通用頂級域名 (Generic Top-level domains, gTLDs) 近期的爆炸式發展可能造成企業內部使用的內部域名與公網上的注冊域名之間的沖突,讓企業的計算機產生風險。
許多企業已經配置了一些域名,而很多時候,這些域名使用的是編出來的頂級域名,它們在幾年以前還不存在于互聯網上,比如 .office 、 .global 、 .network 、 .group 、 .school 等。使用內部的基于域的名稱空間可以更容易地鎖定、管理并訪問系統。
問題在于,過去的兩年中,互聯網名稱與數字地址分配機構 (Internet Corporation for Assigned Names and Numbers, ICANN) 為了進一步擴張,批準了超過900個新的公開通用頂級域名,這可能會對使用基于域名的企業網絡上的應用和xie造成未知的安全影響。
比如網絡代理自動發現協議(Web Proxy Auto-discovery, WPAD) ,本地網絡上的計算機會使用該協議,自動查找應當使用的網絡代理設置。
WPAD在IE和Windows中是默認開啟的,這也是企業網絡環境中最常見的瀏覽器-操作系統組合。火狐、谷歌Chrome和蘋果Safari等瀏覽器也在Linux和OS X等其它平臺上支持該協議,只不過并非自動開啟。
計算機應當使用WPAD協議和本地DNS服務器,尋找應當下載并使用的wpad.dat代理配置文件。對于基于域名的網絡而言,這一文件可能存儲在以wpad.internal_domain.tld.為主機名的Web服務器上。
出現的問題是這樣:當計算機,比如一臺筆記本電腦被帶離企業的網絡環境,并連接到了不同的網絡上,由于企業的內部DNS服務器無法使用,WPAD NDS查詢請求將會被發送到公共DNS服務器上。
由于通用頂級域名擴展產生的影響,攻擊者可以用企業內部通行的域名注冊一個共有域名,并將惡意的代理配置文件托管到主機上,供上述情況下的筆記本電腦下載。這意味著這類計算機的網絡流量將經過一個攻擊者控制的代理服務器,產生非法流量窺探或篡改的可能性。這也被稱為中間人攻擊。
為了揭示此問題的廣度,來自Verisign公司和密歇根大學的研究人員分析了全球13臺DNS根服務器中的2臺在2013年9月到2015年7月之間shWPAD請求。這兩臺服務器是屬于Verisign公司的。
數據表明,平均每天大約有2000萬次WPAD請求傳到服務器,對應的潛在受害者數量可能高達660萬人。研究人員發現,泄露的WPAD請求涉及ICANN在2015年8月25日前授權的738個新域名中的485個。
該問題可能比上述情況的影響更大,因為ICANN自去年8月起又授權了201個新的通用頂級域名,而且,研究人員分析的數據僅僅來自全球13臺DNS根服務器中的2臺。
受影響最大的通用頂級域名如下:.global .ads .group .network .dev .office .prod .hsbc .win .world .wan .sap .site。大約65%的受影響WPAD請求來自美國。
該問題促使美國計算機緊急響應小組 (United States Computer Emergency Readiness Team, US-CERT) 在本周一發布了安全警報。小組對網絡管理員提出了一些建議:
在配置設備時,如非必要,禁用瀏覽器和操作系統的自動代理發現功能;
使用全球DNS下廣受承認的域名作為企業和內部地址空間的根域名,比如企業親自注冊并擁有的域名。
京公網安備 11010502049343號