互聯(lián)網(wǎng)上的每一個(gè)人和每一件事都依賴(lài)于域名系統(tǒng)(DNS)的正常運(yùn)作。近年來(lái),DNS一直是網(wǎng)絡(luò)攻擊的常見(jiàn)對(duì)象,2019年當(dāng)然也不例外。大多數(shù)這類(lèi)攻擊的目的遠(yuǎn)比簡(jiǎn)單地讓一家公司網(wǎng)絡(luò)崩潰或破壞一個(gè)網(wǎng)站更加險(xiǎn)惡;已知的攻擊包括重定向一家組織的部分或全部域名以獲得訪問(wèn)受保護(hù)資源的權(quán)限、攔截流量甚至獲得該域名的TLS證書(shū)。組織應(yīng)定期進(jìn)行DNS審查和審計(jì)。下面的指導(dǎo)說(shuō)明將讓您的審查邁出第一步。
為什么DNS常被攻擊?
DNS對(duì)于任何有線上平臺(tái)的組織都是至關(guān)重要的。因此,攻擊域名是一個(gè)攻擊任何線上組織的有效方法,具體途徑包括拒絕服務(wù)、污損、濫用等其他方式。域名不僅代表您的品牌,也是您的客戶(hù)與您進(jìn)行業(yè)務(wù)互動(dòng)的方式。在當(dāng)今世界,域名對(duì)于網(wǎng)頁(yè)、語(yǔ)音、視頻、聊天、API及公司可能提供或使用的所有其他服務(wù)都至關(guān)重要。簡(jiǎn)而言之,擁有自己域名的控制權(quán)對(duì)您的生意至關(guān)重要。
對(duì)這個(gè)問(wèn)題缺乏重視是對(duì)您的DNS存在的最大威脅。許多組織認(rèn)為DNS的安裝設(shè)置是理所當(dāng)然的,只需配置一次就可以永遠(yuǎn)保留它。然而,對(duì)手便會(huì)利用這種忽視和由此產(chǎn)生的弱點(diǎn)。定期進(jìn)行DNS審查和審計(jì)是一項(xiàng)基本的預(yù)防措施。
攻擊從哪里開(kāi)始?
攻擊者可以通過(guò)DNS根區(qū)域、DNS注冊(cè)中心/頂級(jí)域(TLD)(例如.com、.net、.uk、.jp等)、域名注冊(cè)器、DNS名稱(chēng)注冊(cè)器(該區(qū)域被委派的實(shí)體)、DNS區(qū)域文件、權(quán)威的DNS名稱(chēng)服務(wù)器和遞歸DNS解析器等對(duì)其進(jìn)行攻擊。攻擊者還可以劫持路由,或以欺騙方式得到DNS服務(wù)器的IP地址。綜上所述,攻擊面十分的廣泛。好消息是DNS本身有較強(qiáng)的抵抗能力,而且也有許多組織關(guān)注著DNS的安全、穩(wěn)定和彈性。
第一個(gè)重點(diǎn)領(lǐng)域是DNS區(qū)域的管理(例如example.com)。DNS區(qū)域管理是許多組織在其安全和網(wǎng)絡(luò)審查中容易忽視的一個(gè)問(wèn)題。不要低估攻擊的范圍和潛在危害:只要進(jìn)入并訪問(wèn)DNS區(qū)域和/或注冊(cè)器,攻擊者就可以重定向入站電子郵件、通過(guò)攻擊者控制的主機(jī)引導(dǎo)流量,甚至可以獲得TLS證書(shū)。
域名注冊(cè)商和DNS區(qū)域文件
除此之外,域名注冊(cè)商控制域名的權(quán)威名稱(chēng)服務(wù)器(或稱(chēng)“授權(quán)”,delegations)的列表。這些授權(quán)包括對(duì)有關(guān)域具有權(quán)威性的DNS服務(wù)器的主機(jī)名和IP地址。權(quán)威的DNS服務(wù)器有一個(gè)主區(qū)域文件的副本,并用“權(quán)威答案”回應(yīng)DNS查詢(xún)。近年來(lái)大規(guī)模攻擊的興起已經(jīng)改變了域所有者操作其權(quán)威命名服務(wù)器的方式。過(guò)去,大多數(shù)組織在自己的系統(tǒng)上操作權(quán)威的命名服務(wù)器。而如今,組織有了更多選擇。有些域名注冊(cè)商提供全面服務(wù)包,由注冊(cè)商負(fù)責(zé)管理和維護(hù)域名的完整DNS配置。例如,基于云的提供者如Akamai的Fast DNS可以提供應(yīng)對(duì)DDoS攻擊的增強(qiáng)彈性功能,以及簡(jiǎn)化的基礎(chǔ)設(shè)施管理。
DNS審查和審計(jì)工作
新聞報(bào)道、計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和政府通知可能會(huì)敦促您“做DNS審計(jì)”,但建議往往到此為止。這篇文章的其余部分是一家組織應(yīng)該審查的主題領(lǐng)域的集合,以評(píng)估他們目前的DNS“態(tài)度”。這些建議是基于Akamai自身經(jīng)驗(yàn)、ICANN的安全和穩(wěn)定性咨詢(xún)委員會(huì)(SSAC)、DNS操作分析和研究中心(DNS-OARC)以及其他DNS專(zhuān)家的工作所得出。
審查對(duì)域名注冊(cè)商的訪問(wèn)
按照注冊(cè)商的要求檢查組織中當(dāng)前的域管理員,并確保他們符合您的期望。檢查與注冊(cè)商配置的所有域并確保您知道組織中有哪些人可以訪問(wèn)注冊(cè)商的在線門(mén)戶(hù),同時(shí)與這些用戶(hù)進(jìn)行確認(rèn)。如果您有與多個(gè)注冊(cè)商注冊(cè)的域名,確保您向每一個(gè)注冊(cè)商重復(fù)這個(gè)操作。盡管如此,還是建議您考慮將注冊(cè)合并到一個(gè)單一的注冊(cè)商下。同時(shí),找機(jī)會(huì)核實(shí)您所有的域名都在您的域名注冊(cè)審計(jì)中——有些人可能已經(jīng)使用個(gè)人賬戶(hù)注冊(cè)了一個(gè)域名,如果他們離開(kāi)了您所在的組織,這可能會(huì)導(dǎo)致失去控制。
攻擊者會(huì)充分利用一家組織忽略的DNS漏洞。他們會(huì)找到?jīng)]有妥善維護(hù)的賬戶(hù),并對(duì)其進(jìn)行破壞。因此您的第一步就是在每個(gè)注冊(cè)商處檢查、更新和記錄哪些人可以訪問(wèn)哪些區(qū)域。
審查域名系統(tǒng)的角色和責(zé)任
最少化訪問(wèn)(least access)原則是一個(gè)最安全的準(zhǔn)則:人們只需要擁有完成其工作所需的最低訪問(wèn)權(quán)限。檢查能夠訪問(wèn)注冊(cè)商的用戶(hù)是否是其工作職能所必需。除了一次性審查之外,安排對(duì)每個(gè)人訪問(wèn)級(jí)別的反復(fù)審查。此外,確保至少有兩個(gè)人可以訪問(wèn)每個(gè)注冊(cè)門(mén)戶(hù);否則一旦管理員離職,訪問(wèn)權(quán)限的喪失將對(duì)組織造成災(zāi)難性后果。
請(qǐng)記住,攻擊者經(jīng)常利用社交媒體作為網(wǎng)絡(luò)釣魚(yú)嘗試的一部分。他們可以很容易地在社交媒體平臺(tái)上鎖定知名度高的員工,因?yàn)樗麄冎澜M織在重組、裁員或員工退休后可能會(huì)忘記刪除注冊(cè)信息。
員工權(quán)限轉(zhuǎn)讓
組織的預(yù)終止過(guò)程應(yīng)該包括對(duì)用戶(hù)角色的審核。作為審核的一部分,組織應(yīng)該審核員工對(duì)資源的訪問(wèn)權(quán)限,比如注冊(cè)賬戶(hù)或DNS云提供者,并終止所有權(quán)限。在合理的情況下,應(yīng)盡快將權(quán)限賦予替代人員或繼任人員。
終止程序還應(yīng)更換或撤銷(xiāo)離職員工可以獲得的所有機(jī)密。除了密碼,這還應(yīng)該包括雙重身份驗(yàn)證(2FA)令牌、口頭身份驗(yàn)證密碼以及組織文件中任何授權(quán)員工的登記名單。無(wú)論員工離職的情況如何,這些都應(yīng)當(dāng)是一種常規(guī)操作。這并不是對(duì)離職員工的玷污,而是組織規(guī)避威脅的必要手段。
更新所有注冊(cè)資料
接下來(lái),查看與您注冊(cè)的域名相關(guān)聯(lián)的聯(lián)系信息。確保每個(gè)域名的有效期足夠長(zhǎng)(建議至少一年),并正確設(shè)置其中的各選項(xiàng)如自動(dòng)續(xù)約等。一個(gè)意外過(guò)期的域名可能會(huì)導(dǎo)致巨大的財(cái)務(wù)成本,在最壞的情況下,可能會(huì)無(wú)可挽回地丟失,或是被競(jìng)爭(zhēng)對(duì)手注冊(cè)。
域名也通常有四個(gè)聯(lián)系點(diǎn):注冊(cè)人、技術(shù)、管理和賬單聯(lián)系人。您的注冊(cè)商可能只會(huì)發(fā)送特定類(lèi)型的訊息給這些角色中的一個(gè),在某些爭(zhēng)端中,注冊(cè)人會(huì)處于優(yōu)先的位置。確保所有的聯(lián)系信息是最新的——因?yàn)樵诮M織發(fā)展壯大、縮小、轉(zhuǎn)移或被并購(gòu)時(shí),注冊(cè)聯(lián)系人的更新問(wèn)題往往會(huì)被忽視。
使用角色賬戶(hù)獲取域注冊(cè)信息
為了幫助管理域注冊(cè)聯(lián)系信息,組織經(jīng)常使用一個(gè)角色賬戶(hù)(role account)來(lái)管理所有的四個(gè)必需的域聯(lián)系點(diǎn)。角色賬戶(hù)的構(gòu)建因組織而異,但基本思想是建立一個(gè)嚴(yán)格限制的郵件列表,所有域名注冊(cè)信函都可以發(fā)送到該列表。這些角色職位通常被命名為“域管理員”(Domain Administrator)或“主機(jī)管理員”(Hostmaster),并列出組織的總部聯(lián)系信息,包括地址、電話(huà)和傳真號(hào)碼。確保直接發(fā)送到這些號(hào)碼的合法電話(huà)和傳真仍將到達(dá)DNS管理員手中。使用角色職位,而不是指定的人員可以使得更改工作職責(zé)或者增加和刪除人員更加靈活,而不需要在注冊(cè)商處進(jìn)行重要更新。如果使用郵件列表,您的定期審計(jì)應(yīng)審查訂閱郵件列表的員工,以限制潛在的濫用行為。
不要使用個(gè)人電子郵件地址
個(gè)人電子郵件地址不應(yīng)該用作企業(yè)、政府或組織域管理員的聯(lián)系點(diǎn)。作為審查過(guò)程的一部分,確保個(gè)人電子郵件地址從未用于域名聯(lián)系信息或注冊(cè)商訪問(wèn)賬戶(hù)。
防范釣魚(yú)式攻擊
網(wǎng)絡(luò)釣魚(yú)是破壞注冊(cè)賬戶(hù)的主要攻擊之一。您有可能遭遇到針對(duì)DNS管理員的釣魚(yú)攻擊,所以一個(gè)全面的釣魚(yú)防御是必不可少的。以下一系列反釣魚(yú)技術(shù)可提供有效保護(hù),防止釣魚(yú)式攻擊。
沒(méi)有可以阻止網(wǎng)絡(luò)釣魚(yú)攻擊的萬(wàn)全之策,但是采用正確的防御組合將有助于組織降低風(fēng)險(xiǎn)。
憑證更新——更改密碼
定期更改密碼是所有在線賬戶(hù)的良好做法,域名注冊(cè)商賬戶(hù)也不例外。在對(duì)您的DNS基礎(chǔ)設(shè)施進(jìn)行審查時(shí),要求每個(gè)具有注冊(cè)服務(wù)器訪問(wèn)權(quán)限的人輪換他們的憑據(jù)。雖然您的組織可能有一個(gè)全面的密碼策略,但是通常會(huì)忽略外部服務(wù),如注冊(cè)服務(wù)器。外部賬戶(hù)應(yīng)遵守您的內(nèi)部密碼安全指導(dǎo)方針和輪換時(shí)間表。注冊(cè)服務(wù)器賬戶(hù)的密碼應(yīng)該是長(zhǎng)而復(fù)雜的;使用密碼管理器可以很容易地以加密、冗長(zhǎng)和易找到的方式生成和存儲(chǔ)復(fù)雜的密碼。密碼永遠(yuǎn)不應(yīng)該寫(xiě)下來(lái)或以未加密的形式存儲(chǔ)。
注冊(cè)商賬戶(hù)雙重認(rèn)證(2FA)
當(dāng)您的注冊(cè)商支持時(shí),所有賬戶(hù)都應(yīng)該使用雙重身份驗(yàn)證(2FA)。使用2FA時(shí),任何試圖登錄到注冊(cè)器的人不僅需要賬戶(hù)密碼,還需要第二個(gè)因素,如智能手機(jī)應(yīng)用程序或硬件令牌等。2FA可以阻止本來(lái)可能成功的網(wǎng)絡(luò)釣魚(yú)嘗試。
如果可能的話(huà),應(yīng)該避免使用基于SMS的2FA?;赟MS的2FA仍然優(yōu)于只使用密碼保護(hù)的賬戶(hù),但其他方法如基于時(shí)間的一次性密碼(TOTP)、硬件令牌或基于推送的2FA應(yīng)該是首選的。新的NIST數(shù)字身份指南建議,短信作為2FA的一部分應(yīng)該被廢棄(參見(jiàn)NIST特刊800-63B)。
如果您的注冊(cè)商不支持2FA,申請(qǐng)這個(gè)功能。如果他們不接受,考慮尋找替代的注冊(cè)商。在許多情況下,同一頂級(jí)域名、通用頂級(jí)域名和通用頂級(jí)域名都會(huì)存在處于競(jìng)爭(zhēng)關(guān)系的多個(gè)注冊(cè)商。
了解注冊(cè)商的安全策略、工具和流程
世界上有數(shù)百個(gè)域名注冊(cè)商,支持超過(guò)1500個(gè)頂級(jí)域名。一些注冊(cè)商比其他機(jī)構(gòu)有更好的安全措施。您的組織可以幫助引導(dǎo)行業(yè)朝著更好的方向發(fā)展。通過(guò)查看注冊(cè)商的在線文檔了解他們的安全實(shí)踐和策略。如果無(wú)法找到此信息,請(qǐng)與注冊(cè)商進(jìn)行對(duì)話(huà),并鼓勵(lì)他們發(fā)布此信息。
例如,您的注冊(cè)商是否提供運(yùn)營(yíng)域所需的支持服務(wù)?注冊(cè)商是否提供24×7技術(shù)支持,允許在非營(yíng)業(yè)時(shí)間進(jìn)行故障排除?ICANN的政策要求您的當(dāng)前注冊(cè)商通知您,他們從注冊(cè)商那里收到的任何域名轉(zhuǎn)移請(qǐng)求,表明有人已經(jīng)要求將域名轉(zhuǎn)移到一個(gè)新的注冊(cè)商。您的注冊(cè)商是否只通過(guò)電子郵件發(fā)送此信息,或者您可以選擇通過(guò)電話(huà)或傳真請(qǐng)求此信息?您的注冊(cè)商是否發(fā)送通知所有其他更新到您的域名?ICANN的安全和穩(wěn)定性咨詢(xún)委員會(huì)(SSAC)與ICANN社區(qū)合作,提供DNS操作和安全指導(dǎo)。ICANN的SAC 40保護(hù)域名注冊(cè)服務(wù)免受剝削或?yàn)E用的措施和SAC 44注冊(cè)人保護(hù)域名注冊(cè)賬戶(hù)指南是理解和評(píng)估注冊(cè)商安全實(shí)踐的出色指南。
審核隱私注冊(cè)選項(xiàng)
許多域名注冊(cè)商提供隱私或代理注冊(cè)服務(wù)。這些服務(wù)會(huì)對(duì)公眾隱藏您的個(gè)人聯(lián)系信息,并用ICANN-聯(lián)系信息取而代之。歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)已經(jīng)改變了在像WHOIS這樣的域注冊(cè)數(shù)據(jù)庫(kù)中發(fā)布信息的方式。作為一般原則,一個(gè)基于角色注冊(cè)域名信息的方法可以兼容GDPR,同時(shí)在您的域名下向社區(qū)提供最新的聯(lián)系信息。
注:在某些情況下,代理服務(wù)器或隱私注冊(cè)表會(huì)妨礙獲取組織驗(yàn)證(OV)和擴(kuò)展驗(yàn)證(EV)SSL/TLS證書(shū)所需的驗(yàn)證過(guò)程。啟用或禁用代理或隱私注冊(cè)的過(guò)程可能因注冊(cè)商而異,在訂閱這些服務(wù)之前,應(yīng)充分了解時(shí)間表。在關(guān)閉隱私注冊(cè)方面的延遲可能會(huì)導(dǎo)致證書(shū)輪換失敗或域轉(zhuǎn)移的延遲,如果需要這些服務(wù)的話(huà)。應(yīng)該仔細(xì)考慮這些風(fēng)險(xiǎn)。
在您的區(qū)域內(nèi)檢查和維護(hù)記錄
DNS區(qū)域包含許多主機(jī)名和子域,但許多DNS管理員可能不知道哪個(gè)部門(mén)或業(yè)務(wù)單位負(fù)責(zé)給定的條目。主機(jī)名(hostname)指的是類(lèi)型為A、AAAA、CNAME、TXT等的記錄。子域由NS記錄的存在來(lái)指示,并將對(duì)區(qū)域的該部分的控制委托給另一個(gè)名稱(chēng)服務(wù)器上的區(qū)域。
DNS管理員應(yīng)該知道哪些組或團(tuán)隊(duì)負(fù)責(zé)他們組織區(qū)域文件中的每個(gè)條目。如果您的組織使用內(nèi)部票據(jù)跟蹤系統(tǒng),信息可能存儲(chǔ)在系統(tǒng)中,但在短時(shí)間內(nèi)可能不容易訪問(wèn)。確保隨著時(shí)間的推移精確地跟蹤區(qū)域的更改可能需要對(duì)內(nèi)部流程進(jìn)行更新。一旦您可以在您的區(qū)域文件中確定每個(gè)條目的責(zé)任方,您應(yīng)該執(zhí)行定期審查并確保記錄。驗(yàn)證每個(gè)主機(jī)名和子域的所有權(quán),并刪除過(guò)時(shí)的條目應(yīng)該是常規(guī)DNS審查的一部分。
對(duì)于新的應(yīng)用程序、服務(wù)或現(xiàn)場(chǎng)演示,可以快速添加記錄,但是這些記錄可能在相關(guān)服務(wù)關(guān)閉或遷移之后仍然存在很長(zhǎng)時(shí)間。作為內(nèi)部產(chǎn)品生命周期的一部分,確保對(duì)服務(wù)的關(guān)閉給予了足夠的重視,關(guān)閉過(guò)程包括通知DNS管理員不再需要主機(jī)名或子域。
特別要注意委托的子域,因?yàn)樗鼈兊脑O(shè)計(jì)目的是將區(qū)域的一部分控制權(quán)讓給另一個(gè)名稱(chēng)服務(wù)器。確保NS記錄是準(zhǔn)確的,并且它們?nèi)匀粸樽佑蛱峁?quán)威的答案。如果您的組織將一個(gè)子域名委托給第三方DNS服務(wù)提供商,那么經(jīng)常檢查委托子域名的答案就更重要了,因?yàn)橥獠糠?wù)提供商可能會(huì)在沒(méi)有通知您他們的客戶(hù)的情況下重新使用這些IP地址。如果一個(gè)區(qū)域被委托給由您的組織在第三方云提供商中運(yùn)行的名稱(chēng)服務(wù)器,那么一定要跟蹤IP地址的變化并相應(yīng)地更新區(qū)域委托。公共云計(jì)算傾向于快速重新啟用IP地址,因此無(wú)法審計(jì)您的NS記錄和相關(guān)的IP地址可能會(huì)導(dǎo)致域管理權(quán)的變更。
名稱(chēng)服務(wù)器和區(qū)域文件最佳實(shí)踐
DNS審查應(yīng)包括對(duì)您控制的所有名稱(chēng)服務(wù)器上的所有用戶(hù)賬戶(hù)的審查,包括“初級(jí)”和“次級(jí)”名稱(chēng)服務(wù)器。可以訪問(wèn)名稱(chēng)服務(wù)器的用戶(hù)可以直接編輯域文件或更改系統(tǒng)上運(yùn)行的軟件。不要僅僅依靠操作系統(tǒng)中的訪問(wèn)許可權(quán)或訪問(wèn)級(jí)別保護(hù),因?yàn)槔没蝈e(cuò)誤配置可能允許任何擁有賬戶(hù)的人訪問(wèn)區(qū)域文件或服務(wù)器配置實(shí)用程序。確保保存訪問(wèn)日志以跟蹤什么人登錄到服務(wù)器;訪問(wèn)控制和問(wèn)責(zé)制對(duì)您的DNS基礎(chǔ)設(shè)施的所有部分都至關(guān)重要。這在主輔模型中尤其重要,其中“初級(jí)”名稱(chēng)服務(wù)器包含區(qū)域文件的規(guī)范副本,而“次級(jí)”名稱(chēng)服務(wù)器定期或根據(jù)請(qǐng)求將其從主服務(wù)器轉(zhuǎn)移過(guò)來(lái)。
DNS區(qū)域文件修改控制
審查還應(yīng)該包括對(duì)區(qū)域文件本身的管理,以確保存在并執(zhí)行適當(dāng)?shù)淖兏芾砹鞒獭^(qū)域文件的主副本應(yīng)該存儲(chǔ)在修訂控制系統(tǒng)或其他訪問(wèn)控制存儲(chǔ)器中。當(dāng)出現(xiàn)更改請(qǐng)求時(shí),DNS管理員生成一個(gè)更新的區(qū)域文件,將其放入一個(gè)審查程序中,檢查其是否有錯(cuò)誤,然后將新的副本推送到生產(chǎn)環(huán)境。在更新導(dǎo)致意外行為的情況下,應(yīng)該有一個(gè)定期測(cè)試和易于執(zhí)行的過(guò)程,將區(qū)域恢復(fù)到最后一個(gè)已知的良好狀態(tài);一個(gè)修訂控制系統(tǒng)可以幫助促進(jìn)這種恢復(fù)。審查您的DNS基礎(chǔ)設(shè)施還應(yīng)包括定期審查賬戶(hù),編輯訪問(wèn)用于維護(hù)區(qū)域文件的修訂控制系統(tǒng)。
與所有重要數(shù)據(jù)一樣,區(qū)域文件及其更改日志應(yīng)定期備份到安全的異地備份??尚艂浞菖c修訂控制相結(jié)合,將有助于建立用于恢復(fù)文件的“最后已知良好”版本。
如果區(qū)域文件的主副本存在于云DNS提供商中,您應(yīng)該確保所有可以編輯區(qū)域記錄的賬戶(hù)都遵守為注冊(cè)賬戶(hù)服務(wù)的強(qiáng)大安全條例。即使在使用云提供商時(shí),也要確保定期存儲(chǔ)區(qū)域文件的備份副本,以便在災(zāi)難恢復(fù)中使用。Akamai的Fast DNS產(chǎn)品提供了粒度訪問(wèn)控制(granular access control)、雙因素身份驗(yàn)證(two-factor authentication)以及輕松下載專(zhuān)區(qū)副本以便備份或?qū)徲?jì)的能力。
您的域名是否在注冊(cè)商處被鎖定?
域鎖定(domain locking)是防止未經(jīng)授權(quán)更改域注冊(cè)的一種方法。大多數(shù)域名注冊(cè)商允許注冊(cè)域名的注冊(cè)商鎖定(registrar locks),也稱(chēng)為客戶(hù)端鎖定(client locks)。與注冊(cè)商聯(lián)系,看看他們是否支持這項(xiàng)服務(wù)。如果可用,確保您的域是鎖定的。更具體地說(shuō),建議至少您的域名應(yīng)該有客戶(hù)端刪除、客戶(hù)端更新和客戶(hù)端傳輸鎖定功能,不要有客戶(hù)端重置鎖定。一些注冊(cè)商在他們的門(mén)戶(hù)只提供一個(gè)鎖定選項(xiàng),這往往會(huì)包含上述三個(gè)推薦的鎖定功能。鎖定功能集可以防止任何未經(jīng)授權(quán)的更新或傳輸,同時(shí)也防止攻擊者在沒(méi)有首先解鎖域之前刪除域注冊(cè)。而只要不設(shè)置重置鎖定,您仍然可以更新域名或利用注冊(cè)商的自動(dòng)更新功能。許多注冊(cè)商不會(huì)為鎖定功能收取費(fèi)用,有些甚至?xí)J(rèn)鎖定域名,無(wú)需您做任何事情。
除了客戶(hù)端/注冊(cè)商鎖定,一些gTLD或ccTLD運(yùn)營(yíng)商還提供服務(wù)器鎖定(server lock),也稱(chēng)為注冊(cè)表鎖定(registry lock)。服務(wù)器鎖定為域更新增加了額外的保護(hù)層,只有在注冊(cè)人的請(qǐng)求下,才能通過(guò)與注冊(cè)操作員的協(xié)調(diào)的“帶外”(out-of-band)進(jìn)程(通常是通過(guò)電話(huà))添加或刪除服務(wù)器鎖定。與客戶(hù)端鎖定一樣,建議的服務(wù)器鎖定是Server Delete、Server Update和Server Transfer,出于與前面相同的原因,不建議使用Server Renew。請(qǐng)注意,有些注冊(cè)商/TLD運(yùn)營(yíng)商并不提供這項(xiàng)服務(wù)。使用服務(wù)器或注冊(cè)表鎖定服務(wù)通常需要額外的成本,并涉及增加的注冊(cè)人/注冊(cè)商交互。
請(qǐng)注意,添加或刪除服務(wù)器/注冊(cè)表鎖定可能會(huì)導(dǎo)致更改域的延遲(長(zhǎng)達(dá)一周),例如更新注冊(cè)聯(lián)系信息、更新委托記錄、域轉(zhuǎn)移或域刪除。例如,當(dāng)轉(zhuǎn)移域之間的注冊(cè),您需要在傳輸過(guò)程開(kāi)始之前解除鎖定域。
在對(duì)您的域進(jìn)行更改時(shí),請(qǐng)確保使用WHOIS來(lái)驗(yàn)證鎖是否按預(yù)期應(yīng)用。要查詢(xún)WHOIS信息,您可以使用ICANN的WHOIS頁(yè)面,通過(guò)計(jì)算機(jī)終端的WHOIS命令,或者注冊(cè)網(wǎng)站的WHOIS頁(yè)面。下面您可以看到一個(gè)應(yīng)用客戶(hù)機(jī)/注冊(cè)機(jī)鎖的例子:
同樣,在檢查客戶(hù)端/注冊(cè)商和服務(wù)器/注冊(cè)表鎖定的WHOIS時(shí),應(yīng)該從您的WHOIS查詢(xún)返回以下內(nèi)容:
抱最好的希望,做最壞的打算
域名注冊(cè)商已被黑客入侵。DNS管理員賬戶(hù)已被攻破。等到這種情況發(fā)生就為時(shí)已晚了。將這些情況作為DNS審查工作的一部分進(jìn)行準(zhǔn)備。在您的域被劫持的情況下,向您的注冊(cè)商詢(xún)問(wèn)他們的恢復(fù)過(guò)程。他們應(yīng)該引導(dǎo)您完成準(zhǔn)備適當(dāng)文檔的過(guò)程。ICANN的SAC044服務(wù)建議收集以下文檔,以防備注冊(cè)商域名在被劫持的最壞情況:
這份名單來(lái)自ICANN SSAC,一個(gè)由ICANN委員會(huì)任命的安全專(zhuān)家小組。您的組織應(yīng)該充分利用他們來(lái)之不易的恢復(fù)被劫持域的經(jīng)驗(yàn)。
后續(xù)措施?
本指南僅僅是您的DNS審查和審計(jì)練習(xí)的開(kāi)始。未來(lái)的文章將深入探討DNSSEC、權(quán)威的DNS基礎(chǔ)設(shè)施、BGP劫持DNS資源、安全的DNS解析器以及DNS威脅的范圍。請(qǐng)繼續(xù)關(guān)注Akamai博客和Akamai社區(qū)的未來(lái)文章。