Razno

Mehanizmi zaštitite internet domena

Jelena Opačić
17.11.2017
mehanizmi i naslov bloga kao overlay tekst kao ilustracija bloga o zaštiti internet domena

Da li znate da je Registar nacionalnog internet domena Srbije (RNIDS), u ovom trenutku, jedini TLD registar koji korisnicima nudi tri tipa zaštite naziva domena? Ako niste, obavezno ovaj članak pročitajte jer verovatno do sada niste dublje ni razmišljali o zaštiti vašeg internet domena. A evo zašto bi trebalo.

Davno ste u tekstu „Kako pokrenuti arbitražni postupak“ mogli da pročitate kako putem arbitraže možete povratiti nacionalni domen, ukoliko ga je neko drugi registrovao ili dokažete da se radilo o sajber kriminalu. Nacionalni internet domeni u velikoj meri već pružaju zadovoljavajući stepen pouzdanosti i bezbednosti, jer ne mogu da ih registruju neidentifikovane firme ili pojedinci, što je jako bitno u sprečavanju zloupotreba domena (lažno predstavljanje, sajber kriminal i drugo). Na primer, ukoliko se desi da vam neko „ukrade“ domen (lažno se predstavi i traži transfer, promenu podataka i slično), domen možete vratiti. Ali, to nije sve – sada domen možete i dodatno zaštiti tako da uopšte i ne dolazite u situaciju da idete na arbitražu, a da u međuvremenu vaš identitet ili posao, najblaže rečeno, trpe.

Režimi zaštite nacionalnog domena

Sigurnosna rešenja koja onemogućavaju gore navedene vrste napada, zaključavanjem kritičnih operacija nad zaštićenim nazivima domena, su sledeća:

  • Siguran režim (Secure Mod)
  • Zaključavanje na strani klijenta (Client Side Lock ili Registrar Lock)
  • Zaključavanje na strani Registra (Registry Lock).

Siguran režim (Secure Mod)

Najčešći način „kidnapovanja“ domena je promena parametara domena i preusmeravanje korisnika na internet lokaciju koju kontroliše napadač. Ovo je moguće uraditi na mnogo načina, ali je jedan od najčešćih preuzimanje naloga korisnika domena kod ovlašćenog registra kod kog je napadnuti domen registrovan (npr kompromitovana ili previše jednostavna lozinke koju je lako pogoditi) a administracija domena se vrši putem kontrolnog panela.

Vaš domen možete prebaciti u „Siguran režim“ koji za svaku promenu kritičnog podatka o domenu (promena DNS servera, uključivanje punog prikaza podataka u WHOIS-u, izmena podataka o administrativnom kontaku…) zahteva potvrdu administrativnog kontakta za domen putem emaila.

Kada se inicira neka od zaštićenih promena za domen za koji je aktiviran „Siguran režim“, na adresu e-pošte administrativnog kontakta za dati domen se šalje elektronska poruka koja sadrži inicirane promene, kao i link sa vremenski ograničenim kodom za verifikaciju promene. Zahtevana promena će biti realizovana u sistemu RNIDS-a tek nakon potvrde administrativnog kontakta klikom na verifikacioni link (u predviđenom roku), čime se verifikacioni kod prosleđuje sistemu za registraciju naziva domena.

Iako „Siguran režim“ ne garantuje 100% zaštitu, zbog mogućnosti da nalog e-pošte administrativnog kontakta bude kompromitovan, ipak značajno otežava uspešnu realizaciju napada i čini ga skoro nemogućim ukoliko su ispoštovana pravila za zaštitu naloga e-pošte. Takođe, ovaj vid zaštite domena omogućava veoma brze izmene zaštićenih podataka, bez angažovanja ovlašćenog registra ili RNIDS-a. Usluga je besplatna.

Zaključavanje na strani klijenta (Client Side Lock)

Ova vrsta obezbeđivanja domena je poznata i kao zaključavanje na strani ovlašćenog registra (Registrar Lock) i podrazumeva zabranu svih izmena nad domenom koji se nalazi u ovom statusu, osim produženja registracije.

Ovaj vid zaštite domena obezbeđuje visok stepen zaštite jer nije predviđeno da se ovako zaštićen domen otključava kroz kontrolni panel ili portal, već samo na zahtev registranta i administrativnog kontakta, nakon provere validnosti zahteva od strane ovlašćenog registra. Alternativno ovlašćeni registar može da pruža ovu uslugu i putem panela, ako obezbeđuje adekvatan vid zaštite (npr dvostepena autentikacija, SSL i sl), ali i mi i RNIDS smatramo da to nije dobro pa nam nije teško da vaš zahtev prvo verifikujemo pa obradimo ručno 🙂 – usluga je besplatna.

Međutim, ni to ne garantuje 100% zaštitu ako se neko baš nemerio da dođe do vašeg domena. Savetujemo vam da pročitate jednu veoma poučnu priču o krađi identiteta drugog lica „A story of how PayPal and GoDaddy allowed the attack and caused me to lose my $50,000 Twitter username“ koja uključuje i krađu domena. Pročitajte i dobro razmislite o ovome.

Zaključavanje na strani Registra (Registry Lock)

Imajući u vidu najbolju praksu registara internet domena najvišeg nivoa, RNIDS je implementirao i najviši bezbednosni nivo – Zaključavanje naziva domena na nivou Registra. Ovaj vid zaštite domena uvodi dodatni nivo provere od strane RNIDSa za otključavanje ovako zaštićenih domena i vršenje izmena nad njima. To praktično znači da svaki zahtev za izmenama nad domenima za koje je aktivirano zaključavanje na nivou Registra podrazumeva ručnu proveru autentičnosti zahteva, što praktično eliminiše mogućnost zloupotrebe i „krađe“ domena.

Zahtevi za aktiviranje i isključivanje usluge se podnose posredstvom ovlašćenog registra, sadrže sledeće obavezne elemente:

  • Naziv domena za koji se aktivira usluga;
  • Naziv ili ime i prezime korisnika (registranta) naziva domena;
  • Podatke tri kontakt osobe koje su ovlašćene za davanje odobrenja u slučaju podnošenja zahteva za privremenu ili trajnu deaktivaciju usluge. Podaci moraju da sadrže ime i prezime osobe, adresu e-pošte i broj telefona.

Deaktiviranje usluge podrazumeva manuelnu proveru od strane RNIDS-a i obavlja se isključivo na osnovu pisanog zahteva registranta naziva domena, koji se podnosi posredstvom OR-a i sadrži:

  • Nazive domena za koje je potrebno deaktivirati uslugu;
  • Vrstu deaktivacije koja se zahteva (privremena ili trajna);
  • Naziv ili ime i prezime i svojeručni ili elektronski potpis ovlašćenog lica ili registranta.

Procedura deaktiviranja se sastoji od dva nivoa provere zahteva:

  • Nakon podnošenja zahteva za „otključavanje“ domena, na adrese e-pošte kontakata navedenih prilikom aktiviranja usluge šalju se poruke sa zahtevom za potvrdu zahteva. Potrebno je da najmanje dva od tri delegirana kontakta daju saglasnost za „otključavanje“ domena.
  • RNIDS, nakon uspešno dobijenih saglasnosti iz prethodne faze, telefonskim putem kontaktira osobe koje su dale saglasnost, radi dodatne potvrde. Tek nakon dobijene telefonske potvrde tih kontakata, usluga biva deaktivirana.

Registry Lock usluga se dodatno plaća, 9900 dinara godišnje sa PDV-om.

Komentari

Jedan komentar na "Mehanizmi zaštitite internet domena"

  1. Da li planirate mozda u sklopu novog kontrol panela (hostbill platforma) da korisnik moze sam da zakljuca domen? Vecina domacih hosting provajdera koji koriste WHCMS platforme i podrzavaju 2FA, imaju to kao standardnu opciju.

    Manje posla za Vas, a vise kontrole za vlasnika/korisnika domena.

    Odgovori

Ostavi komentar

Vaša adresa neće biti objavljena

Slični postovi