В последние несколько месяцев в сообществах DNS и интернета теме совпадения имен уделяется много внимания. Имена совпадают когда, при попытке разрешить имя, использующееся во внутреннем пространстве имен (т.е. в неделегированном домене верхнего уровня или в коротком, неопределенном имени) запрос, адресуется глобальной системе DNS, и в глобальной системе DNS существует имя, полностью совпадающее с именем, использующемся во внутреннем пространстве имен.
Феномен совпадения имен не новы, его случаи уже наблюдались и описаны в отчете Запросы, содержащие неделегированные домены верхнего уровня на уровне корневой зоны DNS [PDF, 507 КБ]. Этот феномен опять оказался в центре внимания потому что многие из новых строк доменов верхнего уровня, на которые были поданы заявления, полностью совпадают с элементами пространства имен, использующимися во внутренних сетях.
ICANN и другие организации провели исследования для оценки потенциальных последствий для пользователей интернета [1 (PDF, 3.34 МБ), 2]. Мы смогли пронаблюдать симптомы, свидетельствующие о неправильно направленных запросах об именах, определили приблизительные источники и причины возникновения этих запросов и предложили шаги по их устранению (предотвращению).
Надо лечить причины, а не симптомы совпадения имен
Житейская мудрость гласит, что о чем бы ни шла речь, будь то медицина или безопасность интернета — лечить надо причины, а не симптомы. Пример лечения симптома — блокирование или перевод в синкхол доменов или URL-ов для предотвращения возможности взаимодействия с центром управления ботнетом вредоносного программного обеспечения на том или ином средстве [3 (PDF, 386 КБ), 4]. Такие меры противодействия помогают и снижают степень риска, но инфекция никуда не уходит и продолжает представлять угрозу. Пример лечения причины – выявление пораженных средств, удаление вредоносного ПО с параллельным демонтажом ботнета [5], с надеждой на то, что лечение будет перманентным.
В отношении совпадения имен, блокирование или задержка делегирования домена верхнего уровня, на который была подана заявка – это просто способы лечения симптомов, плюс они упускают из внимания следующее важное соображение: совпадения имен – это непредусмотренные запросы о TLD, адресованные корневой зоне глобальной DNS. Это примеры “утечки” запросов об именах из предназначенного для них внутреннего пространства имен.
Основные причины совпадения имен – использование внутреннего пространства имен или коротких, неопределенных имен. Описанный выше подход имеет много причин, включая тип протокола, удобство пользования и способ разработки приложения или допущений при реализации. Также в качестве причин непредусмотренных запросов к корню часто упоминаются или наблюдаются путаница в отношении конфигурации, ее тип или соответствующие ошибки. Эти причины продолжают существовать по целому ряду оснований. Как бы то ни было, многим организациям возможно следует устранить причины утечки запросов об именах из внутренних пространств имен, которым они адресовались.
ICANN предпринимает меры для лечения симптомов совпадения имен. Эти меры опубликованы в План действий по устранению причин совпадений имен в новых доменах общего пользования и предназначены для того, чтобы дать время организациям:
- Изучить свои внутренние пространства имен и определить не направляют ли они запросы, адресованные корневой зоне и содержащие неделегированные TLD
- Оценить не представляют ли эти запросы неприемлемый риск для них, а также
- Определить каким образом они планируют этот риск снизить.
ICANN и претенденты на новые домены верхнего уровня планируют реализовать рамочные меры; меры эти — диагностические, они направлены на сдерживание, но они не лечат первопричину. Принятие решения о лечении первопричины и ответственность за его реализацию лежит на организации, использующей внутренние и/или короткие неопределенные имена. Этот факт тоже часто игнорируются при обсуждении вопросов совпадения имен: только организации, неправильно направляющие запросы к глобальной DNS, способны правильно определить подвергаются ли они риску и только они могут удовлетворительно реализовать меры по снижению риска.
ICANN провела консультации с экспертами по этим вопросам и подготовила отчет об устранении причин, связанных с использованием коротких неопределенных имен. Ниже приводится основной результат и рекомендация отчета Руководство по определению и устранению причин совпадения имен для IT-специалистов [PDF, 648 КБ]:
Разрешение полностью определенных доменов через глобальную систему DNS — адекватная и рекомендуемая мера для случаев, когда причина — разрешение коротких неопределенных имен.
В отчете описываются проблемы, с которыми организации могут столкнуться при утечке имен в глобальную систему DNS и рекомендует практические меры, доступные многим организациям . В отчете рассматриваются пространства имен, которые ответвляются от глобальной DNS, внутренние пространства, использующие собственные внутренние домены верхнего уровня и внутренние пространства имен, которые были созданы при помощи списков поиска.
Всем организациям, еще не использующим FQDN из глобальной системы DNS, отчетом рекомендуется изучить следующую стратегию. Вкратце, отчет рекомендует:
- Следить за работой службы имен, составить список внутренних доменов верхнего уровня или коротких неопределенных имен, использующихся внутри компании и сравнить созданный список со списком новых строк доменов верхнего уровня.
- Разработать план устранения причин утечки имен; например, возможно следует изменить корневую зону внутреннего пространства имен для того, чтобы использовать имя, которое было зарегистрировано в глобальной системе DNS или изменить пострадавшие системы таким образом, чтобы они использовали FQDN.
- Подготовить пользователей к предстоящему изменению в использовании имен, заранее уведомив их об этом или предоставив соответствующий инструктаж.
- Реализовать план устранения причин утечки имен.
- Продолжать отслеживать использование старого внутреннего пространства имен, а также нового FQDN на серверах имен и по всему периметру своей сети, и использовать эти данные для устранения причин, о которых Вы можете узнать, только начав устранять причины утечки имен.
Такого рода меры по устранению необходимы, но не новы для администраторов ИТ. Определение и устранение причины внутренней уязвимости имен в периферийных сетях настолько же важно, как и определение зараженных ПК в периферийных сетях и удаление вредоносного ПО. Также важно понимать, что организациям, уже использующим в своей сети FQDN из глобальной системы DNS, не будет необходимости рассматривать эти меры. Эти организации не заметят никаких изменений в применении имен DNS независимо от того, которые и какое количество новых доменов верхнего уровня уже делегируются.
Несмотря на то, что возможно существуют и другие промежуточные или временные решения, миграция при помощи FQDN имеет долговременную ценность, так как применение этого решения также позволяет делегировать все новые домены верхнего уровня.