HKCert
保安博錄

保安建議:加強 DNS 基建保安

發布日期: 25 / 01 / 2019
最後更新: 25 / 01 / 2019

Talos [1] 及 FireEye [2] 分別於 2018 年底及 2019 年初發佈持續發生的域名伺服器(DNS)劫持攻擊的警告。有見及此,美國的 Cybersecurity and Infrastructure Security Agency (CISA) 發出緊急指令 [3],要求所有美國政府機關必須執行相關措施加強 DNS 基建的保護。

 

雖然該指令針對美國政府機關發出,但當中提及的措施其實都是各機構保護 DNS 基建免受不同攻擊的基本守則。DNS 的作用就像一個「翻譯器」,把一般人看得懂的域名轉換為伺服器 IP 地址。因此對於機構或用戶來說,DNS 的保安為互聯網保安中關鍵一環。若能劫持 DNS 就可偽冒機構身份、截取 HTTP 通訊或造成其他影響。

 

以下為 CISA 提出加強 DNS 基建的保安措施 [4]:

  • 驗證 DNS 記錄以確保能正確進行解析。此舉能幫助發現任何 DNS 正被劫持的活動。
  • 更新 DNS 帳戶密碼。此舉可阻礙未經授權人員存取帳戶。
  • 為管理 DNS 記錄的帳戶加設多重驗證措施,當受攻擊時,可阻截並凍結帳戶存取。
  • 監測數碼證書透明度(Certificate Transparency)日誌。如有人試圖偽冒機構或窺探用戶,透過此舉則較易被發現。

另外你亦可參照 .hk 域名註冊機構 HKIRC 的建議加強 DNS 保安 [5]:

  • 定期更改及使用高強度密碼以保護網域管理帳戶。若你的註冊商提供雙重認證,應啟用它。
  • 更改註冊商資料庫中網域名記錄時,啟用電郵或短信通知功能。請勿使用上述同一個域名的電郵地址用作警報通知用途,以避免此類警報遭截獲。
  • 在你的網絡供應商及註冊商協助下,於網域啟用 DNSSEC。DNSSEC 能確保網域的 IP 地址是從可信的來源解析出來。
  • 定期監測數碼證書透明度(Certificate Transparency)日誌以發現於數碼證書發證機構(CA)未經授權、可疑或惡意註冊你的域名。

HKIRC 亦提供 .hk LOCK 服務(https://www.hkirc.hk/content.jsp?id=296),當改變 .hk 域名設定時,會加入額外的認證措施。若你持有非 .hk 域名,亦可向註冊商查詢有否提供類似服務。

 

參考

[1] https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
[2] https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
[3] https://cyber.dhs.gov/ed/19-01/
[4] https://cyber.dhs.gov/blog/#why-cisa-issued-our-first-emergency-directive
[5] https://www.cybersechub.hk/en/post/170