Доменные имена *

Злоумышленники, для заражения компьютеров пользователей, очень часто применяют методы, направленные на обман пользователей, набирающих в строке браузера адрес интересующего их сайта. Например, typosquatting (он же URL hijacking), то есть использование ошибок пользователей, которые могут ошибиться в написании домена на клавиатуре. Например, если в написании домена cisco.ru ошибиться и вместо первой буквы «c» набрать стоящую на клавиатуре рядом букву «v», то мы попадем не на сайт Cisco, а на домен, который в данный момент находится в продаже.


А если, например, ввести вместо «sberbank.ru» домен «sbrrbank.ru» (спутав стоящие рядом «e» и «r»), то мы попадем на вот такой ресурс.

Приветствую, Хабр! В этой статье будет инструкция по настройке DKIM/SPF/DMARC записей. А побудило меня написать эту статью полное отсутствие документации на русском языке. Все статьи на эту тему, которые были мной найдены, были крайне не информативны.

Серьезной проблемой современности являются сетевые угрозы ИБ, то есть классы угроз, реализуемых с использованием протоколов межсетевого взаимодействия. Одним из таких протоколов является протокол системы доменных имен — DNS.

К числу угроз, использующих систему доменных имен, относятся угрозы, основанные на модификации пакетов DNS-транзакций и направленные на создание в сети ложного маршрута. Их потенциальная опасность заключается в возможности перехвата данных, передающихся между клиентами сетевых сервисов и серверами этих сервисов.

Отследить модификацию пакетов DNS-транзакций, при потенциально высокой опасности реализации в информационных системах атак довольно непросто, поэтому становятся возможными такие атаки как:

• анализ сетевого трафика;
• подмена доверенного объекта сети;
• навязывание ложного маршрута;
• внедрение ложного объекта сети.

Тема заражения кэша DNS-серверов провайдеров уже давно изъезжена, однако на практическом примере покажем, как довольно просто заставить «ходить» клиентов конкретного интернет-провайдера по нужному нам IP-адресу, вместо правильного, для заданного домена, ничего при этом не взламывая и не заражая троянами, тем самым давая нам полный контроль над трафиком, связанным с конкретной DNS-зоной.

Долго искал, как безболезненно настроить SSL сертификат от Let's Encrypt на Microsoft Azure. В рунете с этим оказались проблемы, но на просторах большого интернета нашлась очень и очень годная статья, по которой мне удалось настроить это шайтанство. Думаю, для новичков, у которых проблемы с иностранными языками (бывает такое, но все мы учимся), перевод статьи пригодится.

Здравствуйте Уважаемые читатели Хабрахабра! В просторах интернета каждый из нас может найти много отдельных статей о не прохождении аутентификации компьютера через домен-контроллер, если точнее сказать, компьютер подключенный к домену теряет связь с ним.

Итак, приступим к изучению этой проблемы.

Здравствуй, уважаемый пользователь Хабрахабра. Мое повествование будет о том, как подготовить почву для локальной веб-разработки проектов в операционной системе Ubuntu 16.04.1 LTS.

В данной статье хочется развеять и разъяснить возможные трудности связанные с установкой и настройкой ПО, которое требуется для современной веб-разработки, с которыми возможно сталкиваются начинающие разработчики и не только.

Технологии которые будут использованы в статье: nginx, php-fpm.

Перед началом повествования, хочу отметить, что я проделывал все эти действия на «голой» системе.
Я буду работать с пакетным менеджером aptitude. Так же рекомендую обновить индекс пакетов и сами пакеты перед установкой ПО. В статье мы проделаем эти действия вместе.

Поехали!

Для оптимальной производительности и безопасности контроллеров домена службы каталогов Active Directory требуется их регулярное  обслуживание. Наше новое руководство поможет вам максимально эффективно настроить работу ваших контроллеров домена при обслуживании запросов аутентификации и авторизации.



Active Directory предоставляет сервисы аутентификации и авторизации. Работоспособная среда  Active Directory позволяет эффективно работать другим службам.

Выбор доменного имени для многих компаний и обычных вебмастеров — сложная задача. Для компаний она усложняется тем, что в большинстве случаев доменное имя должно быть частью бренда, своеобразной поддержкой. Некоторые специалисты утверждают, что доменное имя ничего не значит, ровно ничего. Но больше все же тех, кто считает, что доменное имя для компании имеет важное значение.

Раньше все было немного проще — доменных зон было не так много, и выбор, в основном, ограничивался gLTD или национальными зонами. Сейчас же все стало сложнее — появились TLDs нового типа, включая ".store", ".tourism", или даже ".sexy". Среди новых зон есть такие, что не подлежат общей регистрации — их могут использовать только определенные организации или страны. В отношении доменных имен существует много заблуждений, мифов и почти сказок. Перечислять их все нет смысла, давайте посмотрим лишь основные.

A Thief on the Run by Manweri

Привет, Хабр! В этом посте мы снова поговорим о проблеме подделки отправителя (или так называемом спуфинге). В последнее время такие случаи очень участились: подделывается все: письма со счетами за ЖКХ, из налоговой инспекции, банков и так далее. Решить эту проблему помогает настройка строгой DMARC-политики. Мы как почтовая служба проверяем все приходящие к нам письма на DMARC начиная с февраля 2013 года. Мы были первым в рунете почтовым сервисом, поддержавшим стандарты DMARC. Однако чтобы минимизировать число поддельных писем, этого, к сожалению, недостаточно. Главное, чтобы строгий DMARC был поддержан на стороне отправителя. Вот почему мы не устаем качать эту тему, ведем активную разъяснительную работу и всячески призываем всех включать у себя строгий DMARC.

Позитивные сдвиги уже есть: с каждым месяцем мы видим прирост числа корпоративных отправителей, прописавших DMARC, на десятки процентов. Однако безусловно, еще есть над чем работать. Практика показывает, что IT-культура находится на очень разном уровне. Кто-то слышал краем уха про DMARC, но пока не собирается его внедрять. Есть и такие, для кого факт, что в транспортных протоколах электронной почты отсутствует какая-либо проверка и защита адреса отправителя, до сих пор является настоящим откровением. Кроме того, поддержка DMARC — задача непростая. Только на первый взгляд кажется, что достаточно опубликовать запись в DNS, и не требуется никакого дополнительного софта или технических средств (подробнее в нашей статье DMARC: защитите вашу рассылку от подделок). На практике в крупной компании с многочисленными потоками электронной почты и развесистой структурой почтовых доменов все гораздо сложнее. И есть моменты, которые следует предусмотреть и продумать заранее. Именно для таких сложных случаев мы написали эту статью, постаравшись собрать в ней все нюансы.

Данный текст я пишу скорее как предупреждение, чтобы новички не наступали на известные грабли, чтобы показать, как оно порой бывает, и как просьбу прокомментировать ситуацию более опытных коллег.

Обычно перенос домена сложностей не вызывает и хорошо описан в документации регистраторов. Я лично переносил уже не один десяток доменов между разными регистраторами и все было без накладок. Но по закону подлости при переносе домена самого крупного своего проекта получил массу новых впечатлений и даунтайм сервиса в несколько дней(!).

Что с нами не так

_{Месторасположение найденных заражённых устройств, участвовавших в Mirai. Иллюстрация Imperva Incapsula.}

Суть этой реальности в том, что в мире всегда происходят противоборствующие процессы, конкуренция или войны. Вот и сейчас кибертерроризм вышел на новый уровень, связанный с использованием быстроразвивающегося интернета вещей.

Создание угроз и опасности для информации, против безопасности данных и нормального функционирования сети. Последний пример — произошедшая атака на сайт Dyn, которая задела не только саму компанию-провайдера, но и всех её клиентов. Среди них самые популярные во всей сети платформы и сервисы: Amazon, Twitter, GitHub, Heroku, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud, The New York Times, Starbucks, HBO, CNN, Basecamp, PayPal, Etsy. Этот список далеко не полный. В него попало более чем 75 участников: интернет-платформы новостных ресурсов, финансовых организаций, продавцов услуг, социальных сетей, сайты компаний-разработчиков. Примерные потери приравниваются к $110 000 000 — за одни сутки. Причины атаки никто, пока, достоверно назвать не может, а к расследованию уже присоединились представители ФБР (США). Событие вышло за рамки администрирования, на «федеральный» уровень. Все, кто пострадал, будут восстанавливать репутацию. Стало понятно, что никто не надежен настолько, насколько это казалось ещё недавно.

Сложилась не очень приятная ситуация с регистратором доменов Reg.Ru, переговоры по которой зашли в тупик.

2 октября 2015 года был зарегистрирован домен в зоне .ST, не был своевременно продлен до Expiration Date (2 октября 2016 года) и удален из панели управления доменами регистратора. Не просто получил статус домена с просроченной оплатой, а вообще исчез из личного кабинета. При обращении к службе поддержки выяснилось следующее: домены этой зоны после снятия с делегирования продлить можно, но за 20 000 рублей, что почти в 10 раз превышает стоимость обычного продления.

/ фото Veni CC

1 октября истек срок действия контракта между организацией ICANN и правительством США. В результате ICANN, контролирующая управление ключевой инфраструктурой интернета, получила полный контроль над управлением адресным пространством интернета.

ICANN осуществляла контроль над адресным пространством интернета через специально созданную структуру под названием IANA («Администрация адресного пространства Интернет»), которая подчинялась национальному управлению по телекоммуникациям и информации США (National Telecommunications and Information Administration, NTIA). С 1 октября её заменит внутренняя структура ICANN — некоммерческая корпорация по обеспечению общественных интересов (PTI).

В новую структуру войдут представители всех стран, которые являются членами правительственного комитета ICANN, а также работники интернет-отрасли и интернет-пользователи.

Кратко: у основного домена Сбербанка (sberbank.ru) некорректная SPF-запись. Это приводит к тому, что у злоумышленников есть возможность делать фальшивые рассылки электронной почты от имени Сбербанка. Сама запись настроена хорошо, годно, но с ошибкой, сводящей к нулю все усилия.

> host -t txt sberbank.ru
sberbank.ru descriptive text "v=spf1 mx mx:shark11.sberbank.ru mx:shark12.sberbank.ru mx:shark13.sberbank.ru mx:shark14.sberbank.ru mx:email1.sberbank.ru -all"

Счастливый финал: в течение дня запись исправили, теперь она соответствует RFC.

> host -t txt sberbank.ru
sberbank.ru descriptive text "v=spf1 mx -all"

Ну, а для тех кто осилит прочитать — добро пожаловать под кат.

Компания ХостТрекер началась с простенького сайта на базе не менее простенького скрипта, предоставлявшего бесплатные услуги всем желающим. Но за несколько лет работы сервис, развиваясь как стартап, обзавелся солидным инструментарием для решения разнообразных задач людей, так или иначе причастных к Сети. В серии публикаций мы решили подробно описать функции нашего сервиса, поделиться опытом развития подобных проектов, упомянуть интересные задачи, с которыми нам пришлось столкнуться. Отметим, что зачастую разработка новых функций происходит с оглядкой на наши личные потребности, поэтому наша история может еще стать хорошим примером того, как «продать то, что сделано для себя».

Тема получения сертификата Let's Encrypt уже подымалась на хабре (см. тут), да и в сети можно найти много рецептов разного качества.

Читал я и ужасался: одни пишут, что то нужно nginx или apache остановить («на пару минуточек всего»), другие предлагают файлы подкладывать в папку веб-сервера (в соседней ssh-сессии), третьи — о том, как важно соблюсти правильный Content-type для файлов проверки домена…

Давайте попробуем обойтись без всего этого: чтобы не было мучительно больно ни на стадии установки, ни очередном продлении — даже если придётся обновлять сразу много доменов. Собственно, вот и вся цель моей небольшой заметки: это не пошаговый степ-бай-степ, не длинная теоретическая статья о том, как функционирует Let's Encrypt — просто описывается правильный на мой взгляд подход, который будет правилен для конфигурации любой сложности.

Вся суть в двух словах: пусть Let's Encrypt запустит веб-сервер на 9999 порту, а мы допишем конфиг nginx, чтобы он пробросил запрос на этот бекенд. Кому интересны детали — прошу под кат

Для того, чтобы зарегистрировать домен, нужны следующие данные:

• Владелец домена;
• Администратор;
• Технический контакт;
• Контакт для счетов;
• Группа nameserver'ов.

Но некоторым координаторам доменных зон весьма скучно и, забавы ради, они выдумывают задачки для владельцев доменов и разработчиков. Расскажу о дополнительных данных для регистрации домена, которые нужно складывать в блок extension.

Домены: .cat, .scot, .gal, .eus

Текстовое поле: intendedUse — для описания цели использования домена. Мало ли что!

Домены: .nz

Текстовое поле: authCode
Если ты хочешь зарегистрировать hobbit.nz и есть уже домен hobbit.co.nz, то будь добр, введи код авторизации, иначе ты получишь… ничего не получишь (уточнил, сейчас требование уже снято, но пункт оставил в качестве примера).

Сегодня, 25 июня 2015 года в 12:00 компания ICANN приостановила аккредитацию компании Freenom, являющуюся администратором популярных доменных зон, таких как .TK и других условно- бесплатных доменов верхнего уровня. Причиной для столь серьезного решения стало то, что компания занималась киберсквоттингом в отношении своих прямых конкурентов — других регистраторов доменов.

По имеющимся данным, есть информация о том, что Freenom с 8 июля до 6 октября не сможет регистрировать новые домены и получать деньги за регистрационные услуги, если она не представит ICANN полный список доменов, зарегистрированных со злым умыслом.

Недавно пришлось столкнуться со спамящим php-скриптом. Виновник был найден и уничтожен, дыра закрыта… Оставался вопрос с блэклистами. В частности перестала доходить почта на Gmail (reject).
Решил я настроить почту «как надо» — SPF, DKIM и попробовать настроить DMARC.
Оговорюсь сразу — я даже не пробовал разобраться с макросами и не настраивал aspf/adkim (хоть и написал о них).

Что такое DMARC?

Описан в RFC7489.
DMARC задает политику как проверять приходящую почту в этом домене и что делать если письма не проходят аутентификацию SPF или DKIM. На картинке показано на каком этапе вступает в работу DMARC.

Несколько часов назад были разделегированы домены регистратора REG.ru, у которых в качестве ns-серверов были указаны собственные доменные имена. В техподдержке reg.ru мне сказали, что проблема массовая и сейчас решается специалистами компании.

domain:        SETNS.RU
state:         REGISTERED, NOT DELEGATED, VERIFIED
person:        Private Person
registrar:     REGRU-RU
admin-contact: http://www.reg.ru/whois/admin_contact
created:       2011.06.06
paid-till:     2015.06.06
free-date:     2015.07.07
source:        TCI

Я проверил выборочно несколько доменов по базе statonline.ru/domains?tld=ru&registrar=REGRU-RU и действительно — домены при схожих условиях имеют статус NOT DELEGATED. И, соответственно, недоступны.

Пишите в комментариях, кого затронула данная проблема.