Защита домена — это просто

Блог компании Netfox

На Хабре уже не раз затрагивали тему увода доменов, например здесь или здесь. Было даже видео-пособие, где доходчиво и подробно описывается механизм. Этому можно противостоять.

Способов кражи доменов несколько, но в своём большинстве они основаны на халатности и забывчивости администраторов (например, долго не использовался почтовый ящик и его удалили).

Таким образом уже ни один раз была описана проблема, причины, по которой она существует, но механизма борьбы с ней так никто и не предложил. Это стало хорошим поводом для нашей команды заняться разработкой защитного механизма, направленного на защиту доменов добросовестных владельцев.

Прошло 2 недели с момента, когда мы посмотрели видео, доходчиво повествующее о способе кражи доменов (что собственно и явилось толчком для начала разработки способа защиты) и был успешно реализован механизм, позволяющий защитить домены наших клиентов.

Защита предоставляется бесплатно и только на те домены, которые находятся у регистратора Netfox.

Принцип работы

Как работает услуга «Защита доменного имени» выносим на Хабрахабросуд:

Включить услугу можно просто одним нажатием клавиши мышки в Личном Кабинете у Регистратора Netfox, а вот для отключения потребуется приложить некоторые усилия и это как раз является главным механизмом защиты — необходимо предоставить заявление в офис компании об отключении услуги, либо отправить заверенное заявление нотариусом по почте. Заявление должно быть непосредственно от администратора домена с приложением копий необходимых документов.

Включая услугу вы защищаете домен от перехвата и блокируете действия:
— изменения ns-серверов домена;
— изменения контактной информации домена;
— смены администратора домена;
— переноса домена к другому регистратору.

При попытке несанкционированного изменения информации администратору генерируется уведомление на почту.

Техническая реализация

Все партнеры используют API для доступа к системе регистрации доменных имен Регистратора. Защита установлена на 2 уровнях всей системы:

1. на уровне API
запросы на изменение данных домена/администратора блокируются моментально при включенной защите, генерируется уведомление администратору.

2. на уровне Регистратора
любые действия сотрудников Регистратора в системе так же контролируются этой услугой — по любому письменному требованию администратора, наши сотрудники так же не смогут выполнить изменения, если услуга активирована. Снять защиту может только ответственный сотрудник, который обрабатывает письменные заявления на отключение защиты.

Информация о включенной защите для каждого домена отображается в Личном Кабинете пользователя, если он имеет прямой договор с регистратором.

Партнеры постепенно подтягиваются к предоставлению подобной услуги для своих клиентов — достаточно добавить простую функцию вызова защиты и отображать статус на своей площадке.

Статус защиты для всех доменов так же отображается во Whois-сервисе Регистратора в поле state:
… PROTECTED — означает, что домен защищен.
… NOT PROTECTED — означает, что домен не защищен услугой.

Результаты

Уже с первого дня внедрения услуги она используется клиентами.

В чем преимущество для организаций:
— администратор компании не сможет случайно или преднамеренно обрушить ваш сайт (сменив ns-сервера);
— администратор так же не сможет сменить контактные телефоны или e-mail домена.

И общее преимущество для всех — при утере пароля, злоумышленник получив доступ в Личный Кабинет, не сможет ничего сделать с доменом — все операции просто заблокированы.

Возможно данная услуга получит популярность у других регистраторов и Координационный Центр совместно с Техническим Центром сделают статус глобальным, то есть он будет отображаться в главном реестре. Но пока в этом направлении сделан шаг одним регистратором из 25.

Подробнее об Услуге можно прочитать на странице:
http://www.netfox.ru/domains/protected/

Приглашаем всех заинтересованных владельцев доменов протестировать услугу, возможно найти недостатки и высказать свое мнение в комментариях.

Конечно, предложенные меры — это не решение всех проблем. Поэтому продолжение следует!

–2

21 июля 2010, 13:04

lehha 49,6

комментарии (32)

bondbig 21 июля 2010, 13:27 #

А насколько быстро защиту можно снять? В легитимном порядке, я имею в виду, например, если действительно нужно внести изменения?

–2

lehha 21 июля 2010, 13:32 # ↑

В течение 2х часов с момента доставки заявления в офис.

Если лично или курьером — в течение суток.
Если Почтой России — до недели.

inkvizitor68sl 21 июля 2010, 14:10 #

Может быть всё же возможность смены NS оставить? Всё же их то иногда нужно менять.

–3

lehha 21 июля 2010, 14:15 # ↑

У работающего проекта — это 1 раз в жизни.

Основные эпизоды угонов были именно со сменой ns-серверов.

inkvizitor68sl 21 июля 2010, 14:18 # ↑

Не говорите за других.

Придумайте другой способ защиты от смены NS. Дополнительный пароль или ещё что-то.

Сгорит очередной датацентр, в котором размещались NS домена с пометкой Protected — и не будет возможности у человека перенести свой сайт на другую площадку в ускоренном темпе.

–2

lehha 21 июля 2010, 14:26 # ↑

Мы уже научены годами такой ситуацией, когда меняют ns на парковку и тихо сидят. Причем дополнительный пароль выуживают или сбрасывают по телефонному звонку.

NS-сервера по определению должны быть разнесены, чтобы Primary был независим от Secondary, причем даже географически. Тут уже вопрос в выборе качественной услуги, чем решение проблем с некачественными серверами.

В любом случае, экстренную смену ns серверов можно произвести менее чем за сутки (курьерская служба до Питера в основном идет сутки, с Москвы отправка в 20:00, приходит в 8 утра, в 10 уже в офисе, к 12:00 заявка обрабатывается и ns меняются).

Тут может быть палка о 2х концах, когда вы вроде и защититься хотите и менять на ходу. Предложить можно другой вариант — используйте более качественные ns-сервера, или даже несколько.

inkvizitor68sl 21 июля 2010, 15:28 # ↑

> В любом случае
Так и запишем, ваши услуги ориентированы только на жителей москвы и питера.

А если сочинец попадёт в такую ситуацию? когда он их сменит?

> Тут уже вопрос в выборе качественной услуги, чем решение проблем с некачественными серверами.
В жизни всё бывает. Начиная от проблем со средствами на поддержание услуг двух хостеров.
Олсо — а что если, сайт решили перенести к другому хостеру? снова ехать к вам? на другой сервер?
Использовать ваши NS — увольте. У вас Secondary NS не подключишь (сами сказали, что NSы следует географически разнести).

Если вы собираетесь защитить домены, которые принадлежат идиотам — у вас этого не получится. Идиоты просто не поставят блокировку. Запрет на смену NS — лишь доставляют дискоммфорт. А в некоторых случаях и геморрой.

Лучше прикрутите уведомление по SMS на несколько номеров+на почту+на жаббер+в аську при смене NSов.

–3

lehha 21 июля 2010, 15:43 # ↑

Клиенты сами вправе выбирать — подключать или нет.

Лично у нас 3 сервера в разных точках города, так что даже их использование защищает от ситуаций в одном ДЦ.

inkvizitor68sl 21 июля 2010, 15:47 # ↑

> Клиенты сами вправе выбирать — подключать или нет.
Клиент выбирает — защитить домен и получить геморрой или не защищать домен.

Выбирать — это когда клиент выберет каким именно параметры заблокировать (анкету, e-mail, админ-анкету и т.д. и т.п.), а не когда «да» или «нет».

–3

lehha 21 июля 2010, 15:48 # ↑

Клиент выбирается — защитить домен и спать спокойно, или не защищать.

Право выбора — это подключать услугу или нет. Услуга необязательная и ни к чему не обязывает отказавшихся.

inkvizitor68sl 21 июля 2010, 16:15 # ↑

Вот именно поэтому я и не пользуюсь услугами многих российских регистраторов.

Вы выкатили новую услугу (полезную в принципе) и теперь пытаетесь навязать мне своё мнение о том, что услугу вы организовали хорошо, не пытаясь принять во внимание моё мнение.

Окей, я всё же не воспользуюсь данной услугой (как в принципе и всеми вашими услугами — хотя именно эта функция могла и перевесить), а останусь у тех, кто заблокировал изменение любых данных, кроме NS. (там другой геморрой, в частности с продлением — но я получил именно то, чего просил у хостера).

До тех пор, пока вы будете говорить, что вы сделали всё хорошо и игнорировать «иные» мнения — такое отношение к российским IT услугам будет превалировать.

–2

lehha 21 июля 2010, 16:24 # ↑

Данная услуга введена как-раз в большей части на запрет изменения ns-серверов. Именно по ним угоняют домены на парковку. Достаточно угонять домены по ночам, а утром возвращать всё как было — и никто не заметит, только 1к $ прибавится на парковке.

Смена телефонов/email в данных домена не так критична. Поэтому услуга нацелена именно на первый пласт — на закрытие ns-серверов.

В конце топика есть намек на продолжение, в частности можем раскрыть карты, что уже другая услуга будет нацелена на вторую часть клиентов.

Но что касается текущей услуги — она сделана жестко и бескомпромиссно, именно исходя из уже имеющейся практики. Защита — так защита, а полузащита — это действия других механизмов.

Возможно вы попадаете под другую аудиторию, где важны немного другие требования.

В первой части аудитории есть много компаний (реселлеров), клиенты которых тоже хотят быть защищены (даже от самих реселлеров) — они клиенты веб-студии и им удобней работать с ними, чем напрямую с регистратором. И они высказали мнение — если что-то идет не так в студии (админ уволился/напился), то они звонят уже нам с вопросом «сделайте обратно, срочно», а мы говорим — «обращайтесь к своему партнеру».

Эта схема знакома всем, кто регистрирует домены по дешевке через реселлеров — регистратор на просьбы помочь срочно продлить домен отшивает их с вполне разумной формулировкой — поддержку клиентов партнеров он не производит.

inkvizitor68sl 21 июля 2010, 16:47 # ↑

> Данная услуга введена как-раз в большей части на запрет изменения ns-серверов.
Тогда и позиционируйте эту услугу именно так.

> Достаточно угонять домены по ночам, а утром возвращать всё как было — и никто не заметит
Угу, конечно же. Ососбенно не заметят пользователя провинциальных провайдеров, изменения в DNS до которых докатываются аж через 30-40 часов.

> Смена телефонов/email в данных домена не так критична.
Доменные зоны бывают не только паспортизированные.

> Решение не всех проблем
Ну почему же. Решаете то вы как раз все проблемы, которые можете. Только новые добавляете.

> Эта схема знакома всем, кто регистрирует домены по дешевке через реселлеров
Эта схема знакома тем, кто регистрирует домены по дешевым ценам через реселлеров регистраторов, которые не могу корректно организовать работу с реселлерами.

Что мешает автоматически регистрировать каждого клиента реселлеров в вашей собственной системе? Дабы, если реселлер лопнет — у клиента осталась возможность совершать любые действия (по вашим ценам, само собой) с доменом?

lehha 21 июля 2010, 17:01 # ↑

Изменения в DNS проходят быстро — корневая зона обновляется каждые 3 часа. Если ранее у провайдера никто не открывал домен (в ближайшем dns-резолвере нет его кэш-записи), то изменения будут видны максимум через 3 часа, а порой даже через 10 минут. Поэтому мигание ns-серверами по ночам — вполне рабочая практика, проверьте сами.

>> Смена телефонов/email в данных домена не так критична.
> Доменные зоны бывают не только паспортизированные.

Вот здесь мы вас не понимаем. Услуга только для доменов RU и РФ, соответственно там регистрация доступна только по подтвержденному паспорту.
Ситуация, кстати, интересная для руцентра — они могли бы сравнить имеющийся скан паспорта с представленным паспортом.

>Ну почему же. Решаете то вы как раз все проблемы, которые можете. Только новые добавляете.
Мы искренне не понимаем ваше недовольство. Если не клиент нашей компании — пройдите мимо и радуйтесь, что домен у вас не угоняли и пароли у вас не воровали через роутер на чердаке.

> Что мешает автоматически регистрировать каждого клиента реселлеров в вашей собственной системе?

Реселлер — это партнер регистратора, который берет на себя ответственность за привлеченных клиентов, их поддержку и решение бухгалтерских вопросов. На просьбу продлить домен регистратором, а не реселлером выдается вполне логичный ответ — у клиента не заключен прямой договор с регистратором. Достаточно написать электронную заявку на перенос под прямой договор и клиент будет счастлив, только не прямым ценам.

В итоге, выбирая регистрацию за 90 рублей будьте готовы к тому, что по вашей просьбе перейдете на сайт регистратора под тариф 490.

> Дабы, если реселлер лопнет — у клиента осталась возможность совершать любые действия (по вашим ценам, само собой) с доменом?
Решение одно — клиент обращается к регистратору с просьбой перейти на прямой договор, и он переходит в течение 1 минуты. Всё, никаких проблем. Но если клиент жалуется, что его домен не продлили и домен был перехвачен кем-то после регистрации, то тут виноват партнер — скорее всего на его счету недостаточно средств для выполнения операции.

inkvizitor68sl 21 июля 2010, 17:34 # ↑

> Если ранее у провайдера никто не открывал домен
То и доходы с парковки такого домена копеечны. А провинциальные жители по утру заметят это и сообщат владельцу сайта (потому что у них резолверы кеш обновят хорошо если на следующее утро), если сайт вообще кому то нужен, кроме владельца

Ну и да — если у вас такое происходит — задумайтесь, каким образом. Чтобы менять NSы — нужен всё-таки доступ к панели управления доменом.

> Мы искренне не понимаем ваше недовольство.
Недовольство в том, что вы мне доказываете, что предложенный вами вариант — хорош. Это не так, меня вы не переубедите. Позиция «не хотите — не пользуйтесь» на этом сайте не нужна никому. Лучше стоило сразу объяснить почему вы ещё не сделали (или не собираетсь) так, как это нужно мне, как потенциальному клиенту.

lehha 21 июля 2010, 18:48 # ↑

Не будем говорить про парковку, учитывая что мы следим за подобными доменами с прошлого года. И знаем лично аккаунт, на котором сидят ворованные домены. И пользователи обращались с просьбой выдать IP, только они все из прокси. И систему проверки IP на прокси внедрили — и поток недовольных упал в разы.

Лично у нас ни один домен не угнали, мы просто молодые в рядах регистраторов. Если украли доступ в Личный Кабинет, и пользователь об этом ничего не знает, мы собственно тоже ничего об этом не знаем. Если увидим массовую смену ns-серверов, значит нужно будет задуматься — почему и кто.

Я лично не доказываю нашу правоту, я лишь говорю на кого нацелена услуга и кто ей уже пользуется. Кто воспользовался — уже чувствуют себя спокойней.

Лично ваши требования уже обсудили на планерке — готовится дополнительная услуга более простой защиты домена. Дождетесь?

inkvizitor68sl 21 июля 2010, 19:41 # ↑

> Если украли доступ в Личный Кабинет, и пользователь об этом ничего не знает,
Сами же ответили на то, как решить ещё одну проблему. А почему не знает? почему негде поставить галочку, чтобы при каждом входе в личный кабинет юзеру отправлялось письмо? А послле выхода отправлялся лог действий?

Каким образом могут регулярно менять NSы? Кто-то имеет постоянный доступ к админке? Либо домены всё же угнаны окончательно?

> Дождетесь?
Дождусь, надо же куда то .su складывать, чтобы уже забыть про них.

Ну и уж если начали говорить:
1) оплата чужих доменов (с людьми многое случается)
2) автоматический запрет на указание мыла в хуиз для домена из этого домена
3) предупреждение при попытки вписать в хуиз почту аккаунта у регистратора
4) предупреждение при попытке зарегистрировать домен на @mail.ru
5) warning на мыло при каждом входе в админку с указанием IP в тексте письма
6) разделение ролей между аккаунтами у регистратора (вплоть до того, что один аккаунт может сменить NS, второй аккаунт — сменить NS не может, зато может изменить информацию)
7) генерируемая карточка с кодами доступа. Прямо как в банках. Около сотни паролей на картинке с номерами, при каждом действвии в админке и при входе — запрашиваются эти пароли.
8) капчи при входе в личный кабинет. Брутфорс ещё не умер.

Это то, что я видел у зарубежных регистраторов. Может что-то есть и у вас, что то у других.

bondbig 21 июля 2010, 14:29 #

По мне так нужно просто добавить еще один аутентифицирующий фактор, скажем, одноразовый пароль в СМС-сообщении, как в некоторых онлайн-банкингах реализовано. Сохраняем доступность данных для оперативной правки, дополнительно здорово усложнив жизнь злоумышленнику. Также можно дать пользователю возможность отключить аутентификацию по паролю в админку, оставив только авторизацию по ключу, ключ — на токен и всего делов.

–2

lehha 21 июля 2010, 14:34 # ↑

Подобная возможность — это смена dns-записей у домена, располагающихся на наших ns-серверах, так же ограничивается дополнительной услугой. Там используется дополнительный пароль.

В качестве смс-привязки, то в некоторых ситуациях ответственный сотрудник так же пропадает с телефоном (увольняется/etc).

bondbig 21 июля 2010, 14:45 # ↑

для таких параноидальных можно посоветовать делать так, чтобы получатель смс-ки и админ — были разные люди, вот и всё. Нужно админу поменять записи, он согласовывает это действо, скажем с безопасниками компании, за их неимением (мелкая контора) — с генеральным, например. А нотариальные письма — это перебор, ИМХО, но можно оставить этот метод для особо желающих. Нужно сделать несколько градаций:

1) только логин-пароль в админку (классика)
2) пароль запрещен, только сертификат (чуть суровее)
3) доп. пароль на некоторые действия (еще немного паранойи)
4) смс-пароль на некоторые действия (градус повышается)
5) смс-пароль на некоторые действия на другое лицо (закипаем...)
6) нотариальное письмо на некоторые действия (разрыв мозга!)

и предоставить клиенту возможность выбирать и комбинировать данные методы по вкусу.

–2

lehha 21 июля 2010, 14:56 # ↑

Проблема в том, что как правило договор заключается на регистрацию и хостинг от юридического лица, а все данные вбивает сисадмин (и телефон и реквизиты, и логин с паролем). Проконтролировать, что указан телефон генерального — сложнова-то.

Но можно и тут найти выход — официальное бумажное письмо к процедуре заключения договора, в котором назначается дополнительное ответственное лицо за смену данных домена (генеральный или бух).

dmitriy_b 21 июля 2010, 14:49 #

А с этим как то планируете бороться?

–1

lehha 21 июля 2010, 14:59 # ↑

Это как раз на это и нацелено.

Однако регистратор может усомниться в валидности паспорта (переклеена фотка, отходят страницы и тп) и попросить нотариально заверенную копию — вот тут скорее всего нотариус отобьет его. А если подпишет, то страховка нотариуса перекроет стоимость домена в случае судебного разбирательства.

Но описанная ситуация — это невнимательность регистратора. По крайней мере можно официальной жалобой в КЦ застопорить домен и вернуть как было.

bondbig 21 июля 2010, 15:10 # ↑

посмотрю я, какая-такая страховка нотариуса перекроет стоимость домена vk.com, например ))

–1

lehha 21 июля 2010, 15:11 # ↑

Перекроет. Только в COM на EPP-Code может подействовать страховка регистратора.

bondbig 21 июля 2010, 15:16 # ↑

перекроет рыночную стоимость домена или стоимость регистрации домена в зоне? Стоимость такого домена измеряется астрономическими единицами, миллионами долларов. А покрывать стоимость регистрации в 20$ — никому не интересно.

–1

lehha 21 июля 2010, 15:20 # ↑

Перекроет доказанными владельцами расходами на его первоначальную покупку (аукцион?) +моральный ущерб и ущерб от неработоспособности домена (например, доказать что на домене крутилась рекламная сети ВК, которая в сутки сливает 20млн рублей — в итоге за неделю снять еще 140млн).

bondbig 21 июля 2010, 15:22 # ↑

что ж, круто. Неплохо живут нотариусы и страховщики.

fillka 22 июля 2010, 13:30 # ↑

кстати, нотариусы — одни из самых богатых людей!

GrAnd 17 мая 2012, 13:10 #

Столкнулся с тем, что ваша %№*@$ защита включилась автоматически после прописывания NS-серверов. Но нам тут же пришлось сменить хостера, из-за проблем с производительностью. И ваша «забота» вышла боком. Был упущен важный момент быстрого запуска форума на нужном адресе. Теперь все эти пляски с бубном, письмом и нотариусом как-то больше смешат, чем создают в вас образ умной компании.

Послушайте отзывы клиентов. Сделайте на самом деле смену NS-серверов без подтверждения, или хотя бы по СМС. NS-ы требуется менять гораздо чаще, чем «вы лучше знаете за клиентов». Или у такой солидной компании просто не хватает средств на прикрутку СМС-сервисов?

lehha 17 мая 2012, 19:56 # ↑

Уважаемый!

Все вопросы относительно услуги решайте со службой поддержки.

Просто так услуга не включается. Вы, видимо, нажали ссылку «защита домена», подтвердили своё желание и получили соответствующую услугу.

GrAnd 17 мая 2012, 23:49 # ↑

Про защиту прочитал изначально и включать ее не собирался. Но после прописывания NS-серверов ваша услуга по защите включилась автоматически, о чем я писал в службу поддержки, у которой один ответ — пишите письмо, заверяйте у нотариуса. В общем, уже всем не советую вашу компанию. Такой головняк отпугнет кого угодно. Дождусь пока адрес не освободится, и зарегистрирую его у более вменяемых регистраторов. Пусть и чуть дороже.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.