Защита домена — это просто

    На Хабре уже не раз затрагивали тему увода доменов, например здесь или здесь. Было даже видео-пособие, где доходчиво и подробно описывается механизм. Этому можно противостоять.

    Способов кражи доменов несколько, но в своём большинстве они основаны на халатности и забывчивости администраторов (например, долго не использовался почтовый ящик и его удалили).

    Таким образом уже ни один раз была описана проблема, причины, по которой она существует, но механизма борьбы с ней так никто и не предложил. Это стало хорошим поводом для нашей команды заняться разработкой защитного механизма, направленного на защиту доменов добросовестных владельцев.

    Прошло 2 недели с момента, когда мы посмотрели видео, доходчиво повествующее о способе кражи доменов (что собственно и явилось толчком для начала разработки способа защиты) и был успешно реализован механизм, позволяющий защитить домены наших клиентов.

    Защита предоставляется бесплатно и только на те домены, которые находятся у регистратора Netfox.

    Принцип работы


    Как работает услуга «Защита доменного имени» выносим на Хабрахабросуд:

    Включить услугу можно просто одним нажатием клавиши мышки в Личном Кабинете у Регистратора Netfox, а вот для отключения потребуется приложить некоторые усилия и это как раз является главным механизмом защиты — необходимо предоставить заявление в офис компании об отключении услуги, либо отправить заверенное заявление нотариусом по почте. Заявление должно быть непосредственно от администратора домена с приложением копий необходимых документов.

    Включая услугу вы защищаете домен от перехвата и блокируете действия:
    — изменения ns-серверов домена;
    — изменения контактной информации домена;
    — смены администратора домена;
    — переноса домена к другому регистратору.

    При попытке несанкционированного изменения информации администратору генерируется уведомление на почту.

    Техническая реализация


    Все партнеры используют API для доступа к системе регистрации доменных имен Регистратора. Защита установлена на 2 уровнях всей системы:

    1. на уровне API
    запросы на изменение данных домена/администратора блокируются моментально при включенной защите, генерируется уведомление администратору.

    2. на уровне Регистратора
    любые действия сотрудников Регистратора в системе так же контролируются этой услугой — по любому письменному требованию администратора, наши сотрудники так же не смогут выполнить изменения, если услуга активирована. Снять защиту может только ответственный сотрудник, который обрабатывает письменные заявления на отключение защиты.

    Информация о включенной защите для каждого домена отображается в Личном Кабинете пользователя, если он имеет прямой договор с регистратором.

    Партнеры постепенно подтягиваются к предоставлению подобной услуги для своих клиентов — достаточно добавить простую функцию вызова защиты и отображать статус на своей площадке.

    Статус защиты для всех доменов так же отображается во Whois-сервисе Регистратора в поле state:
    PROTECTED — означает, что домен защищен.
    NOT PROTECTED — означает, что домен не защищен услугой.

    Результаты


    Уже с первого дня внедрения услуги она используется клиентами.

    В чем преимущество для организаций:
    — администратор компании не сможет случайно или преднамеренно обрушить ваш сайт (сменив ns-сервера);
    — администратор так же не сможет сменить контактные телефоны или e-mail домена.

    И общее преимущество для всех — при утере пароля, злоумышленник получив доступ в Личный Кабинет, не сможет ничего сделать с доменом — все операции просто заблокированы.

    Возможно данная услуга получит популярность у других регистраторов и Координационный Центр совместно с Техническим Центром сделают статус глобальным, то есть он будет отображаться в главном реестре. Но пока в этом направлении сделан шаг одним регистратором из 25.

    Подробнее об Услуге можно прочитать на странице:
    http://www.netfox.ru/domains/protected/

    Приглашаем всех заинтересованных владельцев доменов протестировать услугу, возможно найти недостатки и высказать свое мнение в комментариях.

    Конечно, предложенные меры — это не решение всех проблем. Поэтому продолжение следует!
    Netfox
    0,00
    Компания
    Поделиться публикацией

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 32

      +1
      А насколько быстро защиту можно снять? В легитимном порядке, я имею в виду, например, если действительно нужно внести изменения?
        –2
        В течение 2х часов с момента доставки заявления в офис.

        Если лично или курьером — в течение суток.
        Если Почтой России — до недели.
        +2
        Может быть всё же возможность смены NS оставить? Всё же их то иногда нужно менять.
          –3
          У работающего проекта — это 1 раз в жизни.

          Основные эпизоды угонов были именно со сменой ns-серверов.
            +2
            Не говорите за других.

            Придумайте другой способ защиты от смены NS. Дополнительный пароль или ещё что-то.

            Сгорит очередной датацентр, в котором размещались NS домена с пометкой Protected — и не будет возможности у человека перенести свой сайт на другую площадку в ускоренном темпе.
              –2
              Мы уже научены годами такой ситуацией, когда меняют ns на парковку и тихо сидят. Причем дополнительный пароль выуживают или сбрасывают по телефонному звонку.

              NS-сервера по определению должны быть разнесены, чтобы Primary был независим от Secondary, причем даже географически. Тут уже вопрос в выборе качественной услуги, чем решение проблем с некачественными серверами.

              В любом случае, экстренную смену ns серверов можно произвести менее чем за сутки (курьерская служба до Питера в основном идет сутки, с Москвы отправка в 20:00, приходит в 8 утра, в 10 уже в офисе, к 12:00 заявка обрабатывается и ns меняются).

              Тут может быть палка о 2х концах, когда вы вроде и защититься хотите и менять на ходу. Предложить можно другой вариант — используйте более качественные ns-сервера, или даже несколько.
                +2
                > В любом случае
                Так и запишем, ваши услуги ориентированы только на жителей москвы и питера.

                А если сочинец попадёт в такую ситуацию? когда он их сменит?

                > Тут уже вопрос в выборе качественной услуги, чем решение проблем с некачественными серверами.
                В жизни всё бывает. Начиная от проблем со средствами на поддержание услуг двух хостеров.
                Олсо — а что если, сайт решили перенести к другому хостеру? снова ехать к вам? на другой сервер?
                Использовать ваши NS — увольте. У вас Secondary NS не подключишь (сами сказали, что NSы следует географически разнести).

                Если вы собираетесь защитить домены, которые принадлежат идиотам — у вас этого не получится. Идиоты просто не поставят блокировку. Запрет на смену NS — лишь доставляют дискоммфорт. А в некоторых случаях и геморрой.

                Лучше прикрутите уведомление по SMS на несколько номеров+на почту+на жаббер+в аську при смене NSов.
                  –3
                  Клиенты сами вправе выбирать — подключать или нет.

                  Лично у нас 3 сервера в разных точках города, так что даже их использование защищает от ситуаций в одном ДЦ.
                    0
                    > Клиенты сами вправе выбирать — подключать или нет.
                    Клиент выбирает — защитить домен и получить геморрой или не защищать домен.

                    Выбирать — это когда клиент выберет каким именно параметры заблокировать (анкету, e-mail, админ-анкету и т.д. и т.п.), а не когда «да» или «нет».
                      –3
                      Клиент выбирается — защитить домен и спать спокойно, или не защищать.

                      Право выбора — это подключать услугу или нет. Услуга необязательная и ни к чему не обязывает отказавшихся.
                        +2
                        Вот именно поэтому я и не пользуюсь услугами многих российских регистраторов.

                        Вы выкатили новую услугу (полезную в принципе) и теперь пытаетесь навязать мне своё мнение о том, что услугу вы организовали хорошо, не пытаясь принять во внимание моё мнение.

                        Окей, я всё же не воспользуюсь данной услугой (как в принципе и всеми вашими услугами — хотя именно эта функция могла и перевесить), а останусь у тех, кто заблокировал изменение любых данных, кроме NS. (там другой геморрой, в частности с продлением — но я получил именно то, чего просил у хостера).

                        До тех пор, пока вы будете говорить, что вы сделали всё хорошо и игнорировать «иные» мнения — такое отношение к российским IT услугам будет превалировать.
                          –2
                          Данная услуга введена как-раз в большей части на запрет изменения ns-серверов. Именно по ним угоняют домены на парковку. Достаточно угонять домены по ночам, а утром возвращать всё как было — и никто не заметит, только 1к $ прибавится на парковке.

                          Смена телефонов/email в данных домена не так критична. Поэтому услуга нацелена именно на первый пласт — на закрытие ns-серверов.

                          В конце топика есть намек на продолжение, в частности можем раскрыть карты, что уже другая услуга будет нацелена на вторую часть клиентов.

                          Но что касается текущей услуги — она сделана жестко и бескомпромиссно, именно исходя из уже имеющейся практики. Защита — так защита, а полузащита — это действия других механизмов.

                          Возможно вы попадаете под другую аудиторию, где важны немного другие требования.

                          В первой части аудитории есть много компаний (реселлеров), клиенты которых тоже хотят быть защищены (даже от самих реселлеров) — они клиенты веб-студии и им удобней работать с ними, чем напрямую с регистратором. И они высказали мнение — если что-то идет не так в студии (админ уволился/напился), то они звонят уже нам с вопросом «сделайте обратно, срочно», а мы говорим — «обращайтесь к своему партнеру».

                          Эта схема знакома всем, кто регистрирует домены по дешевке через реселлеров — регистратор на просьбы помочь срочно продлить домен отшивает их с вполне разумной формулировкой — поддержку клиентов партнеров он не производит.
                            0
                            > Данная услуга введена как-раз в большей части на запрет изменения ns-серверов.
                            Тогда и позиционируйте эту услугу именно так.

                            > Достаточно угонять домены по ночам, а утром возвращать всё как было — и никто не заметит
                            Угу, конечно же. Ососбенно не заметят пользователя провинциальных провайдеров, изменения в DNS до которых докатываются аж через 30-40 часов.

                            > Смена телефонов/email в данных домена не так критична.
                            Доменные зоны бывают не только паспортизированные.

                            > Решение не всех проблем
                            Ну почему же. Решаете то вы как раз все проблемы, которые можете. Только новые добавляете.

                            > Эта схема знакома всем, кто регистрирует домены по дешевке через реселлеров
                            Эта схема знакома тем, кто регистрирует домены по дешевым ценам через реселлеров регистраторов, которые не могу корректно организовать работу с реселлерами.

                            Что мешает автоматически регистрировать каждого клиента реселлеров в вашей собственной системе? Дабы, если реселлер лопнет — у клиента осталась возможность совершать любые действия (по вашим ценам, само собой) с доменом?
                              0
                              Изменения в DNS проходят быстро — корневая зона обновляется каждые 3 часа. Если ранее у провайдера никто не открывал домен (в ближайшем dns-резолвере нет его кэш-записи), то изменения будут видны максимум через 3 часа, а порой даже через 10 минут. Поэтому мигание ns-серверами по ночам — вполне рабочая практика, проверьте сами.

                              >> Смена телефонов/email в данных домена не так критична.
                              > Доменные зоны бывают не только паспортизированные.

                              Вот здесь мы вас не понимаем. Услуга только для доменов RU и РФ, соответственно там регистрация доступна только по подтвержденному паспорту.
                              Ситуация, кстати, интересная для руцентра — они могли бы сравнить имеющийся скан паспорта с представленным паспортом.

                              >Ну почему же. Решаете то вы как раз все проблемы, которые можете. Только новые добавляете.
                              Мы искренне не понимаем ваше недовольство. Если не клиент нашей компании — пройдите мимо и радуйтесь, что домен у вас не угоняли и пароли у вас не воровали через роутер на чердаке.

                              > Что мешает автоматически регистрировать каждого клиента реселлеров в вашей собственной системе?

                              Реселлер — это партнер регистратора, который берет на себя ответственность за привлеченных клиентов, их поддержку и решение бухгалтерских вопросов. На просьбу продлить домен регистратором, а не реселлером выдается вполне логичный ответ — у клиента не заключен прямой договор с регистратором. Достаточно написать электронную заявку на перенос под прямой договор и клиент будет счастлив, только не прямым ценам.

                              В итоге, выбирая регистрацию за 90 рублей будьте готовы к тому, что по вашей просьбе перейдете на сайт регистратора под тариф 490.

                              > Дабы, если реселлер лопнет — у клиента осталась возможность совершать любые действия (по вашим ценам, само собой) с доменом?
                              Решение одно — клиент обращается к регистратору с просьбой перейти на прямой договор, и он переходит в течение 1 минуты. Всё, никаких проблем. Но если клиент жалуется, что его домен не продлили и домен был перехвачен кем-то после регистрации, то тут виноват партнер — скорее всего на его счету недостаточно средств для выполнения операции.
                                0
                                > Если ранее у провайдера никто не открывал домен
                                То и доходы с парковки такого домена копеечны. А провинциальные жители по утру заметят это и сообщат владельцу сайта (потому что у них резолверы кеш обновят хорошо если на следующее утро), если сайт вообще кому то нужен, кроме владельца

                                Ну и да — если у вас такое происходит — задумайтесь, каким образом. Чтобы менять NSы — нужен всё-таки доступ к панели управления доменом.

                                > Мы искренне не понимаем ваше недовольство.
                                Недовольство в том, что вы мне доказываете, что предложенный вами вариант — хорош. Это не так, меня вы не переубедите. Позиция «не хотите — не пользуйтесь» на этом сайте не нужна никому. Лучше стоило сразу объяснить почему вы ещё не сделали (или не собираетсь) так, как это нужно мне, как потенциальному клиенту.

                                  0
                                  Не будем говорить про парковку, учитывая что мы следим за подобными доменами с прошлого года. И знаем лично аккаунт, на котором сидят ворованные домены. И пользователи обращались с просьбой выдать IP, только они все из прокси. И систему проверки IP на прокси внедрили — и поток недовольных упал в разы.

                                  Лично у нас ни один домен не угнали, мы просто молодые в рядах регистраторов. Если украли доступ в Личный Кабинет, и пользователь об этом ничего не знает, мы собственно тоже ничего об этом не знаем. Если увидим массовую смену ns-серверов, значит нужно будет задуматься — почему и кто.

                                  Я лично не доказываю нашу правоту, я лишь говорю на кого нацелена услуга и кто ей уже пользуется. Кто воспользовался — уже чувствуют себя спокойней.

                                  Лично ваши требования уже обсудили на планерке — готовится дополнительная услуга более простой защиты домена. Дождетесь?
                                    0
                                    > Если украли доступ в Личный Кабинет, и пользователь об этом ничего не знает,
                                    Сами же ответили на то, как решить ещё одну проблему. А почему не знает? почему негде поставить галочку, чтобы при каждом входе в личный кабинет юзеру отправлялось письмо? А послле выхода отправлялся лог действий?

                                    Каким образом могут регулярно менять NSы? Кто-то имеет постоянный доступ к админке? Либо домены всё же угнаны окончательно?

                                    > Дождетесь?
                                    Дождусь, надо же куда то .su складывать, чтобы уже забыть про них.

                                    Ну и уж если начали говорить:
                                    1) оплата чужих доменов (с людьми многое случается)
                                    2) автоматический запрет на указание мыла в хуиз для домена из этого домена
                                    3) предупреждение при попытки вписать в хуиз почту аккаунта у регистратора
                                    4) предупреждение при попытке зарегистрировать домен на @mail.ru
                                    5) warning на мыло при каждом входе в админку с указанием IP в тексте письма
                                    6) разделение ролей между аккаунтами у регистратора (вплоть до того, что один аккаунт может сменить NS, второй аккаунт — сменить NS не может, зато может изменить информацию)
                                    7) генерируемая карточка с кодами доступа. Прямо как в банках. Около сотни паролей на картинке с номерами, при каждом действвии в админке и при входе — запрашиваются эти пароли.
                                    8) капчи при входе в личный кабинет. Брутфорс ещё не умер.

                                    Это то, что я видел у зарубежных регистраторов. Может что-то есть и у вас, что то у других.
          +1
          По мне так нужно просто добавить еще один аутентифицирующий фактор, скажем, одноразовый пароль в СМС-сообщении, как в некоторых онлайн-банкингах реализовано. Сохраняем доступность данных для оперативной правки, дополнительно здорово усложнив жизнь злоумышленнику. Также можно дать пользователю возможность отключить аутентификацию по паролю в админку, оставив только авторизацию по ключу, ключ — на токен и всего делов.
            –2
            Подобная возможность — это смена dns-записей у домена, располагающихся на наших ns-серверах, так же ограничивается дополнительной услугой. Там используется дополнительный пароль.

            В качестве смс-привязки, то в некоторых ситуациях ответственный сотрудник так же пропадает с телефоном (увольняется/etc).
              0
              для таких параноидальных можно посоветовать делать так, чтобы получатель смс-ки и админ — были разные люди, вот и всё. Нужно админу поменять записи, он согласовывает это действо, скажем с безопасниками компании, за их неимением (мелкая контора) — с генеральным, например. А нотариальные письма — это перебор, ИМХО, но можно оставить этот метод для особо желающих. Нужно сделать несколько градаций:

              1) только логин-пароль в админку (классика)
              2) пароль запрещен, только сертификат (чуть суровее)
              3) доп. пароль на некоторые действия (еще немного паранойи)
              4) смс-пароль на некоторые действия (градус повышается)
              5) смс-пароль на некоторые действия на другое лицо (закипаем...)
              6) нотариальное письмо на некоторые действия (разрыв мозга!)

              и предоставить клиенту возможность выбирать и комбинировать данные методы по вкусу.
                –2
                Проблема в том, что как правило договор заключается на регистрацию и хостинг от юридического лица, а все данные вбивает сисадмин (и телефон и реквизиты, и логин с паролем). Проконтролировать, что указан телефон генерального — сложнова-то.

                Но можно и тут найти выход — официальное бумажное письмо к процедуре заключения договора, в котором назначается дополнительное ответственное лицо за смену данных домена (генеральный или бух).
            +1
            А с этим как то планируете бороться?
              –1
              Это как раз на это и нацелено.

              Однако регистратор может усомниться в валидности паспорта (переклеена фотка, отходят страницы и тп) и попросить нотариально заверенную копию — вот тут скорее всего нотариус отобьет его. А если подпишет, то страховка нотариуса перекроет стоимость домена в случае судебного разбирательства.

              Но описанная ситуация — это невнимательность регистратора. По крайней мере можно официальной жалобой в КЦ застопорить домен и вернуть как было.
                0
                посмотрю я, какая-такая страховка нотариуса перекроет стоимость домена vk.com, например ))
                  –1
                  Перекроет. Только в COM на EPP-Code может подействовать страховка регистратора.
                    0
                    перекроет рыночную стоимость домена или стоимость регистрации домена в зоне? Стоимость такого домена измеряется астрономическими единицами, миллионами долларов. А покрывать стоимость регистрации в 20$ — никому не интересно.
                      –1
                      Перекроет доказанными владельцами расходами на его первоначальную покупку (аукцион?) +моральный ущерб и ущерб от неработоспособности домена (например, доказать что на домене крутилась рекламная сети ВК, которая в сутки сливает 20млн рублей — в итоге за неделю снять еще 140млн).
                        0
                        что ж, круто. Неплохо живут нотариусы и страховщики.
                          0
                          кстати, нотариусы — одни из самых богатых людей!
              0
              Столкнулся с тем, что ваша %№*@$ защита включилась автоматически после прописывания NS-серверов. Но нам тут же пришлось сменить хостера, из-за проблем с производительностью. И ваша «забота» вышла боком. Был упущен важный момент быстрого запуска форума на нужном адресе. Теперь все эти пляски с бубном, письмом и нотариусом как-то больше смешат, чем создают в вас образ умной компании.

              Послушайте отзывы клиентов. Сделайте на самом деле смену NS-серверов без подтверждения, или хотя бы по СМС. NS-ы требуется менять гораздо чаще, чем «вы лучше знаете за клиентов». Или у такой солидной компании просто не хватает средств на прикрутку СМС-сервисов?
                0
                Уважаемый!

                Все вопросы относительно услуги решайте со службой поддержки.

                Просто так услуга не включается. Вы, видимо, нажали ссылку «защита домена», подтвердили своё желание и получили соответствующую услугу.
                  0
                  Про защиту прочитал изначально и включать ее не собирался. Но после прописывания NS-серверов ваша услуга по защите включилась автоматически, о чем я писал в службу поддержки, у которой один ответ — пишите письмо, заверяйте у нотариуса. В общем, уже всем не советую вашу компанию. Такой головняк отпугнет кого угодно. Дождусь пока адрес не освободится, и зарегистрирую его у более вменяемых регистраторов. Пусть и чуть дороже.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое