互聯(lián)網(wǎng)上的每一個(gè)人和每一件事都依賴(lài)于域名系統(tǒng)(DNS)的正常運(yùn)作��。近年來(lái)�����,DNS一直是網(wǎng)絡(luò)攻擊的常見(jiàn)對(duì)象�,2019年當(dāng)然也不例外。大多數(shù)這類(lèi)攻擊的目的遠(yuǎn)比簡(jiǎn)單地讓一家公司網(wǎng)絡(luò)崩潰或破壞一個(gè)網(wǎng)站更加險(xiǎn)惡��;已知的攻擊包括重定向一家組織的部分或全部域名以獲得訪問(wèn)受保護(hù)資源的權(quán)限���、攔截流量甚至獲得該域名的TLS證書(shū)�。組織應(yīng)定期進(jìn)行DNS審查和審計(jì)�����。下面的指導(dǎo)說(shuō)明將讓您的審查邁出第一步���。
為什么DNS常被攻擊����?
DNS對(duì)于任何有線上平臺(tái)的組織都是至關(guān)重要的��。因此,攻擊域名是一個(gè)攻擊任何線上組織的有效方法���,具體途徑包括拒絕服務(wù)��、污損���、濫用等其他方式。域名不僅代表您的品牌����,也是您的客戶(hù)與您進(jìn)行業(yè)務(wù)互動(dòng)的方式。在當(dāng)今世界�,域名對(duì)于網(wǎng)頁(yè)、語(yǔ)音��、視頻��、聊天���、API及公司可能提供或使用的所有其他服務(wù)都至關(guān)重要�����。簡(jiǎn)而言之,擁有自己域名的控制權(quán)對(duì)您的生意至關(guān)重要�。
對(duì)這個(gè)問(wèn)題缺乏重視是對(duì)您的DNS存在的最大威脅����。許多組織認(rèn)為DNS的安裝設(shè)置是理所當(dāng)然的�����,只需配置一次就可以永遠(yuǎn)保留它��。然而�,對(duì)手便會(huì)利用這種忽視和由此產(chǎn)生的弱點(diǎn)。定期進(jìn)行DNS審查和審計(jì)是一項(xiàng)基本的預(yù)防措施����。
攻擊從哪里開(kāi)始?
攻擊者可以通過(guò)DNS根區(qū)域���、DNS注冊(cè)中心/頂級(jí)域(TLD)(例如.com��、.net��、.uk���、.jp等)、域名注冊(cè)器、DNS名稱(chēng)注冊(cè)器(該區(qū)域被委派的實(shí)體)�、DNS區(qū)域文件、權(quán)威的DNS名稱(chēng)服務(wù)器和遞歸DNS解析器等對(duì)其進(jìn)行攻擊����。攻擊者還可以劫持路由,或以欺騙方式得到DNS服務(wù)器的IP地址�����。綜上所述�,攻擊面十分的廣泛。好消息是DNS本身有較強(qiáng)的抵抗能力��,而且也有許多組織關(guān)注著DNS的安全���、穩(wěn)定和彈性��。
第一個(gè)重點(diǎn)領(lǐng)域是DNS區(qū)域的管理(例如example.com)����。DNS區(qū)域管理是許多組織在其安全和網(wǎng)絡(luò)審查中容易忽視的一個(gè)問(wèn)題�。不要低估攻擊的范圍和潛在危害:只要進(jìn)入并訪問(wèn)DNS區(qū)域和/或注冊(cè)器,攻擊者就可以重定向入站電子郵件����、通過(guò)攻擊者控制的主機(jī)引導(dǎo)流量�,甚至可以獲得TLS證書(shū)����。
域名注冊(cè)商和DNS區(qū)域文件
除此之外�,域名注冊(cè)商控制域名的權(quán)威名稱(chēng)服務(wù)器(或稱(chēng)“授權(quán)”,delegations)的列表��。這些授權(quán)包括對(duì)有關(guān)域具有權(quán)威性的DNS服務(wù)器的主機(jī)名和IP地址����。權(quán)威的DNS服務(wù)器有一個(gè)主區(qū)域文件的副本,并用“權(quán)威答案”回應(yīng)DNS查詢(xún)����。近年來(lái)大規(guī)模攻擊的興起已經(jīng)改變了域所有者操作其權(quán)威命名服務(wù)器的方式。過(guò)去�,大多數(shù)組織在自己的系統(tǒng)上操作權(quán)威的命名服務(wù)器。而如今����,組織有了更多選擇。有些域名注冊(cè)商提供全面服務(wù)包����,由注冊(cè)商負(fù)責(zé)管理和維護(hù)域名的完整DNS配置�。例如�����,基于云的提供者如Akamai的Fast DNS可以提供應(yīng)對(duì)DDoS攻擊的增強(qiáng)彈性功能��,以及簡(jiǎn)化的基礎(chǔ)設(shè)施管理���。
DNS審查和審計(jì)工作
新聞報(bào)道���、計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和政府通知可能會(huì)敦促您“做DNS審計(jì)”,但建議往往到此為止���。這篇文章的其余部分是一家組織應(yīng)該審查的主題領(lǐng)域的集合����,以評(píng)估他們目前的DNS“態(tài)度”���。這些建議是基于Akamai自身經(jīng)驗(yàn)����、ICANN的安全和穩(wěn)定性咨詢(xún)委員會(huì)(SSAC)、DNS操作分析和研究中心(DNS-OARC)以及其他DNS專(zhuān)家的工作所得出����。
審查對(duì)域名注冊(cè)商的訪問(wèn)
按照注冊(cè)商的要求檢查組織中當(dāng)前的域管理員,并確保他們符合您的期望�����。檢查與注冊(cè)商配置的所有域并確保您知道組織中有哪些人可以訪問(wèn)注冊(cè)商的在線門(mén)戶(hù)�����,同時(shí)與這些用戶(hù)進(jìn)行確認(rèn)����。如果您有與多個(gè)注冊(cè)商注冊(cè)的域名�����,確保您向每一個(gè)注冊(cè)商重復(fù)這個(gè)操作���。盡管如此��,還是建議您考慮將注冊(cè)合并到一個(gè)單一的注冊(cè)商下����。同時(shí),找機(jī)會(huì)核實(shí)您所有的域名都在您的域名注冊(cè)審計(jì)中——有些人可能已經(jīng)使用個(gè)人賬戶(hù)注冊(cè)了一個(gè)域名���,如果他們離開(kāi)了您所在的組織����,這可能會(huì)導(dǎo)致失去控制����。
攻擊者會(huì)充分利用一家組織忽略的DNS漏洞。他們會(huì)找到?jīng)]有妥善維護(hù)的賬戶(hù)�����,并對(duì)其進(jìn)行破壞����。因此您的第一步就是在每個(gè)注冊(cè)商處檢查、更新和記錄哪些人可以訪問(wèn)哪些區(qū)域����。
審查域名系統(tǒng)的角色和責(zé)任
最少化訪問(wèn)(least access)原則是一個(gè)最安全的準(zhǔn)則:人們只需要擁有完成其工作所需的最低訪問(wèn)權(quán)限。檢查能夠訪問(wèn)注冊(cè)商的用戶(hù)是否是其工作職能所必需�。除了一次性審查之外��,安排對(duì)每個(gè)人訪問(wèn)級(jí)別的反復(fù)審查��。此外�����,確保至少有兩個(gè)人可以訪問(wèn)每個(gè)注冊(cè)門(mén)戶(hù)���;否則一旦管理員離職,訪問(wèn)權(quán)限的喪失將對(duì)組織造成災(zāi)難性后果��。
請(qǐng)記住�����,攻擊者經(jīng)常利用社交媒體作為網(wǎng)絡(luò)釣魚(yú)嘗試的一部分����。他們可以很容易地在社交媒體平臺(tái)上鎖定知名度高的員工���,因?yàn)樗麄冎澜M織在重組����、裁員或員工退休后可能會(huì)忘記刪除注冊(cè)信息。
員工權(quán)限轉(zhuǎn)讓
組織的預(yù)終止過(guò)程應(yīng)該包括對(duì)用戶(hù)角色的審核���。作為審核的一部分���,組織應(yīng)該審核員工對(duì)資源的訪問(wèn)權(quán)限,比如注冊(cè)賬戶(hù)或DNS云提供者����,并終止所有權(quán)限。在合理的情況下����,應(yīng)盡快將權(quán)限賦予替代人員或繼任人員。
終止程序還應(yīng)更換或撤銷(xiāo)離職員工可以獲得的所有機(jī)密��。除了密碼����,這還應(yīng)該包括雙重身份驗(yàn)證(2FA)令牌、口頭身份驗(yàn)證密碼以及組織文件中任何授權(quán)員工的登記名單�。無(wú)論員工離職的情況如何,這些都應(yīng)當(dāng)是一種常規(guī)操作���。這并不是對(duì)離職員工的玷污���,而是組織規(guī)避威脅的必要手段����。
更新所有注冊(cè)資料
接下來(lái)����,查看與您注冊(cè)的域名相關(guān)聯(lián)的聯(lián)系信息。確保每個(gè)域名的有效期足夠長(zhǎng)(建議至少一年)�����,并正確設(shè)置其中的各選項(xiàng)如自動(dòng)續(xù)約等�。一個(gè)意外過(guò)期的域名可能會(huì)導(dǎo)致巨大的財(cái)務(wù)成本,在最壞的情況下�����,可能會(huì)無(wú)可挽回地丟失��,或是被競(jìng)爭(zhēng)對(duì)手注冊(cè)�����。
域名也通常有四個(gè)聯(lián)系點(diǎn):注冊(cè)人��、技術(shù)�、管理和賬單聯(lián)系人。您的注冊(cè)商可能只會(huì)發(fā)送特定類(lèi)型的訊息給這些角色中的一個(gè)��,在某些爭(zhēng)端中�����,注冊(cè)人會(huì)處于優(yōu)先的位置����。確保所有的聯(lián)系信息是最新的——因?yàn)樵诮M織發(fā)展壯大、縮小�����、轉(zhuǎn)移或被并購(gòu)時(shí)�,注冊(cè)聯(lián)系人的更新問(wèn)題往往會(huì)被忽視。
使用角色賬戶(hù)獲取域注冊(cè)信息
為了幫助管理域注冊(cè)聯(lián)系信息��,組織經(jīng)常使用一個(gè)角色賬戶(hù)(role account)來(lái)管理所有的四個(gè)必需的域聯(lián)系點(diǎn)��。角色賬戶(hù)的構(gòu)建因組織而異��,但基本思想是建立一個(gè)嚴(yán)格限制的郵件列表,所有域名注冊(cè)信函都可以發(fā)送到該列表����。這些角色職位通常被命名為“域管理員”(Domain Administrator)或“主機(jī)管理員”(Hostmaster),并列出組織的總部聯(lián)系信息�,包括地址、電話(huà)和傳真號(hào)碼�。確保直接發(fā)送到這些號(hào)碼的合法電話(huà)和傳真仍將到達(dá)DNS管理員手中。使用角色職位�,而不是指定的人員可以使得更改工作職責(zé)或者增加和刪除人員更加靈活,而不需要在注冊(cè)商處進(jìn)行重要更新��。如果使用郵件列表���,您的定期審計(jì)應(yīng)審查訂閱郵件列表的員工���,以限制潛在的濫用行為。
不要使用個(gè)人電子郵件地址
個(gè)人電子郵件地址不應(yīng)該用作企業(yè)���、政府或組織域管理員的聯(lián)系點(diǎn)。作為審查過(guò)程的一部分��,確保個(gè)人電子郵件地址從未用于域名聯(lián)系信息或注冊(cè)商訪問(wèn)賬戶(hù)�。
- 使用員工的個(gè)人電子郵件地址(例如joe@gmail.com)作為聯(lián)絡(luò)點(diǎn),將會(huì)將域名的控制權(quán)移交到該員工手中。此外��,您也無(wú)法知道您的員工在他們的個(gè)人電子郵件賬戶(hù)上使用了什么樣的安全措施�����,因此您可能把自己暴露在一個(gè)心懷不滿(mǎn)的現(xiàn)任或前任員工的報(bào)復(fù)行為面前����。您所有的域名聯(lián)系人應(yīng)該包括由您的組織或母組織控制的電子郵件地址。
- 還應(yīng)該避免使用員工的組織或公司電子郵件地址(例如q.smith@examplecompany.com)�。暴露參與管理公司域名的個(gè)人姓名,就會(huì)使他們面臨更大的社會(huì)風(fēng)險(xiǎn)和針對(duì)公司的釣魚(yú)式攻擊��。相反����,應(yīng)該使用基于角色或基于部門(mén)的名稱(chēng)(例如hostmaster-technical@example.com、hostmaster-billing@example.com)���,最好是讓多個(gè)用戶(hù)接收發(fā)送到這些地址的通信���。
防范釣魚(yú)式攻擊
網(wǎng)絡(luò)釣魚(yú)是破壞注冊(cè)賬戶(hù)的主要攻擊之一。您有可能遭遇到針對(duì)DNS管理員的釣魚(yú)攻擊����,所以一個(gè)全面的釣魚(yú)防御是必不可少的���。以下一系列反釣魚(yú)技術(shù)可提供有效保護(hù),防止釣魚(yú)式攻擊���。
- 使用通用的�����、基于角色職能的或基于部門(mén)的電子郵件地址�����,例如domainadmin@example.com����。通過(guò)基于角色的賬戶(hù)收到的釣魚(yú)郵件通常更容易被管理員發(fā)現(xiàn)���。
- 在年度安全審查中加入反釣魚(yú)培訓(xùn)��,并要求所有DNS管理員完成培訓(xùn)��。
- 在DNS管理員(以及組織中的每個(gè)人)使用的所有設(shè)備上部署終端安全/安全軟件并加強(qiáng)安保措施��。
- 啟用電子郵件過(guò)濾服務(wù)��,以防止一些常見(jiàn)的釣魚(yú)和惡意軟件攻擊您的DNS管理員以及您的組織的其余部分����。
- 過(guò)濾DNS查詢(xún)�����,防止員工訪問(wèn)已知的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站����。像Akamai的企業(yè)威脅保護(hù)器(ETP)這樣的工具提供DNS級(jí)別的企業(yè)安全。
沒(méi)有可以阻止網(wǎng)絡(luò)釣魚(yú)攻擊的萬(wàn)全之策��,但是采用正確的防御組合將有助于組織降低風(fēng)險(xiǎn)�。
憑證更新——更改密碼
定期更改密碼是所有在線賬戶(hù)的良好做法,域名注冊(cè)商賬戶(hù)也不例外�。在對(duì)您的DNS基礎(chǔ)設(shè)施進(jìn)行審查時(shí),要求每個(gè)具有注冊(cè)服務(wù)器訪問(wèn)權(quán)限的人輪換他們的憑據(jù)����。雖然您的組織可能有一個(gè)全面的密碼策略,但是通常會(huì)忽略外部服務(wù)�����,如注冊(cè)服務(wù)器。外部賬戶(hù)應(yīng)遵守您的內(nèi)部密碼安全指導(dǎo)方針和輪換時(shí)間表�����。注冊(cè)服務(wù)器賬戶(hù)的密碼應(yīng)該是長(zhǎng)而復(fù)雜的�����;使用密碼管理器可以很容易地以加密��、冗長(zhǎng)和易找到的方式生成和存儲(chǔ)復(fù)雜的密碼����。密碼永遠(yuǎn)不應(yīng)該寫(xiě)下來(lái)或以未加密的形式存儲(chǔ)。
注冊(cè)商賬戶(hù)雙重認(rèn)證(2FA)
當(dāng)您的注冊(cè)商支持時(shí)���,所有賬戶(hù)都應(yīng)該使用雙重身份驗(yàn)證(2FA)�����。使用2FA時(shí)�����,任何試圖登錄到注冊(cè)器的人不僅需要賬戶(hù)密碼����,還需要第二個(gè)因素��,如智能手機(jī)應(yīng)用程序或硬件令牌等��。2FA可以阻止本來(lái)可能成功的網(wǎng)絡(luò)釣魚(yú)嘗試��。
如果可能的話(huà)�,應(yīng)該避免使用基于SMS的2FA?���;赟MS的2FA仍然優(yōu)于只使用密碼保護(hù)的賬戶(hù),但其他方法如基于時(shí)間的一次性密碼(TOTP)�、硬件令牌或基于推送的2FA應(yīng)該是首選的。新的NIST數(shù)字身份指南建議�����,短信作為2FA的一部分應(yīng)該被廢棄(參見(jiàn)NIST特刊800-63B)�����。
如果您的注冊(cè)商不支持2FA,申請(qǐng)這個(gè)功能��。如果他們不接受�����,考慮尋找替代的注冊(cè)商���。在許多情況下���,同一頂級(jí)域名、通用頂級(jí)域名和通用頂級(jí)域名都會(huì)存在處于競(jìng)爭(zhēng)關(guān)系的多個(gè)注冊(cè)商��。
了解注冊(cè)商的安全策略��、工具和流程
世界上有數(shù)百個(gè)域名注冊(cè)商�,支持超過(guò)1500個(gè)頂級(jí)域名。一些注冊(cè)商比其他機(jī)構(gòu)有更好的安全措施�����。您的組織可以幫助引導(dǎo)行業(yè)朝著更好的方向發(fā)展���。通過(guò)查看注冊(cè)商的在線文檔了解他們的安全實(shí)踐和策略����。如果無(wú)法找到此信息,請(qǐng)與注冊(cè)商進(jìn)行對(duì)話(huà)�����,并鼓勵(lì)他們發(fā)布此信息�����。
例如����,您的注冊(cè)商是否提供運(yùn)營(yíng)域所需的支持服務(wù)�?注冊(cè)商是否提供24×7技術(shù)支持,允許在非營(yíng)業(yè)時(shí)間進(jìn)行故障排除���?ICANN的政策要求您的當(dāng)前注冊(cè)商通知您�����,他們從注冊(cè)商那里收到的任何域名轉(zhuǎn)移請(qǐng)求���,表明有人已經(jīng)要求將域名轉(zhuǎn)移到一個(gè)新的注冊(cè)商��。您的注冊(cè)商是否只通過(guò)電子郵件發(fā)送此信息�����,或者您可以選擇通過(guò)電話(huà)或傳真請(qǐng)求此信息����?您的注冊(cè)商是否發(fā)送通知所有其他更新到您的域名���?ICANN的安全和穩(wěn)定性咨詢(xún)委員會(huì)(SSAC)與ICANN社區(qū)合作���,提供DNS操作和安全指導(dǎo)。ICANN的SAC 40保護(hù)域名注冊(cè)服務(wù)免受剝削或?yàn)E用的措施和SAC 44注冊(cè)人保護(hù)域名注冊(cè)賬戶(hù)指南是理解和評(píng)估注冊(cè)商安全實(shí)踐的出色指南�����。
審核隱私注冊(cè)選項(xiàng)
許多域名注冊(cè)商提供隱私或代理注冊(cè)服務(wù)�����。這些服務(wù)會(huì)對(duì)公眾隱藏您的個(gè)人聯(lián)系信息�����,并用ICANN-聯(lián)系信息取而代之。歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)已經(jīng)改變了在像WHOIS這樣的域注冊(cè)數(shù)據(jù)庫(kù)中發(fā)布信息的方式����。作為一般原則,一個(gè)基于角色注冊(cè)域名信息的方法可以兼容GDPR��,同時(shí)在您的域名下向社區(qū)提供最新的聯(lián)系信息�����。
注:在某些情況下����,代理服務(wù)器或隱私注冊(cè)表會(huì)妨礙獲取組織驗(yàn)證(OV)和擴(kuò)展驗(yàn)證(EV)SSL/TLS證書(shū)所需的驗(yàn)證過(guò)程���。啟用或禁用代理或隱私注冊(cè)的過(guò)程可能因注冊(cè)商而異��,在訂閱這些服務(wù)之前��,應(yīng)充分了解時(shí)間表��。在關(guān)閉隱私注冊(cè)方面的延遲可能會(huì)導(dǎo)致證書(shū)輪換失敗或域轉(zhuǎn)移的延遲���,如果需要這些服務(wù)的話(huà)����。應(yīng)該仔細(xì)考慮這些風(fēng)險(xiǎn)����。
在您的區(qū)域內(nèi)檢查和維護(hù)記錄
DNS區(qū)域包含許多主機(jī)名和子域,但許多DNS管理員可能不知道哪個(gè)部門(mén)或業(yè)務(wù)單位負(fù)責(zé)給定的條目���。主機(jī)名(hostname)指的是類(lèi)型為A���、AAAA、CNAME�、TXT等的記錄。子域由NS記錄的存在來(lái)指示����,并將對(duì)區(qū)域的該部分的控制委托給另一個(gè)名稱(chēng)服務(wù)器上的區(qū)域。
DNS管理員應(yīng)該知道哪些組或團(tuán)隊(duì)負(fù)責(zé)他們組織區(qū)域文件中的每個(gè)條目���。如果您的組織使用內(nèi)部票據(jù)跟蹤系統(tǒng)�����,信息可能存儲(chǔ)在系統(tǒng)中���,但在短時(shí)間內(nèi)可能不容易訪問(wèn)�����。確保隨著時(shí)間的推移精確地跟蹤區(qū)域的更改可能需要對(duì)內(nèi)部流程進(jìn)行更新�����。一旦您可以在您的區(qū)域文件中確定每個(gè)條目的責(zé)任方��,您應(yīng)該執(zhí)行定期審查并確保記錄���。驗(yàn)證每個(gè)主機(jī)名和子域的所有權(quán),并刪除過(guò)時(shí)的條目應(yīng)該是常規(guī)DNS審查的一部分�。
對(duì)于新的應(yīng)用程序����、服務(wù)或現(xiàn)場(chǎng)演示,可以快速添加記錄�,但是這些記錄可能在相關(guān)服務(wù)關(guān)閉或遷移之后仍然存在很長(zhǎng)時(shí)間。作為內(nèi)部產(chǎn)品生命周期的一部分��,確保對(duì)服務(wù)的關(guān)閉給予了足夠的重視,關(guān)閉過(guò)程包括通知DNS管理員不再需要主機(jī)名或子域�。
特別要注意委托的子域,因?yàn)樗鼈兊脑O(shè)計(jì)目的是將區(qū)域的一部分控制權(quán)讓給另一個(gè)名稱(chēng)服務(wù)器��。確保NS記錄是準(zhǔn)確的�����,并且它們?nèi)匀粸樽佑蛱峁?quán)威的答案���。如果您的組織將一個(gè)子域名委托給第三方DNS服務(wù)提供商����,那么經(jīng)常檢查委托子域名的答案就更重要了��,因?yàn)橥獠糠?wù)提供商可能會(huì)在沒(méi)有通知您他們的客戶(hù)的情況下重新使用這些IP地址��。如果一個(gè)區(qū)域被委托給由您的組織在第三方云提供商中運(yùn)行的名稱(chēng)服務(wù)器���,那么一定要跟蹤IP地址的變化并相應(yīng)地更新區(qū)域委托���。公共云計(jì)算傾向于快速重新啟用IP地址,因此無(wú)法審計(jì)您的NS記錄和相關(guān)的IP地址可能會(huì)導(dǎo)致域管理權(quán)的變更���。
名稱(chēng)服務(wù)器和區(qū)域文件最佳實(shí)踐
DNS審查應(yīng)包括對(duì)您控制的所有名稱(chēng)服務(wù)器上的所有用戶(hù)賬戶(hù)的審查��,包括“初級(jí)”和“次級(jí)”名稱(chēng)服務(wù)器�。可以訪問(wèn)名稱(chēng)服務(wù)器的用戶(hù)可以直接編輯域文件或更改系統(tǒng)上運(yùn)行的軟件����。不要僅僅依靠操作系統(tǒng)中的訪問(wèn)許可權(quán)或訪問(wèn)級(jí)別保護(hù),因?yàn)槔没蝈e(cuò)誤配置可能允許任何擁有賬戶(hù)的人訪問(wèn)區(qū)域文件或服務(wù)器配置實(shí)用程序����。確保保存訪問(wèn)日志以跟蹤什么人登錄到服務(wù)器;訪問(wèn)控制和問(wèn)責(zé)制對(duì)您的DNS基礎(chǔ)設(shè)施的所有部分都至關(guān)重要����。這在主輔模型中尤其重要,其中“初級(jí)”名稱(chēng)服務(wù)器包含區(qū)域文件的規(guī)范副本�,而“次級(jí)”名稱(chēng)服務(wù)器定期或根據(jù)請(qǐng)求將其從主服務(wù)器轉(zhuǎn)移過(guò)來(lái)。
DNS區(qū)域文件修改控制
審查還應(yīng)該包括對(duì)區(qū)域文件本身的管理�,以確保存在并執(zhí)行適當(dāng)?shù)淖兏芾砹鞒獭^(qū)域文件的主副本應(yīng)該存儲(chǔ)在修訂控制系統(tǒng)或其他訪問(wèn)控制存儲(chǔ)器中����。當(dāng)出現(xiàn)更改請(qǐng)求時(shí)��,DNS管理員生成一個(gè)更新的區(qū)域文件,將其放入一個(gè)審查程序中����,檢查其是否有錯(cuò)誤,然后將新的副本推送到生產(chǎn)環(huán)境�。在更新導(dǎo)致意外行為的情況下,應(yīng)該有一個(gè)定期測(cè)試和易于執(zhí)行的過(guò)程��,將區(qū)域恢復(fù)到最后一個(gè)已知的良好狀態(tài)�;一個(gè)修訂控制系統(tǒng)可以幫助促進(jìn)這種恢復(fù)。審查您的DNS基礎(chǔ)設(shè)施還應(yīng)包括定期審查賬戶(hù)���,編輯訪問(wèn)用于維護(hù)區(qū)域文件的修訂控制系統(tǒng)����。
與所有重要數(shù)據(jù)一樣��,區(qū)域文件及其更改日志應(yīng)定期備份到安全的異地備份���??尚艂浞菖c修訂控制相結(jié)合���,將有助于建立用于恢復(fù)文件的“最后已知良好”版本��。
如果區(qū)域文件的主副本存在于云DNS提供商中�����,您應(yīng)該確保所有可以編輯區(qū)域記錄的賬戶(hù)都遵守為注冊(cè)賬戶(hù)服務(wù)的強(qiáng)大安全條例���。即使在使用云提供商時(shí)���,也要確保定期存儲(chǔ)區(qū)域文件的備份副本,以便在災(zāi)難恢復(fù)中使用�����。Akamai的Fast DNS產(chǎn)品提供了粒度訪問(wèn)控制(granular access control)����、雙因素身份驗(yàn)證(two-factor authentication)以及輕松下載專(zhuān)區(qū)副本以便備份或?qū)徲?jì)的能力。
您的域名是否在注冊(cè)商處被鎖定��?
域鎖定(domain locking)是防止未經(jīng)授權(quán)更改域注冊(cè)的一種方法��。大多數(shù)域名注冊(cè)商允許注冊(cè)域名的注冊(cè)商鎖定(registrar locks)�,也稱(chēng)為客戶(hù)端鎖定(client locks)。與注冊(cè)商聯(lián)系,看看他們是否支持這項(xiàng)服務(wù)�。如果可用����,確保您的域是鎖定的。更具體地說(shuō)���,建議至少您的域名應(yīng)該有客戶(hù)端刪除���、客戶(hù)端更新和客戶(hù)端傳輸鎖定功能,不要有客戶(hù)端重置鎖定��。一些注冊(cè)商在他們的門(mén)戶(hù)只提供一個(gè)鎖定選項(xiàng)�����,這往往會(huì)包含上述三個(gè)推薦的鎖定功能�。鎖定功能集可以防止任何未經(jīng)授權(quán)的更新或傳輸,同時(shí)也防止攻擊者在沒(méi)有首先解鎖域之前刪除域注冊(cè)���。而只要不設(shè)置重置鎖定���,您仍然可以更新域名或利用注冊(cè)商的自動(dòng)更新功能。許多注冊(cè)商不會(huì)為鎖定功能收取費(fèi)用,有些甚至?xí)J(rèn)鎖定域名�����,無(wú)需您做任何事情�。
除了客戶(hù)端/注冊(cè)商鎖定,一些gTLD或ccTLD運(yùn)營(yíng)商還提供服務(wù)器鎖定(server lock)�,也稱(chēng)為注冊(cè)表鎖定(registry lock)。服務(wù)器鎖定為域更新增加了額外的保護(hù)層����,只有在注冊(cè)人的請(qǐng)求下,才能通過(guò)與注冊(cè)操作員的協(xié)調(diào)的“帶外”(out-of-band)進(jìn)程(通常是通過(guò)電話(huà))添加或刪除服務(wù)器鎖定�����。與客戶(hù)端鎖定一樣��,建議的服務(wù)器鎖定是Server Delete�、Server Update和Server Transfer,出于與前面相同的原因��,不建議使用Server Renew���。請(qǐng)注意�����,有些注冊(cè)商/TLD運(yùn)營(yíng)商并不提供這項(xiàng)服務(wù)�。使用服務(wù)器或注冊(cè)表鎖定服務(wù)通常需要額外的成本,并涉及增加的注冊(cè)人/注冊(cè)商交互��。
請(qǐng)注意���,添加或刪除服務(wù)器/注冊(cè)表鎖定可能會(huì)導(dǎo)致更改域的延遲(長(zhǎng)達(dá)一周),例如更新注冊(cè)聯(lián)系信息���、更新委托記錄����、域轉(zhuǎn)移或域刪除��。例如���,當(dāng)轉(zhuǎn)移域之間的注冊(cè)�����,您需要在傳輸過(guò)程開(kāi)始之前解除鎖定域���。
在對(duì)您的域進(jìn)行更改時(shí)�,請(qǐng)確保使用WHOIS來(lái)驗(yàn)證鎖是否按預(yù)期應(yīng)用�。要查詢(xún)WHOIS信息,您可以使用ICANN的WHOIS頁(yè)面���,通過(guò)計(jì)算機(jī)終端的WHOIS命令�,或者注冊(cè)網(wǎng)站的WHOIS頁(yè)面�����。下面您可以看到一個(gè)應(yīng)用客戶(hù)機(jī)/注冊(cè)機(jī)鎖的例子:
同樣�,在檢查客戶(hù)端/注冊(cè)商和服務(wù)器/注冊(cè)表鎖定的WHOIS時(shí),應(yīng)該從您的WHOIS查詢(xún)返回以下內(nèi)容:
抱最好的希望����,做最壞的打算
域名注冊(cè)商已被黑客入侵。DNS管理員賬戶(hù)已被攻破���。等到這種情況發(fā)生就為時(shí)已晚了��。將這些情況作為DNS審查工作的一部分進(jìn)行準(zhǔn)備�。在您的域被劫持的情況下�,向您的注冊(cè)商詢(xún)問(wèn)他們的恢復(fù)過(guò)程�。他們應(yīng)該引導(dǎo)您完成準(zhǔn)備適當(dāng)文檔的過(guò)程��。ICANN的SAC044服務(wù)建議收集以下文檔���,以防備注冊(cè)商域名在被劫持的最壞情況:
- 域名注冊(cè)記錄的副本(例如:帶有時(shí)間戳的WHOIS查找�����、截圖或來(lái)自注冊(cè)商門(mén)戶(hù)的導(dǎo)出)���。
- 結(jié)算記錄��,尤其是已顯示付款的記錄�。
- 將域名與您(合法注冊(cè)人)發(fā)布的內(nèi)容相關(guān)聯(lián)的日志、存檔或財(cái)務(wù)事務(wù)�����。
- 電話(huà)簿(黃頁(yè))����、營(yíng)銷(xiāo)材料等,其中包含將您(注冊(cè)人)與域名相關(guān)聯(lián)的廣告�。
- 來(lái)自注冊(cè)服務(wù)商和ICANN的提及域名的通信��。
- 將您(注冊(cè)人)與域名相關(guān)聯(lián)的法律文件���、稅務(wù)申報(bào)、政府頒發(fā)的身份證明�、營(yíng)業(yè)稅通知等。
這份名單來(lái)自ICANN SSAC���,一個(gè)由ICANN委員會(huì)任命的安全專(zhuān)家小組���。您的組織應(yīng)該充分利用他們來(lái)之不易的恢復(fù)被劫持域的經(jīng)驗(yàn)。
后續(xù)措施���?
本指南僅僅是您的DNS審查和審計(jì)練習(xí)的開(kāi)始��。未來(lái)的文章將深入探討DNSSEC����、權(quán)威的DNS基礎(chǔ)設(shè)施����、BGP劫持DNS資源、安全的DNS解析器以及DNS威脅的范圍�。請(qǐng)繼續(xù)關(guān)注Akamai博客和Akamai社區(qū)的未來(lái)文章����。
