NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Verhinderung von DNS-Angriffen
Heutzutage sehen wir viele Arten von DNS-Angriffen auf NxFilter. Dies gilt insbesondere, wenn Sie NxFilter in der Cloud einsetzen. In den alten Tagen haben wir diesem Problem nicht viel diesem Problem nicht viel Aufmerksamkeit geschenkt, da NxFilter eigentlich für ein lokales Netzwerk gedacht ist. Es gibt jedoch immer mehr Benutzer, die NxFilter in der Cloud betreiben wollen, und wir haben auch NxCloud, das für Anbieter von cloudbasierten Filterdiensten gedacht ist. Wir möchten daher einige Funktionen diskutieren, die NxFilter und NxCloud bereits haben, um DNS-Angriffe zu verhindern.

Zugriffskontrolle durch IP-Blöcke
Sie müssen Ihren Dienst nicht für jeden bereitstellen. Möglicherweise möchten Sie DNS-Anfragen von nur von bestimmten Ländern oder IP-Blöcken akzeptieren. Sie können Ihre Zugangskontrollliste nach Ländern oder IP-Blöcken erstellen und fügen Sie sie in DNS > Access Control.
Wenn Ihre Zugriffskontrolle zu groß ist, kann Ihr Browser nicht alle Inhalte anzeigen. In diesem Fall erstellen Sie besser die Datei 'dns-allow-ip.txt' für Allowed IP for DNS' und 'dns-block-ip.txt' für 'Blocked IP for DNS' im Verzeichnis /nxfilter/conf. Sie können diese Dateien in demselben Format füllen wie in der GUI. Wenn Sie Clustering verwenden, müssen Sie diese Dateien auf alle Knoten kopieren.

Authentifizierung einschalten
NxFilter ist ein DNS-Server, der Benutzerauthentifizierung unterstützt. Sie müssen die Benutzerauthentifizierung aktivieren, um den Zugriff von unbekannten Benutzern zu beschränken. Wenn Sie die Authentifizierung aktivieren, werden alle unbekannten Benutzer oder möglichen Angreifer auf die Anmeldeseite umgeleitet.
Login-Umleitung deaktivieren
Wenn Sie die Benutzerauthentifizierung aktivieren, antwortet NxFilter auf DNS-Angriffe mit seiner Login-Umleitung oder blockiert die Umleitung der IP-Adresse. Es gibt also keine Upstream-Abfragen und keine zusätzliche Verarbeitung. Die Angreifer denken jedoch immer noch, dass es einen DNS-Server gibt, den sie angreifen können, da sie trotzdem eine Antwort erhalten. trotzdem eine Antwort erhalten. Um Ihren Server vollständig vor diesen Angreifern zu verstecken, haben wir die Option 'Disable Login Redirection' auf System > Setup.
Für NxCloud ist die Login-Umleitung standardmäßig ausgeschaltet, da sie in erster Linie für die Cloud gedacht ist.
Bestimmte DNS-Anfragetypen blockieren
Einige Angreifer senden nur bestimmte Arten von DNS-Anfragen für ihre eigenen Zwecke. Der bekannteste Fall ist die Verwendung des DNS-Anfragetyps "Any", um einen Opferserver mit größeren DNS-Paketen anzugreifen. Sie können nur bestimmte Arten von Anfragen blockieren oder zulassen auf DNS > Server Protection.

Verwerfen von Anfragen für lokale Domains
Wenn Sie NxFilter in der Cloud ausführen, möchten Sie nicht auf Anfragen für '.local' Domains oder 'WPAD' wie Hostnamen ohne Domains oder Reverse Lookups für private IPs. Um lokale Domains zu blockieren, können Sie einen Eintrag für '.local' und '.localdomain' auf Whitelist > Domain. Für Hostnames ohne Domains und Reverse-Lookups für private IPs haben wir bereits die notwendigen Optionen auf DNS > Server Protection.