互联网上的每一小我私家和每一件事都依赖于域名系统(DNS)的正常运作。近年来,DNS一直是网络打击的常见东西,2019年固然也不例外。大大都这类打击的目的远比简单地让一家公司网络瓦解或粉碎一个网站越发险恶;已知的打击包孕重定向一家组织的部分或全部域名以获得访谒受掩护资源的权限、拦截流量甚至获得该域名的TLS证书。组织应按期进行DNS审查和审计。下面的指导说明将让您的审查迈出第一步。
为什么DNS常被打击?
DNS对付任何有线上平台的组织都是至关重要的。因此,打击域名是一个打击任何线上组织的有效要领,具体途径包孕拒绝处事、污损、滥用等其他方法。在当当代界,域名对付网页、语音、视频、聊天、API及公司可能供给或使用的所有其他处事都至关重要。
对这个问题缺乏重视是对您的DNS存在的最大威胁。许多组织认为DNS的安置设置是理所固然的,只需配置一次就可以永远保存它。然而,对手便会操作这种忽视和由此孕育产生的弱点。按期进行DNS审查和审计是一项根基的预防法子。
打击从哪里开始?
打击者可以通过DNS根区域、DNS注册中心/*域(TLD)(例如.com、.net、.uk、.jp等)、域名注册器、DNS名称注册器(该区域被委派的实体)、DNS区域文件、权威的DNS名称处事器和递归DNS解析器等对其进行打击。打击者还可以劫持路由,或以欺骗方法得到DNS处事器的IP地点。综上所述,打击面十分的广泛。好动静是DNS自己有较强的抵当能力,而且也有许多组织存眷着DNS的安适、不变和弹性。
第一个重点范围是DNS区域的打点(例如example.com)。DNS区域打点是许多组织在其安适和*中容易忽视的一个问题。不要低估打击的范畴和潜在风险:只要进入并访谒DNS区域和/或注册器,打击者就可以重定向入站电子邮件、通过打击者控制的主机引导流量,甚至可以获得TLS证书。
除此之外,域名注册商控制域名的权威名称处事器(或称“授权”,delegations)的列表。这些授权包孕对有关域具有权威性的DNS处事器的主机名和IP地点。权威的DNS处事器有一个主区域文件的副本,并用“权威答案”回应DNS盘问。近年来大规模打击的兴起已经转变了域所有者操纵其权威定名处事器的方法。过去,大大都组织在本身的系统上操纵权威的定名处事器。而如今,组织有了更多选择。有些域名注册商供给全面处事包,由注册商卖力打点和维护域名的完整DNS配置。例如,基于云的供给者如Akamai的Fast DNS可以供给应对DDoS打击的增强弹性成果,以及简化的根本设施打点。
DNS审查和审计事情
新闻报道、计算机应急响应小组(CERT)和当局通知可能会催促您“做DNS审计”,但建议往往到此为止。这篇文章的其余部分是一家组织应该审查的主题范围的调集,以评估他们目前的DNS“态度”。这些建议是基于Akamai自身经验、ICANN的安适和不变性咨询委员会(SSAC)、DNS操纵分析和研究中心(DNS-OARC)以及其他DNS专家的事情所得出。
审核对域名注册商的访谒
凭据注册商的要求查抄组织中当前的域打点员,并确保他们切合您的期望。查抄与注册商配置的所有域并确保您知道组织中有哪些人可以访谒注册商的在线门户,同时与这些用户进行确认。如果您有与多个注册商注册的域名,确保您向每一个注册商反复这个操纵。尽管如此,还是建议您考虑将注册合并到一个单一的注册商下。同时,找机会核实您所有的域名都在您的域名注册审计中——有些人可能已经使用小我私家账户注册了一个域名,如果他们分开了您地址的组织,这可能会导致掉去控制。
打击者会丰裕操作一家组织忽略的DNS缝隙。他们会找到没有妥善维护的账户,并对其进行粉碎。因此您的第一步就是在每个注册商处查抄、更新和记录哪些人可以访谒哪些区域。
审查域名系统的角色和责任
最少化访谒(least access)原则是一个最安适的准则:人们只需要拥有完成其事情所需的最低访谒权限。查抄能够访谒注册商的用户是否是其事情本能机能所必须。除了一次性审查之外,布置对每小我私家访谒级另外重复审查。别的,确保至少有两小我私家可以访谒每个注册门户;否则一旦打点员离职,访谒权限的丧掉将对组织造成灾难性后果。
请记住,打击者经常操作社交媒体作为网络垂钓测验考试的一部分。他们可以很容易地在社交媒体平台上锁定知名度高的员工,因为他们知道组织在重组、裁员或员工退休后可能会忘记删除注册信息。
员工权限转让
组织的预终止过程应该包孕对用户角色的审核。作为审核的一部分,组织应该审核员工对资源的访谒权限,好比注册账户或DNS云供给者,并终止所有权限。在合理的情况下,应尽快将权限赋予替代人员或继任人员。
终止措施还应改换或勾销离职员工可以获得的所有机密。除了暗码,这还应该包孕双重身份验证(2FA)令牌、口头身份验证暗码以及组织文件中任何授权员工的登记名单。无论员工离职的情况如何,这些都该当是一种通例操纵。这并不是对离职员工的玷污,而是组织规避威胁的须要手段。
更新所有注册资料
接下来,检察与您注册的域名相关联的联系信息。确保每个域名的有效期足够长(建议至少一年),并正确设置此中的各选项如自动续约等。一个不测过期的域名可能会导致巨大的财务本钱,在最坏的情况下,可能会无可挽回地丢掉,或是被竞争对手注册。
域名也凡是有四个联系点:注册人、技术、打点和账单联系人。您的注册商可能只会发送特定类型的讯息给这些角色中的一个,在某些争端中,注册人会处于优先的位置。确保所有的联系信息是最新的——因为在组织成长壮大、缩小、转移或被并购时,注册联系人的更新问题往往会被忽视。
使用角色账户获取域注册信息
为了辅佐打点域注册联系信息,组织经常使用一个角色账户(role account)来打点所有的四个必须的域联系点。角色账户的构建因组织而异,但根基思想是成立一个严格限制的邮件列表,所有域名注册信函都可以发送到该列表。这些角色职位凡是被定名为“域打点员”(Domain Administrator)或“主机打点员”(Hostmaster),并列出组织的总部联系信息,包孕地点、电话和传真号码。确保直接发送到这些号码的合法电话和传真仍将达到DNS打点员手中。使用角色职位,而不是指定的人员可以使得变动事情职责或者增加和删除人员越发灵活,而不需要在注册商处进行重要更新。如果使用邮件列表,您的按期审计应审查订阅邮件列表的员工,以限制潜在的滥用行为。
不要使用小我私家电子邮件地点
小我私家电子邮件地点不应该用作企业、当局或组织域打点员的联系点。作为审查过程的一部分,确保小我私家电子邮件地点从未用于域名联系信息或注册商访谒账户。