• 当前位置: 首页
  • / 安全知识库
  • 保护您的域名:迈出第一步
    作者:通信世界网消息(CWW)     点击数:520     发布时间:Jul 28, 2021

    互联网上的每一个人和每一件事都依赖于域名系统(DNS)的正常运作。近年来,DNS一直是网络攻击的常见对象,2019年当然也不例外。大多数这类攻击的目的远比简单地让一家公司网络崩溃或破坏一个网站更加险恶;已知的攻击包括重定向一家组织的部分或全部域名以获得访问受保护资源的权限、拦截流量甚至获得该域名的TLS证书。组织应定期进行DNS审查和审计。下面的指导说明将让您的审查迈出第一步。


    为什么DNS常被攻击?

    DNS对于任何有线上平台的组织都是至关重要的。因此,攻击域名是一个攻击任何线上组织的有效方法,具体途径包括拒绝服务、污损、滥用等其他方式。域名不仅代表您的品牌,也是您的客户与您进行业务互动的方式。在当今世界,域名对于网页、语音、视频、聊天、API及公司可能提供或使用的所有其他服务都至关重要。简而言之,拥有自己域名的控制权对您的生意至关重要。

    对这个问题缺乏重视是对您的DNS存在的最大威胁。许多组织认为DNS的安装设置是理所当然的,只需配置一次就可以永远保留它。然而,对手便会利用这种忽视和由此产生的弱点。定期进行DNS审查和审计是一项基本的预防措施。


    攻击从哪里开始?

    攻击者可以通过DNS根区域、DNS注册中心/顶级域(TLD)(例如.com、.net、.uk、.jp等)、域名注册器、DNS名称注册器(该区域被委派的实体)、DNS区域文件、权威的DNS名称服务器和递归DNS解析器等对其进行攻击。攻击者还可以劫持路由,或以欺骗方式得到DNS服务器的IP地址。综上所述,攻击面十分的广泛。好消息是DNS本身有较强的抵抗能力,而且也有许多组织关注着DNS的安全、稳定和弹性。

    第一个重点领域是DNS区域的管理(例如example.com)。DNS区域管理是许多组织在其安全和网络审查中容易忽视的一个问题。不要低估攻击的范围和潜在危害:只要进入并访问DNS区域和/或注册器,攻击者就可以重定向入站电子邮件、通过攻击者控制的主机引导流量,甚至可以获得TLS证书。


    域名注册商和DNS区域文件

    除此之外,域名注册商控制域名的权威名称服务器(或称“授权”,delegations)的列表。这些授权包括对有关域具有权威性的DNS服务器的主机名和IP地址。权威的DNS服务器有一个主区域文件的副本,并用“权威答案”回应DNS查询。近年来大规模攻击的兴起已经改变了域所有者操作其权威命名服务器的方式。过去,大多数组织在自己的系统上操作权威的命名服务器。而如今,组织有了更多选择。有些域名注册商提供全面服务包,由注册商负责管理和维护域名的完整DNS配置。例如,基于云的提供者如Akamai的Fast DNS可以提供应对DDoS攻击的增强弹性功能,以及简化的基础设施管理。


    DNS审查和审计工作

    新闻报道、计算机应急响应小组(CERT)和政府通知可能会敦促您“做DNS审计”,但建议往往到此为止。这篇文章的其余部分是一家组织应该审查的主题领域的集合,以评估他们目前的DNS“态度”。这些建议是基于Akamai自身经验、ICANN的安全和稳定性咨询委员会(SSAC)、DNS操作分析和研究中心(DNS-OARC)以及其他DNS专家的工作所得出。


    审查对域名注册商的访问

    按照注册商的要求检查组织中当前的域管理员,并确保他们符合您的期望。检查与注册商配置的所有域并确保您知道组织中有哪些人可以访问注册商的在线门户,同时与这些用户进行确认。如果您有与多个注册商注册的域名,确保您向每一个注册商重复这个操作。尽管如此,还是建议您考虑将注册合并到一个单一的注册商下。同时,找机会核实您所有的域名都在您的域名注册审计中——有些人可能已经使用个人账户注册了一个域名,如果他们离开了您所在的组织,这可能会导致失去控制。

    攻击者会充分利用一家组织忽略的DNS漏洞。他们会找到没有妥善维护的账户,并对其进行破坏。因此您的第一步就是在每个注册商处检查、更新和记录哪些人可以访问哪些区域。


    审查域名系统的角色和责任

    最少化访问(least access)原则是一个最安全的准则:人们只需要拥有完成其工作所需的最低访问权限。检查能够访问注册商的用户是否是其工作职能所必需。除了一次性审查之外,安排对每个人访问级别的反复审查。此外,确保至少有两个人可以访问每个注册门户;否则一旦管理员离职,访问权限的丧失将对组织造成灾难性后果。

    请记住,攻击者经常利用社交媒体作为网络钓鱼尝试的一部分。他们可以很容易地在社交媒体平台上锁定知名度高的员工,因为他们知道组织在重组、裁员或员工退休后可能会忘记删除注册信息。


    员工权限转让

    组织的预终止过程应该包括对用户角色的审核。作为审核的一部分,组织应该审核员工对资源的访问权限,比如注册账户或DNS云提供者,并终止所有权限。在合理的情况下,应尽快将权限赋予替代人员或继任人员。

    终止程序还应更换或撤销离职员工可以获得的所有机密。除了密码,这还应该包括双重身份验证(2FA)令牌、口头身份验证密码以及组织文件中任何授权员工的登记名单。无论员工离职的情况如何,这些都应当是一种常规操作。这并不是对离职员工的玷污,而是组织规避威胁的必要手段。


    更新所有注册资料

    接下来,查看与您注册的域名相关联的联系信息。确保每个域名的有效期足够长(建议至少一年),并正确设置其中的各选项如自动续约等。一个意外过期的域名可能会导致巨大的财务成本,在最坏的情况下,可能会无可挽回地丢失,或是被竞争对手注册。

    域名也通常有四个联系点:注册人、技术、管理和账单联系人。您的注册商可能只会发送特定类型的讯息给这些角色中的一个,在某些争端中,注册人会处于优先的位置。确保所有的联系信息是最新的——因为在组织发展壮大、缩小、转移或被并购时,注册联系人的更新问题往往会被忽视。


    使用角色账户获取域注册信息

    为了帮助管理域注册联系信息,组织经常使用一个角色账户(role account)来管理所有的四个必需的域联系点。角色账户的构建因组织而异,但基本思想是建立一个严格限制的邮件列表,所有域名注册信函都可以发送到该列表。这些角色职位通常被命名为“域管理员”(Domain Administrator)或“主机管理员”(Hostmaster),并列出组织的总部联系信息,包括地址、电话和传真号码。确保直接发送到这些号码的合法电话和传真仍将到达DNS管理员手中。使用角色职位,而不是指定的人员可以使得更改工作职责或者增加和删除人员更加灵活,而不需要在注册商处进行重要更新。如果使用邮件列表,您的定期审计应审查订阅邮件列表的员工,以限制潜在的滥用行为。


    联系我们投资合作版权声明在线帮助作品发布广告服务关于我们 | 站长统计
    桂ICP备08001000号-15 版权所有: 安全平台