לשירות לקוחות ותמיכה לחץ כאן
שמות דומיין
חידוש דומיין
דומיין בעברית
אחסון אתרים
תעודות SSL
אבטחת מותג
בניית אתר
בלוג
20th ספט 2016 | by: יואב קרן

בתקופה אחרונה, משחררת  ICANN לרישום פתוח שמות דומיין שהיו עד כה חסומים בעקבות חשש להתנגשות דומיינים (Domain Name Collision) . מה היא התנגשות דומיינים, מה הקשר שלה לאבטחת רשתות ארגוניות ומה הן המשמעויות של השחרור עבור מנהלי רשתות?

כשכתובות מתנגשות: מהי התנגשות דומיינים?

התנגשות דומיינים (Domain Name Collision) היא בעיה שנוצרת בעת ששרת ה- DNS המקומי מתרגם שם דומיין מסוים לכתובת IP  שונה מזו שמוגדרת בשרת ה- DNS ה-ROOT  של אותה הסיומת. הנושא אינו חדש אך היה מינורי ולא נפוץ בעבר. עם אישורה של תכנית הסיומות החדשות, הנושא הפך לאקוטי יותר בעקבות ריבוי הסיומות ומהותן – מילים פופולריות ונפוצות. על מנת להדגים את מצב ההתנגשות בצורה מופשטת נשתמש בדוגמה הבא. רון הוא מנהל רשת בחברה ישראלית "ZURAMBA" (שם דימיוני) אחראי על תחזוקת שרתי ה-DNS  הפנים ארגוניים. בכדי להקל על עובדי הארגון לגשת למערכת ידע פנים ארגונית, יצר בשנת 2005 שם מקוצר וזכיר שבעזרתו ניתן לגשת לאותה המערכת. כאיש סיסטם אחראי הוא השקיע מחשבה רבה בבחירת השם והתייחס במיוחד לנושא ההתנגשות ברשת. לכן בחר בשם info.online מאחר ודאז סיומת online. לא היתה קיימת והתוכנית סיומות החדשות של ICANN עוד לא אושרה ולא הייתה מוכרת לציבור הרחב. בשנת 2013 במסגרת תכנית סיומות החדשות נפתחו לרישום דומיינים בכ-700 סיומות וביניהם סיומת online. באותה עת חברה אמריקאית העוסקת בתחום פרסום מידע עסקי רשמה את הדומיין info.online  והעלתה אתר בו מאפשרת ללקוחותיה לגשת למידע עסקי עבור חברות במשק. מיכל, מנהלת חשבונות בחברת  "ZURAMBA" , החליטה להשתמש בכלי של אותה חברה אמריקאית ע"מ לבדוק את הפרטים אודות לקוח חדש. כאשר היא נכנסה לאתר אינטרנט info.online היא הגיע למערכת המידע הפנים ארגונית של "ZURAMBA" ולא לאתר של חברה האמריקאית. זהו מצב קלאסי של התנגשות ברשת – Domain Name Collision.

כאמור בעבר, כשמספר הסיומות בעולם היה מוגבל לסיומות גנריות המסורתיות (com, .net. וכו') ולסיומות המקומיות (co.il, .ru. וכו'), היה די קשה להתבלבל במתן כתובות לשרתים ומכשירי רשת ארגוניים. כיום, עם מאות הסיומות החדשות והמגוונות שנפתחו להרשמה – לא חסרים מקרים של התנגשות דומיינים ויש לכך מחיר מעבר לסרבול וחוסר הנוחות שבתקלת גישה לשרת מקומי באמצעות כתובתו המילולית. ה-CERT האמריקאי מזהיר מפני תקיפות Man in the middle  לשלל מטרות זדוניות.

 רשימות התנגשות והפתרון של  ICANN

במטרה להקל על כניסת הסיומות החדשות לשוק הדומיינים ולצמצם ככל הניתן מקרים של התנגשות דומיינים, ICANN גיבשה מדיניות להתמודדות עם מקרי התנגשות. בין היתר, הארגון גיבש רשימת שמות דומיין חסומים לרישום  (Domain Name Collision List) ומיידע את קהילת מנהלי הרשתות הארגוניות בתכניות לשחרר שמות מרשימה זו. בנוסף, הארגון מספק לא מעט כלים והנחיות להכנה והתמודדות עם התנגשויות דומיינים, בפרט כשהארגון משחרר כתובות שהיו עד כה שמורות.

במקרים בהם יש חשד של התנגשות דומיינים יכולות להיות תוצאות הרסניות ומסוכנות, מנהלי רשתות ואנשי אבטחת מידע יכולים לפנות ל-ICANN לקבלת סיוע.

איך בודקים התנגשות?

אם אתם חוששים שאחת הכתובות הפנימיות ברשת הארגונית שלכם עלולה להתנגש בכתובת ציבורית, כדאי לכם להקדים ולעיין במדריך של ICANN להתמודדות עם תקלות התנגשות פוטנציאליות. אנחנו בדומיין דה נט ממליצים לאנשי סיסטם ומנהלי מערכות מידע המחזיקות בשרתי ה DNS -פנים ארגוניים להתעדכן בהכרזות ICANN בנושא התנגשויות דומיינים, וכן לוודא על בסיס קבוע שמתן שמות ברשתות הפנימיות לא צפוי להתנגש עם כתובת תיקנית באינטרנט.

יש לציין שבעקבות הנחיית ICANN מנהלי מרשם יצרו הפרעה מכוונת (Controlled interruption) של בקשת ה-DNS השגויות. הציצו בקבצי הלוגים וחפשו שם את המסר הבא:

 

* 3600 IN MX 10 your-dns-needs-immediate-attention.<TLD>.

* 3600 IN SRV 10 10 0 your-dns-needs-immediate-attention.<TLD>.

* 3600 IN TXT "Your DNS configuration needs immediate attention see https://icann.org/namecollision"

אם נתקלתם באחת השגיאות מעלה, סביר להניח שנתקלתם גם בתקלות גישה לשרתים עם הכתובות המתנגשות. למרבה המזל, ב- ICANN משתדלים לספק לכם את כל הכלים בשביל להתמודד עם התקלה במדריך המפורט מעלה.

המנצחים והמפסידים של שחרור השמות השמורים

מיליון השמות השמורים ש- ICANN צפויה לשחרר מרשימותיה הם ברובם שמות קליטים וקצרים (ולכן נבחרו על ידי מנהלי רשת), כך שעבור רוכשי דומיינים מדובר בהזדמנות פז לרכוש את הדומיין עליו חלמו באחת הסיומות החדשות.

עבור מנהלי רשתות, כצפוי, מדובר בכאב ראש לא קטן, שהולך וגדל עם עליה במורכבות הרשת הארגונית ודורש לפעמים שינוי מורכב במדיניות הקצאת שמות ברשת.

שתף את הפוסט

כתיבת תגובה

Your email address will not be published.