Il CNAME di WPAD non funziona

m.mariani — Fri, 19 Feb 2010 08:00:36 +0000

Se siete soliti centralizzare le configurazioni, per avere un maggiore controllo sulla rete, potrebbe essere utile sapere che il CNAME di WPAD in un DNS Server basato su Microsoft Windows 2008, in configurazione di default, non funziona.

Il Web Proxy Automatic Discovery Protocol è il protocollo più comune per distribuire la configurazione del proxy tramite lo script wpad.dat, ma è anche il protocollo più vulnerabile ad un eventuale takeover, per questo modivo Microsoft, in Windows 2008, ha deciso di inserirlo in quella che viene chiamata Global Query Block List del DNS. La Global Query Block List non è altro che un elenco di nomi di cui il server ignora le richieste, per cui anche nel caso voi abbiate creato correttamente un CNAME, che punta al vostro proxy server, non vi sarà alcuna risoluzione valida alla query.

Per attivare questo tipo di configurazione dovete aggiornare la Block List usando il comando:

dnscmd /config /globalqueryblocklist

I name vanno separati con uno spazio, la sintassi del comando è comunque disponibile sul sito TechNet.
Dato che per aggiornare la lista dovete digitare il comando con tutti i name che volete lasciare e non digitare quello che va rimosso, prima di farlo vi consiglio di controllare com’è composta la block list con il comando:

dnscmd /info /globalqueryblocklist

Ovviamente la lista si può anche disabilitare ma non è consigliato.

Proxy gratis con il DNS

m.mariani — Sat, 28 Nov 2009 20:45:44 +0000

Normalmente quando si vuole bloccare, limitare o controllare gli accessi ad internet si fa ricorso ad un server proxy, piottosto che a delle configurazioni sui router/firewall o a dei servizi associati a questi apparati.

Nel caso però in cui vogliate bloccare l’accesso ad alcuni siti, che non sono attinenti al lavoro (facebook.com non me ne voglia), ma non avete budget da investire e ammesso che la vostra LAN sia gestita da un DNS interno, forse qualcosa si può fare!

In realtà questo è un workaround, non la soluzione migliore al problema, che consiste nel “drogare” il DNS server per deviare le richieste con destinazione non gradita.

In una rete Microsoft con Active Directory installato, il controller di dominio ha quasi sicuramente un servizio DNS attivo, fate in modo che tutti i client di rete (magari attraverso un servizio DHCP) abbiano come unico DNS server il Domain Controller (DC). Ora create delle finte zone primarie, ad esempio facebook.com o alice.it, lasciandole anche vuote, in questo modo tutti i client di rete non saranno più in grado di raggiungere i siti perchè non otterranno l’IP corretto in risposta alla query.

[Mostra come presentazione]

Quali sono gli svantaggi?
Vale per tutti gli utenti (anche l’IT Manager), non c’è possibilità dilegarlo a user o a gruppi, non può essere limitato per tempo massimo e nemmeno per fasce orarie, oltre ad essere scomodo da gestire.

Quali i vantaggi?
Costa poco o nulla e visto che influisce direttamente sulla produttività non è neanche poi così male!

Nonostante questo articiolo, continuerò a consigliare fino allo sfinimento Microsoft ISA Server.

Marietto's » proxy

Il CNAME di WPAD non funziona

Proxy gratis con il DNS