https://twcert2024.informationsecurity.com.tw/

觀點

DNS 真的安全嗎?

2019 / 01 / 11
張哲綱
DNS 真的安全嗎?

DNS是非常重要的網際網路基礎核心服務,每天你打開IG、FB、瀏覽新聞、收發電子郵件,或者是操作聯網的公司系統,如果沒有DNS,這一切都無法實現。

在這個數字化世界中,很多企業都大量投資防火牆、入侵防護、終端保護和數據洩漏等。但是,要把所有東西連接起來,並把所有的一切變為現實服務,則都需要DNS來幫助實現,也就是說,DNS應該必須是安全可信的。但通常情況下,我們的DNS本身並沒有受到保護或提供保護。 DNS威脅尚不在少數,不管是DNS通道穿越攻擊(DNS Tunneling)、DNS快取毒害攻擊(DNS Cache Poisoning)、DNS漏洞攻擊(DNS-based Exploits),甚或藉由傳遞不正確DNS封包、釀成癱瘓式無窮迴圈,皆會讓企業不堪其擾。

敏感資料的外洩是最嚴重的風險之一,我們經常聽到個人資料洩露事件。雖然許多企業組織在幾乎都具備了資訊安全系統,如防火牆,入侵檢測系統和代理系統,但往往都會留一個通道是打開的,那就是 – 網域名稱系統(DNS)的通訊埠。然而,駭客和網路犯罪分子已經學會了利用這個通訊協定滲透到網路,建立隧道並且竊取公司皇冠上的寶石 – 公司的機敏資料。

DNS為什麼不安全?企業的安全設施就像是一座城堡,給城堡修了很高、很厚的牆,並在上面加了堡壘,修了護城河,可以保證城牆沒有問題,但是如果你的門有問題,這扇門一腳就能踹開,那麼這座城池還是不安全的。而現在企業最大的安全問題就是門的問題,DNS就是這道門!

因此,我們必需有所警覺到DNS可以在每秒達到數千甚至是上萬次或更多,而駭客可以在短時間內取得一個包含敏感資料的完整客戶資料庫。因此,我們陸續要面臨的挑戰是要確定這個龐大的DNS 系統裡那些是正常的?那些是異常的?並且我們可以有能力判斷在正常的狀況中是否包含不尋常的資料,因為在如此龐大的資料量中,我們是沒有辦法以人工來判斷正常或異常的。因此,分析與判斷是一個重要的防範DNS安全問題的因素之一。

怎麼防範這些DNS安全問題?
數字轉型時代,很多企業已經意識到IT工作的重要性,IT技術成為新的商業模式的主要驅動因素,企業必須改變自己傳統遺留下的運營模式。比如: Uber、Netflix等公司,他們並沒有自己的實體資產,但他們能用一種無縫的方式,通過網路和雲端服務,把用戶、設備和應用都連接起來。

而安全是連接的基礎,只有在保證安全的前提下,才能使更多企業更加願意擁抱及加入網路化。將使用者、設備、應用順暢地連接起來的技術進而保護企業用戶、企業數據、企業基礎設施,讓企業用戶不受安全風險的影響,採以智能的方式或許是一種確保DNS的安全性 讓DNS伺服器自身即可經由特徵比對,迅速判斷流量正常與否,以利於捨棄異常流量,確保DNS服務恆常運行。

結論
DNS 通訊協定已經超過30歲了,當初只是為了網路資料分享而生,沒有考慮太多的安全問題。隨著資訊不斷演進,威脅為了達到目的,不斷的試著規避新技術的偵測,DNS的資安問題正日漸升高。如今,DNS已成為應用層攻擊的頭號目標服務,放大攻擊中使用的頭號協議,是攻擊者理想的攻擊手段。利用DNS將網路用戶導引到相應網站並將他們納入攻擊行動的節點,已經成為惡意攻擊的一個重要途徑。然而DNS 又是每個組織企業所不可缺少的服務,無論是網站或是電子郵件,都必須以DNS 作為基本核心服務,這是新一代資訊人員必須思考與面對的挑戰與問題。

本文作者目前擔任Infoblox 公司技術顧問,台灣地區之技術支援、專案規劃及市場推廣等工作,擅長於企業IP應用、資料、資訊安全、以及無線網路整合之規劃及各項技術。