DNS云学堂 |“悬崖之上”的DNS数据及安全加固思路4136
发表时间:2021-05-11 17:35 5G、物联网等新技术的发展,推动亿万终端接入互联网,网间传输着大量的用户数据。然而作为互联网应用访问的枢纽,DNS在其设计之初对数据的完整性、可靠性缺乏考虑,导致用户的资产信息、应用访问信息、访问行为等隐私数据对外暴露,存在安全隐患。本期云学堂将为大家阐述加固DNS数据安全的重要性。enjoy: 近来,IETF(互联网工程任务组)提出一项新的DNS安全技术草案——Oblivious DNS Over HTTPS。该技术提供公共秘钥加密、代理服务器两种手段,实现DNS数据安全的提升。 传统DNS请求过程 ODNS请求过程 由上图可以看出,传统DNS的请求和响应数据都是明文传输,用户请求的源IP地址、请求域名、请求类型、TTL、应答结果等信息都可被获取,攻击者可以对用户的访问数据、访问行为进行分析,实施下一步攻击;ODNS的请求和响应数据都使用秘钥加固,在DNS递归和权威解析的任何一个环节,只能获取用户的片段化信息,极大的提升了DNS查询过程中的数据安全性。但由于ODNS流程中增加了数据加密、代理转发、迭代查询过程,为整个DNS解析引入了额外的成本。 我们不禁要问:通过复杂性机制来提升DNS数据安全性,是否值得? 在《IDC 2020全球DNS威胁报告》中指出: Ø过去一年,全球 79% 的公司遭遇过 DNS 攻击,大部分企业承担着DNS攻击带来的经济损失,平均每次攻击造成的损失在924,000美元左右。 ØDNS网络钓鱼成为流行攻击方式,有39%的公司遭遇网络钓鱼,这意味着企业用户的隐私数据(如个人账户的用户名/密码、手机号、住址、银行账户密码等)可能被恶意攻击者窃取。 Ø17%的公司遭受到DNS隧道攻击,攻击者可以利用DNS隧道窃取用户的数据,或是将木马、蠕虫、恶意软件等植入用户的终端设备,致使设备中毒。 Ø另外,16%的受访者在遭遇DNS攻击的同时,隐私数据也被盗取,同比2019年为13%。企业用户的隐私数据在DNS攻击过程中的丢失的几率在不断增加。 在这种趋势下,DNS数据安全应该成为企业网络安全重点关注的问题。 整体上我们认为,企业用户面临的DNS隐私数据风险一般分为三层,任何一层没有得到防护,都可能导致用户的业务直接受损: Ø第一层(内部风险):攻击者将恶意软件植入到客户终端,使终端中毒,通过DNS请求外泄用户的隐私数据。 应对思考:针对此类风险,除了保证终端设备的安全外,我们也可以通过限制DNS数据的携带特征、流量特征以及DNS要查询的域名,检测请求传输过程中可疑的数据,从而保证DNS查询和响应过程中数据内容的安全可靠,避免用户数据外泄。 Ø第二层(DNS自身风险):由于DNS自身系统存在漏洞或安全合规机制不完善,导致在其上的业务配置、运维数据被窃取或篡改,用户数据的完整性和可靠性无法保证。 应对思考:针对此类风险,我们应该从整体系统安全的角度进行防护。 Ø操作系统安全:我们可以对操作系统进行安全加固,定期执行安全扫描,避免因系统的漏洞引发DNS攻击。 ØDNS业务安全:我们可以通过合规控制、权限划分、审计工作流、记录日志等手段保障业务数据的完整性和准确性。 Ø第三层(外部风险):由于DNS与互联网的交互数据透明传输,攻击者可以通过网络监听手段,收集用户的访问痕迹(如查询时间、访问内容、用户IP地址等)信息,并分析用户的行为习惯,进而实施下一步攻击,如缓存投毒。 应对思考:针对此类风险,我们可以通过DNSSEC、ODNS、DoH、DoT等技术,加密请求和应答数据,使攻击者无法对用户的DNS数据下手。 总结: 完善的DNS安全应该是服务+数据的双重保险,在确保DNS服务坚固的同时,加固隐私数据的传输通道,进而保障用户的网络安全。 声明:此篇为ZDNS-国家工程研究中心原创文章,转载请标明出处链接:https://www.zdns.cn/news/132.html
|