Niestandardowa ochrona domen na potrzeby rejestratora domen Cloudflare
Najwyższy poziom bezpieczeństwa rejestratora
Ochrona domen znaczących w ramach rejestratora domen Cloudflare jest dostępna w planie Enterprise i zabezpiecza organizację przed przechwytywaniem domen przy zastosowaniu wyłącznej weryfikacji out‑of‑band wszelkich zmian na Twoim koncie rejestratora. Cloudflare jest akredytowanym przez ICANN rejestratorem zapewniającym bezpieczną rejestrację domen o dużej rozpoznawalności.
Czym jest przechwytywanie domeny?
Przechwycenie domeny jest zasadniczo kradzieżą tożsamości w Internecie. Nie masz już kontroli na treścią, którą widzą odwiedzający Twoją witrynę, ani nad Twoją pocztą e‑mail, VoIP czy innymi usługami powiązanymi z Twoją nazwą domeny. Stanowi to poważne zagrożenie dla marki i reputacji organizacji. Jedynym wyjściem jest zwrócenie się do rejestratora z informacją o utracie domeny (oraz, jeśli atakujący zdołał przenieść kontrolę nad domeną do nowego rejestratora, również zwrócenie się do nowego rejestratora, który teraz zarządza domeną) i żywienie nadziei, że zrobi to, co należy. Jeśli to nie pomoże, jedyną inną opcją jest złożenie skargi do ICANN. Jej przetwarzanie może zająć tygodnie, a nawet miesiące.
Firma Cloudflare stworzyła bezpłatne narzędzie, które pomoże Ci sprawdzić stan bezpieczeństwa Twojej domeny i rejestratora. Wypróbuj je i oceń swoją domenę za pomocą narzędzia do sprawdzania zabezpieczeń od Cloudflare.
Rejestry obsługują globalną listę domen.
Rejestratorzy sprzedają domeny rejestrującym i przesyłają informacje o domenach do rejestrów.
Rejestrujący kupują domeny i zarządzają nimi za pośrednictwem konta rejestratora.
Przechwytywanie domen może występować na poziomie rejestratora, gdy atakujący narusza bezpieczeństwo konta rejestratora i zmienia serwer nazw lub inne informacje dotyczące rejestracji powiązane z domeną. Rejestrator, uważając, że zmiany pochodziły od autoryzowanego rejestrującego, wysyła nowe informacje do rejestru.
Rejestry służą jako autorytatywne źródło serwerów nazw powiązane ze wszystkimi domenami, więc gdy zaakceptują zmiany z rejestratora, cały ruch do danej domeny zostanie przekierowany do nowego serwera nazw. Z kolei ten nowy serwer nazw wysyła odwiedzających do nowego adresu IP wybranego przez atakującego.
Zmiany w rejestrze powinny być uwierzytelniane i poddawane surowej walidacji
Twoje dane dotyczące własności i autorytatywnego serwera nazw są aktualizowane rzadko, a nieprawidłowe przeprowadzanie takich aktualizacji ma niebezpieczne, długoterminowe konsekwencje. W związku z tym, informacje w globalnym rejestrze domen powinny być dokładne i bezpieczne.
Rejestrator Cloudflare został stworzony właśnie z myślą o tym celu. Wszystkie zmiany w informacjach dotyczących własności lub serwera nazw są weryfikowane i wprowadzane ręcznie.
Zabezpieczanie domen dzięki niestandardowej ochronie domen
Niestandardowa ochrona domen dla rejestratora Cloudflare stosuje się do ściśle określonego protokołu kontroli zmian w przypadku wszystkich żądań transferu. Ma to na celu zadbanie o to, aby wszelkie zmiany w serwerach nazw czy danych rejestracyjnych zostały zatwierdzone przez Twoją organizację jako całość. Oferujemy poniższe funkcje bezpieczeństwa:
Potwierdzenie offline obejmujące wielu użytkowników dla wszystkich żądań zmiany
Spójne użycie blokady rejestratora
Spójne użycie blokady rejestru
Uwierzytelnianie dwuskładnikowe narzucone dla wszystkich kont rejestratorów
Proces uwierzytelniania z możliwością dopasowania
Kontrola prawdopodobieństwa
Wymaganie wielu niezależnych źródeł weryfikacji offline zapobiega podejmowanej przez atakującego próbie naruszenia bezpieczeństwa konta w rejestratorze online.
Wiele rejestratorów oferowanych na rynkach masowych obsługuje blokadę rejestratora, która uniemożliwia rejestratorowi zmianę informacji, chyba że blokada została wyraźnie usunięta. Jeśli jednak atakujący naruszy bezpieczeństwo konta rejestratora, może je odblokować i wprowadzić dowolne zmiany.
Blokada rejestru zapewnia znacznie większe bezpieczeństwo niż blokada rejestratora. Zapobiega wprowadzaniu zmian przez jakikolwiek rejestrator (w tym Twój), dopóki blokada nie zostanie usunięta. Odblokowanie na poziomie rejestru wymaga pozapasmowej komunikacji z operatorem rejestru, w związku z czym jest bardzo manualnym zadaniem.
Nie są wymagane żadne zmiany operacyjne
Zmiany rejestru nie powinny być mylone z Twoimi operacyjnymi informacjami DNS. Podczas gdy zmiana serwera nazw i informacji dotyczących rejestracji wymaga dokładnej walidacji, zmiana rekordów na Twoim serwerze nazw powinna być niemal natychmiastowa.
Rejestrator Cloudflare nie wymaga żadnych zmian w operacyjnej infrastrukturze DNS. Możesz dalej aktualizować A, AAAA, MX i wszelkie inne rekordy, których potrzebujesz, bez żadnych dodatkowych konfiguracji. Podczas migracji do rejestratora Cloudflare Twoje informacje dotyczące rejestru mogą wskazywać na dokładnie te same serwery nazw — jedyną różnicą jest to, że atakującemu będzie znacznie trudniej zmienić te wartości.
Warstwowa ochrona dzięki uniwersalnemu protokołowi DNSSEC
Niestandardowa ochrona domen na potrzeby rejestratora domen Cloudflare zabezpiecza domeny przed przechwytywaniem w rejestratorze, jednak domeny są cały czas podatne na ataki na ścieżce DNS. Uniwersalny protokół DNSSEC dodaje kolejną warstwę zabezpieczeń, uwierzytelniając wszystkie zapytania DNS dla Twoich domen za pomocą podpisów kryptograficznych. W przypadkach, w których Cloudflare jest zarówno rejestratorem, jak i dostawcą domeny DNS, możemy bezproblemowo dostarczyć DNSSEC.