有很多恶意目的的人可以通过使用域名系统(DNS)攻击您的网络。
DNS安全策略的共存和交互
因为存在大量可用的DNS安全策略,因而逻辑上存在一个难题,即它们共存和交互的影响。在很多情况下,多种安全策略可以相互提升,并提供多层防御或“纵深防御”。可是,一些策略可能会相互冲突,因而需要确定什么策略应该优先。
以DNSSEC和DNS防火墙为例。DNSSEC(DNS安全拓展)定义了使用非对称密匙密码对DNS数据进行数字签名的互联网规范机制。此过程使此类签名的DNS数据的接受者可以验证数据签名,该数据签名证实DNS数据是真正的(即,由DNS管理员发布),而且该数据未在中途被修改或篡改。DNSSEC还提供了一种方法来验证要求的DNS数据的不存在。
DNS防火墙的作用
DNS防火墙是经过特殊配置的DNS服务器,它在将DNS数据传递回请求者以前会对其进行分析,并可能对DNS数据应用策略。当DNS防火墙试着联系恶意软件作者的指令和控制中心以获取攻击表明或导出敏感信息时,DNS防火墙针对识别受恶意软件影响的设备是必不可少的。
不管哪种情况,当恶意软件尝试通过在DNS中查找IP地址来联系中心时,DNS防火墙都是会与DNS数据的一些元素匹配,而且可以对数据应用相对的策略。这种策略可能需要不用更改地传递答案,彻底放弃响应或修改数据。可以修改答案,使数据显示为“未找到”。
签名问题
DNS防火墙对DNS数据进行的此类修改会使DNSSEC签名失效。如前所述,DNSSEC对承担该信息的管理员发布的DNS数据进行身份验证,即相对的权威DNS地区数据。“中间人”(或在这类情况下为DNS防火墙)对数据的一切修改(包含错误地将数据表示为“未找到”)将阻拦DNSSEC验证成功。
那麼,恶意软件作者是不是应该选择使用DNSSEC签名其DNS数据,DNS防火墙是不是会违背DNSSEC便于修改潜在性的恶意答案?依然会重视DNSSEC并将其没经修改地通过?虽然流行的开放源码ISC BIND DNS完成支持配置DNSSEC或防火墙策略优先的选项,但BIND默认情况下优先于DNSSEC。因而,攻击者可以简单地对其分析数据进行签名并对其恶意软件进行编程,以要求DNSSEC签名的DNS数据,进而绕过使用默认设置配置的DNS防火墙。假如您希望对所有查询响应都应用DNS防火墙策略,而不考虑到是不是存有DNSSEC签名,则一定要设置BINDDNS'break-dnssecyes'选项参数。
平衡风险
您需要权衡这二种可能相互冲突的防御机制中的哪一个应该优先考虑到,以最大水平地降低对您的网络和机构的整体风险。假如您具有靠谱的防火墙源和配置,则大多数人都希望打破DNSSEC来支持应用DNS防火墙策略。仅对与您的DNS防火墙触发器匹配的DNS数据毁坏DNSSEC验证;所有别的验证都将兑付。容许签名的数据通过为攻击者提供了一种简单的方法来绕过您的DNS防火墙。另一方面,因为配置为“打破dnssec”的DNS防火墙在删除当前失效的签名时传递了修改后的答案,因而这可能会导致验证客户端将未签名的响应解释为伪造的。
选择权衡
与大多数决策一样,一定要以安全性为导向,不然一定要进行权衡。细心确定每一个选项的风险,随后应用可最大水平降低整体风险的方法。
以上就是解决DNS冲突的安全性方法的介绍。
桂哥网络是一家面向企业提供云交换网络服务为核心业务的技术创新企业,公司有24*7专业运维团队支撑,可以快速定位客户使用中遇到的问题,最快解决问题。