Hệ thống tên miền của Internet đang đối mặt với các cuộc tấn công quy mô lớn. ICANN, tổ chức phụ trách cơ sở hạ tầng DNS, hiện đang kêu gọi tất cả các chủ sở hữu tên miền chuyển sang DNSSEC để tránh các rủi ro “đang diễn ra và đáng kể”.
ICANN vừa ban hành cảnh báo về “nguy cơ liên tục và đáng kể đến các bộ phận quan trọng của cơ sở hạ tầng DNS.” Một báo cáo của các cuộc tấn công DNS xuất hiện trên trang web của ICANN chỉ ra rằng mục tiêu hoạt động nguy hiểm DNS được sâu rộng, ảnh hưởng đến cơ quan chính phủ, viễn thông và cơ sở hạ tầng Internet qua Hoa Kỳ, Hà Lan và Trung Đông.
Truyền thông của ICANN cho thấy rõ rằng các mối đe dọa đối với cơ sở hạ tầng DNS là dai dẳng. Tuy nhiên, những mối đe dọa này không phải là mới. Trước đây chúng tôi đã báo cáo về các rủi ro đối với bảo mật DNS , nhưng tóm lại, đây là cách chúng thường hoạt động:
- Người dùng phải chịu sự can thiệp của tội phạm khi một tên miền không được bảo mật.
- Lỗ hổng DNS cho phép tội phạm mạng chiếm quyền điều khiển quá trình tra cứu địa chỉ IP.
- Tin tặc kiểm soát việc tra cứu và chuyển hướng người dùng đến một trang web lừa đảo.
- Từ đây, tin tặc truy cập dữ liệu cá nhân của người dùng: mật khẩu, email, thông tin đăng nhập VPN, số tài khoản ngân hàng, v.v.
- Và vấn đề nằm ở DNS, một hệ thống được thiết kế mà không cần phải bảo mật nhiều.
Để tránh can thiệp hình sự xuất phát từ các lỗ hổng DNS, ICANN đang cảnh báo chủ sở hữu tên miền chuyển sang DNSSEC ngay lập tức.
DNSSEC, hoặc Phần mở rộng bảo mật hệ thống tên miền, cung cấp bảo mật DNS được cải thiện rất nhiều. Như ICANN nêu trong cảnh báo của mình, mặc dù DNSSEC không thể giải quyết tất cả các hình thức tấn công chống lại DNS, khi được sử dụng, có thể phát hiện sửa đổi trái phép thông tin DNS và người dùng bị chặn khỏi bị đánh giá sai.
DNSSEC hoạt động như thế nào
DNSSEC xác nhận các dịch vụ thư mục khác nhau liên quan đến tìm kiếm: gốc (cấp cao nhất của thư mục Internet), TLD (.COM, .NET, v.v.) và tên miền (example.COM, example.NET, v.v. .). Quá trình xác nhận này tạo ra một chuỗi xác thực.
Mỗi dịch vụ thư mục này được quản lý bởi một thực thể khác nhau. Ví dụ: root được quản lý bởi ICANN nhưng .COM được quản lý bởi đăng ký Versign. Quá trình xác nhận DNSSEC đảm bảo rằng việc tra cứu của bạn được hướng đến đúng thực thể (trái ngược với kẻ mạo danh), do đó tạo ra kết quả mà bạn thực sự đang tìm kiếm. Quá trình xác nhận này được gọi là DNSSEC đã ký.
Khi một tên miền đã được ký DNSSEC, nó không thể bị tấn công bởi một tên tội phạm mạng. Một kết nối không còn có thể bị chặn và chuyển hướng đến một trang giả mạo. Do đó, người dùng không còn có nguy cơ cung cấp cho tin tặc thông tin cá nhân của họ.
Các biện pháp phòng ngừa an ninh tên miền khác cần xem xét
Các nhà đăng ký coi trách nhiệm của mình là bảo vệ tên miền của bạn khỏi bị lạm dụng. Nhưng vẫn còn một số biện pháp phòng ngừa bạn nên tự thực hiện để đảm bảo bảo vệ tối đa. Sau đây là danh sách các biện pháp bảo mật cơ bản, chúng tôi khuyến khích tất cả các khách hàng của mình thực hiện:
- Theo quản lý mật khẩu thực hành tốt nhất liên quan đến độ phức tạp, độ dài, cần định kỳ thay đổi chúng, người bạn chia sẻ chúng và không bao giờ lưu trữ hoặc truyền chúng dưới dạng văn bản rõ ràng.
- Đảm bảo rằng Bản ghi vùng DNS được ký DNSSEC và trình phân giải DNS của bạn đang thực hiện xác thực DNSSEC.
- Đảm bảo bảo vệ người dùng cuối / liên lạc tên miền với chứng chỉ SSL .
- Cho phép xác minh hai bước trên tài khoản tên miền của bạn, đặc biệt là để truy cập quản trị viên
- Đảm bảo tên miền email của bạn có chính sách DMARC với SPF và / hoặc DKIM và bạn thực thi các chính sách được cung cấp bởi các tên miền khác trên hệ thống email của bạn.
Leave a Reply