.PL Lock Service - usługa dla wymagających

Andrzej Bartosiewicz, 2009-11-12 14:44:33

.PL Lock Service - usługa dla wymagających
Podczas ostatniej konferencji ICANN byłem pytany przez trzech różnych Registrarów o możliwość wprowadzenia dla klientów i Partnerów NASK nowego serwisu polegającego na dodatkowym zabezpieczeniu domen. Zostałem o to samo zapytany ostatnio przez jednego z rodzimych Partnerów (z pierwszej 10-tki), więc czas chyba rozważyć, czy nie wdrożyć tego pomysłu w życie.

Za pomysłem nowego serwisu kryje się obawa niektórych Rejestratorów i Abonentów o to, że ktoś np. może włamać się na system Partnera (Registrara) i dokonać nieautoryzowanych zmian na domenach – transferu domeny, zmiany serwerów nazw, zmiany abonenta itd. Ponieważ wszystko dokonywane jest automatycznie, nie ma możliwości ręcznej weryfikacji takich transakcji.

Rozwiązaniem jest wprowadzenie mechanizmów ustawiania w systemie Registry NASK statusu „server Update Prohibited” na żądanie Partnera. Przy tak ustawionym statusie na domenie, nie jest możliwe automatyczne wykonanie jakiejkolwiek operacji poprzez EPP (protokół komunikacyjny automatycznej wymiany danych między NASK a Partnerem, odbywający się bez udziału człowieka). W przypadku kiedy Partner będzie jednak chciał dokonać zmian dla swojego klienta, zwróci się do NASK telefonicznie lub mailowo w celu „odblokowania” możliwości zmian. NASK potwierdzi tożsamość osoby reprezentującej Partnera za pomoca np. niezależnego hasła (niewykorzystywanego w systemach automatycznych), oddzwoni na ustalony wcześniej numer bądź wykorzysta mechanizm „one-time passwords”. Po przeprowadzonej w ten sposób bezpiecznej autentykacji NASK zdejmie blokadę z domeny (lub domen), Partner dokona zmian poprzez EPP (automatycznie) a następnie NASK przywróci status serverUpdateProhibited.

Opisana procedura oczywiście dodatkowo zabezpiecza klienta, niemniej jednak powoduje, że zmiany nie mogą być dokonywane automatycznie i będą wymagały trochę czasu na ich dokonanie. Tak jak w przypadku każdego zabezpieczenia gdzie musimy wybrać inny kanał autentykacji, należy z czegoś zrezygnować (pełna automatyzacja, zmiana w ciągu kilku sekund) na rzecz nieco bardziej skomplikowanej procedury (zmiana danych może trwać nawet kilkanaście minut).

Podobne rozwiązanie zaproponował niedawno VeriSign i nazywa się to „Registry Lock Service - com/net”. Opis tego serwisu można znaleźć na stronie VeriSign.

Podobnie jak VeriSign, NASK zaproponowałby też cennik na zasadzie „tiered pricing” gdzie cena za usługę byłaby uzależniona od ilości domen w ten sposób dodatkowo zabezpieczonych. Oczywiście ceny nie byłyby tak kosmiczne jak w przypadku VeriSign (100 USD za rok za domenę), niemniej jednak usługa powinna mieć status „VIP” i chociażby ze względu na jej charakter, wymaga wysiłku zarówno po stronie Partnera jak i NASK.

Czekam na Państwa opinie zarówno jako Partnerow NASK jak i Abonentów domen. Bez zainteresowania Abonentów nie ma oczywiście sensu dalsza dyskusja nad taką usługą... Ja ze swojej strony podchodzę całkowicie neutralnie do tego pomysłu i jestem gotowy wdrożyć go o ile będzie faktyczne zainteresowanie rynku.

Ocena 2.69/5 (53.86%) (573 głosów)

Komentarze:

  • cool
    Dodał: guest#01 data: 2009-11-12
    ile bedzie to kosztowało w PL?

    20$, 30$? dla takich firm jak WP, Interia, gazeta czy onet to zapewne kwota nawet 500$ za blokadę domeny wp.pl, interia.pl, gazeta.pl czy onet.pl nie bedzie za wysoka

  • Dodał: Rafał Pietrzyk data: 2009-11-12
    Prywatnie, jako abonent nie skorzystałbym z takiej opcji. Wszystkie operacje na domenie są rejestrowane co poniekąd zabezpiecza klienta.
    Czy były już w Polsce przypadki, gdzie takie rozwiązanie znalazłoby zastosowanie?
  • Joso
    Dodał: Gość data: 2009-11-12
    no wreszcie porządny wpis. Ale brak jednej informacji - czy cena nie odstraszy użytkowników, bo o monopol z megapanelu się nie martwię...

  • Dodał: GB data: 2009-11-13
    Czy taka usluga zabezpieczy przed zmianami ktore nastapia na skutek bledu w aplikacji NASK lub wlamania do systemu informatycznego NASK ?
  • a nie mowilem !
    Dodał: Gość data: 2009-11-13
    Mowilem o tym 2 lata temu ze jest taka koniecznosc i potrzeba ale zostalem jak zawsze olany przez NASK ! Coz lepiej pozno niz wcale !Nareszcie jakiesa pomysl godny narodowego rejestratora a nie ruch pozorowany .Jednak to nie moze byc drozsze jak 5 zl od domeny/rocznie !

  • Dodał: Gość data: 2009-11-13
    5 /zl rocznie od domeny?

    Kolego pomieniales sie na glowy chyba jak Verisign chce ponad 400 zl to w PL napewno nie bedize tansze jak 100 zl. To jest koniecznosc wdrozenia po stronie partnera jak i NASK telefony itp to wszystko kosztuje ktos sie nie bedzie bawil w takie 5 złotowe sprawy dla takeigo zabezpieczenia domeny. A dla porownania SSL dla domeny mozesz kupic za 5 zl?? Ty niewiesz co gadasz psujesz przez to w PL rynek takim zanizaniem uslug, jak dla kogos domena jest wazna to zaplaci tyle co roczny abonement za domene! aby spac spokojnie.

    Szkoda slow na takich co chca najtaniej albo uwazaja ze im sie to nalezy za prawie free za 5 zł to mozesz kupić sobie numer w Play Fresh :)
  • ceny
    Dodał: Andrzej Bartosiewicz data: 2009-11-13
    Rafał, to zabezpiecza przed czymś innym: że ktoś na pewien czas może wyłączyć domenę (1) albo co gorsza przekierować (2) ruch www w inne miejsce i tym samym wygenerować duże straty dla firmy (1,2) której sprzedaż czy realizacja usług zależy od domeny. W przypadku (2) dochodzi też utrata zaufania i czarny PR.
    Mając logi będzie można oczywiście przywrócić stan do wersji sprzed ataku, ale kosztów utraconych pożytków albo utraty zaufania może nie uda się wyrównać.

    Czy przypadki takie były - nie mam takiej wiedzy jakoby ktoś w sposób nieautoryzowany włamał się do systemu Partnera. Na świecie były, ale też nasz system jest ZNACZNIE lepiej zabezpieczony przez próbami nieautoryzowanego dostępu i ewentualne nieautoryzowane działanie przez kogoś w
    "imieniu" Partnera wymaga nie tylko poznania hasła Partnera, ale też... (sam wiesz co NASK wymaga)

    Były jednak liczne przypadki w Polsce nieautoryzowanego działania Pracowników abonentów, które później trzeba było odkręcać. Byc może gdyby były lepsze zabepzieczenia w niektórych przypadkach pomiędzy Partnerem a Abonentem, tego by nie było. Czy ta usługa pomoże w tym? Nie wiem, być może można ją rozwinąć...

    Joso, Nie wiem jak powinna zostać ukształtowana cena, to zależy od wyników konsultacji na rynku.

    Moja wizja zakłada dwa poziomy cenowe: jeden kiedy można zdejmować status serverUpdateProhibited tylko w godzinach roboczych (wtedy NASK ma niższy koszt) i druga cena kiedy będzie to można robić 24/7.

    W jednym i drugim przypadku mówimy jednak o cenach powyżej 100 zł za domenę (lub pakiet kilku domen), bo musi to mieć uzasadnienie ekonomiczne. Oczywiście przy większej ilości domen w ten sposób zabezpieczonych można ceny obniżyć, ale jak obniżyć to zależy od zainteresowania usługą po stronie Partnerów.

    Należy to jednak traktować jako usługę VIP i tutaj jej koszt dla klienta końcowego widzę w okolicach 500 zł - 1000 zł za domenę lub pakiet domen.

    Ale może się mylę, i ceny będą zupełnie inne...
  • Czemu VIP?
    Dodał: Puchatek data: 2009-11-13
    A dlaczego zastanawia się Pan nad tym, żeby była to usługa VIP?
    Jeśli ustawicie Państwo cenę usługi na niskim poziomie (niech to będzie 5-10PLN/dom, to daję głowę, że na masowym kliencie zarobicie więcej niż na kilku VIP'ach. Proszę pamiętać, że rejestratorzy dorzucą do tych cen swoje 3 grosze tak czy inaczej, więc summa summarum może się nie znaleźć na nią zbyt wielu chętnych w przypadku zaporowych cen.
    A co do liczenia na zgłaszanie się wielkich podmiotów, posiadających zarejestrowane znaki towarowe, to nie ma co na nich liczyć, bo Sąd Arbitrażowy będzie po ich stronie.
  • Token
    Dodał: ADIPS.PL/WW data: 2009-11-13
    Możliwość dodatkowego zabezpieczenia operacji na domenach jest pożądana. Skoro wartość wybranych domen potrafi być znaczna, to należałoby użyć systemu autentykacji w stylu, jak stosowany przez banki - np. token, w który zostanie wyposażony każdy registrar. Użycie tokena (łącznie z każdorazowo wprowadzanym hasłem) będzie warunkiem koniecznym do realizacji jakichkolwiek zmian na chronionych domenach (domena nie będzie więc blokowana, otrzyma jedynie status "chroniona"). Raz wydany token wyeliminuje konieczność prowadzenia (i ew. rejestracji) rozmów telefonicznych z NASK, wymiany maili itp.. W takim przypadku NASK stworzyłby jedynie warunki techniczne oraz zarządzał tokenami, całą resztę załatwi registrar (łącznie z ustaleniem ceny usługi dodatkowego zabezpieczenia domeny dla użytkownika końcowego). Oczywiście banki stosują też innego rodzaju zabezpieczenia...
  • moze sms?
    Dodał: ams data: 2009-11-13
    Po co ma to robić to żywy człowiek w nask? Wystarczyłoby moim zdaniem wysyłać na telefon administracyjny smsem token do wpisania aby potwierdzić zmianę. Wtedy można to zautomatyzować i cenę ustalić na niskim poziomie. Obsługę abonentów przez człowieka z NASK znamy z czasów przedpartnerskich (faksy, podpisy, itp.) i nie chcemy do tego wracać.
  • Token
    Dodał: ADIPS.PL/WW data: 2009-11-13
    Możliwość dodatkowego zabezpieczenia operacji na domenach jest pożądana. Skoro wartość wybranych domen potrafi być znaczna, to należałoby użyć systemu autentykacji w stylu, jak stosowany przez banki - np. token, w który zostanie wyposażony każdy registrar. Użycie tokena (łącznie z każdorazowo wprowadzanym hasłem) będzie warunkiem koniecznym do realizacji jakichkolwiek zmian na chronionych domenach (domena nie będzie więc blokowana, otrzyma jedynie status "chroniona"). Raz wydany token wyeliminuje konieczność prowadzenia (i ew. rejestracji) rozmów telefonicznych z NASK, wymiany maili itp.. W takim przypadku NASK stworzyłby jedynie warunki techniczne oraz zarządzał tokenami, całą resztę załatwi registrar (łącznie z ustaleniem ceny usługi dodatkowego zabezpieczenia domeny dla użytkownika końcowego). Oczywiście banki stosują też innego rodzaju zabezpieczenia...
  • odp
    Dodał: Andrzej Bartosiewicz data: 2009-11-13
    @Puchatek: ale koszt obsługi będzie (znacznie) wyższy niż 5-10 zł, bo zakłada wykorzystanie innych mechanizmów autentykacji niż dostępne przez EPP.

    @ADIPS: do przemyślenia z tokenami... co do ceny dla klienta końcowego to zawsze ustala to Partner. NASK ustala cene hurtową dla Partnerów, w tym przypadku za taką usługę... wtedy mogłaby się składać z części stałej (ryczałtowej) za obsługę tej usługi dla Partnera oraz opłaty od domeny/rok bądź opłaty jednostkowej od operacji.

    @AMS: właśnie o to chodzi, żeby był to sposób autentykacji wymagający akcji człowieka; być może wystarczy właśnie rozwiązanie z tokenami - wtedy eliminujemy człowieka po stronie NASK ale z drugiej strony nie mamy gwarancji, że ktoś się nie włamał do siedziby Partnera i nie przejął takiego tokena, a pin poznaje bo jest zapisany w systemie Partnera... tak hipotetycznie

    Niezależnie od wszystkiego gdzieś człowiek MUSI być po to, aby ta usługa miała sens, czy będzie po stronie NASK i Partnera czy tylko Partnera to do przemyślenia.

    VeriSign chce człowieka po stronie zarówno Registrara jak i VeriSign... a token jest tylko mechanizmem autentykacji... jeśli oni (VeriSign) tak chcą zrobić, to mam wątpliwosci czy eleiminacja człowieka po stornie NASK jest jednak zasadna...
  • uzupelnienie
    Dodał: Andrzej Bartosiewicz data: 2009-11-13
    To dodam jeszcze, że obecnie poziom zabezpieczeń systemu Registry, komunikacji oraz autentykacji Partnera jest bardzo wysoki. Wprowadzanie dodatkowego elementu uzupełniajacego automatyczną autentykację nie ma sensu.

    Jedyne niebezpieczeństwo to ewentualne włamanie do systemu Partnera (bądź NASK...).

    I pomysł zakłada, że wymagamy interwencji człowieka jako elementu którego nie można "zhakować"... Pytanie czy umieszczamy człowieka tylko po stronie Partnera, czy Partnera i NASK...
  • odp. dla GB
    Dodał: Andrzej Bartosiewicz data: 2009-11-13
    @GB: sorki GB że nie odpowiedziałem wcześniej, ale mi Twój post umknął...

    Jeśli potraktujemy ustawianie "Server Update Prohibited" tylko ręcznie, i tylko z konsoli operatora (a nie automatycznie przez token via EPP) to można jeszcze bardziej ograniczyć możliwość ewentualnego włamania (zdalnego) lub ograniczyć skutki włamania.

    Zawsze istnieje możliwość włamania na każdy system, także system NASK, natomiast zdecydowanie podział na operacje możliwe do wykonania zdalnie i te które można wykonać np. w sieci wewnętrznej sprzyja bezpieczeństwu.

  • Dodał: Gość data: 2009-11-13
    Więcej takich wpisów i dyskusji, genialnie się to czyta!
  • Token
    Dodał: ADIPS.PL/WW data: 2009-11-13
    Możliwość dodatkowego zabezpieczenia operacji na domenach jest pożądana. Skoro wartość wybranych domen potrafi być znaczna, to należałoby użyć systemu autentykacji w stylu, jak stosowany przez banki - np. token, w który zostanie wyposażony każdy registrar. Użycie tokena (łącznie z każdorazowo wprowadzanym hasłem) będzie warunkiem koniecznym do realizacji jakichkolwiek zmian na chronionych domenach (domena nie będzie więc blokowana, otrzyma jedynie status "chroniona"). Raz wydany token wyeliminuje konieczność prowadzenia (i ew. rejestracji) rozmów telefonicznych z NASK, wymiany maili itp.. W takim przypadku NASK stworzyłby jedynie warunki techniczne oraz zarządzał tokenami, całą resztę załatwi registrar (łącznie z ustaleniem ceny usługi dodatkowego zabezpieczenia domeny dla użytkownika końcowego). Oczywiście banki stosują też innego rodzaju zabezpieczenia...
  • Jestem na nie
    Dodał: Gość data: 2009-11-16
    100zł za drogo dla zwykłego posiadacza domeny X. Po prostu - usługa nie dla mas.

    Po drugie to NASK powinien zapewnić poprawne zabezpieczenie domen w ramach haraczu jaki pobiera za rejestrację/utrzymywanie domen od nas i rejestratorów pośredniczących.
  • do #82
    Dodał: Andrzej Bartosiewicz data: 2009-11-17
    Kolego/Koleżanko: nikt nie mówi że ta usługa ma byc dla "mas".

    Chyba nie czytałeś/łaś postu - NASK zabezpieczył domeny poprawie w systemie Registry - tutaj mówimy o nieautoryzowanych zmianach w sytuacji np. włamania do systemu Klienta lub Partnera. Inaczej tego nie da się zrobic jak drugą, niezależną od EPP drogą.

    -----

    A ten "haracz" to 10 zł za rejestację i 40 za przedłużenie - skoro to jest haracz to jak nazwiesz ceny 100 i 120 zł w firmach takich jak home, netart czy AZ? Filantropia?
  • VERY IMPORTANT DOMAIN?
    Dodał: domenki.wordpress.com data: 2009-11-23
    Witam
    Czy NASK nie oferuje czegoś takiego dla swoich klientów pod postacią "VERY IMPORTANT DOMAIN"?
  • czemu nie automatyczne jak dla .com?
    Dodał: Gość data: 2011-04-13
    czemu nie automatyczne?
    Kod potwierdzenia zmian przychodzi na maila lub smsem i bez potwierdzenia tym kodem nic się nie da zrobić.


Dodaj komentarz:


Temat:
Twój nick:
Komentarz:
 

Prosimy o kulturę wypowiedzi. Komentarze zawierające niecenzuralne zwroty, bądź obrażające inne osoby będą usuwane. Kod HTML w wypowiedziach jest niedozwolony. Wydawca nie odpowiada za treść komentarzy.