本APNIC文摘原標題為DNS RPZ: Using the DNS as a layer of defence,由APNIC社群講師同時身為RIPE Atlas大使的Swapneel Patnekar 撰文。
網域名稱系統(Domain Name System,DNS)是網際網路的關鍵要素。但就像所有重要的東西一樣,很多惡意人士喜歡把DNS當成攻擊目標。也因此,了解如何保護DNS安全,尤其對於維運自有解析器的人而言特別重要。
COVID-19全球疫情導致許多人必須在家工作。自有裝置的安全性不足和家用網路的弱點,也成為資安專家關心的重要議題。 從安全角度來看,家用網路和企業網路大相逕庭。家用網路「平面化網路」(flat network)的本質有兩個不容忽視的短處:一是單一廣播網域導致無法分隔訊務,二是惡意訊務在平面化網路中傳播更快也更容易。
在一般DNS運作中,遞迴解析器(recursive resolver)的角色最為吃重。而隨著網際網路進化,負責營運遞迴解析器的人也從使用者自己、ISP業者,轉移到今日的雲端解析器。然而作者認為,若要追求DNS解析速度,解析器是離使用者越近越好。這也是為什麼作者極度推薦讀者維運自己的DNS解析器。
不僅是速度,作者強調,若想如標題所言,利用DNS為平面化網路加裝一層便宜的防護網,你絕對必須擁有自己的遞迴解析器。
DNS Response Policy Zones(RPZ) 是一種類似防火牆的安全措施,重點是經濟實惠。有了RPZ,域名伺服器管理者可以在全球DNS上套用個人化域名管理政策,如為特定DNS查詢另外設定路徑。這做法最常用於對付惡意域名。
RPZ是相對新的做法,目前也還在「標準化」階段。有興趣的讀者,可在此閱讀RPZ的最新提案。RPZ的一個關鍵特色是非廠商導向(vendor-neutral),而且BIND、Unbound和PowerDNS Recursor都支援RPZ。
後續作者也將另行撰文,詳細介紹如何在ISC BIND9中設定RPZ饋送(feed)。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為DNS RPZ: Using the DNS as a layer of defence。
Photo created by freepik
