DNS安全接入网关

一、基本背景

1.1.产品需求

随着网络发展日益迅速,网络安全日益完善,Web服务得到快速发展,其安全标准也得以大力推广,而核心服务之一的DNS服务,其安全标准发展却相去甚远。

根据国际知名网络安全机构Efficient IP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家公司有七次,其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等技术手段,与上一年相比,所有类别的攻击频率都有所增加,尤以DNS劫持最为显著。

无论是519事件、百度域名劫持事件,还是近期热门的路由器DNS劫持事件,都与DNS使用过程中,管理人员缺乏对DNS安全标准的认知有关。DNS安全标准的认知不仅限于DNS安全加固,还包括更多深层次要求,如相关软硬件信息屏蔽、服务区域锁定、自动化动态策略等等。

随着互联网技术飞速发展,物联网、云服务、超融合、元宇宙等新概念层出不穷,无论何种新兴网络技术发展均离不开DNS安全标准的有力支持!

1.2.DNS防护策略变化

2021年9月,国家发展改革委等11部门联合发布《国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知》,互联网恶意域名防护再次受到重视,DNS安全防护再一次受到全民关注。

近年来,随着降费提速、限定区域、认证入网、“挖矿”防护等各种新政策及事件的出现,导致DNS使用环境及方式发生了极大变化。传统单一的DNS服务已经跟不上用户网络环境变化速度,对DNS安全防护策略的要求也越来越高,通过网络设备策略或DNS服务器自身限制等防护方式已经不能满足网络安全要求。

DNS相关漏洞出现,无法及时更新,如何实现DNS防护?

多个IP地址,具有特定字段的DNS正常请求,大量攻击DNS,如何实现DNS防护?

认证入网环境中,不同身份人员网络出访,如何实现DNS基于身份信息链路优化指向?

多出口网络环境下复杂的流量调度策略,如何完成DNS服务有效配合?

上述问题在网络环境多样化的今天十分常见,怎样完成DNS全方位防护以及策略自动调度变化,这是摆在管理人员面前的一道难题。

1.3.DNS数据信息加密

DNS劫持是目前网络攻击中最常见且最有效的攻击方式之一,其原理是伪造虚假响应欺骗客户端去访问恶意网站或重定向到事先预设好的钓鱼网站,趁机下载恶意代码到客户计算机并攫取客户个人信息。

默认情况下,DNS查询和响应以明文形式(UDP或TCP)发送,这意味着它们可以被网络、ISP或任何能够监视传输的人读取。

如何有效防止以上情况发生?最优解就是将DNS数据进行加密,DNS数据加密是DNS安全发展的必然趋势,但当前环境下多数DNS不能加密数据信息。

1.4.威胁域名拦截

近年来西方敌对势力组建的网络部队、黑客组织、民间极端团体以网络精准打击破坏国家机关、军队、企业数据,窃取加密数据勒索赎金作为主要目的,对我国带来了以下方面的严重威胁:

1)数据安全:引起数据泄密、数据公开,威胁商业、科研秘密。

2)生产经营:扰乱生产经营秩序,导致生产产量和产品质量的下降,直接影响发展;

3)公共安全:引发严重的生产设施损害、环境灾难、人员伤害等公共安全危机。

4)国家安全:泄漏国家战略产业、设施、物资的布局、生产、储备等秘密。

DNS是攻击行为经常利用的中间途径,因此,提高DNS对威胁域名的发现、拦截为网络安全的重中之重。

1.5.DNS安全事件审计

在当前网络信息安全事故频发情况下,网络管理人员越发意识到网络安全的重要性,网络环境也出现了越来越多的网络安全产品,但是针对DNS服务,DNS安全事件排查仍处于大海捞针水平,即从海量日志信息中进行筛选,缺乏具有针对性的专项记录和审计,DNS日志数据安全操作记录更是一片空白。一旦出现运维事故,难以进行回溯追责。

二、特点介绍

2.1.权威递归分离

华域智能DNS安全接入网关在DNS安全标准基础上,结合用户实际网络环境,针对DNS服务进行合理规划,定义DNS安全策略,规范各种网络环境下DNS使用方式,保证其安全、稳定地运行。安全隔离内外网用户的DNS解析业务,避免因权威、递归一体化情况下的递归业务面临安全风险,防止DNS遭遇外网攻击导致递归解析异常,防止DNS面临内网攻击导致权威解析失效。

2.2.安全升级

华域DNS安全接入网关针对域名、IP、缓存、软硬件等条件进行标准化控制,通过对网络、系统、服务、数据、日志等方面的全面防护,实现深层次DNS服务的安全加固,大幅提升DNS安全防护级别。

2.3.威胁域名拦截

DNS是各种危险木马、病毒等攻击常见的涉及对象,华域DNS系统内置业界最先进的DNS威胁情报订阅服务,威胁域名数据具有多种来源,包括自主采集验证、国家安全应急中心、教育科研网、合作安全厂商、网络安全威胁情报联盟等等,可实现包括:C&C节点、恶意网站、数字货币、恶意软件、赌博、 钓鱼网址、 垃圾邮件、色情网站、僵尸网络等恶意域名的访问检测、拦截、封禁、分析等。

系统提供恶意域名库模块接口,支持与第三方机构(如安全厂商、管理平台)对接,帮助客户实现恶意域名自动化防护。

2.4.智能调度

华域智能DNS安全接入网关能够根据网络环境特点,实现以源地址、出口链路、用户身份、终端应用等多种方式的流量调度,结合时间、安全等多种策略,完成DNS智能化管理。

2.5.缓存窥探

华域智能DNS安全接入网关能够通过修改DNS缓存信息,有效防止“DNS缓存窥探”。DNS缓存窥探是当有人查询DNS服务器,以找出“窥探”,如果DNS服务器缓存了特定DNS记录,从而推断DNS服务器的所有者 (或其用户) 最近访问了特定站点。这可能会显示有关 DNS 服务器所有者的信息,例如他们使用的供应商、银行、服务提供商等,特别是在一段时间内多次“窥探”确认这一点。“DNS缓存窥探”甚至可用于收集统计信息,例如,DNS服务器的所有者通常在什么时间访问他的网库等。缓存DNS记录的剩余TTL值可以提供非常准确的数据。

2.6.信息校验

华域DNS安全接入网关针对权威、递归两个方面进行信息校验。权威方面,比如域名记录配置是否符合标准,备案信息完整性情况如何,是否存在多余的无效域名;递归方面,如稳定运行情况下某网站解析结果突然出现变化,域名Whois反查信息是否属于合规公司,有CDN业务网站解析结果比对等等。有效避免稳定运行网络环境下域名劫持、缓存污染等情况出现。

2.7.多递归回源

华域DNS安全接入网关支持设置多递归回源DNS,支持负载均衡算法,可实现多递归回源动态负载,且系统支持设置备用回源DNS,实现在一级回源DNS不可用情况下,自动使用备用回源DNS,保障DNS业务可靠性。

2.8.事件记录

华域DNS安全接入网关全面记录安全事件,提供多层次安全报表。不仅包括威胁域名、常见攻击、异常请求等基础安全报表,还包括针对DNS服务的异常通信报表,如数据上传下载、非DNS协议通信等等,同时对于日常管理中可能出现的异常操作、配置安全的异常行为报表,如导致DNS业务失效的配置行为、DNS数据调用行为、日志信息推送动作等等。

2.9.监控告警

DNS服务作为网络重要基础服务之一,不间断地提供可靠性服务非常重要。华域DNS安全接入网关实时监控DNS服务状态,聚焦DNS安全防护,针对不同级别安全事件,提供邮件、电话、短信、微信等多种告警方式,帮助管理人员掌握DNS状态,加固DNS安全。

2.10.数据加密

由于传统DNS协议形成于互联网早期,直接基于UDP或TCP协议,未虑及现代安全性的需要,未利用密码学等手段进行加密或验证。因而,其无法抵御现代互联网常见的DNS投毒污染等攻击手段或非法监听。

华域DNS安全接入网关通过数据加密技术为DNS协议提供可靠性传输方式,有效防止DNS在查询过程中出现DNS投毒、污染、劫持及恶意篡改等情况。在DNS数据加密情况下,只有DNS安全接入网关才能完成DNS数据包级别监控,其它产品均无法获取DNS数据包信息。

2.11.技术革新

1983年DNS技术诞生,为互联网发展至今奠定了基础。如今DNS已成为网络世界中不可或缺的一部分,上网第一个请求的服务就是DNS服务,因此对DNS的安全性和稳定性都提出了极高的要求。

华域DNS安全接入网关实现针对DNS服务的全方位、多类别数据管控,包括域名、IP、数据包等,支持DNS服务策略调度,包括时间、源地址、目标地址等,各种功能均服务于DNS服务的安全和稳定,同时系统支持DNSSEC、DoT、DoH等DNS技术,为各种DNS提供合理的技术升级方式,全面实现DNS服务的技术革新。