Jump to content
  • 36
keenet07

Функция перенаправления транзитного DNS трафика на DNS роутера

Question

Просьба реализовать возможность перенаправления транзитных для DNS роутера запросов на собственные DNS роутера. 

Под транзитными я понимаю прямые запросы с клиентов к произвольным DNS серверам на 53 порту. Например такой "nslookup ya.ru 8.8.8.8". Такой запрос пройдёт в открытом виде независимо от настроенного на работу с DOT/DOH DNS сервером.

Данная функция должна легко включаться и при необходимости отключаться.

Реализовать можно как отдельный фильтр в Интернет-фильтрах.

 

Многие программы используют в разных целях такие прямые обращения к DNS, тем самым засвечивая такие запросы и открывая их для атаки "человек посредине". Так же некоторые трояны пользуются тем, что выход на 53 порту к DNS практически всегда разрешён на файрволе и через такие обращения могут передавать на свой подставной DNS сервер любую текстовую информацию, например ваши логины и пароли от учетных записей.

Данная функция конечно не защитит вас полностью от подобных утечек. Но во всяком случае ваши данные не попадут в руки тех кто на них нацелился.

 

Данная тема так же имела обсуждение здесь 

В общем всех не равнодушных прошу проголосовать за данную тему стрелочкой вверх в заголовке топика.

Edited by keenet07
  • Thanks 1
  • Upvote 8
  • Y'r wrong 1

Share this post


Link to post
Share on other sites

6 answers to this question

Recommended Posts

  • 0

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере.

То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде.

Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. 

Давайте закроем эту брешь ещё на уровне роутера.

В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше.

Профи конечно могут и самостоятельно настроить соответствующим образом iptables. 

Edited by keenet07
  • Upvote 4

Share this post


Link to post
Share on other sites
  • 0

 

@Le ecureuil Up.

3 минуты назад, Le ecureuil сказал:

Отличная фича кстати, вот только на днях внутри обсуждали ее. Если есть тема развитии - не сочтите за трудность ее там апнуть.

Даже более того, у нас сейчас при таком перехвате уже блокируются транзитные dot/doh и dnscrypt, так что втупую обойти не выйдет. :)

Edited by keenet07
  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Edited by Oleg Nekrylov

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Oleg Nekrylov сказал:

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, keenet07 сказал:

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Share this post


Link to post
Share on other sites
  • 0
40 минут назад, Oleg Nekrylov сказал:

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Она есть для конкретных фильтров и конкретных DNS серверов, соответственно. Я прошу сделать возможность фильтрации для любых прописанных DNS серверов. Ну больше конечно DOT/DOH интересуют.

Адгуард и другие подобные фильтры с функцией семейного контроля, просто обязаны перехватывать весь DNS трафик до которого могут дотянуться. Иначе какой смысл от семейного контроля, если на любом устройстве можно будет прописать сторонний ДНС сервер и всё что запрещено, станет разрешено?

С другой стороны далеко не все используют фильтры в качестве семейного контроля, для запрета определенных сайтов. Чаще фильтр запускают для фильтрации рекламы, опасного содержимого, фишинговых сайтов. В этом случае контроль транзитных серверов в принципе не так критичен и можно было бы иметь в настройках возможность его отключения в фильтрах для таких сценариев работы. Т.о. и настройка  фильтрации для разных устройств не страдает и специфические программы могут работать.

Edited by keenet07

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...