首頁 > 資安知識庫 > 駭客攻防與惡意程式威脅 > 駭客技術與新興威脅

DNS安全防護傘 - DNSSEC

作者:黃繼民 -2010 / 09 / 06 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
明槍易躲、暗箭難防!
在2008年駭客年會上,IOActive的安全研究員Dan Kaminsky所公佈的重大安全漏洞「DNS Cache Poisoning」,引發全球對於DNS安全問題的高度重視,也加速了DNSSEC的發展推動。當大家在思考雲端服務的同時,DNS安全威脅正高度的提升風險程度。當我們在使用SaaS、IaaS或PaaS時,如何確保連結的供應商其正確性?

DNSSEC簡介
DNSSEC是DNS Security Extensions的縮寫,我們可稱之為DNS安全擴充或DNS安全協議,設計目的是增強DNS服務的驗證。

DNS幫助我們將網域名稱跟網路位址提供翻譯服務(如:www.某公司.com.tw = 123.1.1.1),方便我們對於網站跟網路服務的取得;但各位試想,一旦DNS上原本正確合法的記錄遭到非法的竄改時(如:www.某公司.com.tw = 456.2.2.2),若再加上「一模一樣」的網頁內容,瀏覽該網站的使用者根本無從判斷真假。
DNS Cache Poisoning(DNS快取中毒)的攻擊方式便是透過DNS設計上的缺陷,假冒主要的DNS主機將錯誤的記錄傳遞給DNS Cache主機;類似的攻擊手法包括:Man-in-Middle attack(中間人攻擊)、DNS Hijacking(DNS綁架)、及DNS Pharming (DNS嫁接/釣魚假冒)等。因此DNSSEC可以針對DNS主機之間的資料傳遞上加以驗證來源與訊息內容的可信度。

DNSEC運作
DNSSEC是利用數位簽章的方式來達到驗證的目的;透過公鑰密碼學的機制,對於互相通訊的DNS主機之間利用單向雜湊函數(One-way Hash function)檢視訊息內容並產生一組雜湊值,管理者再以私鑰將驗證訊息及雜湊值加密,提供數位簽章。當DNS接收端收到訊息時,先將數位簽章解密,再利用雜湊值確認訊息內容未受竄改;DNSSEC藉數位簽章的簽署與驗章的過程,強化DNS假冒的安全風險,是目前最有效方式。

基本上DNSSEC是採用「非對稱式密碼演算法」的方式,因此金鑰的建立必須建立在「信任鍊(Chain of trust)」的基礎,確認公開金鑰確實屬於轄區組織所有,而非來自犯罪者,造成另一層的風險。針對此一問題,公開金鑰必須經過較高管理單位認證,以「某單位.edu」為例,其較高管理單位則為"edu";在可信任的條件下,DNS對於資訊的詢問、回應、記錄傳送(Zone Transfer)及動態更新都能獲得保護。
目前全球對於DNSSEC的佈署推動上,包括".com"、".net"、".edu"、".org"、"biz"等多個頂級網域負責單位都已簽署加入;由ICANN、美國政府和威瑞信(Verisign)領導的全球13臺root DNS Server,預計在今年完成DNSSEC佈署。以美國政府為例,自2008年即開始積極推動DNSSEC,第一階段針對聯邦政府所屬單位DNS系統完成佈署;同樣的,VeriSign也計畫在2011年完成".com"及".net"的DNSSEC導入。

DNSSEC是萬靈丹嗎?
事實上,DNSSEC並無法完全解決DNS所有的安全問題,DNS管理者仍舊必須對於系統本身勤加保護,包括漏洞修補、系統權限管控、駭客攻擊入侵防禦等工作。當Dan Kaminsky公佈「DNS Cache Poisoning」威脅時便大力呼籲全球DNS用戶必須盡快完成版本升級與漏洞修補作業,但此舉對於DNS假冒攻擊也只是治標的方法,盡速完成DNSSEC的佈署才是最有效的解決方法。

雖然目前DNSSEC是各界關注的重點,並且獲得各領域的支持,不過對於既有DNS系統要達成DNSSEC的佈署仍有許多瓶頸必須克服。由於DNSSEC採用非對稱式密碼演算法,對於資料的加解密作業將耗用既有DNS主機的資源,因此DNS系統管理者必須確保DNS主機的效能。

而DNSSEC另一個令人卻步的因素為驗證的設定維護方式,由於DNSSEC是一套針對DNS主機訊息溝通傳遞上的驗證機制,因此設定管理上一但發生失誤則會造成驗證失敗的情況,造成DNS資料無法正常傳遞(如Zone Transfer或動態更新記錄)。

對於DNSSEC的支援上,在BIND最新的版本v9.6.1已宣布支援DNSSEC相關的所有標準,目前ISC組織也開始BIND v10的開發,已符合DNSSEC的發展;微軟則在Windows 7及2008 Server提供更完整的DNSSEC標準支援。但對於一些小型家用路由器以及入侵偵測系統或防火牆來說,DNSSEC的支援也亟待提升。目前已有硬體式DNS系統,能夠方便DNS管理者容易維護操作DNSSEC。

下一代DNS服務
近年來DNS安全攻擊事件,以ISP和網站營運商首當其衝。DNSSEC已經被定義為下一代DNS服務的必要規範,預計在未來10年替代現有DNS系統架構;除了網域服務單位的推動外,包括Cisco、Juniper、Infoblox、F5等網路設備商都簽署加入DNSSEC行列。透過DNSSEC可以確保DNS網域名稱解析的真實與完整性,有效防止DNS攻擊與假冒詐欺的安全風險。


註:DNSSEC參考資訊:
(1) O''Reilly "DNS and BIND管理" 5th
(2) Infoblox "A Best Practices Architecture for DNSSEC"
(3)
Infoblox Security Center (http://www.infoblox.com/library/dns-security.cfm)
(4) TWCERT "DNSSEC安全機制實作"
(5) CNNIC 通訊 (2009年 第3期)


本文作者為達友科技業務經理
推薦此文章
13
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…