Se qualcuno ha acquistato il TLD .local potrebbe essere un rischio per la sicurezza?

15

Ora che ICANN consente ai nomi di dominio di primo livello personalizzati e spesso i lavoratori IT aziendali amano usare .local come TLD per le reti interne , se qualcuno acquista il TLD .local quali sono alcuni possibili pericoli che un utente potrebbe incontrare?

L'esempio principale a cui posso pensare sono gli attacchi di spear-phishing. Se un'azienda ha computer come SuperSecureServer.local sulla propria LAN e un utente malintenzionato fa TotallyARealCorporateServer.local avrebbe TotallyARealCorporateServer.local a risolvere l'IP degli hacker? In caso affermativo, l'utente malintenzionato potrebbe inviare un link non valido, quindi impersonare un server reale e ottenere credenziali di accesso al dominio.

    
posta Scott Chamberlain 09.05.2012 - 16:42
fonte

3 risposte

26

Per rispondere alla tua domanda specifica, .local è già stato riservato da ICANN come gTLD interno. Si prega di consultare la sezione 2.2.1.2.1 "Nomi riservati" nella Guida del richiedente ICANN .

L'elenco completo dei gTLD riservati è:

AFRINIC  IANA-SERVERS  NRO   ALAC  ICANN  RFC-EDITOR   APNIC  IESG  RIPE  ARIN  
IETF  ROOT-SERVERS  ASO  INTERNIC  RSSAC  CCNSO  INVALID  SSAC  EXAMPLE*  IRTF  
TEST*  GAC  ISTF  TLD  GNSO  LACNIC  WHOIS  GTLD-SERVERS  LOCAL  WWW  IAB  
LOCALHOST  IANA  NIC 

*Note that in addition to the above strings, ICANN will reserve translations of the terms 
"test" and "example" in multiple languages. The remainder of the strings are reserved 
only in the form included above

(C'è un addendum a quanto sopra per affermare che le metriche di "similarità" sono applicate per assicurarsi che anche gTLD come .1ocal non siano abusati.)

    
risposta data 09.05.2012 - 18:13
fonte
6

Dipende dalla configurazione DNS per le reti locali. Suppongo che la maggior parte delle aziende abbia i propri server DNS che, oltre a sapere dove chiedere i record DNS per altri domini, si dichiarano autenticati per il .local TLD. Supponendo che tutti i client puntino a questi server DNS, possedere il .local TLD non sarebbe di alcun aiuto a un utente malintenzionato.

DNS è un sistema distribuito di denominazione; alcuni server forniscono risposte autorevoli per i nomi di dominio e altri nascondono semplicemente le risposte; le risposte sono valide per una determinata finestra di tempo. Ciò comporta l'avvelenamento della cache, poiché è possibile che un server canaglia modifichi la risposta autorevole prima della memorizzazione nella cache, quindi i suggerimenti per l'implementazione di DNSSEC . Tuttavia, per questo problema, il server autorevole è anche il primo a ricevere la nostra richiesta, quindi alle query DNS di .local verrà data risposta dai record di zona del server DNS.

Sì, questo significa anche che gli amministratori di rete potrebbero impostare il proprio server DNS come autorevole per .com .

    
risposta data 09.05.2012 - 16:56
fonte
4

Mi sono chiesto anche questo. Come dice Ninefingers, se hai i tuoi server DNS, non sarà di alcun aiuto agli aggressori.

Ma cosa succede quando i dipendenti dell'azienda portano a casa il portatile e si connettono a Internet da casa? Finché non stabiliscono una connessione VPN, colpiranno server DNS pubblici che li indirizzeranno all'autorità pubblica per il dominio menzionato. Ho ragione?

Quindi, per speculare: se la società XYZ ha un dominio windows interno chiamato xyz.internal e un DC chiamato dc1.xyz.internal, e qualcuno compra .internal allora sarà in grado di stabilire un sottodominio chiamato xyz.internal e un A record chiamato dc1. Quando i dipendenti portano a casa i loro laptop, cercheranno di autenticare contro il pubblico dc1.xyz.internal e se sta sniffando il traffico, allora si avrà il problema.

Ora, la vera domanda: è una minaccia legittima? È uno scenario realistico? Vale la pena iniziare una migrazione completa del dominio?

    
risposta data 23.05.2012 - 14:18
fonte

Leggi altre domande sui tag