編輯部網雲的資料外洩機會大
「我正和我想連線的伺服器連線」這種信任感是 client/server 模式的基礎,這在企業開始轉向 SaaS 與網雲運算之際更顯重要,因為這種模式下,儘管 IP 位址有變動,但網域名稱卻維持不變。
從一位要讓員工將資料傳送到 SaaS 供應商處的資安長的觀點來看,根本沒有辦法確定 DNS 回應是正確,且來自可信賴的來源。這個盲點讓攻擊者有機可趁,因為在他們竊聽應用程式或操弄對話之前,他們得誘騙不知情的使用者連到伺服器。 DNS spoofing(假造對 DNS 呼叫的回應)可讓攻擊者在 DNS 網名查詢的過程中,以他們控制的 IP 取代伺服器真正的 IP,藉此把使用者導引到他們控制的伺服器。
好消息是,綁架一個知名網站 DNS 通常時間不會太長。如果一個流量很大的網站,例如網雲運算的大型供應商被綁架了,使用者一定會察覺有異,而且那麼大的流量被導到假網站,合法網站的擁有者一定會被通知。同樣地,在擁有眾多使用者的快取 DNS 伺服器上的攻擊者也無法隱身太久。這兩種方式的副作用看起來好比使用者端連線變得很慢而不穩定,而被瞄準的 SaaS 或網雲運算廠商則會看到流量明顯下降,進而發動調查。此外,大部份攻擊者的功力還不足以造就一個足以亂真的大網站,就好比網路釣魚者不可避免會造成不倫不類英文句子的情況。
不過,請想像在一段繁忙的工作期間,員工將客戶資料傳到假的網站,哪怕只是一小時,造成的損害會有多大。精準度極高的攻擊較不容易被發現,一個粗心的員工可能透過公司內的代理伺服器來轉送流量。這比轉送整個網際網路容易得多,特別是如果攻擊者可以實地存取到網站的話。
DNS Security Extension 含一組標準可擴充 DNS,增加利用公鑰加密來為紀錄加簽與驗證的新功能。概念上和 SSL 近似,DNS 根部的或頂層網域如.com 、.gov 及.org 等信賴起源 (trust anchor) 可在各自轄區為紀錄加簽章。而子網域,像是 example.com 、 example.org 之後則會在其網域內為 DNS 紀錄加簽章。簽章意謂著
這些紀錄是真的,來自可信賴的轄區。能感知 DNSSec 的電腦或快取網域伺服器可以從頂層網域一路到你喜歡的網域名整個過程證明紀錄是經過簽章的。如果每項記錄都獲得承認,你的 DNS 就通過認證了。
理論上,DNSSec 很簡單,但其實細節是相當繁雜。實作起來,DNSSec 的部署需要 DNS 每一層次都更新流程,且會影響到網域管理各個面相。例如,必須在發出受 DNSSec 保護的網名發出之前,先定義好管理網名所有人要怎麼被註冊商認證和核准的政策。畢竟如果你無法檢測網域所有人的真偽,簽署網名就沒有什麼意義了。這個流程和在發 SSL 權證給 Web 伺服器時,認證機構認證網名所有人的流程很類似。接著你需要做密鑰管理 (Key management),這過程就有趣了。也就是說,檢查過程很複雜、耗時又花錢。
……未完(更多內容請參閱網路資訊雜誌 2008 年 11 月號 204 期)
(作/Mike Fratto‧譯/吳明宜)