DNS云学堂 | 超实用!金融机构互联网域名系统常见风险及防范建议(上篇)4099
发表时间:2021-06-09 18:53 随着移动互联、云计算及大数据等新技术与应用的飞速发展,银行业务开展面临着从线下到线上的转变。互联网支付、网银、信贷等业务在访问的第一步均由域名系统提供解析服务,用户终端获取域名对应的IP地址后发起并完成访问。此时,域名系统DNS已实际成为互联网应用的入口。 而DNS 作为一种网络开放式服务,在设计之初就缺乏信息验证机制,与生俱来的脆弱性,使攻击者对DNS的攻击成本极低。随着金融机构对于域名系统DNS依赖程度日益加强,DNS“小事故”在 “互联网+”新环境下造成的影响和损失会“指数级”放大,大范围影响网络业务正常访问。 由于DNS服务的重要性,金融机构一直在尝试增强互联网权威域名系统服务的健壮性。 目前常用的技术手段如下:
通过上述技术手段能够在一定程度增强互联网权威域名系统服务的健壮性,但行业内因为域名系统发生故障导致业务宕机的事件仍时有发生。 近几年发生过的一些事件:
出现上述问题的根本原因是:企业对域名服务体系不可控。因为全球互联网域名服务体系是一个非常庞大的分布式系统,整个系统分为:根、顶级域名、二级和二级以下域名,以及权威和递归域名解析服务,注册服务等。互联网用户访问互联网资源,需要通过递归服务器、根服务器、顶级域名服务器、权威服务器等多个层级。据统计,因DNS故障造成业务中断的问题中,由递归、顶级域、注册商等因素引起的占大多数。 而当前企业对域名体系各层级的监测和应急管理仍然是域名服务运营管理的盲区,企业互联网DNS服务运营管理的重点还在围绕自有权威系统展开,而忽视了其他方面。 结合多年金融行业服务经验,ZDNS针对互联网域名服务体系面临的安全风险以及防范建议如下: 风险一:域名到期未续费导致域名掉线 域名是有生命周期的,域名注册时限最长只能是10年,到期30天(注册局规定自动续费期最长45天,一般小于45天,具体自动续费期天数由注册商定义,此处假定注册商设置为30天)内可自动续费,如果未续费,域名将被删除,即当天停止解析;到期31-60天内,域名处于赎回期,此期间域名无法管理,需手工赎回;到期65天后,域名会重新回到资源池并开放给公众注册。域名掉线后会使所有者对应的资源无法访问,业务受到严重影响,如果不想高价把域名所有权买回来,只能重新注册域名。而重新注册域名要付出很大代价。 防范建议:
风险二:DNS系统服务可用性低 域名解析服务系统所用软件极其重要,一旦软件出现严重安全漏洞,互联网服务体系将面临灾难性崩溃。目前ISC Bind软件和Microsoft Windows 域名系统被广泛使用,据中国互联网络信息中心(CNNIC)《中国域名服务安全状况与态势分析报告2018》的数据显示,二级及以下权威域名服务器使用的域名解析软件ISC Bind和Microsoft DNS分别占比64.6%和15.9%。且42.6%的ISC Bind软件仍然开启版本应答功能。 2020年5月,ISC Bind爆出拒绝服务高危漏洞(CNVD-2020-29429对应CVE-2020-8617),中国境内可能有超过500万台服务器受这一漏洞影响导致域名解析服务崩溃;2020年9月,Bind再次爆出多个安全漏洞,涉及恶意新增权限、造成目标服务异常结束、查询数据包触发异常等诸多安全问题。据Microsoft 安全响应中心 (MSRC) 报告显示,2020年1月1日至今Windows DNS server爆出数十个安全漏洞。2020年7月Microsoft 发出警告,Windows服务器存在重大漏洞,其编号为CVE-2020-1350,该漏洞被发现已经存在17年之久,影响2003年到2019年的所有Windows Server版本。 防范建议:
声明:此篇为ZDNS-国家工程研究中心原创文章,转载请标明出处链接:https://www.zdns.cn/news/139.html
|