Web Proxy Auto-Discovery (WPAD) аркылуу маалыматтардын агып кетүү схемасы аталыштын кагылышуусунан улам (бул учурда ички домендин жаңы gTLDлердин биринин аты менен кагылышуусу, бирок маңызы бирдей). Булак: , 2016
Майк О'Коннор, домендик аталыштарга эң эски инвесторлордун бири. анын коллекциясындагы эң коркунучтуу жана талаштуу лот: домен corp.com 1,7-жылы О'Коннор grill.com, place.com, pub.com жана башкалар сыяктуу көптөгөн жөнөкөй домендик аталыштарды сатып алган. Алардын арасында Майк 1994 жыл сактаган corp.com болгон. Инвестор буга чейин 26 жашта болгон жана эски салымдарын акчага айландырууну чечкен.
Маселе, corp.com 375-жылдардын башында Windows Server 000 базасында корпоративдик интранеттерди курууда Active Directory конфигурациясынын этиятсыздыгынан улам кеминде 2000 2010 корпоративдик компьютерлер үчүн потенциалдуу кооптуу болуп саналат. .” XNUMX-жылдардын башына чейин бул маселе болгон эмес, бирок бизнес чөйрөлөрүндө ноутбуктардын өсүшү менен, барган сайын көбүрөөк кызматкерлер жумуш компьютерлерин корпоративдик тармактан башка жакка жылдыра башташты. Active Directoryди ишке ашыруунун өзгөчөлүктөрү, //corpко түз колдонуучунун суроо-талабы болбосо дагы, бир катар тиркемелер (мисалы, почта) тааныш даректи өз алдынча кагышына алып келет. Бирок бурчтагы кадимки кафеде тармакка тышкы туташуу болгон учурда, бул маалыматтардын жана суроо-талаптардын агымына алып келет. corp.com.
Эми О'Коннор чындап эле Microsoft өзү доменди сатып алат деп үмүттөнөт жана Google'дун эң жакшы салттары боюнча, аны караңгы жана бөтөн адамдар үчүн жеткиликсиз жерде чирип, Windows тармактарынын мындай фундаменталдуу алсыздыгы менен көйгөй чечилет.
Active Directory жана аталыштын кагылышуусу
Windows менен иштеген корпоративдик тармактар Active Directory каталог кызматын колдонушат. Бул администраторлорго колдонуучунун иш чөйрөсүнүн бирдиктүү конфигурациясын камсыз кылуу үчүн топтук саясаттарды колдонууга, топтук саясаттар аркылуу бир нече компьютерде программалык камсыздоону жайылтууга, авторизацияны ж.б.
Active Directory DNS менен интеграцияланган жана TCP/IP үстүндө иштейт. Тармактын ичинде хостторду издөө үчүн, Web Proxy Auto-Discovery (WAPD) протоколу жана функция (Windows DNS кардарына орнотулган). Бул функция башка компьютерлерди же серверлерди толук квалификациялуу домендик аталыш менен камсыз кылбастан табууга мүмкүндүк берет.
Мисалы, эгерде компания аталган ички тармакты иштетсе internalnetwork.example.com, жана кызматкер деп аталган жалпы дискке кирүүнү каалайт drive1, киргизүүнүн кереги жок drive1.internalnetwork.example.com Explorerде жөн гана \drive1 деп териңиз - жана Windows DNS кардары атын өзү бүтүрөт.
Active Directory'дин мурунку версияларында, мисалы, Windows 2000 Server, экинчи деңгээлдеги корпоративдик домен үчүн демейки болгон. corp. Жана көптөгөн компаниялар өздөрүнүн ички домени үчүн демейки режимди сактап калышты. Андан да жаманы, көптөр бул туура эмес орнотуунун үстүнө чоң тармактарды кура башташты.
Стольный компьютерлердин күндөрүндө, бул анча деле коопсуздук маселеси болгон эмес, анткени эч ким бул компьютерлерди корпоративдик тармактын сыртына чыгарган эмес. Бирок, тармак жолу менен компанияда иштеген кызматкер эмне болот corp Active Directoryде корпоративдик ноутбук алып, жергиликтүү Starbucksка барасызбы? Андан кийин Web Proxy Auto-Discovery (WPAD) протоколу жана DNS аталышын өзгөртүү функциясы күчүнө кирет.
Ноутбуктагы кээ бир кызматтар ички доменди тыкылдата беришинин ыктымалдыгы жогору corp, бирок аны таба албайт, анын ордуна суроо ачык Интернеттен corp.com доменине чечилет.
Иш жүзүндө, бул corp.com ээси белгини колдонуу менен кокусунан корпоративдик чөйрөнү таштап кеткен жүз миңдеген компьютерлердин жеке суроо-талаптарын пассивдүү түрдө кармай алат дегенди билдирет. corp Active Directory домениңиз үчүн.
Америкалык трафикте WPAD сурамдарынын агып чыгышы. Мичиган университетинин 2016-жылдагы изилдөөсүнөн,
Эмне үчүн домен азырынча сатыла элек?
2014-жылы ICANN эксперттери жарыялаган DNSдеги аталыштардын кагылышуусу. Изилдөө жарым-жартылай АКШнын Улуттук коопсуздук департаменти тарабынан каржыланган, анткени ички тармактардан чыккан маалымат коммерциялык компанияларга гана эмес, ошондой эле мамлекеттик уюмдарга, анын ичинде Жашыруун кызматка, чалгындоо кызматтарына жана аскердик бөлүмдөргө да коркунуч туудурат.
Майк өткөн жылы corp.com сайтын саткысы келген, бирок изилдөөчү Джефф Шмидт аны жогоруда айтылган отчеттун негизинде сатууну кечиктирүүгө көндүргөн. Изилдөө ошондой эле 375 000 компьютер кожоюндарына билгизбестен күн сайын corp.com менен байланышууга аракет кылганы аныкталган. Сурамдарда корпоративдик интранеттерге кирүү, тармактарга же файл бөлүшүү аракеттери камтылган.
Өзүнүн экспериментинин бир бөлүгү катары, Шмидт JAS Global менен бирге Windows LAN файлдарды жана суроо-талаптарды иштетүү ыкмасын corp.com сайтында туураган. Муну менен алар, чындыгында, ар кандай маалымат коопсуздугу боюнча адис үчүн тозокко портал ачышты:
Бул коркунучтуу болчу. Биз экспериментти 15 мүнөттөн кийин токтоттук жана [бардык алынган] маалыматтарды жок кылдык. Бул маселе боюнча JASке кеңеш берген белгилүү тестиер эксперимент «жашыруун маалыматтын жамгырындай» болгонун жана буга чейин мындай нерсени көрбөгөнүн белгиледи.
[Биз corp.com сайтында почта кабыл алууну орноттук] жана болжол менен бир сааттан кийин биз 12 миллиондон ашык электрондук каттарды алдык, андан кийин экспериментти токтоттук. Электрондук каттардын басымдуу көпчүлүгү автоматташтырылган болсо да, биз кээ бирлери [коопсуздук] сезимтал экенин байкадык, ошондуктан биз андан ары талдоосуз бүт маалымат топтомун жок кылдык.
Шмидт дүйнө жүзү боюнча администраторлор ондогон жылдар бою тарыхтагы эң коркунучтуу ботнетти билбестен даярдап келишкен деп эсептейт. Дүйнө жүзү боюнча жүз миңдеген толук кандуу иштеген компьютерлер ботнеттин бир бөлүгү болууга гана эмес, алардын ээлери жана компаниялары тууралуу купуя маалыматтарды берүүгө даяр. Анын пайдасын көрүү үчүн сизге corp.com гана керек. Бул учурда, бир жолу корпоративдик тармакка туташкан, Active Directory //corp аркылуу конфигурацияланган каалаган машина ботнеттин бир бөлүгү болуп калат.
Microsoft 25 жыл мурун көйгөйдөн баш тартты
Эгерде сиз MS кандайдыр бир деңгээлде corp.com айланасында болуп жаткан бакканалиядан кабарсыз болгон деп ойлосоңуз, анда сиз олуттуу жаңылып жатасыз. Бул FrontPage '97 бета версиясынын колдонуучулары конгон бет, corp.com демейки URL катары тизмеленген:
Майк мындан чындап чарчаганда, corp.com колдонуучуларды секс-шоп веб-сайтына багыттай баштады. Жооп катары ал колдонуучулардан миңдеген ачууланган каттарды алды, аларды көчүрмөсү аркылуу Билл Гейтске багыттады.
Айтмакчы, Майктын өзү кызыккандыктан почта серверин орнотуп, corp.com сайтында купуя каттарды алган. Ал компаниялар менен байланышып, бул көйгөйлөрдү өзү чечүүгө аракет кылган, бирок алар кырдаалды кантип оңдоону билишкен эмес:
Ошол замат мен купуя электрондук каттарды ала баштадым, анын ичинде АКШнын Баалуу кагаздар жана биржа комиссиясына корпоративдик каржылык отчеттордун алдын ала версиялары, адам ресурстары боюнча отчеттор жана башка коркунучтуу нерселер. Мен бир аз убакытка чейин корпорациялар менен кат жазышууга аракет кылдым, бирок алардын көбү эмне кыларын билишкен жок. Ошентип, мен акыры аны [почта серверин] өчүрдүм.
МС эч кандай активдүү аракеттерди көргөн жок жана компания кырдаал боюнча комментарий берүүдөн баш тартууда. Ооба, Microsoft жыл бою бир нече Active Directory жаңыртууларын чыгарды, алар домендик аталыштардын кагылышуу маселесин жарым-жартылай чечет, бирок аларда бир катар көйгөйлөр бар. Компания да өндүргөн сунуштар ички домендик аталыштарды орнотуу боюнча, конфликттерди болтурбоо үчүн экинчи деңгээлдеги доменге ээ болуу боюнча сунуштар жана адатта окулбаган башка окуу куралдары.
Бирок эң негизгиси жаңыртууларда. Биринчиден: аларды колдонуу үчүн компаниянын интранетин толугу менен өчүрүү керек. Экинчиден: мындай жаңыртуулардан кийин кээ бир колдонмолор жайыраак, туура эмес иштей башташы же таптакыр иштебей калышы мүмкүн. Корпоративдик тармагы бар көпчүлүк компаниялар кыска мөөнөттө мындай тобокелчиликке барбай турганы анык. Мындан тышкары, алардын көбү машинаны ички тармактан тышкары алып жатканда, бардыгын corp.com сайтына багыттоо менен коштолгон коркунучтун толук масштабын түшүнүшпөйт.
Сиз көргөндө максималдуу иронияга жетишилет . Ошентип, анын маалыматы боюнча, corp.com дарегине айрым сурамдар Microsoftтун өзүнүн интранетинен келет.
Анан эмне болот?
Бул жагдайды чечүү бетинде жана макаланын башында сүрөттөлгөн окшойт: Майктын доменин андан Microsoft сатып алып, аны алыскы шкафта түбөлүккө тыюу салсын.
Бирок бул анчалык жөнөкөй эмес. Microsoft бир нече жыл мурун О'Коннорго өзүнүн уулуу доменин дүйнө жүзү боюнча компаниялар үчүн сатып алууну сунуш кылган. Бул жөн эле Алп өз тармактарындагы мындай тешикти жабуу үчүн болгону 20 миң доллар сунуштаган.
Эми домен 1,7 миллион долларга сунушталууда.Жана Microsoft акыркы учурда аны сатып алууну чечсе да, алардын убактысы болобу?
Сурамжылоого катталган колдонуучулар гана катыша алышат. , өтүнөмүн.
О'Коннордун ордунда болсоңуз эмне кылат элеңиз?
-
59,6%Microsoft доменди 1,7 миллион долларга сатып алсын, же башка бирөө сатып алсын.501
-
3,4%Мен аны 20 миң долларга сатмакмын, мен мындай доменди белгисиз бирөөлөргө ачыкка чыгарган адам катары тарыхта калгым келбейт.29
-
3,3%Майкрософт туура чечим чыгара албаса, мен аны түбөлүккө көммөкмүн.28
-
21,2%Мен атайын доменди хакерлерге алар Microsoftтун корпоративдик чөйрөдөгү аброюн жок кылуу шарты менен сатмакмын. Алар проблеманы 1997-жылдан бери билишет!178
-
12,4%Мен өзүм ботнет + почта серверин орнотуп, дүйнөнүн тагдырын чече баштамакмын.104
840 колдонуучу добуш берди. 131 колдонуучу добуш берүүдөн баш тартты.
Source: www.habr.com