怎样掩护您的域名体系免遭挟制?
|
多年来,大局限域名体系挟制(凡是以DNS进攻或DDoS进攻的情势)一向在不变增添。可是2019年DNS挟制变乱的数目空前,促使英国国度收集安详中心就这一威胁向相干组织发出警报并提供提议:进修怎样掩护您的域名体系免遭挟制。
1. DNS挟制的效果 DNS进攻比其他进攻更能粉碎用户对互联网的信赖。从数据偷盗到财政诓骗等一系列效果,任何受到DNS进攻的人城市对互联网保持鉴戒,尤其是对进攻发源地的域名发生猜疑。众所周知,蒙受DNS挟制而受伤的客户会放弃大批受影响的处事,同时也会侵害到收入和品牌荣誉。 (1) 通过挟制一个域名,黑客可以有用地操作兵器为公司提供在线处事。 DNS挟制会对组织及其品牌形象造成劫难性的效果。当一家公司成为DNS挟制的受害者时,其客户将面对诓骗、数据偷盗、加害隐私和财政丧失的风险。公司的品牌荣誉受损,导致客户流失和收入降落。另外,公司还也许会受到禁锢机构的罚款或其他赏罚。 (2) 小我私人和企业都也许成为进攻的方针,但网站全部者面对的效果最严峻。 互联网用户信赖他们会见的网站是安详、靠得住和加密的,可以或许掩护他们的在线数据。 诸如《通用数据掩护条例》之类的禁锢机构也将为此支付价钱。英国航空公司最近因涉及一路DNS挟制的数据泄漏而被罚款2.3亿美元,该DNS挟制将流量重定向到诓骗网站。当用户将名誉卡数据输入他们以为是正当的英国航空公司网站时,高出40万名客户受到了影响。 DNS挟制造成的收入、客户和品牌荣誉丧失将直接影响公司的利润和成本代价。 2. 为什么DNS轻易受到进攻 思量到大大都组织的在线处事和运营局限,DNS是一个布满隐藏裂痕的复杂收集也就不敷为奇了。废弃的域名、单薄的暗码节制和沉重的打点进程越发剧了这些瑕玷。 (1) 黑客凡是会操作公司忽视打点的逾期或忘记的域名。 一个被忘记的域名让戴尔在放弃了对它的节制权,该域名行使户可以或许一键将其电脑备份到在线处事上。黑客发明这一疏忽后,便盗用了该域名,将环球各地的戴尔计较机用户重定向到一个包括布满了露骨内容和伤害下载内容的网站。这对戴尔品牌荣誉的侵害是庞大的。 (2) 未行使或“孤独”的域名是另一个题目:当公司打点数百个乃至数千个域名时,很轻易忽略受到侵害的域名。 在称为“垃圾熊”的进攻中,黑客操作GoDaddy的DNS体系从600家全部者中窃取了4,000个孤独域名,个中包罗ING Bank、Hilton、McDonald's和Mastercard。这些域名出格轻易受到进攻,由于它们被忘记在主处事器之外而且没有获得有用的打点。 (3) 域名体系的打点和会见易受进攻。 DNS节制体系的会见应仅限于授权职员,然而,因为暗码打点不良,他们轻易受到进攻。未经授权的集体常常得到对公司DNS节制体系,挟制域名和DNS的会见权,乃至袒护其踪迹以躲避检测。因为DNS控件也许涉及DNS全部者和DNS处事提供商的操纵,以是这两个体系都必要安详的暗码节制,譬喻双身分身份验证。 (4) 低效、无效的改观打点流程减弱了DNS的安详性。 较小的变革也许会使域名面对风险,因此打点员必需全力地跟踪何时、何地、为什么以及怎样举办变动。这项事变凡是是手动完成的,增进了错误和疏忽,危及DNS安详的风险。 (5) 无效的变动打点导致DNS安详配置被忽略或失效。 配置(譬喻用于验证用户和目标地的域名体系安详扩展)以及用于考核电子邮件用户的基于域名的邮件验证、陈诉和同等性以及发件人计策框架,被普及以为是逼迫性和须要的安详法子。正在举办的对《财产》1000强公司的观测表现,这些掩护要么所有丢失,要么陈设不正确,使受影响组织的DNS收集和客户蒙受严峻的粉碎。 为了掩护每小我私人的好处,公司必需通过全面有用地打点来增强DNS的安详性。 3. 怎样掩护您的域名体系免受挟制 提防DNS进攻首要是打点不绝增添的DNS收集操纵局限,停止挟制并行使以下计策掩护来DNS。 (1) 整合到一个平台 将全部域名注册商和DNS处事提供商归并为一个企业级注册商和DNS处事提供商。在一个平台上事变可以更轻松地节制和举办会见,实现更强盛的暗码掩护以及行使沟通的最佳实践去打点全部历程。单一平台还应承用户激活“自动续订”和“注册商锁定”成果,以镌汰失败的域名续订和未经授权的DNS变动的机遇。 (2) 消除不须要的域名 对全部域名(包罗未行使的域名)的打点和维护都应与高级域名沟通。起劲主动地消除孤独的域名并打点也许轻易被滥用的DNS配置,譬喻未行使的IP地点和穷乏授权起始(SoA)的域名。 (3) 整合改观打点 实验基于体系的改观打点平台,该平台依靠自动化而不是手动输入。自动化阻止未经授权的变动,将已授权的变动关照给打点员,并对体系内的全部勾当举办防改动考核。抱负环境下,该平台集成了全部与DNS相干的打点使命,包罗用于加密的TLS证书和DNSSEC之类的安详配置。 (4) 自动化的打点历程 通过自动化历程来降服重要的DNS安详成果的伟大性。DNSSEC、DMARC和SPF的打点难度大且本钱奋发,这对很多公司而言在经济上是不行一连的。自动化的DNS安详使其在财政上可行且易于打点,同时确保完全合规。 客户和用户将避开他们以为不安详的网站。每个具有在线处事的组织都必要将DNS安详视为优先事项,互联网的安详性取决于此。
(编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
