本APNIC文摘原標題為Why don’t we have DNS-security policy for context-full threat protection?,由資深網路安全工程師Asad Ali撰文。
網際網路是在無條件互信的基礎上誕生的。也因此,即使面臨的安全威脅逐年增長,手法更是花樣百出,網際網路納用安全措施的速度仍相對緩慢,而網域名稱系統(Domain Name System,DNS)更是慢中之慢的最佳範例。
本文作者對此情形有感而發,特地以DNS重新綁定(DNS rebinding)攻擊為例,深入剖析DNS架構如何缺乏全方位、顧及所有脈絡的安全對策,並提出建議的解決方案。
DNS重新綁定攻擊近年來益發常見,透過這種攻擊手法,駭客得以進入受害者的網路,並進一步入侵與控制同一網路所連結的裝置。最常見的DNS重新綁定攻擊手法中,駭客首先會將受害者誘導至事前設下的陷阱網站,並設定極短的網站DNS伺服器存活時間(time to live,TTL),同時在受害者的瀏覽器中植入一個惡意的Java Script。
由於網站的DNS TTL非常短(通常只有1秒),受害者裝置中的瀏覽器幾乎馬上就需要再次送出DNS查詢。這會觸動植入瀏覽器的惡意Java Script,並把DNS查詢偷換成與內部的網頁伺服器位址綁定,就此完成未來連入此裝置的跳板。一旦此步驟成功,後續駭客就可直接繞過防火牆、閘道甚至瀏覽器等安全關卡,長驅直入受害裝置。
作者指出,DNS重新綁定攻擊之所以容易成功,是因為現有的信任模型中,各系統、軟體服務和負責處理訊務的作業端之間,存在技術落差。另一方面,DNS是網際網路信任基礎中的基礎,可說是無條件互信的終極對象。即使是DNS專屬的安全技術「DNS安全擴充程式」(DNS Security Extension,DNSSEC),也只能防止駭客中途攔截假冒目的地,完全無法防衛DNS重新綁定攻擊。
作者認為,最重要的問題在於DNS中缺乏負責安全政策的單一權威來源,也無法統整、連貫管理網際網路中的網頁伺服器和本地瀏覽器。確認DNS伺服器是否素行良好不應是任何單一網路管理者的責任,作者主張應有一個貫徹DNS安全政策的機制,其中決策和執行單位分別獨立負責,如網路服務層級的WS-security 政策就是很好的範例。
作者提議,為達成這個目標,應建立一個可由統一的政策系統施行、非廠商導向的解決方案。在此同時,市面上的各種安全解決方案,如防火牆等,也將相得益彰,進一步提升整體的DNS安全意識。在此方案下,瀏覽器若在DNS解析過程中遇到可疑情形,就可以馬上啟動電腦防火牆或通知使用者的本地路由,及時阻斷惡意訊務或駭客攻擊。
最後,作者強調,今天的網際網路和過去大相逕庭,不再只是單純的客戶端和伺服器互傳訊息,而是多個系統主機、裝置互相蒐集、傳輸訊息,其中還要經過雲端。隨著物聯網逐步從願景變成現實生活,不只是一般家庭的智慧冰箱或電燈,更嚴重的,是關鍵基礎建設,如油廠、發電廠的安全感測器或溫度閥門,隨時可能淪為網路攻擊的目標。
只有單點的安全方案無法解決這種系統性的問題。我們需要的,是從設計、技術、協定及標準入手,打造全方位、無死角的網路安全對策。而DNS安全也同等適用此概念。作者提醒大家,若繼續無視此威脅,也不設法推動DNS安全進化,對未來世代的網路,尤其是物聯網,帶來的傷害將遠高於益處。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Why don’t we have DNS-security policy for context-full threat protection?。
圖片來源:APNIC網站
