DNS RPZ 摘要說明

2020 / 09 / 23
作者：黃勝雄

2020 / 09 / 23
Author : 黃勝雄

分類：技術, 社群, 資安
Tags： RPZ

Categories : 技術, 社群, 資安
Tags : RPZ

黃勝雄董事長
財團法人台灣網路資訊中心

一、摘要

隨著網際網路的擴展，網路犯罪與網路安全日益惡化。TWNIC 整合國內網路關鍵基礎設施提供者(ISP)建構 DNS RPZ (Response Policy Zone, 以下簡稱RPZ)，RPZ可限制境內外惡意網域名稱或IP位址接取，可作為資安防護的第一線防衛措施。TWNIC同時依據 RPZ架構特性，規劃符合正當程序之政策模式及審核要件作為RPZ執行依據。限制惡意域名接取依據包含法院判決或行政機關命令，或有資安疑慮且影響資安重大者。

網路安全與網路犯罪的防範必須由多方利害關係人共同參與。從網路治理角度網路中介者(internet intermediary)已從過去法律責任(intermediary liability)轉變為治理責任(intermediary responsibility)。TWNIC與國內RPZ參與者作為網路關鍵基礎設施提供者，了解中介者在網路空間之義務與責任，採取符合法律及正當程序的措施，共同為網路空間安全與打擊網路犯罪努力，以完備網路中介者良善治理責任。

二、 DNS RPZ 技術簡介

網路安全與網路犯罪問題日益惡化，而DNS域名伺服器更是網路攻擊與網路犯罪首要目標，透過DNS進行多種網路駭侵類型。DNS RPZ是域名系統服務器提供的功能之一。有越來越多惡意程式及殭屍網路利用DNS查詢C&C伺服器(Command and Control Server)，RPZ允許遞歸解析器(recursive resolver)以自定義的資訊修改解析的結果後，以避免使用者接取惡意或不當的網域名稱或IP位址。

DNS RPZ 採取主從架構，當不當網域名稱或IP位址寫入主節點DNS RPZ，所有參與DNS RPZ 的次級節點會同時限制接取此不當網域名稱或IP位址。TWNIC 負責台灣國家網域名稱 .tw 的註冊與營運，為提升網路空間安全，TWNIC 與國內網路關鍵基礎設施提供者共同合作建構全台DNS RPZ 服務架構，透過全台 DNS RPZ 服務架構，DNS RPZ 限制接取的網域名稱不限於 .tw 國家頂級網域名稱，作為境內或境外惡意網域名稱第一線的防護措施。台灣 DNS RPZ 架構如下圖：

圖 1 國家型 DNS RPZ 架構

三、 DNS RPZ 政策模式

TWNIC DNS RPZ 對於防止國內使用者接取不當或惡意網域名稱的接取具有強制約束力，但此強制措施必須建立在合法之正當程序。目前 TWNIC DNS RPZ 政策模式規範兩種情況，情況一為依據法院判決/裁定或行政機關命令，移除性質為依據法律及因應法律規定所採取行動。情況二為網域名稱係有資安疑慮且影響資安重大者，移除性質為法律認定關鍵基礎設施有維護資安之義務及因應法律規定所採取行動。情況一由法律構面設計需要之審核要件，情況二由技術構面設計需要之審核要件。

表 1 DNS RPZ 政策模式

情況一：依據法院判決/裁定或行政機關命令之聲請、審核、決定、及申訴程序如下表所示。

表 2 情況一：依據法院判決/裁定或行政機關命令

情況二、有資安疑慮的網域名稱之聲請、審核、決定與申訴程序如下表所示。

表 3 情況二：有資安疑慮的網域名稱

四、 DNS RPZ 未來展望

網路攻擊與網路犯罪成為今日網際網路面臨最大威脅，我們必須不斷研究導入先進資訊技術，同時需持續檢視與完善可行法規。從網路治理角度，不同利害關係人必須共同參與以減緩網路安全威脅。網路中介者(Internet Intermediary)也必須承擔更多責任。Godaddy、Amazon、Neustar、PIR等48家大型網路註冊機構在2020年提出域名濫用框架倡議(DNS Abuse Framework)，作為網路中介者防範域名駭侵的自律規範。框架定義五種技術濫用類型(Technical Abuse)，包含惡意軟體malware、殭屍網路botnets、網路釣魚phishing、網址嫁接pharming、及垃圾郵件spam。技術濫用類型具有明確的技術鑑定度，不會介入人為的內容審查。在域名濫用框架下域名註冊管理機構需採取管制措施防止技術駭侵，並將防範犯罪駭侵責任載明於服務合約，以強化網路中介者治理責任。

圖 2 網路中介者治理框架之展望

域名濫用框架也重新詮釋網路中介者在網際空間(cyberspace)的責任，中介者責任由傳統的中介者法律責任(intermediary liabilities)演化為中介者治理責任(intermediary responsibilities)。多方利害關係人模式(multistakeholder model)一直是網路治理秉持的治理原則，網路中介者為網際網路主要利害關係人，網路中介者除了法規遵循外，中介者具備更大能力改善全球網際空間強韌與安全。面對多元的網路犯罪樣態，我們樂見網路中介者發揮其架構優勢，發展可行的治理框架，勇於承擔網路中介者所應具備的良善治理責任。