Видеть каждое устройство в DNS-логах — не только сеть
Гранулярная видимость DNS-трафика до устройства и пользователя — без установки агентов и дополнительного ПО на конечное устройство.
DoH-устройства — новая сущность в SkyDNS. Каждому устройству назначается уникальная DoH-ссылка с токеном. Один профиль фильтрации для всей организации — и каждое устройство видно в статистике отдельно, без агентов.
Система доменных имён (DNS) через HTTPS отправляет ваш запрос на разрешение доменного имени через зашифрованное соединение, обеспечивая более безопасную работу DNS и усложняя для третьих лиц возможность увидеть, какой веб-сайт вы собираетесь открыть.
Каждый DNS-запрос несёт идентификатор устройства и пользователя. В логах — конкретная машина, а не адрес корпоративной сети.
DNS-запросы передаются по порту 443, зашифрованы и неотличимы от обычного веб-трафика. Подмена, перехват и атака «человек посередине» на уровне сети — в том числе в публичном Wi-Fi или скомпрометированной сети — исключены.
Нативный клиент операционной системы — не сторонний процесс. Меньше чужого ПО на рабочих станциях — меньше риска компрометации через цепочку поставок.
Динамический IP — главная проблема идентификации: адрес периодически меняется, за одним публичным адресом сидит десяток устройств. Привязка политики и логов к IP в такой среде не работает. Токен в ссылке не зависит от адреса — устройство остаётся тем же в отчётах вне зависимости от того, какой сейчас IP и через какую сеть вышел трафик.
Используется нативный клиент операционной системы. Дополнительного ПО не требуется — меньше сторонних процессов, меньше точек риска.
Работает на уровне сетевого стека операционной системы — конфликты с защитой конечных точек, антивирусом и другими агентами исключены архитектурно.
В кабинете создаётся объект DoH-устройство: задаётся имя (например, sales-PC-2), выбирается профиль, генерируется уникальная ссылка с токеном. Выглядит так:
https://76XXX9X.doh.skydns.ru
Альтернативно, в качестве отдельного DoH-устройства можно зарегистрировать не какой-то один компьютер, а отдельную группу устройств. Если нет нужды получать персональную статистику по каждому компьютеру, а нужно лишь применить другие правила фильтрации, можно создать устройства, например “отдел маркетинга” и присвоим для него другой профиль фильтрации.
На нашей стороне движок:
macOS нативно DoH не поддерживает — требуется дополнительное программное обеспечение. На iOS DoH настраивается через конфигурационный профиль, однако любое VPN-приложение из App Store отключает его. Для корпоративного парка приоритет — Windows, Linux, Android.
Настройки → DoH-устройства → Создать устройство. Задаётся имя, выбирается профиль, копируется сгенерированная ссылка. Ссылка подставляется в настройки операционной системы или браузера.
При развёртывании на сотни и тысячи устройств — через программный интерфейс: массовое создание с уникальными именами, получение ссылок в ответе. Организация хранит соответствие «устройство → ссылка» и подставляет ссылки в групповые политики или профили системы управления устройствами.
