本文選自《金融電子化》2019年08月刊
作者:大連銀行 李興剛
DNS是網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)設(shè)施,它的安全性對于互聯(lián)網(wǎng)的安全有著舉足輕重的影響。隨著信息化的高速發(fā)展,蠕蟲、病毒、木馬、漏洞攻擊、DDoS攻擊等威脅加劇,網(wǎng)絡(luò)的穩(wěn)定運行和應(yīng)用安全受到了較大的威脅和不良影響。其中針對DNS的攻擊也已成為最嚴重的威脅之一。
DNS系統(tǒng)的風(fēng)險和安全隱患
一直以來,互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的脆弱性有目共睹,域名系統(tǒng)的安全問題一直是互聯(lián)網(wǎng)門戶等業(yè)務(wù)站點運行的短板。DNS系統(tǒng)具有的公開性、匿名性、集中性使其成為攻擊者首選的攻擊目標,DNS安全維護迫在眉睫。具體問題如下:
1.利用范圍廣,難抵御
根據(jù)2018網(wǎng)絡(luò)安全趨勢分析報告指出,近91.3%的惡意攻擊和持續(xù)滲透使用DNS作為主要手段,幾乎所有的技防措施都允許DNS協(xié)議類型數(shù)據(jù)報文不受限制的傳輸,基于DNS的各種攻擊方式被廣泛應(yīng)用在攻擊鏈的各個環(huán)節(jié),而多數(shù)DNS維護團隊沒有針對且有效的DNS的監(jiān)控和防護手段。
2.運行風(fēng)險大,難防護
據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心2017年安全統(tǒng)計報告指出,通過從國內(nèi)近90萬臺的服務(wù)器監(jiān)測和掃描中發(fā)現(xiàn),57%的重要信息系統(tǒng)存在域名解析風(fēng)險,其中11.8%的域名處于“較高風(fēng)險狀態(tài)”。
3.系統(tǒng)漏洞多,難修復(fù)
BIND是最常用的DNS服務(wù)軟件,具有廣泛的使用基礎(chǔ),Internet上的絕大多數(shù)DNS服務(wù)器都是基于這個軟件的。BIND存在著眾多的安全性漏洞。中高危漏洞超過70%。除此之外,DNS服務(wù)器的自身安全性也是非常重要。目前主流的操作系統(tǒng)如windows、UNIX、linux均存在不同程度的系統(tǒng)漏洞和安全風(fēng)險,而補丁的管理也是安全管理工作中非常重要和困難的一個組成部分,如果漏洞修復(fù)不及時,DNS存在的風(fēng)險和安全隱患極易被攻擊者利用。
DNS安全加固建議
DNS作為網(wǎng)絡(luò)基礎(chǔ)服務(wù),無處不在。它的安全與穩(wěn)定是保證互聯(lián)網(wǎng)正常訪問的前提條件。不安全的DNS是攻擊者竊取企業(yè)內(nèi)部數(shù)據(jù)或遠程控制惡意軟件通信的重要途徑。DNS安全維護需要做到以下五點:
第一,提升DNS系統(tǒng)防護能力。在目前的網(wǎng)絡(luò)攻擊中,最讓運維人員頭疼的就是各種針對DNS的攻擊。所有DNS攻擊都需要基于DNS協(xié)議來完成,信息化建設(shè)在DNS系統(tǒng)防護需采用多維度的DNS協(xié)議防護平臺,通過多層次、預(yù)先集成的防護策略,提高DNS服務(wù)器的性能,確保不會成為網(wǎng)絡(luò)中的瓶頸。
第二,加強對DNS系統(tǒng)的實時監(jiān)控。DNS服務(wù)是一項實時性要求非常高的服務(wù),準確全面的監(jiān)控系統(tǒng)是整個DNS服務(wù)的運營基礎(chǔ)。DNS安全監(jiān)控需要一整套的監(jiān)控體系,包括網(wǎng)絡(luò)流量監(jiān)控、服務(wù)器內(nèi)核監(jiān)控模塊、解析監(jiān)控、服務(wù)器集群監(jiān)控等等。
第三,及時加固DNS及操作系統(tǒng)漏洞補丁。DNS域名系統(tǒng)已采用通用系統(tǒng)平臺及開源軟件如BIND應(yīng)及時進行漏洞補丁更新,對DNS底層承載系統(tǒng)進行加固,在非必要的情況下關(guān)閉除53端口的一切非DNS系統(tǒng)服務(wù)端口。并關(guān)注軟件商發(fā)布的最新安全漏洞,升級軟件系統(tǒng)。以下漏洞為開源ISCBIND存在的高危漏洞,攻擊者可以利用相關(guān)漏洞進行攻擊滲透,權(quán)限提升、非法數(shù)據(jù)竊取等操作。
第四,確保域名解析服務(wù)的獨立性。運行域名解析服務(wù)的服務(wù)器上不能同時開啟其他端口的服務(wù)。權(quán)威域名解析服務(wù)和遞歸域名解析服務(wù)需要在不同的服務(wù)器上獨立提供,限制遞歸服務(wù)的服務(wù)范圍。
第五,進行DNS訪問控制策略設(shè)計,保障安全隔離。網(wǎng)絡(luò)層的訪問控制被證明是最有效的(攻擊者很難繞過去)。網(wǎng)絡(luò)層訪問控制屬于基礎(chǔ)架構(gòu)安全,這是最有效最重要的,整個安全防護的基礎(chǔ)。訪問控制策略部署原則要做到明細允許,默認拒絕。
