Web Proxy Auto-Discovery (WPAD) bidezko datu-ihesaren eskema, izen talkaren ondorioz (kasu honetan, barne-domeinu baten talka gTLD berrietako baten izenarekin, baina funtsa berdina da). Iturria: , 2016
Mike O'Connor, domeinu-izenetako inbertitzaile zaharrenetako bat, bere bildumako loterik arriskutsuena eta eztabaidagarriena: domeinua corp.com 1,7 milioi dolarren truke.1994an, O'Connorrek domeinu izen soil asko erosi zituen, hala nola, grill.com, place.com, pub.com eta beste. Horien artean zegoen corp.com, Mikek 26 urtez mantendu zuena. Inbertitzaileak 70 urte zituen jada eta bere inbertsio zaharrak dirua irabaztea erabaki zuen.
Arazoa da corp.com arriskutsua izan daitekeela gutxienez 375 ordenagailu korporatiborentzat 000ko hamarkada hasieran Windows Server 2000-n oinarritutako intranet korporatiboen eraikuntzan Active Directory-ren konfigurazio arduragabea dela eta, barne erroa "corp" gisa zehaztu zenean. β. 2010eko hamarkadaren hasierara arte, hori ez zen arazoa izan, baina negozio-inguruneetan ordenagailu eramangarrien gorakadarekin, gero eta langile gehiago hasi ziren laneko ordenagailuak sare korporatibotik kanpo eramaten. Active Directory inplementazioaren ezaugarriek //corp-i erabiltzaile zuzeneko eskaerarik egin gabe ere, hainbat aplikaziok (adibidez, posta) helbide ezagun bat jotzen dute bere kabuz. Baina izkinan dagoen ohiko kafetegi batean sarera kanpoko konexio baten kasuan, horrek datu eta eskaerak isurtzen ditu. corp.com.
Orain O'Connorrek benetan espero du Microsoftek berak domeinua erosiko duela eta, Google-ren tradiziorik onenetan, usteltzea nonbait ilun eta kanpotarrentzat eskuraezina den, Windows sareen oinarrizko ahultasun horren arazoa konponduko dela.
Active Directory eta izenen talka
Windows exekutatzen duten sare korporatiboek Active Directory direktorioa zerbitzua erabiltzen dute. Administratzaileei talde-politikak erabiltzeko aukera ematen die erabiltzailearen lan-ingurunearen konfigurazio uniformea ββbermatzeko, talde-politiken bidez softwarea hainbat ordenagailutan zabaltzeko, baimenak egiteko, etab.
Active Directory DNSrekin integratuta dago eta TCP/IPren gainean exekutatzen da. Sarean ostalariak bilatzeko, Web Proxy Auto-Discovery (WAPD) protokoloa eta funtzioa (Windows DNS Bezeroan eraikia). Ezaugarri honek beste ordenagailu edo zerbitzari batzuk aurkitzea errazten du domeinu-izen guztiz kualifikaturik eman beharrik gabe.
Adibidez, enpresa batek izeneko barne-sare bat funtzionatzen badu internalnetwork.example.com, eta langileak izeneko unitate partekatu batera sartu nahi du drive1, ez da sartu behar drive1.internalnetwork.example.com Explorer-en, idatzi \drive1 - eta Windows DNS bezeroak izena bera osatuko du.
Active Directory-ren aurreko bertsioetan βadibidez, Windows 2000 Serverβ bigarren mailako domeinu korporatiboaren lehenetsia zen. corp. Eta enpresa askok lehenetsia mantendu dute barne-domeinurako. Are okerrago, asko sare zabalak eraikitzen hasi dira konfigurazio akats honen gainean.
Mahaigaineko ordenagailuen garaian, hori ez zen segurtasun arazo handirik, inork ez zituelako ordenagailu horiek sare korporatibotik kanpo eraman. Baina zer gertatzen da sareko bidea duen enpresa batean lan egiten duen langile bat corp Active Directory-n ordenagailu eramangarri bat hartu eta bertako Starbucks-era joaten da? Ondoren, Web Proxy Auto-Discovery (WPAD) protokoloa eta DNS izenaren transferentzia funtzioa indarrean sartzen dira.
Probabilitate handia dago ordenagailu eramangarriko zerbitzu batzuek barne-domeinua jotzen jarraitzeko corp, baina ez du aurkituko, eta horren ordez eskaerak corp.com domeinura ebatziko dira Internet irekitik.
Praktikan, horrek esan nahi du corp.com-en jabeak izendapena erabiliz ustekabean enpresa-ingurunetik irteten diren ehunka milaka ordenagailuren eskaera pribatuak modu pasiboan atzeman ditzakeela. corp Active Directory-n zure domeinurako.
WPAD eskaeren ihesa Ameriketako trafikoan. 2016ko Michigango Unibertsitateko ikerketa batetik,
Zergatik ez da domeinua saldu oraindik?
2014an, ICANNeko adituek argitaratu zuten izen talkak DNSn. Azterketa AEBetako Segurtasun Sailak finantzatu zuen neurri batean, barne sareetako informazio-isuriek merkataritza-enpresak ez ezik, gobernu-erakundeak ere mehatxatzen dituztelako, zerbitzu sekretuak, inteligentzia agentziak eta adar militarrak barne.
Mikek iaz corp.com saldu nahi zuen, baina Jeff Schmidt ikertzaileak salmenta atzeratzeko konbentzitu zuen aipatutako txostenean oinarrituta. Ikerketaren arabera, 375 ordenagailu saiatzen dira egunero corp.com-ekin harremanetan jartzen jabeek jakin gabe. Eskaerek intranet korporatiboetan, sareetan sartzeko edo fitxategi partekatzeetan saioa hasteko saiakerak zituzten.
Bere esperimentuaren barruan, Schmidtek, JAS Globalekin batera, corp.com-en imitatu zuen Windows LAN fitxategiak eta eskaerak prozesatzeko modua. Hori eginez, hain zuzen ere, informazio-segurtasuneko edozein espezialistari pikutara doan atari bat ireki zioten:
Ikaragarria izan zen. 15 minuturen buruan esperimentua gelditu eta [lortutako guztiak] datuak suntsitu genituen. JASi gai honi buruz aholkatu zuen probatzaile ezagun batek adierazi zuen esperimentua "isilpeko informazio euri bat" bezalakoa zela eta ez zuela inoiz horrelakorik ikusi.
[Corp.com-en posta-harrera konfiguratu genuen] eta ordubete inguru igaro ondoren 12 milioi mezu elektroniko baino gehiago jaso genituen, eta ondoren esperimentua gelditu genuen. Mezu elektroniko gehienak automatizatuta zeuden arren, batzuk [segurtasuna] sentikorrak zirela ikusi genuen eta, beraz, datu multzo osoa suntsitu genuen azterketa gehiago egin gabe.
Schmidtek uste du mundu osoko administratzaileek jakin gabe historiako botnet arriskutsuena prestatzen ibili direla hamarkada luzez. Mundu osoko ehunka milaka ordenagailu lan egiten dituztenak prest daude botnet baten parte izateko ez ezik, jabeei eta enpresei buruzko isilpeko datuak emateko ere. Aprobetxatzeko egin behar duzun guztia kontrola corp.com da. Kasu honetan, behin sare korporatibora konektatuta dagoen edozein makina, zeinaren Active Directory //corp bidez konfiguratuta dagoen, botnetaren parte bihurtzen da.
Microsoftek duela 25 urte utzi zion arazoari
Uste baduzu MS nolabait corp.com-en inguruan dagoen bakanalaren berri ez zuela, larri oker zaude. Hau da FrontPage '97 beta bertsioko erabiltzaileek lurreratu duten orria, corp.com URL lehenetsi gisa zerrendatuta:
Mike honetaz oso nekatu zenean, corp.com erabiltzaileak sex shop webgunera birbideratzen hasi zen. Horren harira, erabiltzaileen milaka gutun haserre jaso zituen, eta kopia bidez birbideratu zituen Bill Gatesi.
Bide batez, Mikek berak, jakin-minagatik, posta zerbitzari bat ezarri eta isilpeko gutunak jaso zituen corp.com-en. Arazo horiek berak konpontzen saiatu zen enpresekin harremanetan jarriz, baina ez zekiten egoera nola zuzendu:
Berehala, isilpeko mezu elektronikoak jasotzen hasi nintzen, besteak beste, AEBetako Baloreen eta Truke Batzordearen finantza-txostenen aurretiazko bertsioak, giza baliabideen txostenak eta beste gauza beldurgarriak. Korporazioekin harremanak izaten saiatu nintzen denbora batez, baina gehienek ez zekiten zer egin horrekin. Beraz, azkenean [posta zerbitzaria] itzali nuen.
MS-k ez zuen inolako ekintza aktiborik hartu, eta konpainiak uko egiten dio egoerari buruz iruzkintzeari. Bai, Microsoft-ek urteetan zehar domeinu-izenen talka arazoari partzialki aurre egiten dioten Active Directory-ren eguneratze ugari kaleratu ditu, baina arazo ugari dituzte. Konpainiak ere ekoizten zuen gomendioak barne domeinu-izenak ezartzeari buruz, bigarren mailako domeinu bat edukitzeari buruzko gomendioak gatazkak saihesteko eta normalean irakurtzen ez diren beste tutorial batzuk.
Baina garrantzitsuena eguneraketetan datza. Lehenengoa: horiek aplikatzeko, enpresaren intranet-a erabat jarri behar duzu. Bigarrena: eguneratze horiek egin ondoren, baliteke aplikazio batzuk motelago, gaizki funtzionatzen hastea edo guztiz funtzionatzeari uztea. Argi dago sare korporatibo eraikia duten enpresa gehienek ez dutela halako arriskurik hartuko epe laburrean. Horrez gain, horietako asko ez dira konturatzen corp.com-era dena birbideratzeko makina barne-saretik kanpo hartzen duten mehatxuaren tamaina osoz jabetzen.
Ironia maximoa lortzen da ikusten duzunean . Beraz, bere datuen arabera, corp.com-i egindako eskaera batzuk Microsoft-en intranetetik datoz.
Eta zer gertatuko da gero?
Egoera honen konponbidea azalean dagoela dirudi eta artikuluaren hasieran deskribatu zen: Microsoft-ek Mikeren domeinua eros dezala hari eta debekatu nonbait urruneko armairu batean betiko.
Baina ez da hain erraza. Microsoft-ek duela urte batzuk eskaini zion O'Connorri bere domeinu toxikoa erostea mundu osoko enpresentzat. Hori besterik ez Erraldoiak 20 mila dolar baino ez zituen eskaini bere sareetan halako zulo bat ixteagatik.
Orain 1,7 milioi dolarren truke eskaintzen da domeinua.Eta Microsoftek azken momentuan erostea erabakitzen badu ere, denbora izango al dute?
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Zer egingo zenuke O'Connor bazina?
-
59,6%Utzi Microsoft-ek domeinua 1,7 milioi dolarren truke erosten, edo utzi beste norbaitek erosten.501
-
3,4%20 mila dolarren truke salduko nuke; ez dut historiara pasa nahi halako domeinu bat ezezagun bati filtratu dion pertsona gisa.29
-
3,3%Nik neuk lurperatuko nuke betiko Microsoft-ek erabaki zuzena hartu ezin badu.28
-
21,2%Zehazki, domeinua hackerrei salduko nieke Microsoft-en ospea korporazio ingurunean suntsitzeko baldintzarekin. 1997tik ezagutzen dute arazoa!178
-
12,4%Nik neuk ezarriko nuke botnet + posta zerbitzari bat eta munduaren patua erabakitzen hasiko nintzateke.104
840 erabiltzailek eman dute botoa. Erabiltzaile 131 abstenitu egin zen.
Iturria: www.habr.com