RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
保护您的域名:迈出第一步
  • 作者:admin
  • 发表时间:2019-11-01 07:41
  • 来源:未知

  假使也许的话,该当避免运用基于SMS的2FA。基于SMS的2FA依然优于只运用暗码守卫的账户,但其他本事如基于时光的一次性暗码(TOTP)、硬件令牌或基于推送的2FA该当是首选的。新的NIST数字身份指南提议,短信动作2FA的一部门该当被销毁(参见NIST特刊800-63B)。

  结构的预终止进程该当包含对用户脚色的审核。动作审核的一部门,结构该当审核员工对资源的拜候权限,好比注册账户或DNS云供给者,并终止全豹权限。正在合理的情景下,应尽疾将权限付与代替职员或继任职员。

  域锁定(domainlocking)是造止未经授权更改域注册的一种本事。大无数域名注册商愿意注册域名的注册商锁定(registrarlocks),也称为客户端锁定(clientlocks)。与注册商合系,看看他们是否增援这项任职。假使可用,确保您的域是锁定的。更全体地说,提议起码您的域名该当有客户端删除、客户端更新和客户端传输锁定效用,不要有客户端重置锁定。少许注册商正在他们的派别只供给一个锁定选项,这往往会蕴涵上述三个保举的锁定效用。锁定效用集能够造止任何未经授权的更新或传输,同时也造止攻击者正在没有起首解锁域之前删除域注册。而只须不筑树重置锁定,您依然能够更新域名或愚弄注册商的主动更新效用。很多注册商不会为锁定效用收取用度,有些以至会默认锁定域名,无需您做任何事变。

  运用通用的、基于脚色机能的或基于部分的电子邮件所在,比如。●通过基于脚色的账户收到的垂纶邮件普通更容易被料理员发明。

  攻击者会弥漫愚弄一家结构怠忽的DNS缝隙。他们会找到没有妥当庇护的账户,并对其举行损坏。是以您的第一步便是正在每个注册商处检验、更新和记载哪些人能够拜候哪些区域。

  起码化拜候(leastaccess)准绳是一个最和平的法则:人们只必要具有达成其职责所需的最低拜候权限。检验或许拜候注册商的用户是否是其职责机能所一定。除了一次性审查以表,放置对每个体拜候级此表屡屡审查。别的,确保起码有两个体能够拜候每个注册派别;不然一朝料理员离任,拜候权限的失掉将对结构酿成灾难性后果。

  第一个重心规模是DNS区域的料理(比如)。DNS区域料理是很多结构正在其和平和搜集审查中容易鄙夷的一个题目。不要低估攻击的规模和潜正在迫害:只须进入并拜候DNS区域和/或注册器,攻击者就能够重定向入站电子邮件、通过攻击者掌管的主机启发流量,以至能够得到TLS证书。

  除此以表,域名注册商掌管域名的威望名称任职器(或称授权,delegations)的列表。这些授权包含对相合域拥有威望性的DNS任职器的主机名和IP所在。威望的DNS任职器有一个主区域文献的副本,并用威望谜底回应DNS查问。近年来大领域攻击的振起一经改革了域全豹者操作其威望定名任职器的办法。过去,大无数结构正在己方的体系上操作威望的定名任职器。而今朝,结构有了更多拣选。有些域名注册商供给一共任职包,由注册商职掌料理和庇护域名的完备DNS摆设。比如,基于云的供给者如Akamai的FastDNS能够供给应对DDoS攻击的加强弹性效用,以及简化的底子步骤料理。

  关于新的操纵次第、任职或现场演示,能够迅速增加记载,然而这些记载也许正在合连任职封闭或迁徙之后依然存正在很长时光。动作内部产物性命周期的一部门,确保对任职的封闭予以了足够的珍重,封闭进程包含告诉DNS料理员不再必要主机名或子域。★△◁◁▽▼

  DNS审查应包含对您掌管的所著名称任职器上的全豹效户账户的审查,◆▼包含低级和次级名称任职器。能够拜候名称任职器的用户能够直接编纂域文献或更改体系上运转的软件。不要仅仅仰仗操作体系中的拜候许可权或拜候级别守卫,由于愚弄或纰谬摆设也许愿意任何具有账户的人拜候区域文献或任职器摆设适用次第。确保保管拜候日记以跟踪什么人登录到任职器;拜候掌管和问责造对您的DNS底子步骤的全豹部门都至合紧要。这正在主辅模子中特别紧要,◆●△▼●▲★-●此中低级名称任职器蕴涵区域文献的类型副本,而次级名称任职器按期或依照乞请将其从主任职器转变过来。

  本指南仅仅是您的DNS审查和审计熟习的起首。另日的著作将深化商讨DNSSEC、威望的DNS底子步骤、BGP要挟DNS资源、和平的DNS解析器以及DNS要挟的规模。

  接下来,查看与您注册的域名合连联的合系新闻。确保每个域名的有用期足够长(提议起码一年),并无误筑树此中的各选项如主动续约等。一个不料过时的域名也许会导致壮大的财政本钱,正在最坏的情景下,也许会无可挽回地失落,或是被竞赛敌手注册。

  按期更改暗码是全豹正在线账户的优异做法,域名注册商账户也不破例。正在对您的DNS底子步骤举行审查时,恳求每个拥有注册任职器拜候权限的人轮换他们的根据。固然您的结构也许有一个一共的暗码计谋,然而普通会怠忽表部任职,如注册任职器。表部账户应听从您的内部暗码和平指点目标和轮换时光表。注册任职器账户的暗码该当是长而杂乱的;运用暗码料理器能够很容易地以加密、冗长和易找到的办法天生和存储杂乱的暗码。暗码长久不该当写下来或以未加密的地势存储。

  遵守注册商的恳求检验结构中暂时的域料理员,•●并确保他们切合您的希冀。○▲检验与注册商摆设的全豹域并确保您理解结构中有哪些人能够拜候注册商的正在线派别,同时与这些用户举行确认。◇•■★▼假使您有与多个注册商注册的域名,确保您向每一个注册商反复这个操作。虽然如斯,依旧提议您研商将注册兼并到一个简单的注册商下。同时,找机遇核实您全豹的域名都正在您的域名注册审计中--有些人也许一经运用个体账户注册了一个域名,假使他们脱离了您所正在的结构,这也许会导致遗失掌管。

  很多域名注册商供给隐私或署理注册任职。这些任职会对大多窜伏您的个体合系新闻,并用ICANN-合系新闻取而代之。欧盟的普通数据守卫条例(GDPR)一经改革了正在像WHOIS如许的域注册数据库中颁布新闻的办法。动作普通准绳,一个基于脚色注册域名新闻的本事能够兼容GDPR,同时正在您的域名下向社区供给最新的合系新闻。◆◁•

  与全豹紧要数据雷同,区域文献及其更未来记应按期备份到和平的异地备份。可托备份与修订掌管相连合,将有帮于兴办用于复原文献的结尾已知优异版本。

  这份名单来自ICANNSSAC,一个由ICANN委员会录用的和平专家幼组。您的结构该当弥漫愚弄他们来之不易的复原被要挟域的体会。

  DNS关于任何有线上平台的结构都是至合紧要的。是以,攻击域名是一个攻击任何线上结构的有用本事,全体途径包含拒绝任职、污损、滥用等其他办法。域名不单代表您的品牌,也是您的客户与您举行营业互动的办法。正在当今全国,域名关于网页、▪️•★语音、视频、闲扯、API及公司也许供给或运用的全豹其他任职都至合紧要。简而言之,具有己方域名的掌管权对您的生意至合紧要。

  过滤DNS查问,造止员工拜候已知的搜集垂纶网站。像Akamai的企业要挟守卫器(ETP)如许的器材供给DNS级此表企业和平。

  正在对您的域举行更改时,请确保运用WHOIS来验证锁是否按预期操纵。要查问WHOIS新闻,☆△◆▲■▼▼▽●▽●您能够运用ICANN的WHOIS页面,通过打算机终端的WHOIS下令,或者注册网站的WHOIS页面。下面您能够看到一个操纵客户机/注册机锁的例子:

  攻击者能够通过DNS根区域、DNS注册中央/顶级域(TLD)(比如.uk、△▪️▲□△.jp等)、域名注册器、DNS名称注册器(该区域被委派的实体)、DNS区域文献、威望的DNS名称任职器和递归DNS解析器等对其举行攻击。攻击者还能够要挟途由,或以捉弄办法取得DNS任职器的IP所在。综上所述,攻击面相称的普遍。好音讯是DNS自己有较强的扞拒才智,并且也有很多结构合心着DNS的和平、安静和弹性。

  个体电子邮件所在不该当用作企业、当局或结构域料理员的合系点。动作审查进程的一部门,确保个体电子邮件所在从未用于域名合系新闻或注册商拜候账户。

  假使区域文献的主副本存正在于云DNS供给商中,您该当确保全豹能够编纂区域记载的账户都听从为注册账户任职的健旺和平条例。纵然正在运用云供给商时,也要确保按期存储区域文献的备份副本,以便正在灾难复原中运用。Akamai的FastDNS产物供给了粒度拜候掌管(granularaccesscontrol)、双成分身份验证(two-factorauthentication)以及轻松下载专区副本以便备份或审计的才智。

  还该当避免运用员工的结构或公司电子邮件所在(比如jane.q.)。泄漏参预料理公司域名的个体姓名,就会使他们面对更大的社会危险和针对公司的垂纶式攻击。相反,该当运用基于脚色或基于部分的名称(比如hostmaster-、hostmaster-),最好是让多个用户接受发送到这些所在的通讯。

  对这个题目缺乏珍重是对您的DNS存正在的最约略挟。很多结构以为DNS的装配筑树是理所当然的,只需摆设一次就能够长久保存它。然而,敌手便会愚弄这种鄙夷和由此爆发的弱点。按期举行DNS审查和审计是一项根基的提防举措。

  消息报道、打算机应急相应幼组(CERT)和当局告诉也许会促使您做DNS审计,但提议往往到此为止。这篇著作的其余部门是一家结构该当审查的大旨规模的纠合,△以评估他们目前的DNS立场。这些提议是基于Akamai本身体会、ICANN的和平和安静性研究委员会(SSAC)、DNS操作说明和筹议中央(DNS-OARC)以及其他DNS专家的职责所得出。

  搜集垂纶是损坏注册账户的合键攻击之一。您有也许遇到到针对DNS料理员的垂纶攻击,于是一个一共的垂纶防御是必不行少的。以下一系列反垂纶技能可供给有用守卫,造止垂纶式攻击。

  注:正在某些情景下,署理任职器或隐私注册表会阻止获取结构验证(OV)和扩展验证(EV)SSL/TLS证书所需的验证进程。启用或禁用署理或隐私注册的进程也许因注册商而异,正在订阅这些任职之前,应弥漫清晰时光表。•☆■▲正在封闭隐私注册方面的延迟也许会导致证书轮换失利或域转变的延迟,假使必要这些任职的话。该当周详研商这些危险。

  审查还该当包含对区域文献自己的料理,以确保管正在并践诺妥善的转移料理流程。区域文献的主副本该当存储正在修订掌管体系或其他拜候掌管存储器中。当闪现更改乞请时,DNS料理员天生一个更新的区域文献,将其放入一个审查次第中,检验其是否有纰谬,然后将新的副本推送到临盆境况。正在更新导问候表动作的情景下,该当有一个按期测试和易于践诺的进程,将区域复原到结尾一个已知的优异形态;一个修订掌管体系能够帮帮激动这种复原。审查您的DNS底子步骤还应包含按期审查账户,编纂拜候用于庇护区域文献的修订掌管体系。

  DNS区域蕴涵很多主机名和子域,但很多DNS料理员也许不睬解哪个部分或营业单元职掌给定的条件。主机名(hostname)指的是类型为A、AAAA、CNAME、TXT等的记载。子域由NS记载的存正在来指示,并将对区域的该部门的掌管委托给另一个名称任职器上的区域。

  为了帮帮料理域注册合系新闻,结构往往运用一个脚色账户(roleaccount)来料理全豹的四个一定的域合系点。脚色账户的修建因结构而异,但根基思念是兴办一个厉刻范围的邮件列表,全豹域名注册信函都能够发送到该列表。这些脚色名望普通被定名为域料理员(DomainAdministrator)或主机料理员(Hostmaster),并列出结构的总部合系新闻,包含所在、电话和传真号码。确保直接发送到这些号码的合法电话和传真仍将抵达DNS料理员手中。运用脚色名望,而不是指定的职员能够使得更改职责职责或者添补和删除职员特别生动,而不必要正在注册商处举行紧要更新。假使运用邮件列表,您的按期审计应审查订阅邮件列表的员工,以范围潜正在的滥用动作。

  域名注册商已被黑客入侵。DNS料理员账户已被攻破。比及这种情景爆发就为时已晚了。将这些情景动作DNS审查职责的一部门举行绸缪。正在您的域被要挟的情景下,向您的注册商咨询他们的复原进程。他们该当启发您达成绸缪妥善文档的进程。ICANN的SAC044任职提议搜集以下文档,★◇▽▼•以防护注册商域名正在被要挟的最坏情景:

  DNS料理员该当理解哪些组或团队职掌他们结构区域文献中的每个条件。假使您的结构运用内部单子跟踪体系,新闻也许存储正在体系中,但正在短时光内也许谢绝易拜候。确保跟着时光的推移精准地跟踪区域的更改也许必要对内部流程举行更新。一朝您能够正在您的区域文献中确定每个条件的职守方,您该当践诺按期审查并确保记载。■□验证每个主机名和子域的全豹权,并删除过期的条件该当是老例DNS审查的一部门。

  稀奇要当心委托的子域,由于它们的安排目标是将区域的一部门掌管权让给另一个名称任职器。确保NS记载是正确的,而且它们依然为子域供给威望的谜底。假使您的结构将一个子域名委托给第三方DNS任职供给商,那么往往检验委托子域名的谜底就更紧要了,由于表部任职供给商也许会正在没有告诉您他们的客户的情景下从新运用这些IP所在。假使一个区域被委托给由您的结构正在第三方云供给商中运转的名称任职器,那么必然要跟踪IP所在的改观并相应地更新区域委托。群多云打算偏向于迅速从新启用IP所在,是以无法审计您的NS记载和合连的IP所在也许会导致域料理权的转移。▲●…△

  运用员工的个体电子邮件所在(比如)动作联络点,将会将域名的掌管权移交到该员工手中。别的,您也无法理解您的员工正在他们的个体电子邮件账户上运用了什么样的和平举措,是以您也许把己方泄漏正在一个心怀不满的现任或前任员工的报仇动作眼前。您全豹的域名合系人该当包含由您的结构或母结构掌管的电子邮件所在。

  全国上罕有百个域名注册商,增援横跨1500个顶级域名。少许注册商比其他机构有更好的和平举措。您的结构能够帮帮启刊行业朝着更好的偏向发达。通过查看注册商的正在线文档清晰他们的和平试验和计谋。假使无法找到此新闻,请与注册商举行对话,并驱使他们颁布此新闻。

  互联网上的每一个体和每一件事都依赖于域名体系(DNS)的平常运作。近年来,DNS无间是搜集攻击的常见对象,2019年当然也不破例。大无数这类攻击的目标远比大略地让一家公司搜集溃散或损坏一个网站特别凶险;已知的攻击包含重定向一家结构的部门或全盘域名以得到拜候受守卫资源的权限、拦截流量以至得到该域名的TLS证书。结构应按期举行DNS审查和审计。下面的指点注明将让您的审查迈出第一步。

  同样,正在检验客户端/注册商和任职器/注册表锁定的WHOIS时,该当从您的WHOIS查问返回以下实质:

  假使您的注册商不增援2FA,申请这个效用。假使他们不承担,研商寻找代替的注册商。正在很多情景下,统一顶级域名、通用顶级域名和通用顶级域名城市存正在处于竞赛相合的多个注册商。

  域名也普通有四个合系点:注册人、技能、料理和账单合系人。您的注册商也许只会发送特定类型的讯息给这些脚色中的一个,正在某些争端中,注册人会处于优先的地点。确保全豹的合系新闻是最新的--由于正在结构发达强大、缩幼、转变或被并购时,注册合系人的更新题目往往会被鄙夷。

  除了客户端/注册商锁定,少许gTLD或ccTLD运营商还供给任职器锁定(serverlock),也称为注册表锁定(registrylock)。任职器锁定为域更新添补了格表的守卫层,惟有正在注册人的乞请下,才具通过与注册操作员的谐和的带表(out-of-band)历程(普通是通过电话)增加或删除任职器锁定。与客户端锁定雷同,提议的任职器锁定是ServerDelete、ServerUpdate和ServerTransfer,出于与前面相通的理由,不提议运用ServerRenew。★▽…◇请当心,有些注册商/TLD运营商并不供给这项任职。运用任职器或注册表锁定任职普通必要格表的本钱,并涉及添补的注册人/注册商交互。

  比如,您的注册商是否供给运营域所需的增援任职?注册商是否供给24x7技能增援,愿意正在非交易时光举行障碍袪除?ICANN的计谋恳求您确暂时注册商告诉您,他们从注册商那里收到的任何域名转变乞请,证据有人一经恳求将域名转变到一个新的注册商。您的注册商是否只通过电子邮件发送此新闻,或者您能够拣选通过电话或传真乞请此新闻?您的注册商是否发送告诉全豹其他更新到您的域名?ICANN的和平和安静性研究委员会(SSAC)与ICANN社区团结,供给DNS操作和和平指点。ICANN的SAC40守卫域名注册任职免受盘剥或滥用的举措和SAC44注册人守卫域名注册账户指南是分析和评估注册商和平试验的隽拔指南。

  请当心,增加或删除任职器/注册表锁定也许会导致更改域的延迟(长达一周),比如更新注册合系新闻、更新委托记载、域转变或域删除。比如,当转变域之间的注册,您必要正在传输进程起首之前废除锁定域。

  终止次第还应改换或捣毁离人员工能够得到的全豹机要。除了暗码,这还该当包含双重身份验证(2FA)令牌、口头身份验证暗码以及结构文献中任何授权员工的备案名单。无论员工离任的情景若何,这些都该当是一种老例操作。这并不是对离人员工的玷污,而是结构规避要挟的需要技巧。

  当您的注册商增援时,全豹账户都该当运用双重身份验证(2FA)。运用2FA时,任何试图登录到注册器的人不单必要账户暗码,还必要第二个成分,如智熟手机操纵次第或硬件令牌等。2FA能够禁绝原本也许告成的搜集垂纶试验。

  启用电子邮件过滤任职,以造止少许常见的垂纶和恶意软件攻击您的DNS料理员以及您的结构的其余部门。

  请记住,攻击者往往愚弄社交媒体动作搜集垂纶试验的一部门。他们能够很容易地正在社交媒体平台上锁定出名度高的员工,由于他们理解结构正在重组、裁人或员工退息后也许会健忘删除注册新闻。▲●

北京pk10注册代理