Nomning to'qnashuvi tufayli Web Proxy Auto-Discovery (WPAD) orqali ma'lumotlarning sizib chiqishi sxemasi (bu holda ichki domenning yangi gTLDlardan birining nomi bilan to'qnashuvi, lekin mohiyati bir xil). Manba: , 2016
Mayk O'Konnor, domen nomlari bo'yicha eng qadimgi investorlardan biri, uning to'plamidagi eng xavfli va bahsli lot: domen corp.com 1,7 million dollarga 1994 yilda O'Konnor grill.com, place.com, pub.com va boshqalar kabi ko'plab oddiy domen nomlarini sotib oldi. Ular orasida Mayk 26 yil saqlagan corp.com ham bor edi. Investor allaqachon 70 yoshda edi va eski investitsiyalarini monetizatsiya qilishga qaror qildi.
Muammo shundaki, corp.com kamida 375 000 korporativ kompyuterlar uchun 2000-yillarning boshida Windows Server 2010 asosida korporativ intranetlarni qurish paytida Active Directory-ning ehtiyotsiz o'rnatilishi tufayli potentsial xavflidir, o'shanda ichki ildiz oddiygina “korp. ”. XNUMX-yillarning boshlariga qadar bu muammo emas edi, lekin biznes muhitida noutbuklar paydo bo'lishi bilan ko'proq xodimlar o'z ish kompyuterlarini korporativ tarmoqdan tashqariga ko'chirishni boshladilar. Active Directory-ni amalga oshirishning xususiyatlari shundan iboratki, foydalanuvchining //corp-ga to'g'ridan-to'g'ri so'rovisiz ham, bir qator ilovalar (masalan, pochta) o'z-o'zidan tanish manzilni taqillatadi. Ammo burchakdagi an'anaviy kafeda tarmoqqa tashqi ulanish bo'lsa, bu ma'lumotlar oqimi va so'rovlar oqimiga olib keladi. corp.com.
Endi O'Konnor haqiqatan ham Microsoft-ning o'zi domenni sotib olishiga umid qilmoqda va Google-ning eng yaxshi an'analariga ko'ra, uni qorong'i va begonalar kirishi mumkin bo'lmagan joyda yo'q qiladi, Windows tarmoqlarining bunday fundamental zaifligi bilan bog'liq muammo hal qilinadi.
Active Directory va nomlarning to'qnashuvi
Windows bilan ishlaydigan korporativ tarmoqlar Active Directory katalog xizmatidan foydalanadi. Bu ma'murlarga foydalanuvchi ish muhitining yagona konfiguratsiyasini ta'minlash, guruh siyosatlari orqali bir nechta kompyuterlarda dasturiy ta'minotni joylashtirish, avtorizatsiyani amalga oshirish va hokazolarni ta'minlash uchun guruh siyosatlaridan foydalanishga imkon beradi.
Active Directory DNS bilan birlashtirilgan va TCP/IP tepasida ishlaydi. Tarmoq ichida xostlarni qidirish uchun Web Proxy Auto-Discovery (WAPD) protokoli va funksiyasi (Windows DNS mijoziga o'rnatilgan). Bu xususiyat to'liq malakali domen nomini taqdim qilmasdan boshqa kompyuterlar yoki serverlarni topishni osonlashtiradi.
Misol uchun, agar kompaniya nomli ichki tarmoqdan foydalansa internalnetwork.example.com, va xodim chaqirilgan umumiy diskka kirishni xohlaydi drive1, kiritish shart emas drive1.internalnetwork.example.com Explorer-da shunchaki \drive1 yozing - va Windows DNS mijozi nomni o'zi to'ldiradi.
Active Directory ning oldingi versiyalarida, masalan, Windows 2000 Serverda, ikkinchi darajali korporativ domen uchun standart bo'lgan. corp. Va ko'plab kompaniyalar o'zlarining ichki domenlari uchun standartni saqlab qolishgan. Bundan ham yomoni, ko'pchilik bu noto'g'ri o'rnatish ustiga keng tarmoqlarni qurishni boshladi.
Statsionar kompyuterlar davrida bu xavfsizlik muammosi emas edi, chunki hech kim bu kompyuterlarni korporativ tarmoqdan tashqariga olib chiqmagan. Ammo tarmoq yo'li bo'lgan kompaniyada ishlaydigan xodim nima bo'ladi corp Active Directory-da korporativ noutbukni olib, mahalliy Starbucks-ga boradimi? Keyin Web Proxy Auto-Discovery (WPAD) protokoli va DNS nomini o'zgartirish funksiyasi kuchga kiradi.
Noutbukdagi ba'zi xizmatlar ichki domenni taqillatishda davom etishi ehtimoli yuqori corp, lekin uni topa olmaydi va uning o'rniga ochiq Internetdan corp.com domeniga so'rovlar hal qilinadi.
Amalda, bu shuni anglatadiki, corp.com egasi korporativ muhitni tasodifan tark etadigan yuz minglab kompyuterlarning shaxsiy so'rovlarini passiv tarzda ushlab turishi mumkin. corp Active Directory domeningiz uchun.
Amerika trafigida WPAD so'rovlarining oqishi. 2016 yilda Michigan universiteti tadqiqotidan,
Nega domen hali sotilmagan?
2014 yilda ICANN ekspertlari e'lon qildi DNS-da nomlar to'qnashuvi. Tadqiqot qisman AQSh Ichki xavfsizlik departamenti tomonidan moliyalashtirildi, chunki ichki tarmoqlardan sizib chiqayotgan ma’lumotlar nafaqat tijorat kompaniyalariga, balki davlat tashkilotlariga, jumladan Maxfiy xizmat, razvedka idoralari va harbiy bo‘limlarga ham tahdid soladi.
Mayk o'tgan yili corp.com ni sotmoqchi edi, ammo tadqiqotchi Jeff Shmidt uni yuqorida aytib o'tilgan hisobotga asoslanib, sotuvni kechiktirishga ishontirdi. Shuningdek, tadqiqot shuni ko‘rsatdiki, 375 000 ta kompyuter o‘z egalarining xabarisiz har kuni corp.com bilan bog‘lanishga harakat qiladi. So'rovlar korporativ intranetlarga kirish, tarmoqlarga kirish yoki fayl almashishga urinishlarni o'z ichiga olgan.
Shmidt o'z tajribasining bir qismi sifatida JAS Global bilan birgalikda Windows mahalliy tarmog'i tomonidan fayllar va so'rovlarni qayta ishlash usulini corp.com saytida simulyatsiya qildi. Bu bilan ular, aslida, har qanday axborot xavfsizligi bo'yicha mutaxassis uchun do'zaxga portal ochdilar:
Bu dahshatli edi. Biz 15 daqiqadan so'ng tajribani to'xtatdik va [barcha olingan] ma'lumotlarni yo'q qildik. JAS’ga bu masala bo‘yicha maslahat bergan taniqli tester tajriba “maxfiy ma’lumotlar yomg‘iri”ga o‘xshaganini va u hech qachon bunday narsani ko‘rmaganini ta’kidladi.
[Biz corp.com saytida pochta qabul qilishni o'rnatdik] va taxminan bir soatdan keyin biz 12 milliondan ortiq elektron pochta xabarlarini oldik, shundan so'ng biz tajribani to'xtatdik. Garchi elektron pochta xabarlarining aksariyati avtomatlashtirilgan bo'lsa-da, biz ba'zilari [xavfsizlik] nozik ekanligini aniqladik va shuning uchun biz qo'shimcha tahlil qilmasdan butun ma'lumotlar to'plamini yo'q qildik.
Shmidtning fikricha, butun dunyodagi ma'murlar o'nlab yillar davomida tarixdagi eng xavfli botnetni bilmagan holda tayyorlab kelishgan. Dunyo bo'ylab yuz minglab to'liq ishlaydigan kompyuterlar nafaqat botnetning bir qismi bo'lishga, balki ularning egalari va kompaniyalari haqidagi maxfiy ma'lumotlarni taqdim etishga ham tayyor. Undan foydalanish uchun faqat corp.com ni nazorat qilish kifoya. Bunday holda, korporativ tarmoqqa bir marta ulangan, Active Directory //corp orqali sozlangan har qanday mashina botnetning bir qismiga aylanadi.
Microsoft 25 yil oldin muammodan voz kechdi
Agar siz MS qandaydir tarzda corp.com atrofida davom etayotgan bacchanaliadan bexabar bo'lgan deb o'ylasangiz, unda siz jiddiy adashasiz. Bu FrontPage '97 beta-versiyasi foydalanuvchilari ochilgan sahifa bo'lib, corp.com standart URL manzili sifatida ko'rsatilgan:
Mayk bundan juda charchaganida, corp.com foydalanuvchilarni seks shop veb-saytiga yo'naltirishni boshladi. Bunga javoban u foydalanuvchilardan minglab g'azablangan xatlarni oldi va ularni nusxasi orqali Bill Geytsga yo'naltirdi.
Aytgancha, Maykning o'zi qiziquvchanligi sababli pochta serverini o'rnatdi va corp.com saytida maxfiy xatlarni oldi. U ushbu muammolarni kompaniyalar bilan bog'lanish orqali hal qilishga harakat qildi, ammo ular vaziyatni qanday tuzatishni bilishmadi:
Men darhol maxfiy elektron pochta xabarlarini, jumladan, AQSh Qimmatli qog'ozlar va birja komissiyasiga korporativ moliyaviy hisobotlarning dastlabki versiyalarini, inson resurslari hisobotlarini va boshqa qo'rqinchli narsalarni olishni boshladim. Men bir muncha vaqt korporatsiyalar bilan yozishmoqchi bo'ldim, lekin ularning ko'plari bu bilan nima qilishni bilishmadi. Shunday qilib, men uni [pochta serverini] o'chirib qo'ydim.
MS hech qanday faol harakat qilmadi va kompaniya vaziyatni izohlashdan bosh tortmoqda. Ha, Microsoft yillar davomida domen nomlari to'qnashuvi muammosini qisman hal qiladigan bir nechta Active Directory yangilanishlarini chiqardi, ammo ularda bir qator muammolar mavjud. Kompaniya ham ishlab chiqargan tavsiyalar ichki domen nomlarini sozlash, ziddiyatlarni oldini olish uchun ikkinchi darajali domenga egalik qilish bo'yicha tavsiyalar va odatda o'qilmaydigan boshqa qo'llanmalar.
Lekin eng muhimi yangilanishlarda. Birinchidan: ularni qo'llash uchun siz kompaniyaning intranetini butunlay o'chirib qo'yishingiz kerak. Ikkinchidan: bunday yangilanishlardan so'ng, ba'zi ilovalar sekinroq, noto'g'ri ishlay boshlashi yoki umuman ishlamay qolishi mumkin. Aniqki, korporativ tarmoqqa ega bo'lgan ko'pchilik kompaniyalar qisqa muddatda bunday tavakkalchilikni o'z zimmasiga olmaydi. Bundan tashqari, ularning ko'plari mashina ichki tarmoqdan tashqariga chiqarilganda hamma narsani corp.com saytiga yo'naltirish bilan bog'liq bo'lgan tahdidning to'liq ko'lamini anglamaydilar.
Ko'rganingizda maksimal istehzoga erishiladi . Shunday qilib, uning ma'lumotlariga ko'ra, corp.com ga ba'zi so'rovlar Microsoftning shaxsiy intranetidan keladi.
Va keyin nima bo'ladi?
Ko'rinishidan, bu vaziyatning yechimi sirtda yotadi va maqolaning boshida tasvirlangan: Microsoft Maykning domenini undan sotib olib, uni uzoqdagi shkafda abadiy taqiqlasin.
Lekin bu unchalik oddiy emas. Microsoft bir necha yil oldin O'Konnorga o'zining zaharli domenini butun dunyo bo'ylab kompaniyalar uchun sotib olishni taklif qilgan. Shunchaki Gigant o'z tarmoqlarida bunday teshikni yopish uchun atigi 20 ming dollar taklif qildi.
Endi domen 1,7 million dollarga taklif qilinmoqda.Va agar Microsoft so‘nggi daqiqada uni sotib olishga qaror qilsa ham, ularning vaqti bo‘ladimi?
So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. iltimos.
Agar O'Konnorning o'rnida bo'lganingizda nima qilgan bo'lardingiz?
-
59,6%Microsoft domenni 1,7 million dollarga sotib olishiga ruxsat bering yoki boshqa birov sotib olishga ruxsat bering.501
-
3,4%Men uni 20 ming dollarga sotardim, nomaʼlum birovga bunday domenni oshkor qilgan shaxs sifatida tarixga kirishni istamayman.29
-
3,3%Agar Microsoft to'g'ri qaror qabul qila olmasa, men uni abadiy ko'mib yuborgan bo'lardim.28
-
21,2%Men domenni xakerlarga korporativ muhitda Microsoft obro'sini yo'q qilish sharti bilan sotardim. Ular muammo haqida 1997 yildan beri bilishadi!178
-
12,4%Men o'zim botnet + pochta serverini o'rnatib, dunyo taqdirini hal qila boshlardim.104
840 ta foydalanuvchi ovoz berdi. 131 foydalanuvchi betaraf qoldi.
Manba: www.habr.com