OpenDNS is an effort that aims to help users avoid phising attempts. It is a free to use service and extremely helpful for the home user. It is very easy to use. If you know how to configure your settings, you simply use the following two DNS servers (instead of the normal ones that your ISP tells you to use):
208.67.222.222
208.67.220.220
Alternatively you can go to their “Get Started“ page and continue from there. But what if you want to offer OpenDNS as a service for your users? Their FAQ has a simple answer: You can use the forwarders option in the named.conf* of your DNS servers:
options {
:
forward first;
forwarders {
208.67.222.222;
208.67.222.220;
};
:
};
This is fine if you want to switch everybody to use OpenDNS. However if you want to offer the service as an alternative for your users, you need to have a separate instanse of named running (maybe on a different machine), because simply using the above forwarding technique will result in having your cache server ask OpenDNS‘ servers even for your own domains. To avoid this traffic, you must include in its named.conf a forwarding+ clause for each of your local domains.
OpenDNS is not a panacea, nor a DNS replacement. IMHO, it is an excellent tool to use when web browsing. Should you decide to implement it, it is best that you offer it to your users via a (separate) caching server. But at the same time it is vital that you remember that there are valid reasons not to use it. However, as Paul Vixie writes:
“that having been said, if typosquatting is going to be done, opendns is the best way to do it among the ways i’ve seen. kudos to davidu and his team for the quality of their implementation and the openness of their launch.”
Further reading: Wikipedia article on OpenDNS.
[*] – I have a strong preference for BIND. However if you study the OpenDNS FAQ you will see that it works well with other DNS software too.
[+] – Some may opt to keep secondaries instead of forwarding.
Managing organized complexity 
Thanks for the kind writeup and clearly doing your homework. :-)
-david
Χρησιμοποιώ το OpenDNS εδώ και λίγες εβδομάδες στο δίκτυο της εταιρίας (Microsoft DNS Server – MS lover).
Το μέχρι στιγμής συμπέρασμά μου, τόσο σχετικά με τη ταχύτητα όσο και με το safety που “λέει” ότι προσφέρει δεν το έχω διαπιστώσει ακόμα. Η λίστα με τα phising sites που διαθέτει αν και είναι πλούσια, ωστόσο μέχρι να θεωρηθεί ένα Phising site 100% ως phising, έχει πλέον κάνει τη ζημιά του και έχει “κατέβει”. Και πρέπει να θεωρηθεί ένα site 100% ως phising για να το “μπλογκάρει” το OpenDNS. Δοκιμάστε το στο phistank.com. Ως πρός το typo correction λειτουργεί αποτελεσματικά, αλλά (και εδώ είναι το σημαντικό), αν πράγματι το site δεν υπάρχει σε οδηγεί σε ένα δικό τους search engine το οποίο δεν μπορείς να ξέρεις πού βασίζεται και αν τα αποτελέσματα που βγάζει είναι paid. Ένα σημαντικό πρόβλημα που διαπίστωσα είναι όταν κάνεις traceroute. Έκανα traceroute στο http://www.otenet.gr (ο ISP μου είναι Forthnet) και αντί να πάει μέσω AIX με πήγε μέσω Λονδίνου (seabone -> above -> OpenDNS cache!!!). Συνεπώς καταργεί το AIX!
Μέχρι στιγμή πιστεύω ότι έχει νόημα η χρήση του μόνο για τους Αμερικάνους και για Dial Up users, όχι για δίκτυα, ISPs και broadband users. Και αν κάποιος admin θέλει να το χρησιμοποιήσει, θα πρέπει να ρυθμίσει το DNS να κάνει forward μόνο τα non-greek IP ranges, αλλά ας μου εξηγήσει κάποιος ΠΩΣ θα κάνει κάτι τέτοιο. Δεν γίνεται! (ή γίνεται;!)
Ένα επίσης σημαντικό “κακό” του OpenDNS είναι ότι βασίζεται αποκλειστικά στην cache του (αυτός είναι και ο λόγος για τον οποίο είναι “γρήγορο”). Αλλά αυτό επίσης σημαίνει ότι έχει τον απόλυτο έλεγχο στο συσχετισμό url -> IP, με ότι και να συνεπάγεται αυτό. Τέλος, το γεγονός και μόνο ότι μία άγνωστη αρχή γνωρίζει απόλυτα όλα τα queries σου αποτελεί θέμα ασφαλείας και ιδιωτικότητας! Ποιός μου λέει εμένα ότι η αμερικανικών συμφερόντων εταιρία θα με προστατέψει από τους τρομολάγνους της Αμερικάνικης Κυβέρνησης;
Και μία σημαντική υποσημείωση, τα typo correction και phish protection ΔΕΝ λειτουργούν με Dynamic IPs εκτός και αν εγκαταστήσετε το δικό τους Dynamip IP updater.
Η δικιά μου εμπειρία:
0. Εγώ το χρησιμοποιώ μέσω ενός caching server που έχω στήσει στην δουλειά σχεδόν αμέσως μετά την έναρξη λειτουργίας τους. Όχι δεν έχω ανοίξει account σε αυτούς, με ενδιαφέρει μόνο το εντελώς free κομάτι τους.
1. Σε ότι αφορά το phising θα συμφωνήσω πως είναι πιο χρήσιμο σε Αμερικάνους, παρά σε Έλληνες, παρόλαυτά, εάν έχεις στήσει ένα caching DNS server που είναι OpenDNS aware, εύκολα μπορείς να τον κάνεις να απαντάει και για τα domains που θεωρείς phishy, μέχρι να τα “μάθει” και το OpenDNS.
2. Πράγματι, όπως λένε, τα λεφτά τα βγάζουν από το paid search engine. Δεν είναι ότι καλύτερο -δε νομίζω πως με έχει βοηθήσει- αλλά είναι ειλικρινείς ως προς αυτό. Και δεν το κάνουν όπως ο SiteFinder ή το [.CM].
3. Δυσκολεύομαι να πιστέψω πως για ένα routing πρόβλημα φταίει το OpenDNS. Το routing δεν εξαρτάται από το OpenDNS, το ανάποδο συμβαίνει μόνο. Για να σε πηγαίνει από αλλού, σημαίνει πως βλέπει άλλη IP address για το http://www.otenet.gr. Κάτι άλλο πρέπει να έγινε, γιατί και από το OpenDNS και από τον ns1.tee.gr και από το SDF βλέπω την ίδια IP address για το http://www.otenet.gr.
4. Δεν κάνεις forward IP ranges, κάνεις domains. Δεν ξέρω πως μπορείς να το κάνεις (αν μπορείς) στον Microsoft DNS, αλλά στο BIND γίνεται απλά:
zone “gr” in {
type forward;
forwarders { 1.2.3.4; // normal DNS server
}; };
Με εξίσου απλό τρόπο μπορείς να το κάνεις και στο dnscache.
Για τα PTR lookups είναι πιο πολύπλοκο το ζήτημα, αλλά αν κάνεις τα κατάλληλα querries στο RIPE whois server μπορείς να κατασκευάσεις την αντίστοιχη λίστα σχετικά εύκολα.
5. Αυτά που φοβάσαι για την ιδιωτικότητά σου, ισχύουν για οποιονδήποτε DNS operator χρησιμοποιείς (ακόμα κι αν είσαι ο DNS operator του εαυτού σου, ισχύουν για τους root name servers ή τους ccTLD name servers). Τουλάχιστον έχουν αξιοπρεπές privacy policy.
Έχουν ξεκινήσει server στην Ευρώπη;
@Titanas:
http://blog.opendns.com/2006/12/31/live-from-london-its-opendns/