域名冲突引起的问题 |
由从专用网络泄露到全球 DNS 中的查询引起的域名冲突会引起很多意想不到的后果。如果查询得到了肯定的响应,但结果却是来自全球 DNS 而非预期的专用命名空间,执行查询的应用程序就会尝试连接到不属于专用网络的系统,连接可能成功,但也可能带来不便(造成域名解析延迟)。 定向到意外网站 假设用户使用专用网络时在其 web 浏览器中输入 ,那么该网络就会有一个专用 TLD ourcompany 的命名空间。如果浏览器查询域名 finance.ourcompany 时能够正常解析,则说明该浏览器获取了财务部门内部 web 服务器的 IP 地址。试想,虽然 TLD ourcompany 也包含在全球 DNS 中,但该 TLD 还含有一个二级域名 (SLD) finance。如果查询泄露,它将解析得到与在专用命名空间解析查询时得到的 IP 地址不同的地址。现在,假设这个不同的 IP 地址配置到 web 服务器。浏览器就会尝试连接到公共网络而非专用网络的 web 服务器。 如前所述,即使在没有专用 TLD 但使用了搜素列表的网络中也可能出现同样的问题。如果某个浏览器在用户拥有搜索列表(包含域名的网络中可以正常使用,那么用户为了访问主机就会输入域名 。现在,假设一家咖啡店的员工正在移动设备上使用该浏览器。如果该查询泄露到互联网,而且互联网上恰好有名为 finance 的 TLD,那么查询就可能解析得到不同的 IP 地址,例如,域名在全球 DNS 中的完全不同的主机地址 。该查询可能导致浏览器尝试连接到与在专用网络解析器查询完全不同的公共网络 web 服务器。 这种情况下,普通用户往往会认为这是错误网站并立即离开。但是,如果浏览器因为 web 服务器含有与其先前访问的地址完全相同的域名而信任该 web 服务器,那么该浏览器就会向其泄露大量信息。浏览器可能会自动输入登录信息或其他敏感数据,从而导致信息被组织以外的人员捕获或分析。其他情况下(例如,对该组织的蓄意攻击),浏览器可能会连接到配置有恶意代码的网站,从而在计算机上安装危险程序。 请注意,使用 TLS 和数字证书可能不能帮您防止域名冲突带来的损害;实际上,由于这种做给用户一种安全的错觉,反而危害更大。为全球 DNS 中的域名颁发证书的很多证书颁发机构 (CA) 还会为专用地址空间中的简短非限定域名颁发证书,因此,定向至错误网站的用户仍有可能看到有效证书。 电子邮件定向至错误的收件人 域名冲突可能引起的后果不仅表现在 web 浏览器上。如果收件人地址的主机名相同,本来打算发送给某位收件人的电子邮件可能会被发送给其他收件人;例如,如果 ourcompany 是全球 DNS 中的 TLD,发送给 chris@support.ourcompany 的电子邮件可能会被发送给完全不同的用户账户。即使邮件未被成功发送给特定的电子邮件用户,也可能存在发送尝试,此类尝试可能导致电子邮件内容被组织以外的人员捕获或分析。 很多网络设备(如防火墙、路由器,甚至打印机)可能被配置为通过电子邮件发送通知或日志数据。如果输入的电子邮件通知收件人名称在全球 DNS 中出现域名冲突的情况,那么通知可能会被发送给完全意想不到的收件人。邮件正文中可能透露网络配置和主机行为的事件或日志数据可能泄露给意外收件人。如果该数据的指定收件人未收到日志数据或触发通知的事件无法得到调查或缓解,IT 工作人员的常规网络性能或流量分析就可能中断。 安全性降低 未得到缓解的域名冲突可能导致专用网络中的系统面临意外行为或危险。依靠域名解析进行正确操作和执行安全功能的系统使用 FQDN 从全球 DNS 解析时可以可靠地执行操作。 例如,在防火墙中,安全规则通常基于数据包流的来源或目标。数据包的来源和目标是 IPv4 或 IPv6地址,但是很多防火墙也会让其作为域名输入。如果使用了简短非限定域名,且未正常执行域名解析,那么规则可能无法按照管理员的期望阻止或允许通讯流量。同样,防火墙日志经常使用域名,而且使用以不可预测的方式进行解析的简短非限定域名会影响事件监控、分析或响应。例如,由于日志中的简短非限定域名会根据创建日志的地址识别不同的主机(即在日志中,同一简短非限定域名可能关联两个或以上不同的 IP 地址),因此导致审核日志的 IT 工作人员可能会误解事件的严重性。这一问题可能很复杂,因为大多数防火墙都可以作为自己的 DNS 解析器或允许管理员使用或配置搜索列表。 受域名冲突影响的系统 应检查所有联网系统是否使用了植根于专用 TLD 的主机名或基于搜索列表的主机名。所有这些使用实例均需要进行更新,以使用全球 DNS 中的 FQDN。要检查的系统或应用程序列表大概包括: 浏览器 - 用户可在 Web 浏览器上指定 HTTP 代理的位置,通常针对专用网络。检查用户或IT 工作人员是否设置了自定义主页、书签或搜索引擎:这些内容会链接到专用网络上的服务器。有些浏览器还提供配置选项,通过这些选项可获取有关指向专用网络上的主机名的 SSL/TLS 证书的撤销信息。 Web 服务器 - Web 服务器提供包含嵌入主机名的链接和元数据的 HTML 内容。检查专用网络上的 web 服务器是否含有带简短非限定域名的内容。检查 web 服务器的配置文件是否含有专用网络上其他主机的简短非限定域名。 电子邮件用户代理 - 诸如 Outlook 和 Thunderbird 之类的电子邮件客户端均提供配置选项,通过这些选项可使用 POP 或 IMAP 协议接收电子邮件,并基于 SUBMIT 协议发送电子邮件;所有这些都可能使用专用网络上的主机名。检查这些应用程序是否配置为可从分配了简短非限定域名的主机获取有关 SSL/TLS 证书的撤销信息。 电子邮件服务器 - 检查电子邮件服务器是否具有列出其他本地主机的简短非限定域名的配置,例如备份电子邮件网关、离线存储服务器等。 证书 - 检查使用 X.509 证书的应用程序(如电话和即时消息程序)是否具有使用简短非限定域名识别获取有关 SSL/TLS 证书的撤销信息位置的配置数据。 其他应用程序 - 自定义应用程序可能含有储存主机名的多个配置参数。最明显的空间可在配置文件中,但是主机名可能出现在多种应用程序数据、社交媒体或维客网站链接中,甚至还可能硬编码在源代码中。检查这些配置数据是否使用简短非限定域名。 网络设备 - 检查网络基础设施设备(防火墙、安全信息与事件管理 [SIEM] 系统、路由器、交换器、网络监控设备、入侵检测或预防系统、VPN 服务器、DNS 服务器、DHCP 服务器、日志服务器),以确定这些设备是否使用专用网络上其他设备的简短非限定域名进行配置。 客户端管理 - 检查诸如配置组织工作站和网络设备之类的集中式客户端管理工具,在由系统控制和重置的配置(尤其是搜索列表)中是否含有简短非限定域名。 移动设备 - 消费类电子设备,如电话和平板电脑,可能与上述一些应用程序具有类似的配置选项,因此可能有包含来自本地网络的简短非限定域名的配置选择。 应检查所有这些系统中储存简短非限定域名的配置数据,以确保当专用命名空间的根更改或不再使用搜索列表时,此类域名能得到更改。 |