DNS攻撃の防止
最近 NxFilter に対する DNS 攻撃をよく見かける。特に NxFilter をクラウド上に置いた場合に顕著です。昔は NxFilter がクラウド上にあるため、この問題にはあまり関心がありませんでした。
というのも NxFilter はローカル・ネットワークの中にあるはずだからです。しかし、NxFilter をクラウド上で動作させたいと考えるユーザが増えてきました。
をクラウド上で動作させたいと考えるユーザが増えています。そこで、NxFilter と NxCloud がすでに備えている DNS 攻撃を防ぐための機能について説明したい。
がすでに持っているDNS攻撃を防ぐ機能について説明したい。
IPブロックによるアクセス制御
全ての人にサービスを提供する必要はありません。特定の国またはIPブロックのみからのDNSリクエストを受け入れたい場合があります。
特定の国またはIPブロックからのDNSリクエストのみを受け付けることができます。国またはIPブロックによるアクセス制御リストを作成し
に追加します。 DNS > Access Control.
アクセスコントロールが大きすぎると、ブラウザがすべてのコンテンツを投稿できなくなります。その場合は、'dns-allow-ip.txt' ファイルを作成してください。
'dns-allow-ip.txt'ファイルを作成し、'dns-block-ip.txt'ファイルを作成します。これらのファイルにはGUIと同じフォーマットで
これらのファイルはGUIと同じ形式で入力できます。クラスタリングを使用する場合は、これらのファイルをすべてのノードにコピーする必要があります。
認証を有効にする
NxFilter はユーザ認証をサポートする DNS サーバです。未知のユーザからのアクセスを制限するには、ユーザ認証を有効にする必要があります。
認証を有効にすると、未知のユーザや攻撃者の可能性のあるユーザはすべてログインページにリダイレクトされます。
ログインリダイレクトを無効にする
ユーザ認証を有効にすると、NxFilter はログインリダイレクトまたはブロックリダイレクトの IP アドレスで DNS 攻撃に応答します。
そのため、アップストリームクエリや追加処理は発生しません。しかし、攻撃者は攻撃すべきDNSサーバーがあると考えるので
レスポンスを受け取るため、攻撃者は攻撃すべきDNSサーバーが存在すると考えます。このような攻撃者からサーバーを完全に隠すために、「ログイン・リダイレクトを無効にする」オプションを System > Setup.
NxCloudの場合、ログインリダイレクトはクラウド上にあるはずなので、デフォルトではオフになっています。
特定のDNSリクエストタイプをブロックする
攻撃者の中には、自分の目的のために特定のタイプのDNSリクエストのみを送信するものがあります。最もよく知られているケースは、'Any' タイプの DNS リクエストを使用して、より大きな DNS サイズの被害者サーバーを攻撃することである。
より大きなサイズのDNSパケットで被害者サーバーを攻撃することです。特定のタイプのリクエストだけをブロックしたり許可したりするには DNS > Server Protection.
ローカルドメインに対するクエリをドロップする
クラウド上で NxFilter を実行する場合、'.local' ドメインまたは 'WPAD' ドメインのないホスト名やプライベート IP の逆引きなどのクエリに応答しないようにします。
のようなホスト名のクエリに応答したくない。ローカルドメインをブロックするには、'.local' と '.localdomain' のエントリを Whitelist > Domain.のないホスト名の場合
ドメインがないホスト名とプライベートIPの逆引きについては、すでに必要なオプションが DNS > Server Protection.