Все сценарии / Ваших сервисов просто не существует для сканеров.
Кейс 02 · Stealth Mode

Ваших сервисов просто не существует для сканеров.

Для внутренних сервисов не создаются публичные DNS-записи. При прямом заходе — ошибка DNS. С включенным расширением резолв происходит на шлюзе, который берет IP из настроек.

Попробовать Live Demo

Как попробовать:

  • 1. Установите расширение для Chrome или Firefox
  • 2. Введите демо-токен: kW9jF
  • 3. Откройте демо-домен (доступен из меню расширения) и сравните поведение напрямую и через шлюз.
grafana.l7.run — С расширением загружается страница авторизации Grafana, без расширения — ошибка NXDOMAIN.
Пример того, как это работает, показан на видео выше
Все сценарии
NXDOMAIN
Ответ без расширения
200
Ответ с расширением
0
Публичных DNS-записей для хоста
01

Проблема → Как делает L7 Admin Guard

Как обычно

Если до сервиса можно достучаться — его уже сканируют.

Админка на публичном IP попадает в Shodan за сутки. Даже за allow-list по IP, утечка hostname через DNS делает таргетные атаки тривиальными. CT-логи разносят каждый ваш сабдомен по всему миру.

  • Массовые сканеры стучатся в админку каждый час
  • Cert Transparency выдаёт все hostname
  • Allow-list по IP ломается, когда сотрудник в командировке
Подход L7 Admin Guard

Нет DNS-записи. Невидим по умолчанию.

Для внутренних сервисов (к примеру grafana) не создается DNS запись. А в админке нашего сервиса добавляется домен grafana.site.com и Target указывается IP адрес (можно port). При прямом заходе на сайт — ошибка DNS. А когда заходишь с включенным расширением, то DNS резолв осуществляется на шлюзе, и он видит, что нужно не в DNS идти за IP, а брать из настроек.

  • Никаких публичных DNS-записей для защищённых сервисов
  • Резолв DNS осуществляется на шлюзе из приватных настроек
  • Селективная маршрутизация: через шлюз идут только нужные домены
02

Как это работает

Сканер GET grafana.site.com Ошибка NXDOMAIN
публичный DNS →
Расширение Перехватывает запрос Направляет на шлюз
резолв на шлюзе →
Сервер Получает запрос Настоящая админка
03

По шагам

01

Не создавайте DNS-запись

Для внутренних сервисов (к примеру grafana) публичная DNS-запись не создается. В админке L7 добавляется домен grafana.site.com и в Target указывается IP адрес (или порт).

02

Прямой доступ невозможен

Когда заходишь на grafana.site.com напрямую - видишь ошибку, что нет такого сайта в DNS. Таким образом для всяких ботов grafana.site.com просто не существует.

03

Доступ через расширение

Когда заходишь с включенным расширением, то DNS резолв осуществляется на шлюзе. Команда может удобно туда заходить даже не задумываясь (благодаря селективной маршрутизации в браузере, через шлюз идут только защищаемые домены).

04

Частые вопросы

Не сломает ли это обычные браузеры без расширения?
Да — это и нужно. Для публичных сайтов используйте обычный маршрут. Stealth — для ресурсов, которых не должно быть видно посторонним.
А утечки через Cert Transparency?
Используйте wildcard-серты — отдельные hostname в CT-логи не попадают.

Внедрите за 5 минут.

Живое демо, без регистрации. Или триал — все функции, 14 дней, без карты.

Попробовать Live Demo

Как попробовать:

  • 1. Установите расширение для Chrome или Firefox
  • 2. Введите демо-токен: kW9jF
  • 3. Откройте демо-домен (доступен из меню расширения) и сравните поведение напрямую и через шлюз.
grafana.l7.run — С расширением загружается страница авторизации Grafana, без расширения — ошибка NXDOMAIN.
Пример того, как это работает, показан на видео выше
Документация