APNIC文摘— DNS安全機制部署率與開銷、部署簡易度成正比

本APNIC文摘原標題為Adoption of DNS security mechanisms related to ease-of-use, cost,由Masanori Yajima撰文。

域名系統(Domain Name System,DNS)作為關鍵網際網路基礎建設,一直是網路攻擊的目標。人們提出、標準化並實踐了多樣化的DNS安全機制,但到目前為止,還沒有人查驗過這些機制在DNS生態系統中多常被使用。

為了回答此問題,早稻田大學團隊針對多種DNS安全機制的部屬展開大型調查。調查涵蓋的安全機制包括:

  • 域名系統安全擴充(Domain Name System Security Extensions,DNSSEC
  • DNS Cookies
  • 憑證權威授權(Certification Authority Authorization,CAA)
  • 寄件人政策架構(Sender Policy Framework,SPF)
  • 域名型郵件驗證、通報及一致性(Domain-based Message Authentication, Reporting & Conformance,DMARC)
  • 訊息傳送代理嚴格傳輸安全(Message Transfer Agent – Strict Transport Security,MTA-STS)
  • 基於DNS的域名實體認證(DNS-based Authentication of Named Entities,DANE)
  • 傳輸層安全協定報告(Transport Layer Security Reporting,TLSRPT)

本文將分享調查結果,並提出未來推動廣泛使用安全機制的建議作法。

本調查的範圍包括根伺服器、頂級域名(top-level domain,TLD),以及著名網站使用的域名。調查對象涵蓋13座根伺服器、13筆初代通用頂級域名(Legacy gTLD)、254筆國碼頂級域名(coutnry-code TLD,ccTLD),以及Tranco網站中發布的前一萬筆域名。

所有IP位址都是以域名為單位測試,調查團隊若探測到至少一筆IP位址設置某些安全機制,則將假設使用此IP位址的整個域名空間都設置同樣的安全機制。下表顯示調查結果中,DNS伺服器設置不同安全機制的比率:

觀察表格數據,可得出以下重點:

  • DNSSEC和DNS Cookies在DNS核心(根伺服器及TLD)的設置比例高,但在知名網站使用的域名上,設置比例則低。
  • SPF和DMARC的設置率比其他安全機制高。
  • 所有量測對象中,DANE的部署率都不到1%。

根據這些重點觀察,調查團隊提出「越容易設置的安全機制部署率越高」的假設。

為進一步驗證此假設,調查團隊設計了「設置難易度」的計分表(如下),評分標準包括需要設置的伺服器,以及是否需要第三方中介。所謂「第三方中介」,意味此機制不僅需要設置DNS資源紀錄或調整伺服器設定,如DNSSEC要成功運作,還需要上下游都設置並啟動DNSSEC驗證。由於此類機制需要上下連動性,故難易度為最高的3。

標號 敘述 分數
1 須設定DNS資源紀錄。 1
2 須調整DNS伺服器設定。 2
3 須調整郵件伺服器設定。 2
4 須調整網頁伺服器設定。 2
5 涉及第三方中介 3

依上述計分表計算出不同技術的設置難易度總分後,團隊依每個機制的設置難易度和部署率,製作出如下呈現的散布圖。從下圖可明顯看出,設置難度最低的SPF部署率也最高,而位於右下角的幾個機制,都因為設置難度高,部署率也非常低。

HTTPS近幾年來的快速成長也應證此理論,尤其如Let’s Encrypt等工具出現,使用者得以輕易免費安裝TLS和安全通訊協定(Security Socket Layers,SSL)憑證;在此同時,瀏覽器也開始針對未設置HTTPS的網頁提出安全性警示,雙管齊下,促使網站管理者積極設置HTTPS。

DNSSEC則是明顯反例。此安全機制並非使用者自己設置、啟動後就可成功運作,還需要DNS中所有節點都設置並啟動DNSSEC驗證,涉及環節多且複雜,即使是大型知名企業,DNSSEC設置錯誤導致通訊失敗的案例也所在多有。

然而,作者指出隨著如AWS的Route 53等大型服務也開始支援DNSSEC,一般域名管理者也能更簡單地設置DNSSEC。同理可證,任何安全機制只要設計得讓一般使用者能輕易啟用,部署率就會提高。

作者也強調,即使有些安全機制設置較難,但DNS的安全值得我們付出更多精力。他與團隊建議,域名管理者應定期檢視安全機制的設定是否正確,並留意作業軟體的更新版本。

 

*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Adoption of DNS security mechanisms related to ease-of-use, cost

圖片來源:APNIC Blog

回到頂端