Cómo restringir dominios no autorizados que apuntan a la dirección IP de mi sitio web

8

Descubrí que algunos dominios (a saber, bajajra.com) apuntan a la dirección IP de mi sitio web. Estoy usando IIS 10 para alojar mi sitio web. ¿Cómo puedo restringir el acceso a todos esos dominios no autorizados?

Esta pregunta es similar a esta , pero estoy buscando una solución basada en IIS. ¿Cómo puedo lograr que mi sitio web solo sea accesible desde mi nombre de dominio (por ejemplo, ejemplo.com)?

domain-name-system .net iis Vikas Sharma
fuente
1
Si bien no "restringirá" el acceso, si usa HTTPS, otros dominios harán que los usuarios vean un error de certificado cuando lo visiten, lo que les permitirá saber que algo está mal.
Scott Stevens
1
No puede evitar que apunten su dirección a su servidor. Lo que puede hacer es asegurarse de que la página predeterminada que ofrece su servidor cuando se le solicita un host para el que no tiene especificaciones no sea de ayuda.
Shadur

Respuestas:

12

Hay dos problemas que podría describir aquí. El primero es alguien que simplemente configura un enlace DNS a su dirección IP. Prevenir esto en IIS es extremadamente simple. Simplemente modifique los enlaces de nombres de host en IIS de modo que su contenido solo se publique cuando se soliciten nombres de host particulares. Lo más probable es que actualmente haya un enlace comodín que deberá eliminar también para que solo se puedan resolver los enlaces que desea. (Así es también como se pueden alojar múltiples sitios web en un solo servidor web IIS).

Desde las conexiones IIS, podrá hacer clic derecho en un sitio en particular para acceder al cuadro de diálogo "Editar enlaces ...".

Configuración del sitio IIS

Este cuadro de diálogo mostrará la configuración de todos los enlaces a los que debe responder este sitio. El nombre de host es el nombre de host válido para el cual el enlace debe resolverse en este sitio. Un sitio puede tener muchos enlaces distintos, como se ve aquí.

Diálogo de enlace de IIS

La configuración de un enlace en particular le permite configurar el nombre de host que debe resolverse en este sitio. También puede configurar cosas como configuraciones de certificados SSL aquí.

Configuración de enlace de IIS

El segundo problema posible es el enlace activo. Con el enlace activo, no es una llamada directa a su dirección IP, sino más bien configurar algo en un dominio diferente para hacer referencia a cosas en su dominio. Esto se puede hacer a través de varios medios diferentes, pero la mayoría de ellos requieren que al menos algún servidor dé instrucciones antes de acceder a su sitio. Hotlinking es un poco más difícil de prevenir, pero puede establecer pruebas sobre el referente que solicita un activo y solo proporcionar el activo si el referente coincide. Dado que el navegador del cliente proporciona esta información, será difícil que un tercero intente hacer que el navegador proporcione información incorrecta a su servidor y, por lo tanto, el filtrado debería ser generalmente efectivo.

AJ Henderson
fuente
gracias por echar un vistazo a mi pregunta, parece que es la primera posibilidad en mi caso (intenté buscar nslookup para el sitio web y la dirección IP es la misma que la mía). Para resolverlo, intenté 1. Habilitar la restricción de dominio en IIS 2. Luego, agregué solo una entrada de permiso, es decir, para mi dominio y denegar para todos los clientes no listados. Sin embargo, no funciona como se esperaba. Por favor, ayúdenme a identificar dónde exactamente tengo que eliminar el enlace comodín como mencionó o cuáles son los pasos para restringir el acceso a todos los nombres de dominio que no sean el mío.
Vikas Sharma
@VikasSharma echa un vistazo a mi edición. He agregado capturas de pantalla de mi servidor IIS. La configuración de mi servidor es un poco más compleja de lo que parece ser la suya, pero debería darle una idea de cómo debería ser. Es probable que no tenga tantos sitios distintos, direcciones IP o nombres de host como yo, pero puede terminar usando enlaces múltiples o posiblemente solo un comodín parcial (ex "* .yourdomain.com") En mi caso, solo quería subdominios específicos para resolver y tengo algunos subdominios con diferentes sitios o reglas de enrutamiento (o que IIS no maneja en absoluto).
AJ Henderson
¡Gracias! Funcionó para mi. Como mencionó, en mi caso será suficiente agregar un comodín parcial "* .yourdomain.com". Sin embargo, tengo una duda más, ¿es necesario dar una dirección IP o (¿Qué daño puede hacer "" toda la IP no asignada "?)
Vikas Sharma
@VikasSharma: está bien usar todas las direcciones IP en su caso. Tengo que usar direcciones IP específicas porque tengo servicios que no se enrutan a través de IIS, por lo que no puedo vincularlos y tengo algunas IP IPv6 que no quiero resolver ciertos sitios, ya que estoy usando direcciones IPv6 específicas del servicio. Mi servidor responde a más de 30 direcciones IP (principalmente IPv6, aunque he tenido varias direcciones IPv4 en un punto donde necesitaba evitar la búsqueda inversa durante un tiempo en un dominio) y en otro punto donde tenía un servidor de transmisión de medios que necesitaba propio enlace de IP separado.
AJ Henderson
Suena peor que esto ... más probablemente un ataque de rango de búsqueda de Google. A veces, los competidores o los vendedores sombríos configuran un sitio web "falso" que se parece a su sitio real u otro competidor inventado. Incluso pueden extraer recursos de imágenes y CSS de su sitio real. Luego destrozarán la reputación de ese sitio en Google. Finalmente, le dirigirán ese sitio con una entrada DNS (que es lo que creo que está viendo el OP), y usarán redes de enlaces de sitios sombreados similares para lograr que Google asocie este sitio con su negocio real y, por lo tanto, perjudique su Ranking de Google
Joel Coel
-1

Es muy poco lo que puede hacer para evitar que el administrador de otro dominio use su IP en su registro A.

Si cree que están tratando de violar alguna ley o perjudicar a su empresa al hacerlo, puede informar el problema a su proveedor de DNS o registrador.

La otra respuesta aquí, con respecto al filtrado de nombres de servidores http, puede ayudarlo a ignorar sus acciones y limitar el daño que pueden hacerle. Pero romperá su sitio para cualquier navegador que no admita nombres de host http.

Considere también lo fácil que sería para bajajra.com simplemente operar un proxy web de reenvío dirigido a su sitio. Limitar los nombres de servidor que permite (como se proporciona en la otra respuesta) no detendrá eso, y de hecho pondrá a sus clientes en mayor riesgo porque el atacante podrá usar el proxy para espiarlos y alterar su contenido.

Billy C.
fuente
1
El host es el único encabezado de solicitud obligatorio en HTTP / 1.0 y HTTP / 1.1, casi todos los servidores le darán una respuesta 400 Solicitud incorrecta si lo omite.
Nulano
Cierto. Sin embargo, no todo el tráfico de Internet es http. Un registro A solo no significa web. Quién sabe lo que está haciendo el malo.
Billy C.
2
But it will break your site for any browser that doesn't support http hostnames.HTTP / 1.1 existe desde hace 20 años y si usted es uno de los pocos que usa un navegador que no lo admite, no es el problema de los webmasters.
ub3rst4r
3
@Nulano Hostno es parte de HTTP / 1.0, aunque la mayoría de los navegadores lo proporcionan y los servidores lo aceptan de todos modos. Fue agregado / requerido en HTTP / 1.1.
Bob
No puedo estar de acuerdo en que hay muy poco que puedas hacer. Puede hacer una tonelada si dirigen el dominio a su servidor. Puede cambiar lo que se muestra a cualquier usuario que acceda al dominio para que sea obviamente diferente, incluso puede obtener un certificado SSL válido para el sitio utilizando la validación de dominio basada en archivos de Let's Encrypt. Ningún navegador remoto moderno no admite nombres de host, por lo que es una tontería, los subdominios tampoco funcionarían y eso ya bloquea una parte significativa de la web.
AJ Henderson