科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道从实施DNSSEC技术开始

从实施DNSSEC技术开始

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

攻击者有时会尝试通过缓存污染攻击,即在服务器中添加恶意的错误DNS记录来操纵DNS记录。本文介绍企业如何开始实施DNSSEC技术。

来源:TechTarget中国 2011年7月6日

关键字: DNSSEC

  • 评论
  • 分享微博
  • 分享邮件

  问:你能阐明为了让DNS系统更加安全(通过DNS安全扩展,DNSSEC),要实施什么补丁吗?企业需要采取任何行动吗?或者,这些DNS安全改进会清晰起来吗?

  攻击者有时会尝试通过缓存污染攻击,即在服务器中添加恶意的错误DNS记录来操纵DNS记录。攻击者希望这些记录被分发给客户端机器,随后会引导用户不知不觉地访问恶意的web页面。

  直到最近,为了抵御这种类型的攻击在客户端方面能做的也很少。但是DNS安全扩展(DNSSEC)技术的发布改变了这个事实,它允许对DNS记录应用数字签名技术并且保证给终端用户提供的记录是真实的。

  对DNS进行安全防护的思想已经存在超过十年了,但是在制定技术细节上花费了很长的时间,同时对该技术的采纳十分缓慢。在过去的一年里,特别是在2010年黑帽大会上Dan Kaminsky宣布的DNS漏洞被公布于众之后,这个概念逐渐走出低谷。主要的网络和主机提供商例如Comcast和GoDaddy已经加入到部署DNSSEC的联合治理中。

  如果你想在你的企业中从实施DNSSEC开始,你需要考虑两件事:修改你的终端来识别DNSSEC记录,以及修改你自己的DNS条目来支持DNSSEC查询。

  在客户端方面,微软的Windows 7包含了内嵌的DNSSEC功能,可以通过活动目录的组策略对象来管理。该工具包括用于Linux系统的IDNS软件包,提供DNSSEC查询和故障排除功能。还有很多终端用户工具对流行的应用支持额外的DNSSEC验证,如Firefox、Thunderbird和SSH。

  你可能还希望给你自己的DNS条目添加DNSSEC验证支持。如果你正在使用一个DNS主机提供商,同他们进行核实从而判断他们是否支持DNSSEC记录。这样,如果你管理自己的DNS记录,有许多DNSSEC教程资源可供你查阅。你可以阅读微软的Windows Server 2008 R2 DNSSEC部署指导,或者是BIND 9 管理员指导的DNSSEC章节进行了解。

    • 评论
    • 分享微博
    • 分享邮件