Ingen nätverkstekniker av rang skulle officiellt rekommendera att du använder dig av dns-loggar för att spåra trafik som rör sig på ditt nätverk. Tekniken är bristfällig, enkel och har något av en ful-stämpel över sig.

Ytterligare en anledning till att det talas tyst om dns-övervakning är att den knappt kostar några pengar – du klarar dig oftast med existerande infrastruktur, så för en extern leverantör finns det alltså inte pengar att göra.

Principen är simpel. I stort sett varje anslutning som görs från ditt nätverk mot internet har föregåtts av en namnförfrågan ställd mot en dns-server. Den servern omvandlar sedan namnet till den aktuella ip-adressen. I stort sett det enda du behöver göra är att slå på loggningsfunktionen i din dns-server och bearbeta loggarna för att få en god bild över vilka webbservrar och tjänster som klienterna i ditt nätverk använder sig av.

Tekniken är aningen grovhuggen och det är en av anledningarna till att en Cisco-certifierad tekniker troligtvis inte skulle vilja ta i lösningen med tång.

Du spårar bara servernamnet

Bland de brister som du bör känna till finns att du bara kan spåra server­namnet som en viss klient har frågat efter. Du kan till exempel se i dina loggar om en anställd har bett om att få ip-adressen till en server hos en konkurrent, men du kan inte se avsikten bakom förfrågan. Du vet inte om ip-adressen har använts till att skicka ett mejl, gå in på en webbplats, eller för att skapa en annan typ av anslutning.


Sektionen i filen /etc/named.conf som skickar namnförfrågningar till en separat fil för att underlätta bearbetningen. Loggning av dns-förfrågningar är inte påslaget som standard eftersom loggarna kan ta upp väldigt mycket plats.

Du kan inte heller se omfattningen av trafiken – när ip-adressen väl är hämtad kommer den vara cachad hos klienten under en viss tid och det kan dröja tills nästa gång ip-adressen hämtas.
Tekniken är inte heller användbar om du vill se exakt vilka webbsidor dina anställda har gått in på, men du kan åtminstone utifrån servernamnet få ett hum om det är något jobbrelaterat eller inte.

Slå på funktionen

Det första du kan göra för att se vilken nytta dns-loggning kan göra på just ditt företag är att, just det, slå på loggningsfunktionen. Våra exempel i den här artikeln utgår från den öppna dns-servern bind, men principerna ska gå att tillämpa på i stort sett vilken dns-server som helst.

Fakta

Det mellanstora företaget har ingen övervakning av nätverket i dag. Ingen har någon koll på exakt hur många klienter som finns i nätverket, och misstankar finns om att vissa anställda lägger ner alldeles för mycket tid på surf som inte är arbetsrelaterat. Det ligger på it-avdelningens bord att plocka fram fakta, och givetvis får det inte kosta något.