Jump to content
  • 37
keenet07

Функция перенаправления транзитного DNS трафика на DNS роутера

Question

Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. 

Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером.

Данная функция должна легко включаться и при необходимости отключаться.

Реализовать можно как отдельный фильтр в Интернет-фильтрах.

 

Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей.

Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился.

 

Данная тема так же имела обсуждение здесь 

В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.

Edited by keenet07
  • Thanks 1
  • Upvote 8
  • Y'r wrong 1

Share this post


Link to post
Share on other sites

7 answers to this question

Recommended Posts

  • 0

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере.

То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде.

Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. 

Давайте закроем эту брешь ещё на уровне роутера.

В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше.

Профи конечно могут и самостоятельно настроить соответствующим образом iptables. 

Edited by keenet07
  • Upvote 4

Share this post


Link to post
Share on other sites
  • 0

 

@Le ecureuil Up.

3 минуты назад, Le ecureuil сказал:

Отличная фича кстати, вот только на днях внутри обсуждали ее. Если есть тема развитии - не сочтите за трудность ее там апнуть.

Даже более того, у нас сейчас при таком перехвате уже блокируются транзитные dot/doh и dnscrypt, так что втупую обойти не выйдет. :)

Edited by keenet07
  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Edited by Oleg Nekrylov

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Oleg Nekrylov сказал:

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, keenet07 сказал:

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Share this post


Link to post
Share on other sites
  • 0
40 минут назад, Oleg Nekrylov сказал:

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Она есть для конкретных фильтров и конкретных DNS серверов, соответственно. Я прошу сделать возможность фильтрации для любых прописанных DNS серверов. Ну больше конечно DOT/DOH интересуют.

Адгуард и другие подобные фильтры с функцией семейного контроля, просто обязаны перехватывать весь DNS трафик до которого могут дотянуться. Иначе какой смысл от семейного контроля, если на любом устройстве можно будет прописать сторонний ДНС сервер и всё что запрещено, станет разрешено?

С другой стороны далеко не все используют фильтры в качестве семейного контроля, для запрета определенных сайтов. Чаще фильтр запускают для фильтрации рекламы, опасного содержимого, фишинговых сайтов. В этом случае контроль транзитных серверов в принципе не так критичен и можно было бы иметь в настройках возможность его отключения в фильтрах для таких сценариев работы. Т.о. и настройка  фильтрации для разных устройств не страдает и специфические программы могут работать.

Edited by keenet07

Share this post


Link to post
Share on other sites
  • 0

Реализовано в версии 3.6 через команду


> dns-proxy intercept enable

  • Thanks 4

Share this post


Link to post
Share on other sites

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...