DNS安全為何是網路安全的核心?
DNS服務的簡單分類
對於大多數公司和用戶來說,DNS可以分為三個基本類別:內部權威DNS,外部權威DNS和遞歸DNS。總的來說,DNS(域名系統)是一個分散式系統,為IP地址映射提供域名,以便用戶和應用程序可以利用結構化命名約定來記憶和連接到分散式的服務,而不是用難記的IP地址訪問這些服務。這很像在電話聯繫人列表中記住朋友或同事的姓名,而不是記住他們的實際電話號碼。
內部權威DNS負責回答來自企業的內部用戶,應用程序,伺服器和網路基礎設施的所有DNS查詢,保證它們與企業的網路和服務連接並進行交互。例如對於Active Directory,最終用戶的系統必須執行DNS查找以定位域控制器及其服務。分層的應用程序將執行DNS查詢來查找Web伺服器,資料庫伺服器,存儲等等。內部權威DNS儘可能快地提供了所有這些答案——通常每秒處理數千個查詢——所以服務響應時間(例如電子郵件檢索和網頁瀏覽器中的網頁載入)沒有明顯的延遲。內部權威DNS應包含所有公司基礎設施的所有這些IP到名稱的映射。
外部權威DNS為互聯網上公開可用的DNS域和DNS記錄提供相同類型的查找服務。對於客戶到達指定公司的公開網站或向該公司發送電子郵件,必須查詢該公司的外部權威DNS伺服器。查詢響應提供相應的IP地址讓客戶工作站或移動設備來建立連接。
為什麼DNS是網路安全的核心
為什麼DNS如此重要?如果您的內部DNS表現不佳或者不可用,那麼您的所有應用程序的性能將會很差或者會明顯下降。如果您的內部DNS受到攻擊,那麼攻擊者將對您的網路上的所有服務一目了然並且可以十分容易到達目標伺服器。黑客也可能會控制和更新DNS記錄,將您的內部流量重定向到他們自己的惡意目的地。
如果您的外部DNS表現不佳或不可用,則客戶可能無法聯繫您的網站或向您的企業發送電子郵件。如果網路體驗不佳,客戶可能會流逝或轉向競爭對手。外部DNS表示您的品牌和互聯網的可用性,根據您的業務性質,可能會對您的品牌和收入產生重大影響。不安全的外部DNS可能會悄悄地將您的客戶引向惡意網站,欺騙您的網站以竊取客戶信息或攔截電子郵件。
如果您的遞歸DNS表現不佳或者不可用,您的互聯網訪問就會變得無效或嚴重退化。這是因為您無法快速解析任何外部網站或資源的IP地址。不安全的遞歸DNS可能會導致您在不知情的情況下進入惡意或受損目的地。不安全的遞歸DNS會導致進行惡意軟體通過DNS 與命令與控制(C2)通信,另外數據泄露也會經常利用不安全的DNS服務。
DNS安全是網路安全的核心,所有企業必須重視。針對企業的DNS我們必須問自己如下四個問題:
總而言之,當我們設計一個DNS架構時,僅僅從帶寬和QPS查詢性能上來考慮是遠遠不夠的,我們必須考慮到我們需要一個可以伸縮的安全DNS,網路安全的核心離不開DNS的安全。
關於Infoblox
TAG:Infoblox合作夥伴 |