DNS-фильтрация в офисе: блокируем фишинг и вредоносные сайты без агента на каждом ПК

Года три назад один наш клиент — юрфирма на 18 рабочих мест — поймал шифровальщик. Бухгалтер зашёл на поддельный сайт налоговой, скачал «обновлённую форму», запустил — и всё. Восстановление заняло двое суток, хотя бэкапы у них были. С тех пор я всем клиентам настраиваю DNS-фильтрацию — и удивляюсь, почему это до сих пор не норма для каждого офиса.

Откуда берётся угроза — и почему антивирус не успевает

Давайте честно. Большинство заражений в небольших офисах — не через дыры в Windows и не через уязвимость в браузере. Человек сам открыл дверь. Кликнул на ссылку в письме, перешёл на фишинговый сайт, загрузил файл. Антивирус в этот момент может и сработать — если база обновлена, если угроза в ней уже есть, если пользователь не проигнорировал предупреждение. Три «если». Мне этого мало.

Новые фишинговые домены живут часами. Злоумышленники регистрируют домен, рассылают письма, собирают жертв — и бросают его до того, как антивирусные лаборатории успевают добавить запись в базы. Специализированные списки угроз, которые используют Pi-hole и AdGuard Home, работают иначе: они агрегируют данные из сотен источников одновременно, включая репутационные базы, honeypot-сети, фиды от CERT-организаций. Скорость реакции — принципиально другая.

Есть и вторая проблема. Антивирус стоит на каждой машине отдельно. Значит, его надо купить на каждую машину, обновить на каждой, проследить, что никто не отключил. У нас есть клиент — торговая компания, 34 рабочих места, два склада. Там Windows XP на двух складских терминалах. Без шуток. Нормальный антивирус туда уже не поставишь. DNS-фильтрация работает на всей сети — включая принтеры, IP-камеры, кассовые терминалы и эти самые XP-машины. Потому что она на уровне сети, а не на уровне операционной системы.

Как работает DNS-фильтрация — объясняю без лишних слов

Когда браузер хочет открыть сайт, он сначала спрашивает DNS-сервер: «А какой IP-адрес у этого домена?». Обычно этот запрос уходит к провайдеру или в 8.8.8.8 — и возвращается ответ. DNS-фильтрация — это когда между вашими компьютерами и внешним миром стоит ваш собственный DNS-сервер, который сверяет каждый запрашиваемый домен со списком нехороших. Если домен в чёрном списке — сервер возвращает пустоту или страницу-заглушку. Браузер не грузит страницу. Всё.

Элегантность в простоте. Не надо перехватывать трафик, расшифровывать HTTPS, ставить промежуточные сертификаты на каждую машину. Просто ответ на DNS-запрос не приходит. И это работает для всего подряд: для браузера, для приложения, для скрипта, который пытается связаться с командным сервером уже после заражения. Кстати, последнее особенно важно — многие вирусы после проникновения на машину связываются с так называемыми C2-серверами за инструкциями. DNS-фильтрация режет этот канал тоже.

Списки доменов — это сердце системы. Pi-hole и AdGuard Home умеют подписываться на сотни публичных списков блокировки. Самые известные: StevenBlack, OISD, Hagezi, списки от urlhaus.abuse.ch — суммарно там десятки миллионов доменов. Обновляются автоматически, раз в сутки или чаще. Вам не надо вручную добавлять домены — хотя такая возможность тоже есть, и мы ей регулярно пользуемся для специфических случаев у конкретных клиентов.

Pi-hole или AdGuard Home — что выбрать для офиса

Оба варианта бесплатны и опенсорсны. Pi-hole — старожил, появился в 2015 году, огромное сообщество, куча документации на русском и английском. AdGuard Home — помоложе, но интерфейс у него заметно удобнее и настраивается быстрее. Я начинал с Pi-hole, последние два года ставлю AdGuard Home — и не жалею. Это мой субъективный выбор. Pi-hole тоже отличный.

Ключевые отличия для практика. AdGuard Home поддерживает DoH и DoT прямо из коробки — это зашифрованные DNS-запросы, полезно если не хочется, чтобы провайдер видел, к каким доменам обращаются ваши сотрудники. Встроенная поддержка категорий контента, родительский контроль — всё в одном интерфейсе. Pi-hole традиционно работает как DNS плюс DHCP-сервер и немного гибче в тонкой настройке через конфиги. Для среднестатистического офиса оба справятся.

Есть ещё вариант — платные облачные решения вроде Cisco Umbrella или Cloudflare Gateway. Umbrella начинается от двух-трёх долларов на пользователя в месяц. При офисе в 30 человек это под сто тысяч рублей в год только за DNS-фильтрацию. За эти деньги вы получаете облачное управление, красивые отчёты и техподдержку вендора. Но для малого бизнеса разница в защите не стоит этих денег. Pi-hole и AdGuard Home дают девяносто процентов той же защиты бесплатно.

На чём это запускать — железо, виртуалки, контейнеры

Классика — Raspberry Pi. Отсюда, собственно, и название Pi-hole. Raspberry Pi 4 стоит около шести-восьми тысяч рублей, потребляет пять ватт, работает бесшумно и не требует никакого обслуживания. Ставим Raspberry Pi OS, разворачиваем AdGuard Home — и забываем. У меня несколько клиентов, у которых такой малинник стоит в серверной уже третий год без единого сбоя. Ни разу не перезагружал вручную.

Если не хочется возиться с одноплатниками — можно поставить на виртуальную машину внутри уже имеющегося сервера. У большинства наших клиентов есть хотя бы один Windows Server — для контроллера домена, файловых шар, 1С. Там всегда можно выделить маленькую виртуалку под Linux с 512 мегабайтами RAM и одним ядром. AdGuard Home потребляет смешные ресурсы. На офис в тридцать человек — меньше пятидесяти мегабайт памяти под полной нагрузкой. Вы этого даже не заметите.

Ещё один вариант — запуск прямо на роутере. Mikrotik это нативно не потянет, а вот если у вас роутер на OpenWrt — пожалуйста, там есть пакет AdGuard Home. Но это для продвинутых. Для большинства офисов самый простой и надёжный путь — отдельная недорогая машина или виртуалка. Не усложняйте там, где можно не усложнять.

Как это выглядит в сети — схема и первые настройки

Схема простая до неприличия. Ставим AdGuard Home на сервер с фиксированным IP внутри сети — допустим, 192.168.1.2. Заходим в настройки роутера или DHCP-сервера и указываем этот адрес как основной DNS для всей сети. Всё — теперь каждое устройство в офисе, получая IP-адрес по DHCP, автоматически начинает использовать наш фильтрующий DNS. Никаких агентов. Никаких ручных настроек на каждом компьютере. Сотрудники вообще ничего не замечают.

Первоначальная настройка у меня занимает около двух часов. Установка системы, развёртывание AdGuard Home, базовые списки блокировки, правка DHCP на роутере. Потом ещё час — наблюдать за логами и убедиться, что ничего нужного не заблокировали. В первые дни обычно вылезают одно-два ложных срабатывания. Однажды у клиента-медклиники заблокировалась система онлайн-записи пациентов — её домен попал в какой-то агрессивный список рекламщиков. Добавили в белый список за три минуты. Продолжили работать.

В AdGuard Home есть удобная штука — можно создавать разные профили для разных групп устройств. Для компьютеров бухгалтерии — максимально жёсткая фильтрация плюс блокировка социальных сетей. Для менеджеров по продажам — чуть мягче, соцсети разрешены. Для директора — вообще без ограничений. Реализуется через группы с разными настройками, привязанные к IP-адресам или MAC-адресам конкретных машин. Клиенты это любят, особенно те, у кого в штате есть дисциплинарные проблемы.

Что реально блокируется — и что DNS-фильтрация не умеет

Реалистичный взгляд важен, и я всегда говорю клиентам правду. DNS-фильтрация отлично останавливает переходы на известные фишинговые домены, блокирует рекламные сети — это приятный бонус, страницы начинают грузиться быстрее — режет трекеры, останавливает малварь, которая пытается достучаться до командных серверов после заражения. По нашей статистике в среднем десять-пятнадцать процентов всех DNS-запросов в офисной сети блокируется. Это не значит, что сотрудники постоянно лезут куда не надо. Просто современные веб-страницы тянут десятки внешних ресурсов — рекламу, аналитику, виджеты соцсетей — и каждый такой ресурс тоже запрашивается через DNS.

Что не умеет — говорю честно. Если злоумышленник использует IP-адрес напрямую, без доменного имени в URL — DNS-фильтрация не поможет. Правда, большинство фишинговых сайтов всё-таки используют домены, потому что иначе пользователь видит в адресной строке страшный набор цифр и пугается раньше, чем успевает ввести пароль. Ещё одно ограничение: если сотрудник идёт через собственный VPN на телефоне или ноутбуке — ваш корпоративный DNS обходится. Это отдельная история про политики, и она решается, но уже другими инструментами.

Также DNS-фильтрация не защищает от угроз, которые уже внутри периметра — если вирус уже запущен на машине и работает через прямые IP-соединения или нестандартные зашифрованные каналы. Я никогда не говорю клиентам, что это замена антивирусу. Это дополнительный слой защиты. Один из нескольких. Но это очень дешёвый и очень эффективный слой, который закрывает самый массовый вектор атаки — случайный переход по ссылке из письма или мессенджера.

Считаем деньги — сравниваем с классической защитой

Что нужно для защиты офиса на двадцать-тридцать человек? Raspberry Pi 4 — шесть с половиной тысяч рублей. Корпус, блок питания, карточка памяти — ещё полторы. AdGuard Home — бесплатно. Час работы специалиста на установку и настройку — по нашему прейскуранту две с половиной тысячи. Итого первоначальные вложения: около десяти с половиной тысяч рублей. Один раз. И дальше ноль рублей в месяц на лицензии.

Для сравнения: Kaspersky Endpoint Security для бизнеса в базовой комплектации стоит около тысячи восьмисот — двух тысяч двухсот рублей на рабочее место в год. Двадцать пять лицензий — это сорок пять — пятьдесят пять тысяч рублей ежегодно. Kaspersky — хороший продукт, я не против него и сам его рекомендую. Но это разные деньги и разный подход. DNS-фильтрация не конкурирует с антивирусом — она его дополняет. Вопрос в том, стоит ли экономить на этом дополнении, если оно стоит одну установку.

У нас есть клиент — небольшое производство, двадцать два рабочих места. Они поставили AdGuard Home около года назад. За год система заблокировала больше восьмисот тысяч DNS-запросов — из них около двенадцати тысяч были к доменам из категорий «фишинг» и «малварь». Не все эти двенадцать тысяч — намеренные попытки сотрудников зайти куда не надо. Часть это фоновые запросы от браузеров и приложений. Но часть — именно попытки перехода. И все они были остановлены тихо, без всплывающих окон, без паники, без участия человека. Просто страница не открылась.

Частые вопросы

DNS-фильтрация заменяет антивирус?
Нет, не заменяет — это разные инструменты с разными задачами. Антивирус работает на уровне файлов и процессов и ловит вредоносный код, который уже попал на машину. DNS-фильтрация работает раньше — не даёт браузеру даже открыть опасный сайт. Вместе они перекрывают разные векторы атаки, и правильный ответ — использовать оба, потому что стоимость их совместного применения всё равно ниже цены одного серьёзного инцидента.

Что делать с сотрудниками, которые работают из дома?
Это честный вопрос, и у него нет идеального бесплатного ответа. Один вариант — настроить корпоративный VPN так, чтобы весь DNS-трафик домашних сотрудников шёл через офисный сервер фильтрации. Другой вариант — рекомендовать AdGuard Home для самостоятельной установки дома, там есть понятная инструкция. Платные облачные решения вроде Cloudflare Gateway умеют защищать удалённых пользователей через небольшой агент, но это уже другие деньги и другой уровень администрирования.

Не заблокирует ли система нужные рабочие сайты?
Ложные срабатывания бывают, но редко — в моей практике один-три нужных домена в первые несколько дней после запуска. Добавляются в белый список за минуту через веб-интерфейс AdGuard Home. После этого система работает тихо и про неё, как правило, забывают. Если хотите подстраховаться — начните с более мягких списков блокировки, без агрессивных фильтров рекламы, понаблюдайте неделю и постепенно добавляйте строгость.

Замедлит ли DNS-фильтрация интернет?
На практике — нет, и часто работает быстрее, чем без неё. Когда браузер открывает современный сайт, он делает десятки DNS-запросов к рекламным и трекинговым доменам. DNS-фильтрация мгновенно отвечает «нет» на эти запросы — вместо того чтобы ждать ответа от внешнего сервера где-то в интернете. Страницы грузятся заметно шустрее. Клиенты замечают это сами и иногда хвалят — думают, что мы прокачали канал.