Рубрика «Администрирование доменных имен» - 10

«Один мой друг» (с) рассказал историю про свои приключения с DNS.

Предыстория
Представьте, что заканчивается 2016 год, на ваших DNS серверах есть несколько сотен доменов, давным давно запущено штук 5 мощных DNS серверов в разных датацентрах, вы хотите наконец-таки избавиться от старых DNS серверов, которые последнее время просто тянут деньги на аренду и занимают место в стойке. Однако, сразу после попытки их отключения, телефоны поддержки раскаляются докрасна, поэтому старые сервера приходится быстро включить и вдумчиво разбираться в ситуации.

Глава 1
Еще раз проверяем DNS зоны, убеждаемся, что нигде нет старых адресов и очень давно. Проверяем из разных регионов запросами на каждый из своих NS. Везде всё отдаётся правильно. Берем tcpdump и смотрим запросы на 53 порт на старыx DNS. Оказывается, что запросов к ним удивительно много. И это при том, что IP адреса этих серверов уже много месяцев нигде не фигурируют! Читать полностью »

Для оптимальной производительности и безопасности контроллеров домена службы каталогов Active Directory требуется их регулярное  обслуживание. Наше новое руководство поможет вам максимально эффективно настроить работу ваших контроллеров домена при обслуживании запросов аутентификации и авторизации.

Зачем нужно перезагружать контроллеры домена раз в месяц - 1

Active Directory предоставляет сервисы аутентификации и авторизации. Работоспособная среда  Active Directory позволяет эффективно работать другим службам.
Читать полностью »

Новые доменные зоны: несколько мифов и слухов, связанных с ними - 1

Выбор доменного имени для многих компаний и обычных вебмастеров — сложная задача. Для компаний она усложняется тем, что в большинстве случаев доменное имя должно быть частью бренда, своеобразной поддержкой. Некоторые специалисты утверждают, что доменное имя ничего не значит, ровно ничего. Но больше все же тех, кто считает, что доменное имя для компании имеет важное значение.

Раньше все было немного проще — доменных зон было не так много, и выбор, в основном, ограничивался gLTD или национальными зонами. Сейчас же все стало сложнее — появились TLDs нового типа, включая ".store", ".tourism", или даже ".sexy". Среди новых зон есть такие, что не подлежат общей регистрации — их могут использовать только определенные организации или страны. В отношении доменных имен существует много заблуждений, мифов и почти сказок. Перечислять их все нет смысла, давайте посмотрим лишь основные.
Читать полностью »

A Thief on the Run by Manweri
A Thief on the Run by Manweri

Привет! В этом посте мы снова поговорим о проблеме подделки отправителя (или так называемом спуфинге). В последнее время такие случаи очень участились: подделывается все: письма со счетами за ЖКХ, из налоговой инспекции, банков и так далее. Решить эту проблему помогает настройка строгой DMARC-политики. Мы как почтовая служба проверяем все приходящие к нам письма на DMARC начиная с февраля 2013 года. Мы были первым в рунете почтовым сервисом, поддержавшим стандарты DMARC. Однако чтобы минимизировать число поддельных писем, этого, к сожалению, недостаточно. Главное, чтобы строгий DMARC был поддержан на стороне отправителя. Вот почему мы не устаем качать эту тему, ведем активную разъяснительную работу и всячески призываем всех включать у себя строгий DMARC.

Позитивные сдвиги уже есть: с каждым месяцем мы видим прирост числа корпоративных отправителей, прописавших DMARC, на десятки процентов. Однако безусловно, еще есть над чем работать. Практика показывает, что IT-культура находится на очень разном уровне. Кто-то слышал краем уха про DMARC, но пока не собирается его внедрять. Есть и такие, для кого факт, что в транспортных протоколах электронной почты отсутствует какая-либо проверка и защита адреса отправителя, до сих пор является настоящим откровением. Кроме того, поддержка DMARC — задача непростая. Только на первый взгляд кажется, что достаточно опубликовать запись в DNS, и не требуется никакого дополнительного софта или технических средств (подробнее в нашей статье DMARC: защитите вашу рассылку от подделок). На практике в крупной компании с многочисленными потоками электронной почты и развесистой структурой почтовых доменов все гораздо сложнее. И есть моменты, которые следует предусмотреть и продумать заранее. Именно для таких сложных случаев мы написали эту статью, постаравшись собрать в ней все нюансы.
Читать полностью »

Мы в 1cloud предоставляем услуги аренды виртуальной инфраструктуры и совсем недавно начали поставлять SSL-сертификаты от Сomodo, Geotrust, Rapidssl, Symantec и Thawte. Добавление такой возможности сподвигло нас к беглому анализу публикаций, которые затрагивали те или иные аспекты работы с SSL и выходили на Хабре за последние пару лет.

Мы обнаружили значительный объем переводных материалов и постов в корпоративных блогах, но и без руководств не обошлось. Именно на практической составляющей мы и решили сделать ставку в нашей подборке из полезных материалов.

«Ультимативный» SSL-дайджест: Лучшие практические материалы на Хабре и не только - 1Читать полностью »

Переносите домен? Готовьтесь к неприятностям - 1

Данный текст я пишу скорее как предупреждение, чтобы новички не наступали на известные грабли, чтобы показать, как оно порой бывает, и как просьбу прокомментировать ситуацию более опытных коллег.

Обычно перенос домена сложностей не вызывает и хорошо описан в документации регистраторов. Я лично переносил уже не один десяток доменов между разными регистраторами и все было без накладок. Но по закону подлости при переносе домена самого крупного своего проекта получил массу новых впечатлений и даунтайм сервиса в несколько дней(!).
Читать полностью »

США передали контроль над доменами мировому сообществу: что это значит - 1

/ фото Veni CC

1 октября истек срок действия контракта между организацией ICANN и правительством США. В результате ICANN, контролирующая управление ключевой инфраструктурой интернета, получила полный контроль над управлением адресным пространством интернета.

ICANN осуществляла контроль над адресным пространством интернета через специально созданную структуру под названием IANA («Администрация адресного пространства Интернет»), которая подчинялась национальному управлению по телекоммуникациям и информации США (National Telecommunications and Information Administration, NTIA). С 1 октября её заменит внутренняя структура ICANN — некоммерческая корпорация по обеспечению общественных интересов (PTI).

В новую структуру войдут представители всех стран, которые являются членами правительственного комитета ICANN, а также работники интернет-отрасли и интернет-пользователи.
Читать полностью »

Кратко: у основного домена Сбербанка (sberbank.ru) некорректная SPF-запись. Это приводит к тому, что у злоумышленников есть возможность делать фальшивые рассылки электронной почты от имени Сбербанка. Сама запись настроена хорошо, годно, но с ошибкой, сводящей к нулю все усилия.

> host -t txt sberbank.ru
sberbank.ru descriptive text "v=spf1 mx mx:shark11.sberbank.ru mx:shark12.sberbank.ru mx:shark13.sberbank.ru mx:shark14.sberbank.ru mx:email1.sberbank.ru -all"

Ну, а для тех кто осилит прочитать — добро пожаловать под кат.
Читать полностью »

«… ты приходишь и просишь что-то у меня, но ты просишь без уважения …»
Вито Корлеоне

Фишинг все еще самый популярный и самый успешный тип хакерских атак. Все просто, атакуются не софт, не сервера, не сети, а самые уязвимые компоненты информационных систем – пользователи. Я часто встречаюсь с фишингом, как единичными, направленным на личные адреса, так и массовыми атаками. В большинстве случаев это неумело составленные письма и коряво сварганенные фишинг страницы. До недавнего времени большинство таких атак срывалось уже на уровне пользователей: письма или сразу игнорировались (так как признаки фишинга были очень явными) или, в худшем случае, письма перенаправлялись в службу поддержки с вопросом «безопасно ли вводить пароль на этой странице?». Конечно, какая-то часть пользователей все-таки попадалась, но в процентном соотношении это был реально минимум. Но буквально на прошлой неделе я столкнулся с фишинг атакой, уровень которой меня удивил. Я провел небольшой анализ, и выяснил как именно она была организована и какие инструменты были при этом использованы.
Читать полностью »

Однажды для нашего корпоративной информационной системы понадобилось оперативно менять сохраненыe пароли пользователей, чьи имена были импортированы из LDAP.

Система нотификации изменения пароля [Windows] - 1

Традиционно корпоративные клиенты для изменения пароля пользутся готовыми системами типа: Microsoft Forefront Identity Manager (FIM), Oracle Identity Manager, IBM Security Identity Manager и прочие другие.

Чтобы не умереть на работе, занимаясь изучением разнообразного народного корпоративного творчества, пытаясь получить изменения пароля от хххIМенеджеров, лучше сразу обратится к контроллеру домена, куда новый пароль так или иначе прийдет.

Тем более что Microsoft AD сервис позволяет иметь раcширения. И все бы хорошо, пока некоторые кастомеры не сказали — все хорошо что вы большая и известная международная корпорация и мы десятки лет пользуемся вашим оборудованием и программным обеспечением, но ставить на наш сервер с AD контроллером ваш криворукий специальный софт не будем, — только хардкор решения от Microsoft.

Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js