編輯部
目前改善 DNS 風險最好的方法是 DNS Security Extensions (DNSSec),這個協定組織負責確保 DNS 網名解析的真實與完整性。 DNSSec 或許並不完美,但卻成功遏止了許多攻擊擾亂 DNS 伺服器,以及導引使用者到他們選定的網站加以毒害。
DNS 的弱點可能使逐漸轉往網雲的運算技術面臨愈來愈多的攻擊。假設你用的是 SaaS (software-as-a-service) CRM 產品。一名業務人員輸入你 SaaS 供應商的 URL,你怎麼知道他的瀏覽器是連到供應商伺服器,而非流氓網站呢?
請想想 Comcast 的入口網站 Comcast.net 的例子。五月間,攻擊者取得 Comcast 的 Network Solutions 管理員帳號,並將客戶導到做了惡作劇的網頁。該公司花了好幾小時才重新取回網域控制權。要是攻擊者更完善一點,他們就能截取客戶資料,造成 Comcast 嚴重財務損失,而非只是讓他們難堪而已。
DNS 作為網際網路 20 多年來網域名稱解析系統的底層架構,今年因為 IOActive 研究員 Dan Kaminsky 發現到的弱點,使得綁架網域名稱變成一件幾分鍾內就能做到的簡單任務,而讓 DNS 安全成為眾所矚目的問題。風險到底有多高?它造成了網際網路史上最龐大的安全軟體修補程式的發布,16 家獲得 Kaminsky 分享弱點資源的廠商(包括 DNS 伺服器主要廠商,如 Cisco 、微軟和昇陽)在 7 月同一天內分別發佈各自的修補程式。
如果我們無法仰賴 DNS,業務單位透過網路存取關鍵應用,或信任機密資料能傳送到 SaaS 供應商而不被攔截這些事都將遭到挑戰。我們讀者都有這種想法︰在我們最近一次網雲運算 (Cloud Computing) 的調查中,安全是他們最大的疑慮之一。
目前改善 DNS 風險最好的方法是 DNS Security Extensions 或 DNSSec,這個協定組織負責確保 DNS 網名解析的真實與完整性。 DNSSec 或許並不完美,但卻成功遏止了許多攻擊擾亂 DNS 伺服器,以及導引使用者到他們選定的網站加以毒害。
到目前為止,企業主要仰賴 SSL 將機密資料送入網雲。 SSL 靠數位憑證來認證伺服器及加密。如果數位憑證有效,SSL 認證就可以防止假造,但若攻擊者對 DNS 下毒,並將每個想瀏覽如 citi.com 的使用者重導到他的伺服器上,他就可以關掉 SSL 的登入作用,讓使用者不會獲得錯誤訊息。另一項缺點是,SSL 的失敗,像是憑證過期或不被信任,或是網域名稱不符,經常令人覺得很不方便;因此,開發人員和使用者通常會忽略 SSL 警示訊息。
DNSSec 的角色就是在攻擊者成功釣上使用者之前予以阻止。
理論上,DNSSec 可確保使用者連接到特定網站,而 SSL 則是用作伺服器驗證。而大趨勢也是朝此發展。美國行政管理預算局已預定所有.gov 網域必須在 2009 年 12 月之前全面部署 DNSSec,而.org 則是預定從明年 1 月起分階段推展。
但推廣進度也就只有如此。 VeriSign 還沒簽下 2 個最多網站的頂級網域-它控管的.com 與.net,其流量都是極大。微軟尚未決定在用戶端及自有 DNS 伺服器上提供 DNSSec 軟體的時程,而 DNS 伺服器能感知 DNSSec 的服務供應商也還很少。