Domena corp.com wystawiona na sprzedaż. To zapowiedź kłopotów dla firm

Jak informuje Brian Krebs na swoim portalu Krebs on Security, właściciel domeny corp.com planuje wystawić ją na sprzedaż. Ten pozornie niewinny akt i prosta transakcja biznesowa może mieć dalekosiężne konsekwencje dla szeregu firm i instytucji z całego świata, ponieważ "generyczność" domeny CORP czyni ją celem ruchu z wielu źle skonfigurowanych sieci. Problem jest zabawny i technicznie łatwy do uniknięcia, ale jak się okazuje – jego skala jest wstrząsająca.

Domena corp.com wystawiona na sprzedaż (fot. Pixabay)
Domena corp.com wystawiona na sprzedaż (fot. Pixabay)
Kamil J. Dudek

10.02.2020 21:20

Cała sprawa polega na tym, że nazwa "corp.com" jest bardzo często stosowanym dopełnieniem nazw domenowych w firmowych wdrożeniach Active Directory, gdzie DNS nie jest całkowicie autorytatywny, czyli jego domena nadrzędna nie jest częścią światowego drzewa DNS, a jedynie niejako "lokalną" domeną w drzewie/lesie AD. Co to znaczy?

Active Directory a DNS

Domena Active Directory nie może być wdrożona bez serwera DNS. Bardzo często rolę głównego, autorytatywnego serwera DNS w sieci pełni kontroler domeny Windows Server. Nie jest on zależny do serwerów wyższego rzędu, jest referencją sam dla siebie i dzięki temu można mu bezkarnie "wymyślić" nazwę domenową, rozwiązującą się wyłącznie lokalnie. System NetBIOS wymusza nazwę domeny, np. NTDOMAIN, i członkowie domeny uwierzytelniają się przed kontrolerem NTDOMAIN. Hierarchia DNS wymusza jednak, żeby nazwa domeny były w pełni kwalifikowaną nazwą domenową (FQDN). W takim przypadku nazwa "NTDOMAIN" to za mało.

Posiadacze pilnowanych domen delegują ze swojego DNS subdomenę dedykowaną domenie Active Directory i zapominają o sprawie. Osoby wdrażające domenę niezależną od zewnętrznego serwera nazw... popadają w kreatywność. Czasami w dobrą stronę, stosując np. FQDN "ntdomain.worknet.prv" lub "firma.worknet.internal". Niektórym jednak kreatywności brakuje i stosują nazwy domeny typu DOMENA oraz FQDN "domena.corp.com". Bo przecież są w korporacji, więc "corp". No i "com" musi być, żeby było światowo. Problem w tym, że "corp.com" jest adresem, który da się rozwiązać DNS-em nadrzędnym, z sieci WAN.

Pierwszy przykład z dokumentacji Active Directory. Jak się nazywa domena...?
Pierwszy przykład z dokumentacji Active Directory. Jak się nazywa domena...?

System Windows, gdy jest członkiem domeny, zakłada że każda nazwa skrócona oznacza nazwę możliwą do rozwiązania w domenie. Komputer "KRKPC-KAMILD01" staje się "\NTDOMAIN\KRKPC-KAMILD01" oraz, DNS-owo, "krkpc-kamild01.ntdomain.corp.com". Podobnie będzie ze wszystkimi zasobami udostępnionymi mu w sieci. Serwer pocztowy realizujący skrzynkę lista-plac@mail będzie rozwiązywany do mail.corp.com.

Routing przez Księżyc

Jeżeli nastąpi jakakolwiek sytuacja, która sprawi że zamiast kontrolera domeny, serwerem DNS stanie się niezależny serwer nadrzędny, a takich sytuacji może być sporo, to wewnętrzna poczta poleci do właściciela domeny "corp.com". I tak w istocie się dzieje.

[quote="aaa"]To było przerażające. Zakończylismy eksperyment po piętnastu minutach i zniszczyliśmy dane. (...) Zostaliśmy dosłownie zalani hasłami i pierwszy raz w życiu widzieliśmy coś podobnego.[/quote]Właściciel internetowej domeny corp.com, Mike O'Connor, podpiął do niej komputer i postawił na nim serwer pocztowy. Natychmiast zaczął otrzymywać tony niejawnej poczty pełnej wrażliwych danych. Badanie, które z kolei przeprowadził Jeff Schmidt, polegało na ustanowieniu na corp.com respondera na żądań logowania Active Directory i udostępniania plików Windows. Bardzo prędko okazało się, że firmowe konfiguracje DNS ciekną na masową skalę i sporo wewnętrznego ruchu, przynajmniej w kwestii rozwiązywania nazw, przechodzi przez WAN.

Dziś Microsoft stosuje inne nazwy. Tworzy to inne problemy
Dziś Microsoft stosuje inne nazwy. Tworzy to inne problemy

Nieodpowiedzialność administratorów

Trudno tutaj w całości obwiniać Microsoft i toksyczne zachowania jego produktów, doprawione przymusową zgodnością z nieinternetowym NetBIOS. Winni są przede wszystkim nieświadomi administratorzy sieci, którzy błędnie/leniwie/nieodpowiedzialnie konfigurują swoje serwery nazw. Microsoft ma tego świadomość. Nie tylko wydał mnóstwo podręczników dobrych praktyk wdrażania AD, ale także został właścicielem domeny contoso.com, która jest przykładową nazwą domeny stosowaną w próbkach kodu i ćwiczeniach z Active Directory i ASP.Net. Uczyniono tak zapewne z obawy przed tym, co mogą narobić ludzie żywcem przeklejający przykłady z internetu na produkcję.

"DNS a sprawa polska"

Sytuacja podobnej natury miała miejsce... w Polsce, jakieś 10-15 lat temu. Europejski Fundusz Społeczny sfinansował szkolne pracownie komputerowe oparte o domenę Windows Small Business Server 2003 (i potem 2008 Essential). Rozpinały one domenę sbsmenis.edu.pl (lub sbsmen). Nie przemyślano jednak pewnej kwestii: u nas bardzo często nikt za nic nie odpowiada.

Dzien dobry, czy jest tu jakiś cwaniak?
Dzien dobry, czy jest tu jakiś cwaniak?

Nie dość, że konfiguracja DNS nie leżała w gestii wdrożeniowców pracowni, a realizacja wytycznych zależała od nauczycieli informatyki, to jeszcze domena "edu.pl" wcale nie jest domeną państwową! Subdomenę można sobie po prostu kupić. I tak też postąpił ktoś przedsiębiorczy. Dostając wskutek tego pokażnej objętości ruch sieciowy z cieknących sieci.

Przejęcie corp.com nie jest zapewne tak samo medialne jak całe zamieszanie z operatorem TLD ".org", ale może się okazać nie mniej doniosłe w skutkach.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (30)