發表文章

目前顯示的是 2017的文章
圖片
DNSSEC安全技術簡介作者:游子興 / 臺灣大學計算機及資訊網路中心網路組約聘幹事
DNS 是一套已經廣泛使用的Internet 服務,但因先天的技術限制導致容易成為駭客攻擊的目標。本文主要在介紹DNSSEC 之緣起與技術背景,及其使用的加解密技術如何確保資料的完整性與來源可驗證性等,第二部分將介紹 DNSSEC 之實作與需特別注意之細節,將留待下回分解。 DNSSEC 之緣起與技術背景 DNS(Domain Name System)是所有人在 Internet 漫遊都會用到的技術,大部分的人都知道 google 的網址是 www.google.com , Yahoo 的網址是 www.yahoo.com。但應該沒有多少人知道 www.google.com 或 www.yahoo.com 的 IP 位址,若用指令查詢,會發現不止一個 IP 對應到 www.google.com
還好有了 DNS 的技術在背後幫忙將網址轉換為 IP 位址,因此大家才不需要記住這些個數字。 DNS 技術創立於 1980年代,在當時資訊安全並不是一項重要議題,因此存在許多先天的資安弱點。例如在 DNS 的查詢與回應中皆未加密,若有駭客在其中假造 DNS 封包,將使用者原先要連到的網址,回應錯誤的 IP而導向駭客的機器,其中可能因為網站內容看起來一模一樣,而騙到使用者之帳號密碼。 例如在 2011/09 土耳其的駭客組織 TurkGuvenligi 入侵 DNS 主機修改了超過 200個網站之 IP,許多知名網站如 UPS (ups.com), NGC (nationalgeographic.com) 還有國內的資訊大廠 Acer (acer.com)皆受其影響而直接導向駭客的機器,此種攻擊方式不論上述廠商投資了多少防火牆、資安設備等皆無法抵擋,因此該如何確保連上的網站就確實是該網站呢?
(圖片來源:http://www.ehackingnews.com/2011/09/theregistercouk-vodafone-daily.html ) DNSSEC 提供之資訊安全 此時就需要 DNSSEC (DNS security extension standard),DNSSEC 的優點在於可完全兼容於現行的 DNS,更額外提供三項資訊安全: 1.資料完整性 (data integrity)
2…