歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
DNS安全防護傘 - DNSSEC
2010 / 09 / 06
黃繼民
明槍易躲、暗箭難防!
在2008年駭客年會上,IOActive的安全研究員Dan Kaminsky所公佈的重大安全漏洞「DNS Cache Poisoning」,引發全球對於DNS安全問題的高度重視,也加速了DNSSEC的發展推動。當大家在思考雲端服務的同時,DNS安全威脅正高度的提升風險程度。當我們在使用SaaS、IaaS或PaaS時,如何確保連結的供應商其正確性?
DNSSEC簡介
DNSSEC是DNS Security Extensions的縮寫,我們可稱之為DNS安全擴充或DNS安全協議,設計目的是增強DNS服務的驗證。
DNS幫助我們將網域名稱跟網路位址提供翻譯服務(如:www.某公司.com.tw = 123.1.1.1),方便我們對於網站跟網路服務的取得;但各位試想,一旦DNS上原本正確合法的記錄遭到非法的竄改時(如:www.某公司.com.tw = 456.2.2.2),若再加上「一模一樣」的網頁內容,瀏覽該網站的使用者根本無從判斷真假。
DNS Cache Poisoning(DNS快取中毒)的攻擊方式便是透過DNS設計上的缺陷,假冒主要的DNS主機將錯誤的記錄傳遞給DNS Cache主機;類似的攻擊手法包括:Man-in-Middle attack(中間人攻擊)、DNS Hijacking(DNS綁架)、及DNS Pharming (DNS嫁接/釣魚假冒)等。因此DNSSEC可以針對DNS主機之間的資料傳遞上加以驗證來源與訊息內容的可信度。
DNSEC運作
DNSSEC是利用數位簽章的方式來達到驗證的目的;透過公鑰密碼學的機制,對於互相通訊的DNS主機之間利用單向雜湊函數(One-way Hash function)檢視訊息內容並產生一組雜湊值,管理者再以私鑰將驗證訊息及雜湊值加密,提供數位簽章。當DNS接收端收到訊息時,先將數位簽章解密,再利用雜湊值確認訊息內容未受竄改;DNSSEC藉數位簽章的簽署與驗章的過程,強化DNS假冒的安全風險,是目前最有效方式。
基本上DNSSEC是採用「非對稱式密碼演算法」的方式,因此金鑰的建立必須建立在「信任鍊(Chain of trust)」的基礎,確認公開金鑰確實屬於轄區組織所有,而非來自犯罪者,造成另一層的風險。針對此一問題,公開金鑰必須經過較高管理單位認證,以「某單位.edu」為例,其較高管理單位則為"edu";在可信任的條件下,DNS對於資訊的詢問、回應、記錄傳送(Zone Transfer)及動態更新都能獲得保護。
目前全球對於DNSSEC的佈署推動上,包括".com"、".net"、".edu"、".org"、"biz"等多個頂級網域負責單位都已簽署加入;由ICANN、美國政府和威瑞信(Verisign)領導的全球13臺root DNS Server,預計在今年完成DNSSEC佈署。以美國政府為例,自2008年即開始積極推動DNSSEC,第一階段針對聯邦政府所屬單位DNS系統完成佈署;同樣的,VeriSign也計畫在2011年完成".com"及".net"的DNSSEC導入。
DNSSEC是萬靈丹嗎?
事實上,DNSSEC並無法完全解決DNS所有的安全問題,DNS管理者仍舊必須對於系統本身勤加保護,包括漏洞修補、系統權限管控、駭客攻擊入侵防禦等工作。當Dan Kaminsky公佈「DNS Cache Poisoning」威脅時便大力呼籲全球DNS用戶必須盡快完成版本升級與漏洞修補作業,但此舉對於DNS假冒攻擊也只是治標的方法,盡速完成DNSSEC的佈署才是最有效的解決方法。
雖然目前DNSSEC是各界關注的重點,並且獲得各領域的支持,不過對於既有DNS系統要達成DNSSEC的佈署仍有許多瓶頸必須克服。由於DNSSEC採用非對稱式密碼演算法,對於資料的加解密作業將耗用既有DNS主機的資源,因此DNS系統管理者必須確保DNS主機的效能。
而DNSSEC另一個令人卻步的因素為驗證的設定維護方式,由於DNSSEC是一套針對DNS主機訊息溝通傳遞上的驗證機制,因此設定管理上一但發生失誤則會造成驗證失敗的情況,造成DNS資料無法正常傳遞(如Zone Transfer或動態更新記錄)。
對於DNSSEC的支援上,在BIND最新的版本v9.6.1已宣布支援DNSSEC相關的所有標準,目前ISC組織也開始BIND v10的開發,已符合DNSSEC的發展;微軟則在Windows 7及2008 Server提供更完整的DNSSEC標準支援。但對於一些小型家用路由器以及入侵偵測系統或防火牆來說,DNSSEC的支援也亟待提升。目前已有硬體式DNS系統,能夠方便DNS管理者容易維護操作DNSSEC。
下一代DNS服務
近年來DNS安全攻擊事件,以ISP和網站營運商首當其衝。DNSSEC已經被定義為下一代DNS服務的必要規範,預計在未來10年替代現有DNS系統架構;除了網域服務單位的推動外,包括Cisco、Juniper、Infoblox、F5等網路設備商都簽署加入DNSSEC行列。透過DNSSEC可以確保DNS網域名稱解析的真實與完整性,有效防止DNS攻擊與假冒詐欺的安全風險。
註:DNSSEC參考資訊:
(1) O''Reilly "DNS and BIND管理" 5th
(2) Infoblox "A Best Practices Architecture for DNSSEC"
(3)
Infoblox Security Center (http://www.infoblox.com/library/dns-security.cfm)
(4) TWCERT "DNSSEC安全機制實作"
(5) CNNIC 通訊 (2009年 第3期)
本文作者為達友科技業務經理
DNS
DNSSEC
phishing
釣魚
DNS Cache
DNS Security Extenseions
網域名稱
最新活動
2024.05.24
AI新技術 全面捍衛網路安全
2024.05.29
2024南科資安論壇
看更多活動
大家都在看
中芯數據觀察到GIS系統已成特定組織鎖定的攻擊目標
MITRE公布遭駭細節及攻擊指標
攻擊加速、漏洞修補慢 !Fortinet提漏洞紅區概念及整合平台
數十億Android 裝置可能面臨 Dirty Stream 攻擊
TXOne Networks揭示全球資安長在工控場域中的3大挑戰
資安人科技網
文章推薦
谷歌釋出更新修補Chrome九個安全漏洞,包括新的零日漏洞
「後量子資安產業聯盟」成立 加速提升我國量子安全的競爭力
微軟Patch Tuesday修補了61個漏洞,包含兩個正被利用的零日漏洞