Перейти к содержанию

Вопрос

Рекомендуемые сообщения

  • 0
Опубликовано (изменено)

Если кто не понял, то сейчас все прямые запросы к произвольным DNS серверам спокойно проходят в открытом виде, даже если вы настроили DoT/DoH на роутере.

То что я предлагаю даст возможность перенаправить эти не подконтрольные DNS запросы либо на выбранные вами открытые DNS сервера, либо на выбранные вами DoT/DoH сервера в зашифрованном виде.

Кстати, помимо того, что через эту уязвимость могут незаметно переслать какие-то ваши данные, ничто не помешает через этот не очевидный канал установить прямой сеанс управления троянцем на вашем ПК в интерактивном режиме. Возможно через эти запросы переслать и бинарный код преобразованный в ASCII код. Таким образом троянец послужит загрузчиком другого вредоноса с требуемым функционалом. И никакая сетевая защита ничего не покажет. Простой Брандмауэр ничего не заблокирует. Можно конечно заблокировать всю сетевую активность для новых неизвестных программ запускающихся на ПК. Но для этого нужен хороший файрвол с подобной возможностью. В общем далеко не каждый такой себе ставит и правильно конфигурирует. 

Давайте закроем эту брешь ещё на уровне роутера.

В первую очередь эта фишка нужна простым пользователям. Как говорится включил и забыл. Одним уязвимым местом станет меньше.

Профи конечно могут и самостоятельно настроить соответствующим образом iptables. 

Изменено пользователем keenet07
  • Лайк 4
  • 0
Опубликовано (изменено)

 

@Le ecureuil Up.

3 минуты назад, Le ecureuil сказал:

Отличная фича кстати, вот только на днях внутри обсуждали ее. Если есть тема развитии - не сочтите за трудность ее там апнуть.

Даже более того, у нас сейчас при таком перехвате уже блокируются транзитные dot/doh и dnscrypt, так что втупую обойти не выйдет. :)

Изменено пользователем keenet07
  • Спасибо 1
  • Лайк 1
  • 0
Опубликовано (изменено)

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Изменено пользователем Oleg Nekrylov
  • 0
Опубликовано
1 час назад, Oleg Nekrylov сказал:

Все это красиво, до тех пор, пока вам не придется синхронизировать master/slave-зоны на собственных DNS-серверах - я уже "эти танцы с бубном" прошел (оказывается интернет-фильтр [Adguard...] этим занимался и если бы не TSIG, фиг бы нашел в чем дело), спасибо не надо.

В свое время, даже Zyxel Keenetic Ultra пришлось отправить "на полку" надолго (порядка пару-тройку лет валялся) - с роутерами других производителе было все нормально, а как ставишь Keenetic - все, зоны расползаются.

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

  • 0
Опубликовано
1 час назад, keenet07 сказал:

Функция предпологается с возможностью простого включения и отключения. По-умолчанию может быть отключена. Она для тех кому необходима своя конфигурация ДНС серверов. Как вы правильно заметили, присутствует в фильтре Адгуард. А без неё какой от него толк?

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

  • Лайк 1
  • 0
Опубликовано (изменено)
40 минут назад, Oleg Nekrylov сказал:

Так она и так есть: интернет-фильтр, только я не думал, что интернет-фильтр так же вмешивается и в транзитный трафик (проброшены порты 53 TCP/UDP на bind9 и в bind9 указаны forward ip провайдера, а не роутера) ему не предназначенный - пришлось поставить "Без фильтрации". Но сколько при этом было убито в пустую времени и нервов...

Она есть для конкретных фильтров и конкретных DNS серверов, соответственно. Я прошу сделать возможность фильтрации для любых прописанных DNS серверов. Ну больше конечно DOT/DOH интересуют.

Адгуард и другие подобные фильтры с функцией семейного контроля, просто обязаны перехватывать весь DNS трафик до которого могут дотянуться. Иначе какой смысл от семейного контроля, если на любом устройстве можно будет прописать сторонний ДНС сервер и всё что запрещено, станет разрешено?

С другой стороны далеко не все используют фильтры в качестве семейного контроля, для запрета определенных сайтов. Чаще фильтр запускают для фильтрации рекламы, опасного содержимого, фишинговых сайтов. В этом случае контроль транзитных серверов в принципе не так критичен и можно было бы иметь в настройках возможность его отключения в фильтрах для таких сценариев работы. Т.о. и настройка  фильтрации для разных устройств не страдает и специфические программы могут работать.

Изменено пользователем keenet07
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.