對IT基礎架構中不可或缺的DNS網路名稱解析服務,以往探討的議題著重於提升回應速度與可用性,但隨著愈來愈多資安事件利用DNS來發動,IT管理者勢必須正視服務的安全性。
DNS雖僅單純地執行網域與IP位址解析任務,資源記錄卻可能會被惡意竄改、利用來產生反射與放大式DDoS攻擊,抑或是阻斷正常DNS服務、以假冒的伺服器回應詢問,皆為近年來常見的手法。羽昇國際資深技術顧問莊斯凱指出,有心人士只要準備筆電、反向無線基地台發射器,即可偽冒成無線網路基地台來提供接取服務,讓使用者毋須輸入任何WPA2密碼即可上網,目的是為了發動中間人等惡意攻擊。
 |
| ▲羽昇國際資深技術顧問莊斯凱建議,欲防範DNS資源記錄遭惡意竄改,應儘早啟用DNSSEC,同時禁止內部員工的電腦自行設定指向未通過信任審核的DNS服務。 |
他實作展示利用迷你單板電腦設計的小型連網裝置,接取公司內部網路,並藉由裝置的網路卡分享熱點,讓手機上的計程車叫車App得以接取連線上網,進而從中攔截DNS封包,即可取得開發設計不夠安全的App,介接API的相關設定資訊檔案以進行竄改。
「為了實際竄改封包,我在Google雲端平台環境上啟用一台網站主機,偽冒網站環境建置完成後著手竄改DNS記錄,把App對應的IP位址指向該網站。」莊斯凱進一步說明,當使用者啟動App開始請求DNS查詢服務,取得Port 80的進入點,本就屬於正常連線行為,只是取得的回應資訊已遭惡意竄改,存取流量會先被導引到偽冒的網站位址,記錄存取行為的所有程序,如此一來,即可掌握登入App的帳密、數位金融等隱私資訊。
整個實作過程中,並未觸發任何通知與告警,即可取得合法帳密甚至掌握該帳號本人的日常行為軌跡,例如姓名、住址、公司名稱、乘車習慣等,諸如此類隱私記錄,皆可於暗網中販售換取利益,正是DNS安全需要被關注的主因。
其實多數的IT管理者理解DNSSEC協定,確實可保護DNS服務安全性,只是數位簽章為非對稱式密碼演算法,擔心啟用設定配置後影響使用者連線回應的速度。「DNSSEC可有效地防護DNS服務安全,若企業營運是透過App來提供服務,須掌握許多敏感個資的商業模式,我建議儘早啟用DNSSEC,以免資源記錄遭到竄改導致資安事故。」莊斯凱強調。在網路環境中可運用蒐集器,藉此偵測連線行為。關鍵是須具備可視化能力,才得以偵測網路環境的狀態,進而從DNS服務探查蛛絲馬跡,在資安事件發生的前期及時發現。更嚴謹的企業可採用Akamai提供的ETP服務建立主動防禦,不論是企業總部、外部分支據點的DNS解析服務,強制進入Akamai網路環境,以主動判別連線行為的善惡,管制危害風險。