat betekent dat alle websites die bezocht worden gefilterd worden en "kwaadaardige" websites worden geblokkeerd.
Dit helpt bijvoorbeeld in de strijd tegen phishing-aanvallen, ransomware, virussen en malware, maar blokkeert ook porno, illegale download-sites, gaming, goksites, dating sites en bekende kwaadaardige domeinen.
Hoe werkt dit?
Een DNS-server vertaalt domeinen namen (zoals www.code54.nl) naar IP-adressen. Normaal gesproken gebruik je de DNS-server van je internet-provider. Die doet precies dat. Er zijn echter ook bedrijven die DNS-servers aanbieden waarbij je kunt kiezen dat bepaalde domeinen eruit gefilterd worden. Die domeinen doen het dan simpelweg niet meer.
Wat filteren we dan?
Standaard blokkeren we websites (of specifieker: domeinen, want het geldt ook voor apps op een telefoon) in de volgende categorieën:
Adult & Pornography
Torrents (illegale download-sites zoals The Pirate Bay)
P2P & File Sharing (maar niet WeTransfer of DropBox)
Gaming
Gambling
Dating
Weapons
Malicious (kwaadaardige en blacklisted domeinen)
De volgende categorieën worden doorgelaten:
Adult Mixed Content
Ads & Tracking
Proxy & VPNs
Social Network
Search Engine
Online Radio
Je kunt ook zelf controleren in welke categorie een domein valt via: https://categorify.org.
Naast deze standaard instelling kunnen we per klant op verzoek specifieke websites doorlaten of blokkeren.
Wanneer een website wordt geblokkeerd zie je dit:
Je kunt het testen via http://badexample.com
Wel moet hieraan toegevoegd worden dat bovenstaande blokkerings-pagina niet getoond kan worden als een website versleuteld is. Wees hier bedacht op.
Stel dat we facebook.com blokkeren (een website die versleuteld is via https) dan detecteren browsers dat onze blokkerings-pagina niet facebook.com is, en tonen een foutmelding in de plaats van de blokkerings-pagina met uitleg:
Het gaat ons er overigens niet om het gebruik van privé apps te blokkeren, maar indirect zijn die categorieën aan apps en websites vaak een bron van risico's. Wanneer je als hacker probeert binnen te dringen, dan is een gratis game bijvoorbeeld een mooie manier. Waarom zou je die risico's willen toelaten? Mensen kunnen nog altijd via hun eigen 4G-verbinding privé apps gebruiken, buiten het bedrijfsnetwerk.
Is dat nodig dan?
Ja, daar lijkt het wel op. Dit zijn de aantallen die geblokkeerd zijn in de afgelopen 30 dagen.
Categorie 1, 2 en 3 zijn niet direct gevaarlijk, maar je ziet ook dat er de afgelopen maand 272 sites zijn bezocht (of beter gezegd, geblokkeerd) waarvan bekend is dat ze gevaarlijk zijn.
Wel moeten we relativeren dat een blokkering al veroorzaakt kan worden door spam in je mailbox waarbij bijvoorbeeld een plaatje geladen wordt van zo'n geblokkeerd domein.
Heeft iemand bijvoorbeeld zijn/haar privé telefoon op het WiFi-netwerk van het bedrijf, en zoekt een game of dating-app verbinding met "thuis", dan wordt die connectie al geblokkeerd.
Privacy
Wanneer internet-verkeer gefilterd wordt, wordt het dus ook 'gemonitord'. We hebben de dienst zo ingesteld dat details niet opgeslagen worden en we alleen totaal-statistieken, zoals in het voorbeeld hierboven, zien.
Het is wel mogelijk om de filter zo in te stellen dat alle geblokkeerde en doorgelaten domeinen per klant bewaard worden, maar op die overzichten zien we nog steeds geen individuele gebruikers. We kunnen die optie tijdelijk gebruiken voor het oplossen van problemen.
Het is nooit mogelijk om te zien welke websites individuele gebruikers bezoeken.
Tip voor thuis
Voor privé-gebruik zijn deze diensten vaak gratis.
Door zo'n DNS-dienst thuis te gebruik bescherm je jezelf zonder extra virusscanners en dergelijke al meteen tegen de grootste gevaren.
Wil je het thuis ook gebruiken dan kunnen we je OpenDNS of CleanBrowsing aanraden.