O que impede alguém de configurar um registro A para meu domínio?

5

Provavelmente, estou completamente errado, mas o que parece ser a maneira padrão de apontar um domínio para um site é muito inseguro.

Digamos que seu domínio seja reintegrado com Empresa A e seu site esteja hospedado por meio de Empresa B .

Os passos para configurar tudo são normalmente:

  • Faça o login na Empresa A e defina o registro DNS de meu-domínio.com para apontar para ns1.company-b.com e ns2.company-b.com
  • Faça login na empresa B e adicione my-domain.com à sua conta e configure um registro A.

Mas como a Empresa B sabe que você está autorizado a configurar um registro A? Só porque o domínio está usando seu servidor DNS? Não é possível que outra pessoa que seja cliente da Empresa B seja realmente o proprietário do domínio e eles sejam os que apontaram para os servidores DNS da Empresa B - e como você também é um cliente da Empresa B, você pode seqüestrar o domínio?

Isso pode não ser possível, se sim, o que está impedindo que algo assim aconteça?

    
por JD Isaacks 01.12.2011 / 19:00

5 respostas

9

Em teoria, você está correto. Na prática, isso não é realmente um problema de segurança porque você tem controle sobre o que o domínio usa como servidores de nomes autoritativos. Então, digamos que eu configurei registros para o seu domínio na Empresa B. Você vai configurar registros e a interface deles não permitirá (porque um servidor DNS não pode ter vários arquivos de zona ativos para o mesmo domínio), ou você percebe registros já estão configurados. Você vai imediatamente para a empresa A novamente e configura seus servidores de nomes oficiais para apontar para outro lugar, depois você fala com a empresa B. A empresa B sabe que você é o proprietário do domínio, não o outro cliente, porque A) suas informações estão no Banco de dados WHOIS associado ao domínio e B) você pode demonstrar controle sobre o domínio por meio da configuração dos servidores de nomes oficiais. Provavelmente, eles então suspendem o outro cliente por seus atos nefastos.

Isso não é algo com o qual você deve gastar muito tempo se preocupando.

    
por 01.12.2011 / 19:48
3

Você deve seguir as etapas no outro pedido. Configurar as coisas na empresa B e confirmar que você adicionou o domínio à sua conta antes você aponte os servidores de nomes. Dessa forma, a janela de ataque é zero. Mas mesmo se você não fizer isso, ainda é uma janela muito estreita e facilmente resolvida chamando a empresa B (ou apenas apontando os servidores de nomes para fora).

    
por 01.12.2011 / 19:16
3

Simples. Apenas o servidor de autoridade é importante.

Eu posso configurar o DNS para o google.com em meus servidores em casa, fazer com que pareça com o google e mexer com ele o dia todo, redirecionar e capturar o tráfego de meus filhos, etc. etc., mas contanto que Na verdade, os clientes estão solicitando aos servidores raiz a autoridade para a zona, não importa o que eu configurei ... porque o servidor autoritativo determina isso e retornará os registros de endereço corretos de volta ao cliente.

Sim, você pode criar entradas de DNS envenenadas e tudo isso, mas mais cedo ou mais tarde, o TTL dessas entradas expirará e, a menos que você possa controlar diretamente o endereço do resolvedor do cliente, o cliente será executado para os servidores-raiz, os servidores-raiz apontarão para o servidor correto (o servidor autoritativo) e o gabarito para cima. Mesmo se você usar outro serviço DNS, esse serviço, mais cedo ou mais tarde, armazenará em cache as entradas corretas.

No caso da empresa B em seu exemplo, você pode configurar os registros que quiser. A menos que os clientes consultem esse servidor, isso não importará. Se eles o consultarem diretamente, então é outra questão, mas mesmo isso não vai durar para sempre, e quando o TTL expirar, a dança do DNS acontecerá de novo ... direcionando-os para o servidor correto.

A chave aqui é o servidor DNS registrado com a raiz. O que quer que a raiz pense é o endereço IP do (s) servidor (es) que são autoritativos para o seu domínio, bem, é aí que as pessoas irão buscar respostas. Se você estiver preocupado com o sequestro do nome do domínio enquanto "em trânsito", isso é algo melhor resolvido usando as ferramentas fornecidas pelo serviço DNS para transferir o domínio. Eles vão lidar com tudo isso para você. Quando o fizerem, eles configurarão seu serviço como a autoridade da sua zona com os servidores raiz.

Se você está preocupado com alguém tentando registrar o domínio novamente , então o DNS é fundamentalmente criado, e a internet é borken (não quebrada, mas BORKened). Isso simplesmente não acontece assim.

    
por 02.12.2011 / 04:44
0

Mas como a Empresa B sabe que você está autorizado a configurar um registro A? Só porque o domínio está usando seu servidor DNS?

Yes it because you've added company B's name server for your domain.

Não é possível que outra pessoa que seja cliente da Empresa B seja realmente o proprietário do domínio e eles sejam os que apontaram para os servidores DNS da Empresa B - e também você é um cliente da Empresa B você pode simplesmente roubar o domínio?

When you register a domain there you provide Administrative / Registrant Name , contact  details email address etc. So a second person can only become owner of your domain only if it is authorized by the domain administrative contact to that person.
    
por 01.12.2011 / 19:14
0

Antes de criar qualquer registro nos servidores de nomes da empresa B, alguém deve autorizá-lo. Você deve garantir que tenha essa autoridade antes de alterar seus servidores de nomes para apontar para o servidor deles. Uma vez que a empresa B hospeda seus servidores de nomes, você depende da segurança deles para garantir que pessoas não autorizadas não possam alterar seus registros de DNS.

Só porque seu site está hospedado no servidor da empresa B, não é necessário hospedar seu DNS com eles. Você poderia facilmente configurar o registro A necessário nos servidores da empresa A. É comum que sites menores tenham todos os registros DNS hospedados pelo registrador de domínios. (Quando você configura seu domínio pela primeira vez, o registrador seria a empresa A em seu exemplo.) O registrador sempre será a fonte de consulta dos registros de servidores de nomes oficiais.

Também é comum que uma terceira empresa hospede os servidores de nomes. Nesse caso, você dependeria da segurança deles para impedir que outras pessoas alterem seus registros de DNS.

Desde que você tenha a autoridade para atualizar seus registros com o registrador de domínios, sempre poderá mover seus servidores de nomes para uma empresa diferente, caso seus registros de DNS sejam sequestrados. Devido ao cache do DNS, pode levar algum tempo para redirecionar seus registros do DNS A para os locais corretos.

Os registros de PTR são um assunto diferente. Estes são sempre controlados por uma das organizações que forneceu o (s) endereço (s) IP. É possível que eles deleguem o controle de endereços específicos via CNAMES.

Agora é possível aumentar a segurança dos seus registros de domínio usando o DNSSEC. Isso permite que você assine seus registros de DNS. Nem todos os clientes verificarão as assinaturas, portanto, não protegerá seus registros de domínio para todos os clientes.

A falsificação de DNS local é sempre possível. Algumas pessoas usam o spoofing local para bloquear o tráfego de sites de anúncios. Há várias listas de sites disponíveis que devem ser usadas para esse fim.

    
por 02.12.2011 / 05:11