保护DNS对数字网络安全越来越重要
什么是DNS?
簡而言之,域名系統(tǒng)可以使用互聯(lián)網(wǎng)。作為重要的目錄檢索功能,可以將文本網(wǎng)站轉(zhuǎn)換為我們的設(shè)備連接到網(wǎng)站、電子郵件和其他互聯(lián)網(wǎng)應(yīng)用程序的數(shù)字互聯(lián)網(wǎng)地址。
組織在DNS中發(fā)布網(wǎng)站,使人們能夠輕松地在互聯(lián)網(wǎng)上找到。如果客戶因DNS故障無法訪問您的網(wǎng)站,可能會遭受財務(wù)、聲譽或其他形式的損失。如果你的DNS不能操作,你在網(wǎng)上看不見。
DNS對Internet的運行至關(guān)重要,因此DNS不僅可以作為攻擊目標,還可以作為攻擊工具使用DNS載攻擊,以DNS通過防火墻流向和來自網(wǎng)絡(luò)為前提。
網(wǎng)絡(luò)工程師為了更完全地保護網(wǎng)絡(luò),必須考慮DNS漏洞和防御措施。
觀察到DNS攻擊。
調(diào)查的主要發(fā)現(xiàn),過去12個月有一半以上的受訪者經(jīng)歷了某種形式的惡意軟件和恐嚇軟件的攻擊,其中約15%表示了某種形式的聲譽和財務(wù)損失。
2016年思科安全報告顯示,并非所有惡意軟件和恐嚇軟件都使用DNS,但超過90%的惡意軟件使用DNS與惡意軟件作者的命令和控制中心聯(lián)系。通過這種方式,安裝在感染設(shè)備上的惡意軟件可以接受攻擊說明,下載惡意軟件更新并導出網(wǎng)絡(luò)內(nèi)部收集的敏感信息。因此,監(jiān)控DNS和防火墻保護DNS可以導致惡意軟件或恐嚇軟件的活動和擴散。
除了滲透這樣的惡意軟件和恐嚇軟件外,回答者還表示被拒絕或分布拒絕服務(wù)(DoS/DDoS)攻擊反映了DDoS、域劫持和DNS緩存中毒。當攻擊者在回應(yīng)真實或權(quán)威服務(wù)器前回應(yīng)給出目標的查詢時,可能會發(fā)生DNS緩存中毒。毒害DNS服務(wù)器緩存并不一件容易的事情,因為響應(yīng)中的其他參數(shù)必須補充查詢。但是,這種攻擊可以劫持沒有戒心的用戶來冒充網(wǎng)站,強大的域名劫持攻擊也可以劫持。這些操作你或你父親區(qū)域的DNS服務(wù)器信息。
防御措施。
給出這些DNS攻擊媒體,對于DNS和使用DNS的其他網(wǎng)絡(luò)和計算要素的攻擊媒體的多樣性,需要多種戰(zhàn)略來有效防御。當與其他DNS和傳統(tǒng)的網(wǎng)絡(luò)安全戰(zhàn)略一起使用時,這些戰(zhàn)略中的許多戰(zhàn)略也有助于深度防御方法。
一半以上的回答者已經(jīng)完全實施了訪問控制列表(ACL)、DoS/DDoS保護,查詢監(jiān)控取證功能,基于角色部署的基本安全措施,包含滲透范圍。約一半的回答者實施了DNS服務(wù)器的強化,其他30%的回答者計劃在2年內(nèi)實施。
超過四分之一的受訪者完全實現(xiàn)了DNS防火墻的功能,這是檢測和阻止惡意軟件與命令和控制中心聯(lián)系的有效方法。DNS防火墻戰(zhàn)略使戰(zhàn)略的執(zhí)行能夠阻止這樣的查詢和重定向查詢回答,將設(shè)備連接到緩和門戶進行補救。近75%的受訪者計劃在兩年內(nèi)實施DNS防火墻解決方案,這應(yīng)該有助于抵御這種最普遍的DNS攻擊。
今后兩年,40%的受訪者支持或計劃支持DNS安全擴張。
DNSSEC提供了DNS分辨率相關(guān)的數(shù)字簽名,使用戶能夠?qū)Υ祟愴憫?yīng)進行身份驗證,從而大大降低了通過緩存中毒可能導致的域的可能性。盡管DNSEC的早期實現(xiàn)很難初始化和維護,但如今,許多開源和商業(yè)產(chǎn)品使大部分或全部密碼設(shè)置和維護自動化。遺憾的是,我們發(fā)現(xiàn)這種對復雜性的看法仍然普遍存在。因為只有不到20%的受訪者同意或者強烈同意DNSSEC的簽名和驗證容易維護。
今天的DNS安全狀態(tài)。
綜上所述,顯然,IT和運營工程師和管理人員都在關(guān)注DNS安全和對更廣泛的網(wǎng)絡(luò)安全的影響。他們意識到DNS提供的漏洞是重要的網(wǎng)絡(luò)服務(wù),也是需要在整個網(wǎng)絡(luò)和網(wǎng)絡(luò)防火墻上開放傳輸?shù)谋匾W(wǎng)絡(luò)協(xié)議。盡管獲得了這種認可,但DNS安全措施的實施相對溫和。很多人基本上都實行了基本的控制措施,盡管所有人都采取了這樣的措施。
盡管在保護網(wǎng)絡(luò)安全方面具有公認的價值,但大多數(shù)人仍未大量實施其他更復雜的控制措施,如DNS防火墻和DNSSEC。DNSSEC的復雜性和DNS防火墻的配置和維護的不確定性,至今抑制了配置。
總結(jié)
以上是生活随笔為你收集整理的保护DNS对数字网络安全越来越重要的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 白牌交换机有什么特点?与传统换机相比有什
- 下一篇: 网络加速和优化控制常用管理