保护你的公司的在线声誉锁定DNS和防范域名劫持。
你熟悉的危险网络钓鱼,但嫁接的威胁呢?嫁接的错误网络用户值得信赖的品牌的虚假店面设置收获id。犯罪通常是通过缓存中毒DNS服务器或域名劫持,登记员骗移动领域。
最近几个月,黑客已经证明有理由担忧这两种类型的攻击。今年3月,SANS研究所发现了一个缓存中毒攻击,重定向1300个品牌,包括美国广播公司、美国运通、花旗和Verizon Wireless。今年1月,Panix域被一个澳大利亚黑客;在4月,Hushmail主要名称服务器的IP地址被改变的一个黑客网站涂鸦。
统计跟踪嫁接事件尚未出炉。然而,反钓鱼工作组(APWG)认为的潜在的问题非常严重,它集中嫁接到互联网诈骗和欺诈的类型组的目标是预防。
缓存中毒和域劫持的问题已经存在很长时间,而且他们解决技术和组织复杂,专家说。但也有一些你可以采取的措施来保护你的DNS服务器和域被pharmers操纵,他们很快就会使用黑客技术忽悠大量重定向用户个人信息。
扯开绑定
的DNS安全问题点回到伯克利互联网域名(绑定),充斥着安全问题被广泛报道在过去的五年。如果你运行一个BIND-based DNS服务器,域名管理遵循最佳实践,VeriSign首席安全官肯·席尔瓦说。
“保持DNS服务器打补丁和更新是第一步,和有许多最佳实践指南关于配置这些服务器更好。但在其当前状态DNS根本问题,“无研究总监约翰内斯·乌尔里希说。
升级到绑定9.2.5法案同样或实现域名系统安全扩展会使缓存中毒风险消失,首席科学家Paul Mockapetris说Nominum和原作者的DNS协议。但这样的迁移是乏味和困难没有接口中提供DNS管理电器从长鳍叉尾等供应商网络,思科,F5网络,朗讯和北电网络。和一些公司如Hushmail选择用开源TinyDNS替换绑定。包括那些从备用DNS查询选项微软、PowerDNS和JH软件等等。
无论DNS你运行什么,遵循最佳实践,迈克尔•凯悦总裁长鳍叉尾网络,概述如下:
•运行单独的名称服务器冗余在不同的网段。
•独立的外部和内部名称服务器(物理上独立的机器或运行绑定视图)和使用代理。从几乎任何外部权威域名服务器应该接受查询地址,但是代理不。他们应该配置为仅接受来自内部地址的查询。禁用递归(定位DNS记录的过程从根服务器向下)在外部权威域名服务器。这允许您限制DNS服务器所接触互联网。
•限制动态DNS更新时可能的。
•限制区域转移到授权的设备。
•使用事务签名数字签署区域转移和区域更新。
•隐藏的版本绑定在服务器上运行。
•删除DNS服务器上运行任何不必要的服务,如FTP、telnet和HTTP。
•使用防火墙服务在网络边界和DNS服务器。限制访问只有那些港口/ DNS功能所需的服务。
登记员负责
Hushmail布莱恩史密斯,首席技术官,仍耿耿于怀对黑客的技巧是多么容易的一线客户服务代表在他的域名注册商,网络解决方案,改变Hushmail主要名称服务器的IP地址,他发现在周一早上。
“这对我们看起来非常糟糕,”史密斯说。“我希望看到更好的安全策略中记录和公开的注册。但是我不能告诉你一个注册商,这和我一直在自从这件事发生。”
ICANN域 转移政策 11月颁布,ICANN的政策是为了保护域名持有人。然而,一个缺点 是离开的意思吗 “验证”开放的解释。 |
||||||||||
|
||||||||||
他情绪都呼应着亚历克斯树脂,Panix.com的总统,他感觉就像强烈的失败注册了1月份Panix域的劫持。首先他卖掉了他的域名注册登记官没有通知经销商。然后,分销商开始转移社会工程师的领域——也没有通知树脂。
“域系统需要系统性,根本性的变化,“尸说。“有很多建议,但事情不够快。”
它会是一个漫长等待市场需求和ICANN领导力量保护登记员之间的转会政策。所以树脂,史密斯和蒂姆•科尔ICANN首席注册商联络,建议以下风险降到最低:
•问你写的注册,可执行的政策声明。把它写下来,如果域移动请求和你联系。
•锁定域名,需要注册将转移至密码或其他识别信息提供解锁。
•保持权威的联系信息更新在你的注册。假设一个忽略通知的变化将被处理。
•使用24/7的注册服务,这样他们就可以迅速行动违反。
•如果有未经授权的行动,涉及的登记员立即联系。
•如果你没有得到解决,去你的域名注册(VeriSign。com和。net)。
•如果你仍然有问题检索领域,接触ICANN决议(transfers@ICANN.org)。
•如果你是一个大的领域,成为像Google自己的注册。
或者成为自己的经销商使用TuCows.com的开放API, OpenSRS,控制你所有的域。
在加州雷德是一个自由作家,可以达成的deb@radcliff.com。