首页 » 杂七杂八 » 站长们应该重视下DNS安全问题

站长们应该重视下DNS安全问题

谷歌已收录,更新于2019年08月05日; 如遇到问题,请留言及时通知站长; 欢迎加入 三生三世,讨论各种问题!

说明

几个备受瞩目的DNS安全事件最近成为头条新闻,提醒人们,互联网这一不可分割的部分绝不能被视为理所当然。与企业资产 - 端点,网络,数据中心 - 不同,DNS是公共基础设施,因此许多企业依靠注册商和ISP来保护它。鉴于最近的事件,现在是重新考虑DNS安全策略的好时机。

了解风险

有三个点可以劫持DNS查找。第一个是在用户的端点上,可能会感染恶意软件,从而覆盖设备的DNS配置。第二种是通过公共Wi-Fi,会话很容易被劫持。DNS的第三个威胁是记录本身。通过窃取凭据,攻击者可以访问特定的DNS帐户并将流量重定向到他们控制的站点。或者在更大范围内,他们可以攻击DNS注册商并更改多个记录。

可以出于多种目的部署这些技术。它们可用于将用户发送到下载恶意软件或窃取凭据的“坏”网站。它们可以用于SaaS应用程序 - 例如CRM程序 - 以便泄露数据。并且,它们可用于针对特定组织的针对性攻击,以访问公司电子邮件或专用网络资源。

整理解决方案

有解决方案吗?简而言之,是的 - 但与往常一样,它并非一刀切。每个组织都需要确定优先级,确定所需的安全级别,并相应地实施一个或多个产品。

DNS安全性问题

为了防止用户访问恶意域,企业可以使用DNS安全解决方案来检查DNS信誉,阻止对已知坏域的访问以及代理对可疑域的访问。要在LAN外部的笔记本电脑上实现此功能,除了现有的Endpoint Protection Platform之外,还需要部署端点代理。在DNS查找或DNS记录受到威胁的情况下,此方法通常会阻止用户访问错误或“冒名顶替”站点。

在保护应用程序免受目标DNS攻击时,第一道防线是使用安全的托管DNS注册服务,如CloudflareNS1。除了采取措施保护其注册管理机构免遭劫持外,它们还提供DNSSEC,这是对标准进行加密签名以验证其真实性的标准的扩展。

该标准仍然存在一些操作问题,但随着采用的增加,它们应该得到改进。然而,虽然它们显着降低了风险,但它们并不能防止所有形式的攻击。

传统VPN怎么样?

值得一提的一个问题是私有应用程序是否应该暴露于互联网,特别是现在,当DNS成为目标时。如果应用程序仅供内部使用,则限制对VPN端的访问 - 解决上述DNS安全问题。当大多数访问发生在办公室局域网上时,这种方法相当普遍,并且远程访问需求有限。

今天,许多因素 - 包括越来越多的远程工作人员和云迁移 - 导致更多企业应用程序暴露于互联网。员工不喜欢使用VPNIT专业人员不喜欢实施,维护和支持他们 - 这是有充分理由的。但安全风险很大。除了DNS安全性之外,暴露于互联网的应用程序还存在DDoS攻击,API攻击,客户端攻击等风险。

托管VPN替代方案

幸运的是,有一种方法可以将企业应用程序与Internet隔离,同时解决传统VPN的安全性和操作问题。除了管理友好的体验之外,软件定义的周边(SDP)是一种永远在线的VPN替代方案,从云端提供即服务,提供微分段,安全访问和云提供的Web安全性。

SDP不是将用户连接到网络的旧方法,而是将它们连接到特定应用程序或网络资源(如服务器)。其他所有内容对用户都是不可见的,因此与端点上的威胁隔离开来。这种零信任方法一方面将企业应用程序与Internet隔离开来,另一方面限制了网络攻击面。

先进的SDP解决方案提供始终在线的安全性,因此当您在咖啡店或机场时,首先连接并从那里访问企业应用程序和互联网。这种方法可以保护您免受上面讨论的所有三种DNS风险:

  • 会话不能被劫持并发送到流氓DNS服务器。
  • 企业应用程序只能通过SDP访问 - 没有可以定位和操作的公共DNS记录。
  • 所有互联网访问都由策划的安全DNS服务器以及来自DNS信誉服务的提要来处理,以保证真实性以及阻止恶意域。此外,可以根据多种风险因素按需激活Secure Web GatewayWeb Isolation服务。

DNS安全即服务

与安全性一样,在保护级别和实现它所需的资源之间存在权衡。高级SDP解决方案的最佳之处在于它们是作为服务提供的 - 并且内置了DNS安全性。永远在线的VPN技术意味着用户可以随时安全地访问企业应用程序和互联网,无论他们身在何处。作为解决方案不可或缺的一部分,IT团队可以从三种类型的DNS安全中受益。

一个只会魔改主题,而不会制作主题的站长,专业扒各种网站的各种样式。希望每一位来到这里的访客,都能拿到你们需要的资源!

发表评论

已有 3 条评论

  1. fly fly说道:

    黑冰大佬应该重视一下 被墙的问题

  2. Eltrac Eltrac说道:

    黑冰大佬应该重视一下 DNS 安全问题

    1. 枂下 枂下说道:

      这种情况没办法

最近动态查看

    利用短代码实现了文章正文任意位置插入[googleads],前端自动变为谷歌广告。这样,文章过长时,可以随意插入广告了。
返回主页看更多
赏杯咖啡给站长 支付宝 扫一扫