Si alguien compró el TLD local. ¿Podría ser un riesgo para la seguridad?

Navega tus respuestas
14

Ahora que la ICANN está permitiendo nombres de dominio de nivel superior personalizados y a los empleados de TI a menudo les gusta usar .local como el TLD para redes internas , si alguien compra el TLD local. ¿Cuáles son algunos peligros posibles que podría encontrar un usuario?

El ejemplo principal en el que puedo pensar es en los ataques de phishing. Si una empresa tiene computadoras como SuperSecureServer.local en su LAN y un atacante malicioso hace que TotallyARealCorporateServer.local se resuelva TotallyARealCorporateServer.local ante la IP de los atacantes? Si lo hiciera, el atacante podría enviar un enlace incorrecto y luego suplantar un servidor real y obtener credenciales de inicio de sesión de dominio.

    
pregunta Scott Chamberlain 09.05.2012 - 16:42
fuente

3 respuestas

25

Para responder a su pregunta específica, .local ya ha sido reservado por la ICANN como un gTLD interno. Consulte la sección 2.2.1.2.1 "Nombres reservados" en la Guía del solicitante de la ICANN .

La lista completa de gTLD reservados es: 

AFRINIC  IANA-SERVERS  NRO   ALAC  ICANN  RFC-EDITOR   APNIC  IESG  RIPE  ARIN  
IETF  ROOT-SERVERS  ASO  INTERNIC  RSSAC  CCNSO  INVALID  SSAC  EXAMPLE*  IRTF  
TEST*  GAC  ISTF  TLD  GNSO  LACNIC  WHOIS  GTLD-SERVERS  LOCAL  WWW  IAB  
LOCALHOST  IANA  NIC 

*Note that in addition to the above strings, ICANN will reserve translations of the terms 
"test" and "example" in multiple languages. The remainder of the strings are reserved 
only in the form included above

(Hay un addendum a lo anterior para indicar que las métricas de "similitud" se aplican para asegurarse de que los gTLD como .1ocal tampoco sean objeto de abuso).

    
respondido por el logicalscope 09.05.2012 - 18:13
fuente
6

Eso depende de la configuración de DNS para las redes locales. Asumiría que la mayoría de las compañías tienen sus propios servidores DNS que, además de saber dónde solicitar registros DNS para otros dominios, también se declaran autoritarios para el .local TLD. Suponiendo que todos los clientes estén apuntando a estos servidores DNS, poseer el .local TLD no ayudaría a un atacante en lo más mínimo.

DNS es un sistema distribuido de nombres; algunos servidores dan respuestas autoritativas para los nombres de dominio y otros simplemente almacenan en caché las respuestas; Las respuestas son válidas para una ventana de tiempo dada. Esto lleva a un envenenamiento de caché, ya que es posible que un servidor no autorizado altere la respuesta autorizada antes del almacenamiento en caché; . Sin embargo, para este problema, el servidor autorizado también es el primero que recibe nuestra solicitud, por lo que las consultas de DNS .local se responderían desde los registros de zona que tiene el servidor DNS.

Sí, esto también significa que sus administradores de red podrían configurar su servidor DNS como autorizado para .com .

    
respondido por el user2213 09.05.2012 - 16:56
fuente
4

También me he estado preguntando acerca de esto. Como dice Ninefingers, si tienes tus propios servidores DNS, no ayudará a los atacantes en lo más mínimo.

¿Pero qué sucede cuando los empleados de la empresa traen a casa su computadora portátil y se conectan a Internet desde casa? Siempre y cuando no establezcan una conexión VPN, accederán a servidores DNS públicos que los dirigirán a la autoridad pública para el dominio mencionado. Estoy en lo correcto?

Entonces, para especular: si la empresa XYZ tiene un dominio interno de Windows llamado xyz.internal y un DC llamado dc1.xyz.internal, y alguien compra .internal, entonces podrá establecer un subdominio llamado xyz.internal y un A registro llamado dc1. Cuando los empleados traigan a casa sus computadoras portátiles, intentarán autenticarse contra el público dc1.xyz.internal y si él está olfateando el tráfico, ahí está el problema.

Ahora, la verdadera pregunta: ¿Es esta una amenaza legítima? ¿Es un escenario realista? ¿Vale la pena comenzar una migración completa del dominio?

    
respondido por el Gibson 23.05.2012 - 14:18
fuente

Lea otras preguntas en las etiquetas

¿Son peligrosas las páginas de inicio / registro combinadas y cómo mejorarlas? ¿Los sitios que comprueban su contraseña mientras escribe pueden suponer un riesgo para la seguridad?