¿Los dominios enteros siempre deben estar en la lista negra?

Navega tus respuestas
0

Estoy trabajando en un equipo para un producto de seguridad de red empresarial y estamos implementando listas blancas / negras como parte del programa. Tenemos listas que se tomaron de una fuente de terceros, pero nadie recuerda las especificaciones de cómo se hicieron / compilaron estas listas. La lista contiene entradas que son dominios completos, por ejemplo, foo.com, pero también contiene muchas entradas donde el dominio es el mismo pero los subdominios son diferentes, por ejemplo. abc.bar.com, xyz.bar.com, etc.

Esto nos hizo pensar: ¿existen motivos para incluir en la lista negra algunos subdominios de un dominio pero no todo el dominio? Esta es una pregunta importante para nosotros porque afectará la forma en que diseñamos la lógica de comprobación de lista: ¿la consulta completa debe coincidir con una entrada completa en la lista para ser marcada? como en la lista negra? ¿O solo el dominio registrado (SLD.TLD) debe coincidir con el dominio registrado de cualquier entrada en la lista?

Tratamos de encontrar literatura sobre esto, pero fue en vano.

    
pregunta kjwill555 17.07.2017 - 19:05
fuente

2 respuestas

2
  

¿existen razones para incluir en la lista negra algunos subdominios de un dominio pero no   todo el dominio?

Sí. Por ejemplo, un servicio de alojamiento de dominios gratuito como enlace ofrecería a sus usuarios una dirección de dominio como PICKYOURSUBDOMAIN.abc.com . Aquí, el usuario que utiliza el servicio de alojamiento web gratuito puede elegir su propio nombre para el subdominio y varios usuarios comparten abc.com .

El usuario malicioso M ahora puede alojar, digamos, una página de phishing en malicious.abc.com y deberías incluirlo en la lista negra. Sin embargo, otro usuario podría estar hospedando un sitio web perfectamente legítimo en legit.abc.com en el mismo dominio. Por lo tanto, es más efectivo bloquear malicious.abc.com que abc.com .

    
respondido por el whoami 17.07.2017 - 19:14
fuente
1

La concordancia de toda la cadena cuando se mira el dominio tiene un mayor sentido. Piense en las trampas si esto no se hace. Si la lista negra indica el bloque abc.amazonaws.com , el bloqueo de todo el servicio de Amazon AWS podría ser perjudicial para la empresa.

De manera similar, los dominios dinámicos basados en DNS proporcionan otro nivel de dificultad al crear la lista negra. Se sabe que los botnets y los operadores maliciosos hospedan sus servidores utilizando proveedores de DNS dinámicos. Sin embargo, no todos los subdominios de dicho proveedor (por ejemplo, *.dyndns.org ) son maliciosos. En tales casos, sin embargo, puede tomar un enfoque subjetivo. Si no espera que los hosts dentro de su red se comuniquen con los proveedores de DNS dinámicos en general, puede bloquear dicho dominio.

    
respondido por el sandyp 17.07.2017 - 19:13
fuente

Lea otras preguntas en las etiquetas

Posibilidades de inyección SQL en mi código Nikto: los resultados difieren para IP y nombre de host