最近更新文章
2018/10/17
Arm Pelion 物聯網平台 新生力軍 Arduino、myDevices 與 Intel
2018/10/17
NVIDIA 攜手 Oracle 將雲端應用導入下一代分析、機器學習與 AI
2018/10/17
APEC TEL 取經遠傳打造智慧城市經驗
2018/10/17
八成詐騙郵件來自非法寄件者或含可疑網址
2018/10/17
何謂適當安全維護措施 個資法無具體規定
2018/10/17
邊緣運算帶來新角色 微型資料中心應運而生
2018/10/16
Google 助理講中文 Pixel 3正式登台
2018/10/16
聚焦區塊鏈世代之資訊與數據安全議題
2018/10/16
路孚特大數據實驗室率先進駐政大創新園區
2018/10/16
ShareTech HiGuard X 多功能 UTM
2018/10/16
思納捷攜手資策會、遠傳 在新北導入「校園智慧能源雲」
2018/10/16
Xilinx 與華為在中國推出 FPGA 雲端即時視訊串流解決方案
2018/10/16
Nutanix 企業雲操作系統超融合基礎架構解決方案通過 SAP HANA 認證
2018/10/16
消除IT部門控管隱憂 UEM集中管理異質端點
2018/10/16
叢集伺服器系統升級實戰 直上WS2016免停機(上)
2018/10/15
Juniper Contrail Enterprise Multicloud 滿足企業多雲策略需求
2018/10/15
Teradata 推智慧分析平臺 運用 AI 技術即時分析、精準決策
2018/10/15
實戰eXo Platform 打造企業內部社群平台
2018/10/15
打造動態立體安全防禦 迎戰自動化攻擊時代
2018/10/14
Akamai 強化數位業務的安全性與靈活度
2018/10/14
IBM 力推「維護大聯盟」
2018/10/14
BlackBerry與Check Point聯手減輕網路安全威脅
將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/10/5

杜絕竄改!DNS防護機制實戰演練

DNSSEC奠定安全基礎 把關連線指向

洪羿漣
對IT基礎架構中不可或缺的DNS網路名稱解析服務,以往探討的議題著重於提升回應速度與可用性,但隨著愈來愈多資安事件利用DNS來發動,IT管理者勢必須正視服務的安全性。
DNS雖僅單純地執行網域與IP位址解析任務,資源記錄卻可能會被惡意竄改、利用來產生反射與放大式DDoS攻擊,抑或是阻斷正常DNS服務、以假冒的伺服器回應詢問,皆為近年來常見的手法。羽昇國際資深技術顧問莊斯凱指出,有心人士只要準備筆電、反向無線基地台發射器,即可偽冒成無線網路基地台來提供接取服務,讓使用者毋須輸入任何WPA2密碼即可上網,目的是為了發動中間人等惡意攻擊。

▲羽昇國際資深技術顧問莊斯凱建議,欲防範DNS資源記錄遭惡意竄改,應儘早啟用DNSSEC,同時禁止內部員工的電腦自行設定指向未通過信任審核的DNS服務。


他實作展示利用迷你單板電腦設計的小型連網裝置,接取公司內部網路,並藉由裝置的網路卡分享熱點,讓手機上的計程車叫車App得以接取連線上網,進而從中攔截DNS封包,即可取得開發設計不夠安全的App,介接API的相關設定資訊檔案以進行竄改。

「為了實際竄改封包,我在Google雲端平台環境上啟用一台網站主機,偽冒網站環境建置完成後著手竄改DNS記錄,把App對應的IP位址指向該網站。」莊斯凱進一步說明,當使用者啟動App開始請求DNS查詢服務,取得Port 80的進入點,本就屬於正常連線行為,只是取得的回應資訊已遭惡意竄改,存取流量會先被導引到偽冒的網站位址,記錄存取行為的所有程序,如此一來,即可掌握登入App的帳密、數位金融等隱私資訊。

整個實作過程中,並未觸發任何通知與告警,即可取得合法帳密甚至掌握該帳號本人的日常行為軌跡,例如姓名、住址、公司名稱、乘車習慣等,諸如此類隱私記錄,皆可於暗網中販售換取利益,正是DNS安全需要被關注的主因。

其實多數的IT管理者理解DNSSEC協定,確實可保護DNS服務安全性,只是數位簽章為非對稱式密碼演算法,擔心啟用設定配置後影響使用者連線回應的速度。「DNSSEC可有效地防護DNS服務安全,若企業營運是透過App來提供服務,須掌握許多敏感個資的商業模式,我建議儘早啟用DNSSEC,以免資源記錄遭到竄改導致資安事故。」莊斯凱強調。在網路環境中可運用蒐集器,藉此偵測連線行為。關鍵是須具備可視化能力,才得以偵測網路環境的狀態,進而從DNS服務探查蛛絲馬跡,在資安事件發生的前期及時發現。更嚴謹的企業可採用Akamai提供的ETP服務建立主動防禦,不論是企業總部、外部分支據點的DNS解析服務,強制進入Akamai網路環境,以主動判別連線行為的善惡,管制危害風險。

這篇文章讓你覺得滿意不滿意
送出
相關文章
打造動態立體安全防禦 迎戰自動化攻擊時代
知己知彼升級資安觀念 攻防戰中出奇制勝
邊緣伺服器取代ADC 優化多雲應用流量存取
防爬蟲機器人損及體驗 以智慧管理取代阻擋
留言
顯示暱稱:
留言內容:
送出