UDP-туннелирование - одно из слабых мест безопасности, которое производители беспроводных точек доступа и других устройств со встроенным прокси/файерволлом часто упускают из виду. При обращении к доменному имени формируется UDP-запрос, который отправляется на DNS-сервер по 53 порту. В большинстве файерволлов передача трафика, формируемого этим протоколом, по умолчанию разрешена в обе стороны без какого-либо намека на аутентификацию, что создает дополнительную угрозу безопасности данным.
Один из способов закрыть "дыру" - перехват исходящих UDP-запросов и их дальнейшее перенаправление на локальный DNS-сервер. Делается это при помощи простого правила iptables:
${IPTABLES} -t nat -A PREROUTING -i eth0 -p udp -m udp –dport 53 -j REDIRECT –to-port 53
Примечательно, что этот же шаблон правил используется для настройки прозрачного проксирования в Squid.
Оригинал - adamsinfo.com
Один из способов закрыть "дыру" - перехват исходящих UDP-запросов и их дальнейшее перенаправление на локальный DNS-сервер. Делается это при помощи простого правила iptables:
${IPTABLES} -t nat -A PREROUTING -i eth0 -p udp -m udp –dport 53 -j REDIRECT –to-port 53
Примечательно, что этот же шаблон правил используется для настройки прозрачного проксирования в Squid.
Оригинал - adamsinfo.com
0 коммент.:
Отправить комментарий