DNS-kidnappning och konsten att välja rätt domännamn för sitt Active Directory – Internetdagarna .FILE
Köp nu

23-24 november 2020

Köp nu

Endast 500 kr/dag (exkl. moms)

DNS-kidnappning och konsten att välja rätt domännamn för sitt Active Directory

Active Directory ( AD ) är en katalogtjänst baserad på LDAP och DNS från Microsoft som innehåller information om olika resurser i ett nätverk t.ex, datorer, skrivare och användare. Utan ett fungerande AD, inget fungerande Microsoftnätverk.

För ett par veckor sedan fick jag ett samtal från en kommun som upptäckt ett mystiskt DNS-problem i sitt interna nät. I sitt AD som vi kan kalla adm.kommunensnamn.net hade helt plötsligt deras interna DNS:er börjat svara fel på alla externa frågor och ge en och samma IP-adress som svar på allt.

Hur kunde detta fel uppstå utan att kommunen gjort något i sitt nät och DNS:er?

Jo, kommunen ägde inte domänen kommunensnamn.net och dagen innan problematiken uppstod hade den blivit inaktiv. Och ju fler TTL:er som timade ur i de interna DNS:erna, desto mer fel blev det tills inga externa domäner gick att nå överhuvudtaget.

Vad denna kommun råkat ut för var att kommunensnamn.net blivit DNS-kidnappad av den registrar som kommunensnamn.net var registrad hos. Det är ett allt mer vanligt beteende att registrarer, och även ISP:er, inte ger ett NXDOMAIN (Non Existant Domain) tillbaka när man frågar efter en inaktiv domän utan man skickas till någon sida där det sedan förväntas att de ska tjäna pengar på nyregistring och liknande. Detta beteende fick i det här fallet en hel kommuns Internetkommunikation på fall.

Lite lätt tekniskt så gick det fel på det här sättet:

En dator på insdan som ska till www.iis.se kommer först att fråga DNS:en om namnet www.iis.se.adm.kommunensnamn.net finns. Eftersom det är en extern domän går frågan till slut till ansvarig DNS för kommunensnamn.net som i sin tur svarade med en IP-adress istället för en NXDOMAIN.
Ex: $ORIGIN kommunensnamn.net
* IN A 212.247.7.221
Tidigare när kommunensnamn.net var aktiv svarade DNS:erna med NXDOMAIN men inte nu när pengar skall tjänas!
Registraren för domänen tar alltså inte bort namnservrarna för en inaktiv domän utan de flyttar domänen till DNS:er med wildcard för att uppnå denna funktion.

Denna gång löste vi problemet genom att lägga upp kommunensnamn.net i kommunens interna DNS:er. Blir domänen aktiv igen kommer kommunen inte att nå den domänen men den smällen får vi ta då. Kommunen har inget som helst med kommunensnamn.net att göra utan det är andra personer som registrerat den och varför kommunen döpt sitt AD som de gjort har jag ingen aning om.

Hur ska man då göra för att undvika sådana här problem i framtiden?

Microsofts rekommendation är att använda en registrerad domän för att undvika domänkrockar och problem som de ovan, se här till exempel.

Som vanligt i Internetfrågor så finns det tyvärr inget definitivt rätt eller fel utan många olika varianter för att sätta upp sitt AD förekommer.

Nedan listar jag några varianter med lite om deras respektive för- och nackdelar.

  1. AD – Domän lika som den externa domänen
    Ex. kommunen.se – kommunen.se
    Fungerar bra med nackdelen att allt som du publicerar in den externa domänen som skall vara nåbart i det interna nätet även måste läggas upp i de interna DNS:erna.
  2. AD-domänen som en subdomän till kommunens externa domän
    Ex. ad.kommunen.se – kommunen.se
    Fungerar också bra men problem kan uppstå om den externa domänen är signerad med DNSSEC och de interna DNS:erna validerar DNSSEC. Här är det viktigt att man själv har koll på den externa domänen så att inte problemet enligt ovan uppstår.
  3. AD-domänen använder en fiktiv TLD
    Ex. kommunen.local
    Detta kommer att fungera så länge .local (eller annan påhittad) TLD inte registreras som ny TLD och DNS-kidnappning görs. Det pågår ett omtvistat arbetet hos ICANN som kan ge vem som helst möjlighet att registrera en egen TLD (t.ex .tobbe skulle vara kul men inte så lönsamt tror jag) och då kan många AD:n få problem om DNS-kidnappning görs. Och om vi i framtiden skulle få wildcard och DNS-kidnappning av okända TLD:er då är alla med denna lösning ute på djupt vatten. Microsoft avråder från att använda denna lösning.
  4. AD-domänen har ett registrerat men inte aktiverat domännamn
    Ex. mittegetkommunad.se
    Enligt min mening är denna lösning eller den under punkt 1 den bästa namnsättingen på ett AD. Så länge du betalar din avgift för mittegetkommunad.se så kommer det att fungera. Om du vill dubbeladministrera din domän med fördelen att kunna logga in med din (förmodade) mailadress så är punkt 1 bäst.

Min personliga åsikt är att wildcard och DNS-kidnappning bara är en styggelse

Jag är nu ingen expert på AD, men DNS har jag sysslat med länge och sett de mest sannolika och osannolika domännamnen som används i ett AD. Viktigast, som vanligt, är att man har kontroll på det man gjort. Min personliga åsikt är att wildcard/DNS-kidnappning bara är en styggelse och inte bör användas alls. Det kan vara väldigt svårt att förstå vad som hänt när man plötsligt hamnar på en konstig sida där det normalt ska ligga något man känner igen eller att man hamnar där bara för att man stavar fel.

Men vem 17 bryr sig i vad jag tycker? Ja, inte de som styr och ställer över TLD:erna i alla fall verkar det som.

Läs mer:

http://en.wikipedia.org/wiki/DNS_hijacking
http://en.wikipedia.org/wiki/Active_Directory