Controllare i siti visitati da router, rete locale e WiFi con OpenDNS

• Business
• DNS

In passato abbiamo presentato diversi prodotti ed alcune appliance, utili soprattutto a livello aziendale, che consentono di filtrare il traffico dati da e verso la rete locale e di bloccare siti indesiderati o potenzialmente pericolosi.

Questa volta vogliamo soffermarci sulle metodologie per controllare i siti visitati dalla rete locale (WiFi compresa) senza la necessità di installare alcunché all’interno della LAN.

Per verificare i siti visitati dai vari client connessi in rete locale, una delle prime verifiche da effettuare consiste nell’accertarsi se il router installato in ufficio oppure a casa permetta l’attivazione dei log delle connessioni.
Gran parte dei router in commercio, infatti, all’interno della sezione “Content filtering”, mettono a disposizione la funzionalità Logs che, appunto, di verificare quali richieste di connessione sono state avviate dai vari sistemi connessi in rete locale.
Di solito questa sezione contiene un registro in formato testuale con l’indicazione dell’indirizzo IP locale della macchina (o del dispositivo mobile) dalla quale è partita la richiesta e gli indirizzi dei siti web visitati. Per scoprire il nome del sistema connesso in rete locale, è sufficiente di solito fare riferimento alla sezione Attached devices del router che contiene l’informazione cercata.

Si supponga, ad esempio, di aver rilevato nel file di log qualcosa di simile:

[ALLOW: www.ilsoftware.it] Source: 192.168.1.33 Monday, 23 Jun 2014 08:30:30

Significa che il sistema connesso alla LAN con IP 192.168.1.33 ha visitato il sito web www.ilsoftware.it alle ore 8,30 del 23 giugno.
Per capire chi sta usando l’IP 192.168.1.33, è possibile appunto fare riferimento alla scheda Attached devices dove si troverà, ad esempio, l’associazione 192.168.1.33 PC-UFFICIO-3.

Per avere la certezza che i vari siti web indicati vengano visitati dalle macchine riportate nel log, suggeriamo di assegnare indirizzi IP locali fissi (IP statici) ai sistemi della LAN da controllare in tempi successivi.

Controllare i siti web visitati con OpenDNS

Nell’articolo DNS sicuri con Angel DNS: protezione contro malware e siti sconvenienti abbiamo citato anche OpenDNS, un servizio che mette a disposizione, gratuitamente, server DNS sostituibili a quelli del proprio provider.

I server DNS di OpenDNS possono essere utilizzati senza effettuare alcun tipo di registrazione, sostituendoli a quelli in uso in Windows, Linux, Mac OS X, Android, iOS.
Attivando un account gratuito su OpenDNS (questa la pagina per procedere), tuttavia, si possono bloccare siti web indesiderati o sconvenienti e controllare la lista dei siti visitati dalla propria rete locale.

Il blocco automatico dei siti web indesiderati funziona su qualunque macchina connessa in rete locale così come su qualsiasi dispositivo mobile che condivida la stessa rete WiFi a patto che ogni client utilizzi i due server DNS di OpenDNS:
208.67.222.222
208.67.220.220

I due server DNS possono essere configurati a livello router in modo che siano automaticamente passati, via DHCP, a tutti i sistemi client che fanno richiesta di un IP (vedere l’articolo Configurare router: guida per tutti i modelli ed i provider Internet). In alternativa, si dovranno sostituire i DNS configurati localmente sulle macchine e sui dispositivi client coi DNS di OpenDNS.

Una volta configurato l’utilizzo dei server DNS di OpenDNS, tutte le richieste di risoluzione dei nomi a dominio transiteranno attraverso tali sistemi. Informando OpenDNS dell’IP assegnato dal provider al proprio router (IP statico o dinamico), il servizio permetterà non soltanto di bloccare determinate tipologie di siti web ma anche di ottenere la lista dei siti visitati dalla rete locale.

1) Il primo passo consiste nel registrare un account su OpenDNS facendo riferimento a questa pagina.

2) Compilando le apposite caselle, si dovrà indicare l’indirizzo IP assegnato dal provider al router al momento della connessione. Si dovrà inoltre specificare un’etichetta identificativa per la rete (ad esempio “UFFICIO” oppure “CASA”).

Nella parte superiore della pagina, OpenDNS visualizza l’IP che si sta attualmente utilizzando.

3) Cliccando sulla scheda Settings quindi sulla voce Web content filtering, è possibile decidere se attivare un blocco su alcune tipologie di siti web.
Scegliendo Low verrà impedita la visita dei siti a carattere pornografico così come dei servizi che consentono di rendere anonima la navigazione. Le voci Moderate e High consentono di bloccare la visita di una più vasta gamma di siti. L’elenco completo è verificabile cliccando sul link View:

L’opzione None evita l’utilizzo di qualunque filtro mentre Custom consente di “personalizzare” la lista dei siti web non permessi.

La sezione Manage individual domains dà modo di bloccare o sbloccare siti web specifici.

4) Facendo clic su Customization, si può eventualmente personalizzare il messaggio esposto all’utente che visita uno dei siti web appartenenti alle categorie escluse:

In questa sezione è possibile sostituire il logo di OpenDNS con uno di propria scelta, nascondere il messaggio che permette all’utente di inviare una e-mail all’amministratore (Show contact admin form), modificare i testi visualizzati nel caso in cui un sito web dovesse essere bloccato.

5) Per verificare quali siti web vengono visitati dai sistemi connessi in rete locale, è indispensabile accedere alla sezione Stats and logs ed attivare la casella Enable stats and logs.

6) Nel caso in cui non si utilizzasse un indirizzo IP statico (Telecom Italia, ad esempio, fornisce un IP statico solamente per le connessioni business ^[1]), bisognerà accedere alla sezione Advanced settings e verificare che la casella Enable dynamic IP update sia spuntata.
Inoltre, bisognerà fare in modo che il router od un sistema connesso in rete locale informino automaticamente OpenDNS sull’IP di volta in volta assegnato dal provider Internet (IP dinamico.

7) Alcuni router consentono di attivare il servizio DDNS con riferimento a OpenDNS, No-IP e DynDNS (vedere anche Creare un IP statico con DynDNS: si può ed è gratis). Accedendo al pannello di amministrazione del router quindi utilizzando la sezione Dynamic DNS o DNS dinamico, si dovrà verificare se tra i servizi supportato vi è anche OpenDNS.
In caso affermativo, si dovrà semplicemente inserire nome utente e password di OpenDNS affinché il router comunichi l’IP di volta in volta utilizzato ad ogni connessione.

In alternativa, è possibile ricorrere ad un programma gratuito come DNS-O-Matic che, una volta installato su un sistema connesso in rete locale, si occupa di informare OpenDNS (così come altri servizi, se necessario) circa l’IP assegnato dinamicamente dal provider.

Ancora, come terza alternativa, è possibile utilizzare un semplice script che – senza installare alcunché sul sistema in uso – provvede (da riga di comando) ad informare OpenDNS sull’IP usato ad ogni singola connessione.
Il meccanismo, compatibile con tutti i sistemi Windows, è scaricabile gratuitamente cliccando qui.
Dopo aver estratto il contenuto dell’archivio in una cartella di propria scelta, si dovrà aprire il file opendns.bat con un normale editor di testo (ad esempio il Blocco note).
In corrispondenza della riga seguente, è necessario inserire l’e-mail e la password personali per l’accesso ad OpenDNS oltre che l’etichetta identificativa della rete, così come configurata su OpenDNS:

wget --user EMAIL --password SOSTITUIRE_PASSWORD https://updates.opendns.com/nic/update?hostname=UFFICIO --no-check-certificate -O opendnslog.txt

Cliccando due volte sul file batch, a OpenDNS verrà immediatamente comunicato l’indirizzo IP in uso.
Il consiglio è ovviamente quello di rendere automatica l’esecuzione del file batch inserendo un collegamento a tale file nella cartella Esecuzione automatica di Windows oppure programmandone l’avvio con lo strumento Utilità di pianificazione.

Configurare i client per l’utilizzo di OpenDNS

Come ultimo passo, bisognerà accedere al pannello di amministrazione del router e modificare i server DNS predefiniti sostituendoli con quelli di OpenDNS:
208.67.222.222
208.67.220.220

In questo modo, ogniqualvolta un sistema client connesso alla LAN, richiederà l’assegnazione di un indirizzo IP locale, il router indicherà l’utilizzo dei server DNS di OpenDNS.

È bene comunque verificare la configurazione dei server DNS sulle singole macchine connesse alla LAN in modo tale da verificare che non sia impostato l’utilizzo di server DNS alternativi. In tal caso si dovrà richiederne l’assegnazione da parte del router o sostituirli manualmente con quelli di OpenDNS.
Lo stesso discorso vale nel caso dei dispositivi Android (Cambiare DNS in Android: come fare) e di qualunque altro device mobile.

Controllare l’elenco dei siti visitati dalla rete locale (anche dalla WiFi)

Dopo aver fatto le opportune sostituzioni dei server DNS, sul router e/o su macchine client specifiche, bisognerà attendere dalle 2 alle 12 ore affinché i primi dati relativi alla navigazione degli utenti comincino ad apparire nel pannello di amministrazione dell’account OpenDNS.

Facendo clic sulla scheda Stats di OpenDNS quindi su Domains, si otterrà la lista dei siti visitati dalla rete locale o comunque dai sistemi configurati per usare i server DNS di OpenDNS.

Accedendo alla sezione Blocked domains, si potrà ottenere l’elenco dei domini bloccati dai server di OpenDNS.
Per maggiori informazioni, suggeriamo di fare riferimento a questa FAQ.

——————-

^[1] Nota importante: chi utilizza una connessione business di Telecom Italia è possibile non sia a conoscenza che è possibile sfruttare l’IP statico messo a disposizione dal provider su base contrattuale anche con router diversi da quelli “standard”, generalmente offerti a noleggio od in comodato d’uso dall’azienda. È sufficiente seguire le istruzioni apparse in questo vecchio “post”.
Per inciso, non è più nemmeno necessario specificare i primi 13 caratteri (MAC address seguito dal carattere -) dell’username riportato nel post.
In alternativa è possibile utilizzare nomeazienda@alicebiz.routed come nome utente ed, ancora, nomeazienda@alicebiz.routed come password.