Špatná konfigurace domény, DNS záznamů, … může vést k nedostupnosti služeb, úniku dat nebo jejich zneužití útočníky. Správná kontrola je klíčová!
Kontrola doménového registru
Záznamy v doménovém registru
- Whois informace:
- Jméno a kontakt vlastníka domény.
- Informace o registrátorovi (např. GoDaddy, Namecheap).
- Datum registrace, expirace a aktualizace domény.
- DNS servery používané doménou.
- Delegace domény:
- Záznamy o DNS serverech, které spravují doménu.
Co kontrolovat v registru domény?
a) Informace o vlastnictví
- Ověřte aktuální údaje:
- Zkontrolujte, zda jsou údaje o vlastníkovi domény správné a aktuální.
b) Expirace domény
- Datum expirace:
- Ověřte, zda doména není blízko data expirace.
- Nastavte automatické obnovení, aby nedošlo ke ztrátě domény.
- Riziko při expiraci:
- Expirace domény může vést k jejímu převzetí útočníkem.
c) DNS servery
- Správná konfigurace:
- Zkontrolujte, zda DNS servery odpovídají nastavení vaší infrastruktury.
- Bezpečnostní opatření:
- DNS servery by měly podporovat DNSSEC a být zabezpečené.
d) Historie změn
- Změny vlastnictví a nastavení:
- Sledujte historii domény (např. na archivech jako DomainTools) pro zjištění, zda byla doména v minulosti zneužita nebo špatně nastavena.
DNS záznamy
- A (Address Record): Mapuje doménu na IPv4 adresu.
Příklad rizika: Nesprávné směrování provozu, doména nefunkční nebo přesměrovaná na cizí server.
- AAAA (IPv6 Address Record): Mapuje doménu na IPv6 adresu.
Příklad rizika: Stejné jako u A záznamu, ale pro IPv6, může způsobit nedostupnost domény.
- CNAME (Canonical Name Record): Alias jedné domény k jiné.
Příklad rizika: Subdomain takeover, nesprávné přesměrování na cizí služby.
- MX (Mail Exchange Record): Směruje e-maily na správné servery.
Příklad rizika: Nedoručování e-mailů nebo možnost spoofingu e-mailů.
- NS (Name Server Record): Určuje, které servery spravují DNS záznamy domény.
Příklad rizika: Špatná NS konfigurace může způsobit úplnou nefunkčnost DNS.
- PTR (Pointer Record): Mapuje IP adresu na název domény (reverzní DNS).
Příklad rizika: E-maily mohou být označeny jako spam nebo odmítnuty.
- SRV (Service Record): Určuje služby (např. VoIP) na konkrétních portech.
Příklad rizika: Nesprávné směrování nebo únik citlivých informací.
- SOA (Start of Authority): Obsahuje základní informace o DNS zóně (např. primární server).
Příklad rizika: Nesprávné hodnoty mohou vést k nefunkčnosti DNS zóny.
- TXT (Text Record): Obsahuje textové informace, často pro zabezpečení (SPF, DKIM, DMARC).
Příklad rizika: Phishing nebo spoofing e-mailů.
- CAA (Certification Authority Authorization): Definuje, která CA může vydávat certifikáty pro doménu.
Příklad rizika: Útočníci mohou vydat neoprávněný certifikát pro doménu.
- DS (Delegation Signer): Odkazuje na DNSKEY záznam pro DNSSEC.
Příklad rizika: Neověřené DNS záznamy, možnost podvržení odpovědí.
DNSKEY (DNS Security Key): Obsahuje klíče pro DNSSEC.
Příklad rizika: Chybějící nebo nesprávný klíč vede ke zneplatnění DNSSEC.
Ověření správné IP adresy
Online nástroje:
Příkazové nástroje:
- nslookup example.com
Výstup by měl obsahovat správnou adresu.
Kontrola, zda IP adresa není na černé listině
- Použijte nástroje pro kontrolu blacklistů:
Zadejte IP adresu z A záznamu a zkontrolujte, zda není na některé z černých listin.
Pokud je IP adresa na blacklistu, může být spojena se spamovými aktivitami nebo útoky, což by mohlo ovlivnit důvěryhodnost domény.
Detekce potenciálního DNS hijackingu
- Porovnání geografického umístění IP adresy:
- Použijte nástroje jako https://www.iplocation.net/ k ověření, zda IP adresa odpovídá očekávané geografické oblasti nebo poskytovateli.
- Průběžné sledování A záznamu:
- Nasadit monitoring DNS (např. pomocí nástrojů jako Zabbix nebo Nagios), abyste byli upozorněni na změny A záznamu.
Pokud IP adresa ukazuje na neočekávané místo, může to být známka DNS hijackingu.