Domena corp.com wystawiona na sprzedaż. To zapowiedź kłopotów dla firm

Strona główna Aktualności
Domena corp.com wystawiona na sprzedaż (fot. Pixabay)
Domena corp.com wystawiona na sprzedaż (fot. Pixabay)

O autorze

Jak informuje Brian Krebs na swoim portalu Krebs on Security, właściciel domeny corp.com planuje wystawić ją na sprzedaż. Ten pozornie niewinny akt i prosta transakcja biznesowa może mieć dalekosiężne konsekwencje dla szeregu firm i instytucji z całego świata, ponieważ "generyczność" domeny CORP czyni ją celem ruchu z wielu źle skonfigurowanych sieci. Problem jest zabawny i technicznie łatwy do uniknięcia, ale jak się okazuje – jego skala jest wstrząsająca.

Cała sprawa polega na tym, że nazwa "corp.com" jest bardzo często stosowanym dopełnieniem nazw domenowych w firmowych wdrożeniach Active Directory, gdzie DNS nie jest całkowicie autorytatywny, czyli jego domena nadrzędna nie jest częścią światowego drzewa DNS, a jedynie niejako "lokalną" domeną w drzewie/lesie AD. Co to znaczy?

Active Directory a DNS

Domena Active Directory nie może być wdrożona bez serwera DNS. Bardzo często rolę głównego, autorytatywnego serwera DNS w sieci pełni kontroler domeny Windows Server. Nie jest on zależny do serwerów wyższego rzędu, jest referencją sam dla siebie i dzięki temu można mu bezkarnie "wymyślić" nazwę domenową, rozwiązującą się wyłącznie lokalnie. System NetBIOS wymusza nazwę domeny, np. NTDOMAIN, i członkowie domeny uwierzytelniają się przed kontrolerem NTDOMAIN. Hierarchia DNS wymusza jednak, żeby nazwa domeny były w pełni kwalifikowaną nazwą domenową (FQDN). W takim przypadku nazwa "NTDOMAIN" to za mało.

Posiadacze pilnowanych domen delegują ze swojego DNS subdomenę dedykowaną domenie Active Directory i zapominają o sprawie. Osoby wdrażające domenę niezależną od zewnętrznego serwera nazw... popadają w kreatywność. Czasami w dobrą stronę, stosując np. FQDN "ntdomain.worknet.prv" lub "firma.worknet.internal". Niektórym jednak kreatywności brakuje i stosują nazwy domeny typu DOMENA oraz FQDN "domena.corp.com". Bo przecież są w korporacji, więc "corp". No i "com" musi być, żeby było światowo. Problem w tym, że "corp.com" jest adresem, który da się rozwiązać DNS-em nadrzędnym, z sieci WAN.

System Windows, gdy jest członkiem domeny, zakłada że każda nazwa skrócona oznacza nazwę możliwą do rozwiązania w domenie. Komputer "KRKPC-KAMILD01" staje się "\\NTDOMAIN\KRKPC-KAMILD01" oraz, DNS-owo, "krkpc-kamild01.ntdomain.corp.com". Podobnie będzie ze wszystkimi zasobami udostępnionymi mu w sieci. Serwer pocztowy realizujący skrzynkę lista-plac@mail będzie rozwiązywany do mail.corp.com.

Routing przez Księżyc

Jeżeli nastąpi jakakolwiek sytuacja, która sprawi że zamiast kontrolera domeny, serwerem DNS stanie się niezależny serwer nadrzędny, a takich sytuacji może być sporo, to wewnętrzna poczta poleci do właściciela domeny "corp.com". I tak w istocie się dzieje.

To było przerażające. Zakończylismy eksperyment po piętnastu minutach i zniszczyliśmy dane. (...) Zostaliśmy dosłownie zalani hasłami i pierwszy raz w życiu widzieliśmy coś podobnego.

Właściciel internetowej domeny corp.com, Mike O'Connor, podpiął do niej komputer i postawił na nim serwer pocztowy. Natychmiast zaczął otrzymywać tony niejawnej poczty pełnej wrażliwych danych. Badanie, które z kolei przeprowadził Jeff Schmidt, polegało na ustanowieniu na corp.com respondera na żądań logowania Active Directory i udostępniania plików Windows. Bardzo prędko okazało się, że firmowe konfiguracje DNS ciekną na masową skalę i sporo wewnętrznego ruchu, przynajmniej w kwestii rozwiązywania nazw, przechodzi przez WAN.

Nieodpowiedzialność administratorów

Trudno tutaj w całości obwiniać Microsoft i toksyczne zachowania jego produktów, doprawione przymusową zgodnością z nieinternetowym NetBIOS. Winni są przede wszystkim nieświadomi administratorzy sieci, którzy błędnie/leniwie/nieodpowiedzialnie konfigurują swoje serwery nazw. Microsoft ma tego świadomość. Nie tylko wydał mnóstwo podręczników dobrych praktyk wdrażania AD, ale także został właścicielem domeny contoso.com, która jest przykładową nazwą domeny stosowaną w próbkach kodu i ćwiczeniach z Active Directory i ASP.Net. Uczyniono tak zapewne z obawy przed tym, co mogą narobić ludzie żywcem przeklejający przykłady z internetu na produkcję.

"DNS a sprawa polska"

Sytuacja podobnej natury miała miejsce... w Polsce, jakieś 10-15 lat temu. Europejski Fundusz Społeczny sfinansował szkolne pracownie komputerowe oparte o domenę Windows Small Business Server 2003 (i potem 2008 Essential). Rozpinały one domenę sbsmenis.edu.pl (lub sbsmen). Nie przemyślano jednak pewnej kwestii: u nas bardzo często nikt za nic nie odpowiada.

Nie dość, że konfiguracja DNS nie leżała w gestii wdrożeniowców pracowni, a realizacja wytycznych zależała od nauczycieli informatyki, to jeszcze domena "edu.pl" wcale nie jest domeną państwową! Subdomenę można sobie po prostu kupić. I tak też postąpił ktoś przedsiębiorczy. Dostając wskutek tego pokażnej objętości ruch sieciowy z cieknących sieci.

Przejęcie corp.com nie jest zapewne tak samo medialne jak całe zamieszanie z operatorem TLD ".org", ale może się okazać nie mniej doniosłe w skutkach.

© dobreprogramy
s