OpenDNS (enterprise) zakelijk gebruiken

Een eigen DNS server is qua latency altijd sneller dan een DNS server die extern staat.
OpenDNS heeft POP in Telecity 1, dus dat zal wel meevallen, maar meten is weten.

Het ligt er aan welke functionaliteit je zoekt en hoeveel controle je wilt uitoefenen. Een onsite appliance kan je bijvoorbeeld integreren met Active Directory. ( Directeur mag naar porn surfen, anderen niet. ) Verschillende user groepen met verschillende policies. Ik ben alleen bekend met IronPort, maar daarmee kan je bijvoorbeeld ook delen van Facebook dicht zetten. Je mag wel op Facebook, maar je mag bijvoorbeeld niet chatten en spelletjes spelen.

Ik gebruik OpenDNS thuis ook en als je er tevreden mee bent zou ik daar gewoon gebruik van blijven maken. Voordeel van de betaalde variant is idd. wel dat je dingen kan customizen. (Zoals een bedrijfslogo bij een 404-page not found melding.)

Wij gebruiken het bij ons eigen netwerk en bij een aantal klanten (we zijn MSP dealer) de resolve tijden zijn erg laag, de functies zijn goed (zoals je al gewend bent) nadeel voor een wat groter netwerk is dat het lastig is om dit per user of groep een uitzondering te maken, het is vrijwel alles of niets.
Ook heb ik heel soms met de malware protectie dat sites geblokt worden waar ik geen reden voor kan vinden, en dat zouden ze wel iets mogen uitbouwen, maar verder is de prijs/kwaliteit natuurlijk onverslaanbaar voor het geld.

Je kunt een ASA5500 firewall integreren met een IronPort Websecurity. Laptop, iPhone, iPad en Samsung Android users kunnen SSL tunnels opzetten naar de ASA. Al het verkeer van en naar de mobile clients kan je dan filteren op URLs, content en virussen. Je kan ook een policy instellen dat de VPN always-on is. En er is een afvang mechanisme voor captive portals voor bijvoorbeeld Wifi access.

Het probleem is dat IronPort Websecurity appliances pas kan gebruiken vanaf 250 users. Het ligt er ook aan welke functionaliteit je wil hebben. Je kunt bijvoorbeeld ook 2 verschillende AV-engines draaien om meer virussen te kunnen afvangen.

Een andere mogelijkheid is ScanSafe. Dit is net als OpenDNS een cloud oplossing. Hierbij heb je een portal waar je dingen kan instellen en monitoren. Er is ook een integratie mogelijkheid met Secure ISR routers. Wat betreft mogelijkheden zit Scansafe tussen OpenDNS en een dedicated appliance in.

Er zijn overigens nog wat andere fabrikanten zoals Panda, die cloudbased security producten hebben.

[ Voor 4% gewijzigd door Bl@ckbird op 23-12-2011 15:52 ]

Je zou natuurlijk ook nog gewoon een interne DNS server kunnen draaien, die zelf weer OpenDNS heeft ingesteld als resolver. Dan profiteer je van de filtering van OpenDNS, en de lage latency van je interne server.

DNS is prima geschikt om lokaal te cachen, daar is het grootste gedeelte van het protocol immers op gebaseerd. Mocht OpenDNS om wat voor reden dan ooit uitvallen, kun je altijd nog uitwijken naar het instellen van andere resolvers op je interne DNS server.

Gewoon BIND of PowerDNS lokaal draaien als DNS Recursor, en dan black-, white- en greylists bijhouden. Van de eerste (blacklists) kan je over het algemeen op basis van categorie (porn, social media, malware) abbonementen afnemen, dat is niet zo duur. Je kan ook zoals eerder gesteld gewoon OpenDNS gebruiken om te cachen, en dan lokaal bepalen of mensen de OpenDNS cache gebruiken of bijv. GoogleDNS cache. Of een lokale provider cache.