本文選自《金融電子化》2019年08月刊
作者:大連銀行 李興剛
DNS是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)設(shè)施,它的安全性對于互聯(lián)網(wǎng)的安全有著舉足輕重的影響。隨著信息化的高速發(fā)展,蠕蟲、病毒、木馬、漏洞攻擊、DDoS攻擊等威脅加劇,網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和應(yīng)用安全受到了較大的威脅和不良影響。其中針對DNS的攻擊也已成為最嚴(yán)重的威脅之一。
DNS系統(tǒng)的風(fēng)險(xiǎn)和安全隱患
一直以來,互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的脆弱性有目共睹,域名系統(tǒng)的安全問題一直是互聯(lián)網(wǎng)門戶等業(yè)務(wù)站點(diǎn)運(yùn)行的短板。DNS系統(tǒng)具有的公開性、匿名性、集中性使其成為攻擊者首選的攻擊目標(biāo),DNS安全維護(hù)迫在眉睫。具體問題如下:
1.利用范圍廣,難抵御
根據(jù)2018網(wǎng)絡(luò)安全趨勢分析報(bào)告指出,近91.3%的惡意攻擊和持續(xù)滲透使用DNS作為主要手段,幾乎所有的技防措施都允許DNS協(xié)議類型數(shù)據(jù)報(bào)文不受限制的傳輸,基于DNS的各種攻擊方式被廣泛應(yīng)用在攻擊鏈的各個(gè)環(huán)節(jié),而多數(shù)DNS維護(hù)團(tuán)隊(duì)沒有針對且有效的DNS的監(jiān)控和防護(hù)手段。
2.運(yùn)行風(fēng)險(xiǎn)大,難防護(hù)
據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2017年安全統(tǒng)計(jì)報(bào)告指出,通過從國內(nèi)近90萬臺的服務(wù)器監(jiān)測和掃描中發(fā)現(xiàn),57%的重要信息系統(tǒng)存在域名解析風(fēng)險(xiǎn),其中11.8%的域名處于“較高風(fēng)險(xiǎn)狀態(tài)”。
3.系統(tǒng)漏洞多,難修復(fù)
BIND是最常用的DNS服務(wù)軟件,具有廣泛的使用基礎(chǔ),Internet上的絕大多數(shù)DNS服務(wù)器都是基于這個(gè)軟件的。BIND存在著眾多的安全性漏洞。中高危漏洞超過70%。除此之外,DNS服務(wù)器的自身安全性也是非常重要。目前主流的操作系統(tǒng)如windows、UNIX、linux均存在不同程度的系統(tǒng)漏洞和安全風(fēng)險(xiǎn),而補(bǔ)丁的管理也是安全管理工作中非常重要和困難的一個(gè)組成部分,如果漏洞修復(fù)不及時(shí),DNS存在的風(fēng)險(xiǎn)和安全隱患極易被攻擊者利用。
DNS安全加固建議
DNS作為網(wǎng)絡(luò)基礎(chǔ)服務(wù),無處不在。它的安全與穩(wěn)定是保證互聯(lián)網(wǎng)正常訪問的前提條件。不安全的DNS是攻擊者竊取企業(yè)內(nèi)部數(shù)據(jù)或遠(yuǎn)程控制惡意軟件通信的重要途徑。DNS安全維護(hù)需要做到以下五點(diǎn):
第一,提升DNS系統(tǒng)防護(hù)能力。在目前的網(wǎng)絡(luò)攻擊中,最讓運(yùn)維人員頭疼的就是各種針對DNS的攻擊。所有DNS攻擊都需要基于DNS協(xié)議來完成,信息化建設(shè)在DNS系統(tǒng)防護(hù)需采用多維度的DNS協(xié)議防護(hù)平臺,通過多層次、預(yù)先集成的防護(hù)策略,提高DNS服務(wù)器的性能,確保不會成為網(wǎng)絡(luò)中的瓶頸。
第二,加強(qiáng)對DNS系統(tǒng)的實(shí)時(shí)監(jiān)控。DNS服務(wù)是一項(xiàng)實(shí)時(shí)性要求非常高的服務(wù),準(zhǔn)確全面的監(jiān)控系統(tǒng)是整個(gè)DNS服務(wù)的運(yùn)營基礎(chǔ)。DNS安全監(jiān)控需要一整套的監(jiān)控體系,包括網(wǎng)絡(luò)流量監(jiān)控、服務(wù)器內(nèi)核監(jiān)控模塊、解析監(jiān)控、服務(wù)器集群監(jiān)控等等。
第三,及時(shí)加固DNS及操作系統(tǒng)漏洞補(bǔ)丁。DNS域名系統(tǒng)已采用通用系統(tǒng)平臺及開源軟件如BIND應(yīng)及時(shí)進(jìn)行漏洞補(bǔ)丁更新,對DNS底層承載系統(tǒng)進(jìn)行加固,在非必要的情況下關(guān)閉除53端口的一切非DNS系統(tǒng)服務(wù)端口。并關(guān)注軟件商發(fā)布的最新安全漏洞,升級軟件系統(tǒng)。以下漏洞為開源ISCBIND存在的高危漏洞,攻擊者可以利用相關(guān)漏洞進(jìn)行攻擊滲透,權(quán)限提升、非法數(shù)據(jù)竊取等操作。
第四,確保域名解析服務(wù)的獨(dú)立性。運(yùn)行域名解析服務(wù)的服務(wù)器上不能同時(shí)開啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨(dú)立提供,限制遞歸服務(wù)的服務(wù)范圍。
第五,進(jìn)行DNS訪問控制策略設(shè)計(jì),保障安全隔離。網(wǎng)絡(luò)層的訪問控制被證明是最有效的(攻擊者很難繞過去)。網(wǎng)絡(luò)層訪問控制屬于基礎(chǔ)架構(gòu)安全,這是最有效最重要的,整個(gè)安全防護(hù)的基礎(chǔ)。訪問控制策略部署原則要做到明細(xì)允許,默認(rèn)拒絕。
