NxFilter Tutorial
  • EN English
  • DE Deutsch
  • ES Español
  • FR Français
  • IT Italiano
  • JP 日本語
  • BR Português
  • RU Русский
  • TR Türkçe
Предотвращение DNS-атак
В наши дни мы наблюдаем множество видов DNS-атак на NxFilter. Это особенно актуально, когда вы размещаете NxFilter в облаке. В старые времена мы не уделяли много внимания этой проблеме, поскольку NxFilter должен находиться в локальной сети. Однако мы получаем все больше пользователей, желающих запустить NxFilter в облаке, и у нас также есть NxCloud, который предназначен для поставщиков услуг фильтрации в облаке. Итак, мы хотим обсудить некоторые функции, которые NxFilter и NxCloud уже есть для предотвращения DNS-атак.

Контроль доступа по IP-блокам
Вам не обязательно предоставлять свой сервис всем подряд. Возможно, вы захотите принимать DNS-запросы только определенных стран или блоков IP-адресов. Вы можете создать свой список контроля доступа по странам или IP-блокам и добавить его в DNS > Access Control.
Когда ваш список доступа слишком велик, браузер не может разместить все содержимое. В этом случае вам лучше создать файл 'dns-allow-ip.txt' для 'Allowed IP for DNS' и 'dns-block-ip.txt' для 'Blocked IP for DNS' в директории /nxfilter/conf. Вы можете заполнить эти файлы в том же формате как и в графическом интерфейсе. При использовании кластеризации необходимо скопировать эти файлы на все узлы.

Включить аутентификацию
NxFilter является DNS-сервером, поддерживающим аутентификацию пользователей. Вы должны включить аутентификацию пользователей, чтобы ограничить доступ неизвестных пользователей. Когда вы включите аутентификацию, все неизвестные пользователи или возможные злоумышленники будут перенаправлены на страницу входа в систему.
Отключить перенаправление логина
При включении аутентификации пользователей NxFilter будет отвечать на DNS-атаки своим IP-адресом перенаправления логина или блокировки. Таким образом, нет никаких дополнительных запросов и дополнительной обработки. Однако злоумышленники по-прежнему думают, что существует DNS-сервер для атаки, поскольку они получают ответ в любом случае. Чтобы полностью скрыть ваш сервер от этих злоумышленников, у нас есть опция 'Disable Login Redirection' на System > Setup.
Для NxCloud перенаправление логина отключено по умолчанию, так как оно должно быть в первую очередь на облаке.
Блокировать определенные типы DNS-запросов
Некоторые злоумышленники отправляют только определенные типы DNS-запросов для своих целей. Наиболее известным случаем является использование DNS-запроса типа 'Any' для атаки на сервер жертвы с помощью DNS-пакетов большего размера. Вы можете заблокировать или разрешить только определенные типы запросов на DNS > Server Protection.

Блокировать запросы для локальных доменов
Когда вы запускаете NxFilter в облаке, вы не хотите отвечать на запросы для '.local' доменов или 'WPAD', таких как имена хостов без доменов или обратный обратного поиска частных IP-адресов. Чтобы заблокировать локальные домены, вы можете добавить запись для '.local' и '.localdomain' на Whitelist > Domain. Для имен хостов без доменов и обратного поиска для частных IP-адресов у нас уже есть необходимые опции на DNS > Server Protection.