Je používání domén z pohodlnosti bezpečnostní riziko?

[xsouku04]

Mám 9 fyzických serverů, každý má svoje jméno pod kterým se eviduje a má také veřejnou adresu. Nabízí se použití domény, která by ukazovala na ip adresu serveru. Ale napadá mne, jestli není nebezpečné někde takto vyjmenovat všechny veřejné ip adresy serverů. Je možné aby někdo zjistit, jaké existují subdomény (a k ním ip adresy) k dané doméně jinak než pokusem a omylem? Je používání domén z pohodlnosti bezpečné? Existuje nějak u nějaké domény  zjistit všechny subdomény?

[Reklama]

[petersveter]

Hocikto kto monitoruje DNS hned zisti tvoje IP adresy. Mozes pouzit CloudFlare alebo vlastnu proxy a mat tak vonku iba jednu IP za ktorou skryjes tie servery. Len jasne ze ta proxina potom spomali spojenie, ak tam nehodis niekolko proxin cez nejaky geo dns alebo anycast.

[xsouku04]

Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. Nebo se také bojím člověka co si nějakou službu vyhlídne zkoumá možné zranitelnosti. Ten ale celkem jistě nebude schopen odchytávat můj vlastní dns provoz, nebo provoz všech zákazníků.

Nebylo by možné mít vlastní DNS server, který bych nastavil na počítačích na kterých pracuji jako třeba třetí v pořadí?
A ten by našel záznam jen když veřejné servery nic najít nedovedou?  Ten neveřejný DNS server by mohl být chráněn firewalem jen pro přístup z jistých ip adres + VPN. Takto by možná šlo vytvořit celý nový doménový neveřejný prostor.

[Filip Jirsák]

DNS bylo vytvořeno proto, aby se používalo. I kdybyste zveřejnil IPv4 adresy serverů, žádné bezpečnostní riziko to není – ty IPv4 adresy totiž už zná každý, kdo je chce znát. IPv4 adres je tak málo, že není problém proskenovat celý adresní prostor. IPv6 je něco jiného, ale i tak platí, že pokud by samotná znalost IP adresy představovala bezpečnostní riziko, bylo by něco hodně špatně.

Když vytvoříte DNS záznamy v nějaké doméně, nikdo o nich nemusí vědět. Nemusíte umožňovat vypsat obsah domény. Pak to záleží jen na vás, zda doménové jméno zveřejníte. Obvyklý „únik“ doménového jména je vystavení důvěryhodného certifikátu, který musí být zaregistrován v CT listu. Úniku DNS názvu se dá v takovém případě zabránit tak, že necháte vystavit hvězdičkový certifikát.

Monitorování DNS provozu ze strany ISP můžete předejít tak, že budete používat třeba DNS-over-HTTPS. Akorát teda váš ISP stejně bude vědět, s jakými IP adresami komunikujete, takže z hlediska utajení těch IP adres je to stejně jedno.

Za Cloudflare můžete schovat HTTPS server, ale SSH server za to neschováte.

[jjrsk]

Nebojím se ani tak poskytovatele internetu nebo googlu, ale spíše náhodné člověka z druhého konce světa, který skenuje internet ve velkém. ...

Ten clovek ale neresi dns, ten clovek (a jsou jich stovky tisic) scanuje IPcka vis? Je to to totiz specielne na v4 o nejake ty rady efektivnejsi. A navic tak najde stroje, ktere zadne dns nemaji.

Jmena muzes napsat treba taky do hosts, a zadne dns resit nemusis, jen pak musis udrzovat aktualni ten hosts a to na vsech klientech. A prave proto bylo vymysleno dns.

... který musí být zaregistrován v CT listu...

Nemusi, to je jen dalsi smirovaci mechanika soudruhu z google. A daleko jednodussi je vyuzit dnssec. Protoze to praskne i domeny, na ktere zadny certifikat neni.

[Reklama]

[xsouku04]

Tady jsem našel článek na tohle téma.  https://news.gandi.net/en/2022/01/how-do-i-find-all-the-subdomains-of-a-domain-name/

Ve zkratce, snadno zjistit všechny subdomény lze jen pokud je na dns povoleno zone trasfer.
Otestovat to lze pomocí host -a -l example.com .
Normálně to povolené není a lze to snadno otestovat.

Kdyby to bylo jednoduché, pořád by připadalo v úvahu mít vlastní neveřejný DNS server, který by navíc mohl resolvovat domény, které nejsou určené pro veřejnost, např.  jména lidí  na neveřejné ip adresy ve vpn a podobně.

[jjrsk]

...

No vidis a prave to neni pravda. Pokud server/domena pouziva puvodni dnssec a takovych budou hromady, tak se da cela domena a vsechny jeji zaznamy projit prave s vyuzitim toho.  Zone transfer na to vubec nepotrebujes. Ackoli i takovych serveru ktere ho maji povolen zcela do sveta najdes spousty.

Samozrejme dalsi aspekt spociva v tom, ze znacnou cast domen obsluhuji registratori, tech je omezene, a uniky dat nejsou nic vzacneho.

Ale porad je to uplne jedno, protoze pokud je libovolna sluzba dostupna, tak bude behem asi tak 5 - 60 minut nalezena. 5 plati pro proflaknute jako treba http nebo ssh. A je to spis horni hranice casu, kdy prijde prvni pokus o login. Takze mnohonasobne driv, nez se treba windows stihnou patchnou.

[Filip Jirsák]

... který musí být zaregistrován v CT listu...

Nemusi, to je jen dalsi smirovaci mechanika soudruhu z google.

Musí. Prohlížeče neakceptují certifikáty, které nejsou na CT listech. A uznávané certifikační autority vám certifikát na doménové jméno, který nebude na CT listu, nevydají. Jinak by CT listy neměly smysl.

Google je ten poslední, kdo by CT list potřeboval, aby se dozvěděl o nějaké doméně.

No vidis a prave to neni pravda. Pokud server/domena pouziva puvodni dnssec a takovych budou hromady, tak se da cela domena a vsechny jeji zaznamy projit prave s vyuzitim toho.

Pravda není to, co píšete vy. Projít celou zónu můžete jen tehdy, pokud ta zóna používá NSEC. Už 15 let tu ale máme NSEC3, který enumeraci brání.

[RDa]

... který musí být zaregistrován v CT listu...

Nemusi, to je jen dalsi smirovaci mechanika soudruhu z google.

Musí. Prohlížeče neakceptují certifikáty, které nejsou na CT listech. A uznávané certifikační autority vám certifikát na doménové jméno, který nebude na CT listu, nevydají. Jinak by CT listy neměly smysl.

Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.

Jesteze FF tohle neimplementuje. U googlu je uzitek jasny - potrebuji mit absolutni prehled ktere domeny navstevujete kdyz uz mate rozum a nepouzivate jejich dns.

Za me je CT obrovska bezpecnostni dira, leakujici informace o chovani uzivatele.

[B.H.L.]

Je používání domén z pohodlnosti bezpečné?

Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?

[Zopper]

Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu.

To by se na tom musely shodnout státní autority, protože ty pak můžou donutit vývojáře/firmy ve svých zemích použít X jako jediný povolený způsob a zahodit roky práce předtím. Jinak to roste organicky, kdy "máme nějaký komplexní systém, ten něco neumí, tak to k němu přilepíme" je prostě pro jednotlivé aktéry mnohem jednodušší, než se snažit přesvědčit ostatní o skvělém novém (nekompatibilním) standardu.

Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?

Tak to začalo. Teď se DNS používá na další věci, které by bez něj udělat nešly, jako třeba více různých webserverů na jedné ip adrese, jen s různou doménou (a tím pádem je menší tlak na vlastnictví ip adresy).

[Filip Jirsák]

Dalsi rovnak na ohybak. Namisto vymysleni techto pseudo-reseni (stejne jako u milionu druhu berlicek proti spamu), se meli prohlizece dohodnout na funkcnim revokacnim protokolu. CA ktera nedokaze zabranit kompromitaci proste nema na trhu co delat a byla by zneplatnena.

Vůbec netušíte, která bije. Funkční revokační protokoly existují. CT ale neslouží k revokaci, nýbrž pro zjištění, že byl vydán nějaký certifikát neoprávněně. Chyba nemusí nastat jen u CA, daleko pravděpodobnější je, že nastane někde na straně držitele doménového jména. Každopádně i v případě chyby CA se o té chybě nejprve musíte dozvědět – a k tomu právě slouží CT list.

U googlu je uzitek jasny - potrebuji mit absolutni prehled ktere domeny navstevujete kdyz uz mate rozum a nepouzivate jejich dns.

Jenže z CT se nijak nedozvíte, jaké domény uživatel navštěvuje.

Za me je CT obrovska bezpecnostni dira, leakujici informace o chovani uzivatele.

Vzhledem k tomu, že vůbec netušíte, co CT je, k čemu se používá a jak funguje, tak je celkem jedno, co si o tom myslíte.

[jjrsk]

...
Musí. Prohlížeče neakceptují certifikáty, které nejsou na CT listech. ...

Kdybys Jirsaku vecne neblabolil ... prohlizec se koukne zda ma v seznamu duveryhodnych cert nebo jeho matinku, a nejaky seznam je mu u rite. A kazdej svepravnej clovek ma posilani a dotazovani na tuhle volovinu i primo vypnutou.

... Už 15 let tu ale máme NSEC3, který enumeraci brání.

Coz je nejvetsi blabol za dobu existence roota ktery se tu vyskyt.

[jjrsk]

Opravte mě, pokud se pletu, ale není celej systém domén "jen" "z pohodlnosti"? Protože lidem se líp pamatuje root.cz místo 91.213.160.188?

To se ovsem pletes velice zasadne. DNS ti umoznuje nabizet ruzne IP ruznym tazatelum, treba podle jejich lokality. Nebo take tech IP muzes nabizet vice, treba kvuli potencielnim vypadkum. A pak taky nemusis resit jak miliarde klientum sdelis zmenu te IP, treba proto ze si server prestehoval o dum vedle ...

O tom co si kdo pamatuje to vubec neni.

[jjrsk]

...
Vůbec netušíte, která bije. ...

Pise ten, ktery nema paru ....

Nic takoveho nikdy nefungovalo, mam certifikaty vydane na stejnou domenu ruznymi autoritami. Nikomu a nicemu to nevadi. Asi zazrak.