Вопрос или проблема
Благодаря этому вопросу/ответу, мне теперь нужно найти личный прокси-сервер, который фильтрует DNS-ответы и защищает от атак DNS rebinding.
Я бы предпочел, чтобы он работал на Windows, так как работодатели, похоже, имеют настоящий талант всегда использовать именно его, несмотря на мое мнение.
Можете что-нибудь предложить? Программа, предложенная автором, кажется, мертвая.
WinGate имеет различные настройки, которые вы можете использовать для этого.
Для начала вы можете установить минимальный TTL в DNS-резольвере и заставить кэшировать результаты. Это предотвращает эффективное использование rebinding на коротких временных интервалах.
Вы также можете установить веб-политику, которая предотвратит подключение к внутренним IP-адресам через прокси или требует совпадения имени заголовка хоста (если, например, ваш сервер интранета этого не делает).
Отказ от ответственности: Я работаю в Qbik, который является автором WinGate.
Я хотел бы рекомендовать пойти на полное решение вместо того, чтобы просто реагировать на это одно требование. Лучшее, что я когда-либо обнаруживал в этом направлении, – это RouterOS от Mikrotik. Он стоит несколько денег, но это действительно хорошее общее сетевое решение.
https://mikrotik.com/download (я не ассоциирован с mikrotik или друзьями, я просто использую это)
Ответ или решение
Вопрос защиты от атак через повторное связывание DNS (DNS rebinding) остается актуальным в мире современных технологий. Если говорить о программном обеспечении для прокси-сервера, которое может фильтровать ответы DNS и обеспечивать защиту от таких атак на Windows, наиболее подходящие варианты рассмотрим ниже.
1. WinGate
WinGate — это мощное программное обеспечение, которое предоставляет различные параметры контроля, необходимые для защиты от DNS rebinding атак. Среди его основных возможностей:
-
Минимальное время жизни (TTL): Вы можете настроить минимальное TTL для DNS-резолвера, что позволяет уменьшить возможность использования повторного связывания на коротких временных интервалах.
-
Кэширование результатов: WinGate позволяет кэшировать результаты DNS-запросов, что также помогает в борьбе с возможными атаками.
-
Политики веб-доступа: Путем настройки веб-политик можно запретить соединения с внутренними IP-адресами через прокси или требовать соответствия заголовка хоста, что является важным для предотвращения утечек данных.
2. RouterOS от MikroTik
Хотя RouterOS от MikroTik является аппаратным решением, его полезно упомянуть. Это полноценная сеть, которая предлагает мощные средства управления трафиком, в том числе защиту от атак, связанных с DNS. Sachom, удобным интерфейсом и широкими возможностями настройки, MikroTik позволяет реализовать сложные сценарии фильтрации и защиты.
3. CCProxy
CCProxy — это еще один вариант прокси-сервера, который также может быть настроен на Windows. Хотя CCProxy не предоставляет прямую защиту от DNS rebinding, вы можете использовать его вместе с другими инструментами для мониторинга и ограничения доступа к определенным адресам и управления запросами.
Рекомендации по настройке
-
Настройка DNS-резолвера: Необходимо задать минимальные значения TTL, чтобы предотвратить быстрое обновление DNS-записей, что особенно важно для атак через повторное связывание.
-
Фильтрация по IP: Настройте фильтрацию по IP-адресам и среди заголовков хоста, ограничивая доступ только к надежным источникам.
-
Мониторинг трафика: Используйте средства мониторинга для отслеживания аномальной активности, что может указывать на попытки атак.
Заключение
Выбор правильного программного обеспечения для прокси-сервера на Windows с защитой от атак через DNS rebinding важен для обеспечения безопасности вашей сети. WinGate, CCProxy и RouterOS от MikroTik представляют собой надежные решения, которые могут быть адаптированы под ваши нужды. Не забывайте про регулярное обновление программного обеспечения и соблюдение современных стандартов безопасности.