Gli interi domini dovrebbero sempre essere nella lista nera?

Naviga le tue risposte
0

Sto lavorando a un team per un prodotto di sicurezza della rete aziendale e stiamo implementando la white / blacklisting come parte del programma. Abbiamo liste che sono state prese da una fonte di terze parti ma nessuno ricorda le specifiche di come queste liste sono state fatte / compilate. L'elenco contiene voci che sono interi domini, ad es. foo.com, ma contiene anche molte voci in cui il dominio è lo stesso ma i sottodomini sono diversi, ad es. abc.bar.com, xyz.bar.com e così via.

Questo ci ha indotto a pensare: ci sono ragioni per inserire in una lista nera alcuni sottodomini di un dominio ma non l'intero dominio? Questa è una domanda importante per noi perché influenzerà il modo in cui progettiamo la logica di controllo degli elenchi: la query intera deve corrispondere a una intera voce nell'elenco da contrassegnare come nella lista nera? O solo il dominio registrato (SLD.TLD) deve corrispondere al dominio registrato di qualsiasi voce nell'elenco?

Abbiamo cercato di trovare letteratura su questo argomento ma non ci sono riusciti.

    
posta kjwill555 17.07.2017 - 19:05
fonte

2 risposte

2

are there reasons for blacklisting some subdomains of a domain but not the whole domain?

Sì. Ad esempio, un servizio di hosting di dominio gratuito come link offrirebbe ai propri utenti un indirizzo di dominio come PICKYOURSUBDOMAIN.abc.com . Qui l'utente che utilizza il servizio di hosting web gratuito può scegliere il proprio nome per il sottodominio e più utenti condividono abc.com .

L'utente malintenzionato M può ora ospitare, diciamo, una pagina di phishing su malicious.abc.com e sarà necessario inserirlo nella lista nera. Tuttavia, un altro utente potrebbe ospitare un sito web perfettamente legittimo a legit.abc.com sullo stesso dominio. Quindi, è più efficace bloccare malicious.abc.com rispetto a abc.com .

    
risposta data 17.07.2017 - 19:14
fonte
1

L'intera corrispondenza di stringhe quando si guarda al dominio ha un significato maggiore. Pensa alle insidie se questo non è fatto. Se la lista nera dice block abc.amazonaws.com , il blocco dell'intero servizio Amazon AWS potrebbe essere dannoso per l'azienda.

Allo stesso modo, i domini basati su DNS dinamici offrono un altro livello di difficoltà quando si costruisce la lista nera. Botnet e operatori maligni sono noti per ospitare i loro server utilizzando provider DNS dinamici. Tuttavia, non tutti i sottodomini di tale provider (ad esempio *.dyndns.org ) sono dannosi. In questi casi, tuttavia, puoi adottare un approccio soggettivo. Se non ti aspetti che gli host all'interno della tua rete comunichino con i provider DNS dinamici in generale, puoi bloccare tale dominio.

    
risposta data 17.07.2017 - 19:13
fonte

Leggi altre domande sui tag

Questo algoritmo è sicuro per la crittografia? (L'algoritmo di crittografia è fornito) Come funziona Anti Phishing in Navigazione sicura di Google?