facebook twiter plurk google Yahoo! My Web  
網路安全大門-談強化DNS防護策略

2014.11.11/黃美華
電腦使用是用數字來記錄網址,也就是網路門牌號碼IP位址,隨著全球網際網路化,使用電腦的人越來越多,如果每次上網都要用數字來記憶網址,你能記住這麼多數字嗎?於是導入熟悉語言字母的網域名稱( Domain Name )來方便人們記憶網址,而這二者之間的轉換器就叫DNS「網域名稱系統」(Domain Name System, DNS)是提供「IP位址」(例如,210.17.9.228)與「網域名稱」(例如,www.twnic.net.tw)兩者之間轉換的伺服器。在網際網路的時代,DNS安全極為重要。
國家發展委員會管制考核處處長何全德表示,真實世界裡每個人都有一本電話簿和通訊錄與友人互通訊息,網路世界亦以類似的機制運作,在網路世界是透過DNS伺服器來對照「網域名稱」及「IP位址」,解析傳遞的網路訊息指向。試想如果有一天DNS受到攻擊,如同你所使用的電話簿地址與號碼都被盜取或篡改,那麼你要如何與朋友聯繫?近幾年來駭客攻擊不僅針對網站和電子郵件,連DNS都成為攻擊的對象。例如,以「分散式阻斷服務」(Distributed Denial of Service attack,DDoS)手段攻擊DNS,將會造成網址中斷和資料無法存取,嚴重的話還遭駭客竊取資料,甚至遭到不明的更改或引導到其他網址,引發網路世界的危機。
何全德舉例說明,Google對外公開使用的DNS曾經遭駭客綁架22分鐘,網址被綁架到巴西及委內瑞拉,全球迭有發生的DNS安全事件,引發各國對於DNS安全防護的重視。那麼要如何保障DNS的安全?網域名稱安全架構(Domain Name System Security Extensions, DNSSEC)因採用「數位簽章」技術來增加DNS的安全性,成為今後政府推動資通安全的重點工作。台灣網路資訊中心(TWNIC)正集合相關的專家致力推動DNSSEC相關技術研發及部署工作。未來機制建立完整之後,民眾如果連結到公私部門網站,透過DNSSEC的運作機制,就可正確驗證伺服器是否真確及安全,避免DNS遭受攻擊及危害。
何全德並提供相關業者未來DNS安全防護因應之道,他建議可採行3E並進的防護策略(Engineering技術工程、Enforcement執行管理 、Education教育訓練)。例如,加強防火牆等各種軟硬體技術防護措施、DNS系統軟體要及時更新及定期稽核,加強培養DNS等網路資安管理人才。台灣網路資訊中心每年都定期規劃舉辦DNSSEC相關主題研討會及教育訓練課程,只要有多一分的準備,就能多保障DNS安全,享受安全無虞的網路世界。
TWNIC 103年度網路安全教育訓練課程,報名網址: http://dns-security.twnic.net.tw/
歡迎至"網路論壇.台灣,發表你的看法