Scheme nan flit done atravè Web Proxy Auto-Discovery (WPAD) akòz kolizyon non (nan ka sa a, yon kolizyon nan yon domèn entèn ak non an nan youn nan nouvo gTLD yo, men sans nan se menm bagay la). Sous:
Mike O'Connor, youn nan pi ansyen envestisè yo nan non domèn,
Pwoblèm lan se ke corp.com se potansyèlman danjere pou omwen 375 òdinatè antrepriz akòz konfigirasyon an neglijans nan Active Directory pandan konstriksyon an nan intranet antrepriz nan kòmansman ane 000 yo ki baze sou Windows Server 2000, lè rasin entèn la te tou senpleman espesifye kòm "corp. .” Jiska kòmansman ane 2010 yo, sa a pa t 'yon pwoblèm, men ak ogmantasyon nan laptops nan anviwònman biznis, pi plis ak plis anplwaye yo te kòmanse deplase òdinatè travay yo deyò rezo antrepriz la. Karakteristik nan aplikasyon an Active Directory mennen nan lefèt ke menm san yo pa yon demann itilizatè dirèk nan //corp, yon kantite aplikasyon (pa egzanp, lapòs) frape sou yon adrès abitye poukont yo. Men, nan ka yon koneksyon ekstèn nan rezo a nan yon kafe konvansyonèl alantou kwen an, sa mennen nan yon kouran done ak demann vide sou. corp.com.
Koulye a, O'Connor reyèlman espere ke Microsoft tèt li pral achte domèn nan epi, nan tradisyon yo pi bon nan Google, pouri li yon kote ki fè nwa ak inaksesib a moun andeyò, pwoblèm nan ak yon vilnerabilite fondamantal nan rezo Windows yo pral rezoud.
Anyè aktif ak kolizyon non
Rezo antrepriz ki kouri Windows yo sèvi ak sèvis anyè Active Directory. Li pèmèt administratè yo sèvi ak règleman gwoup pou asire konfigirasyon inifòm nan anviwònman travay itilizatè a, deplwaye lojisyèl sou plizyè òdinatè atravè règleman gwoup, fè otorizasyon, elatriye.
Anyè aktif entegre ak DNS epi li kouri sou TCP/IP. Pou chèche gen tout pouvwa nan rezo a, pwotokòl Web Proxy Auto-Discovery (WAPD) ak fonksyon an
Pou egzanp, si yon konpayi opere yon rezo entèn yo te rele internalnetwork.example.com
, ak anplwaye a vle jwenn aksè nan yon kondwi pataje yo rele drive1
, pa bezwen antre drive1.internalnetwork.example.com
nan Explorer, jis tape \drive1 - ak Windows DNS kliyan an pral ranpli non an tèt li.
Nan vèsyon pi bonè nan Active Directory—pa egzanp, Windows 2000 Server—defo a pou dezyèm nivo domèn antrepriz la te corp
. Ak anpil konpayi yo te kenbe default la pou domèn entèn yo. Menm pi mal, anpil moun te kòmanse bati rezo vas sou tèt konfigirasyon defo sa a.
Nan epòk òdinatè Desktop yo, sa a pa t anpil nan yon pwoblèm sekirite paske pa gen moun ki te pran òdinatè sa yo deyò rezo antrepriz la. Men, sa k ap pase lè yon anplwaye k ap travay nan yon konpayi ki gen yon chemen rezo corp
nan Anyè aktif pran yon laptop antrepriz epi li ale nan Starbucks lokal la? Lè sa a, pwotokòl la Web Proxy Auto-Discovery (WPAD) ak fonksyon an devolusyon non DNS antre an aplikasyon.
Gen yon gwo pwobabilite ke kèk sèvis sou laptop la ap kontinye frape sou domèn entèn la corp
, men yo pa pral jwenn li, epi olye de demann yo pral rezoud nan domèn nan corp.com soti nan entènèt la louvri.
Nan pratik, sa vle di ke pwopriyetè a nan corp.com ka pasif entèsepte demann prive ki soti nan dè santèn de milye de òdinatè ki aksidantèlman kite anviwònman antrepriz la lè l sèvi avèk deziyasyon an. corp
pou domèn ou nan Active Directory.
Flit demann WPAD nan trafik Ameriken an. Soti nan yon etid 2016 University of Michigan,
Poukisa domèn nan poko vann?
Nan 2014, ekspè ICANN te pibliye
Mike te vle vann corp.com ane pase a, men chèchè Jeff Schmidt te konvenk li pou retade vant la ki baze sou rapò susmansyone a. Etid la te jwenn tou ke 375 òdinatè eseye kontakte corp.com chak jou san yo pa konnen pwopriyetè yo. Demann yo te genyen tantativ pou antre nan intranet antrepriz, rezo aksè oswa pataje dosye.
Kòm yon pati nan pwòp eksperyans li, Schmidt, ansanm ak JAS Global, imite sou corp.com fason Windows LAN trete dosye ak demann. Lè yo fè sa, yo, an reyalite, louvri yon pòtal nan lanfè pou nenpòt espesyalis sekirite enfòmasyon:
Li te terib. Nou te sispann eksperyans la apre 15 minit epi detwi [tout yo jwenn] done yo. Yon tester byen li te ye ki te konseye JAS sou pwoblèm sa a te note ke eksperyans la te tankou "yon lapli enfòmasyon konfidansyèl" e ke li pa t janm wè anyen tankou li.
[Nou mete resepsyon lapòs sou corp.com] epi apre apeprè inèdtan nou te resevwa plis pase 12 milyon imèl, apre sa nou te sispann eksperyans la. Malgre ke vas majorite nan imèl yo te otomatize, nou te jwenn ke kèk yo te [sekirite] sansib ak Se poutèt sa nou detwi tout seri done yo san plis analiz.
Schmidt kwè ke administratè atravè mond lan yo te prepare san konnen botne ki pi danjere nan listwa pou dè dekad. Plizyè santèn milye òdinatè k ap travay atravè mond lan pare non sèlman pou yo vin fè pati yon botne, men tou pou bay done konfidansyèl sou pwopriyetè yo ak konpayi yo. Tout sa ou bezwen fè pou pran avantaj de li se control corp.com. Nan ka sa a, nenpòt machin ki yon fwa konekte nan rezo antrepriz la, ki gen anyè aktif yo te configuré atravè //corp, vin fè pati botne la.
Microsoft te abandone pwoblèm nan 25 ane de sa
Si ou panse ke MS te yon jan kanmenm inyorans nan bakanal kontinyèl alantou corp.com, Lè sa a, ou se seryezman erè.
Lè Mike te vrèman fatige ak sa a, corp.com te kòmanse redireksyon itilizatè yo sou sit entènèt boutik sèks la. Kòm repons, li te resevwa dè milye de lèt fache nan men itilizatè yo, ke li redireksyon atravè kopi Bill Gates.
By wout la, Mike tèt li, pa kiryozite, mete kanpe yon sèvè lapòs epi li te resevwa lèt konfidansyèl sou corp.com. Li te eseye rezoud pwoblèm sa yo tèt li pa kontakte konpayi yo, men yo tou senpleman pa t 'konnen ki jan yo korije sitiyasyon an:
Menm lè a, mwen te kòmanse resevwa imèl konfidansyèl, ki gen ladan vèsyon preliminè nan rapò finansye antrepriz nan US Securities and Exchange Commission, rapò sou resous imen ak lòt bagay ki fè pè. Mwen te eseye koresponn ak kòperasyon pou yon ti tan, men pifò nan yo pa t 'konnen ki sa yo fè ak li. Se konsa, mwen finalman jis vire li [sèvè lapòs la] koupe.
MS pa t 'pran okenn aksyon aktif, ak konpayi an refize fè kòmantè sou sitiyasyon an. Wi, Microsoft te pibliye plizyè mizajou Active Directory pandan ane yo ki pasyèlman adrese pwoblèm kolizyon non domèn, men yo gen yon kantite pwoblèm. Konpayi an te pwodwi tou rekòmandasyon sou mete kanpe non domèn entèn, rekòmandasyon sou posede yon domèn dezyèm nivo pou fè pou evite konfli, ak lòt leson patikilye ki anjeneral pa li.
Men, bagay ki pi enpòtan se nan mizajou yo. Premyèman: pou aplike yo, ou bezwen konplètman mete desann intranet konpayi an. Dezyèm: apre mizajou sa yo, kèk aplikasyon ka kòmanse travay pi dousman, mal, oswa sispann travay nèt. Li klè ke pifò konpayi ki gen yon rezo antrepriz bati-up pa pral pran risk sa yo nan kout tèm. Anplis de sa, anpil nan yo pa menm reyalize echèl la plen nan menas la ki plen ak redireksyon an nan tout bagay nan corp.com lè yo pran machin nan deyò rezo entèn la.
Maksimòm iwoni reyalize lè ou wè
Ak sa ki pral rive apre?
Li ta sanble ke solisyon an nan sitiyasyon sa a manti sou sifas la epi li te dekri nan kòmansman an nan atik la: kite Microsoft achte domèn Mike a nan men l 'ak entèdi l' yon kote nan yon klozèt aleka pou tout tan.
Men, li pa senp konsa. Microsoft te ofri O'Connor achte domèn toksik li pou konpayi atravè mond lan plizyè ane de sa. Se jis Jeyan an te ofri sèlman 20 mil dola pou fèmen yon twou konsa nan pwòp rezo li yo.
Koulye a, domèn nan ofri pou $ 1,7 milyon dola.E menm si Microsoft deside achte li nan dènye moman an, èske yo gen tan?
Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la.
Kisa ou ta fè si ou te O'Connor?
-
59,6%Kite Microsoft achte domèn nan pou $1,7 milyon, oswa kite yon lòt moun achte l.501
-
3,4%Mwen ta vann li pou $20 mil, mwen pa vle pase nan listwa kòm moun ki koule tankou yon domèn bay yon moun enkoni.29
-
3,3%Mwen ta antere li pou tout tan si Microsoft pa ka pran bon desizyon an.28
-
21,2%Mwen ta espesyalman vann domèn nan bay entru sou kondisyon ke yo detwi repitasyon Microsoft a nan anviwònman antrepriz la. Yo konnen pwoblèm nan depi 1997!178
-
12,4%Mwen ta mete kanpe yon botne + sèvè lapòs tèt mwen epi kòmanse deside sò mond lan.104
840 itilizatè yo te vote. 131 itilizatè te absteni.
Sous: www.habr.com