如何保護域名安全

ICANN的註冊程序經理Brian Gutterman於今(2020)年4月30日在官方部落格發表文章,向域名註冊人介紹保護域名安全的注意事項。此篇文章為「您持有域名嗎?您需要知道這些事」系列第6篇撰文,主題為:識別網路釣魚詐騙、DNSSEC簽章及其他保護域名的技巧。文中提供5項防護重點。 閱讀全文 “如何保護域名安全”

APNIC文摘—DNSSEC validation revisited(上)

本APNIC文摘原標題為DNSSEC validation revisited,由APNIC首席科學家Geoff Huston撰文。

DNSSEC是一種用來加強DNS安全的技術。當使用者想要前往特定網站,他使用的裝置內建伺服器會送出DNS查詢;這個伺服器得到DNS回傳的答案後,就可以將使用者帶往目的地。當然,這是以最基本、最略的方式理解DNS運作原理;而DNSSEC的任務,就是確保DNS回傳的回應沒有被中途變造。 閱讀全文 “APNIC文摘—DNSSEC validation revisited(上)”

歡迎踴躍參與ICANN67坎昆DNSSEC工作坊

ICANN會議期間舉辦DNSSEC工作坊已行之有年,來自全球各地、對DNS安全有興趣的人得以透過這個場合分享新知、教學相長。今年3月將於墨西哥坎昆舉行的ICANN67會議,不例外地也將舉行DNSSEC工作坊。工作坊籌備委員會目前已訂出本次DNSSEC工作坊的討論重點,包括DoT/DoH衝擊及濫用可能、資源公鑰基礎建設(Resource Public Key Infrastructure,RPKI)部署衝擊、邊界閘道通訊協定(Border Gateway Protocol,BGP)挾持及其他網路路由安全相關議題。 閱讀全文 “歡迎踴躍參與ICANN67坎昆DNSSEC工作坊”

2018年根區KSK Rollover產生未預期的影響

KSK(Key Signing Key)rollover是架構在DNS和DNSSEC的基礎上,並牽涉到網際網路的安全和穩定性,本文重點摘要Verisign特聘工程師Duane Wessels於CricleID發表針對此議題的撰文。

2017年7月,新的根區DNSSEC KSK首次在DNS裡發布,在這個時間點網際網路中所有有效的解析器應該要開始自動更新其DNSSEC信任錨(Trust Anchor)的流程,根據當時資料顯示,僅有一小部分的驗證器沒有自動更新,這使得ICANN延遲KSK rollover(更換)以研究相關情況。 閱讀全文 “2018年根區KSK Rollover產生未預期的影響”

ICANN敦促全面佈署DNSSEC

由於近來鎖定DNS基礎建設的攻擊事件頻傳,負責協調頂級域名系統運作穩定、安全,且全球可通用解析的ICANN 呼籲全面佈署DNSSEC,並重申其保護全球網路識別碼系統安全、穩定及靈活性的使命。

包括美國政府及眾多網路安全公司皆發布相關DNS受威脅的警報,根據這些通報,此波攻擊模式不僅手法多樣,攻擊面向亦相當廣泛。其中某些攻擊鎖定DNS,透過將原本指定目的地伺服器轉換成駭客掌控的位址,將使用者導向惡意網站。這種把DNS當成攻擊目標的手法,只有在未架設DNSSEC的域名系統中才會成功。 閱讀全文 “ICANN敦促全面佈署DNSSEC”

替代性網際網路方案 – Yeti DNS Project

自DNS問世至今已逾30年,雖然鮮少發生大規模解析障礙、運作算穩定,但隨著網際網路發展及各個國家對網路治理需求的不同,改變 DNS 現行體制與架構的想法也應運而生;其中,根域名伺服器的「去中心化」便是其中一個被提出的概念。在討論去中心化之前,首先說明有學者提出 DNS「中心化」的觀點為,過半數的主流13個根域名伺服器以及負責執行根域名伺服器zone file資料編輯的「Root Zone Maintainer」都由美籍機構所負責等。而「去中心化」即是希望能改變此現況,數個探討根域名伺服器新架構、新技術可能性的專案陸續出現。有關DNS運作方式及中心化治理議題之內涵,可參考導讀文章:「根域名伺服器的重要性、現況與爭議」

閱讀全文 “替代性網際網路方案 – Yeti DNS Project”

ICANN宣布有關 DNS 攻擊警告

ICANN對外說明,其已知悉近期來自於美國國土安全部、資安廠商如FireEye及Verisign 等有關 DNS 惡意攻擊事件的公開通報內容,並強調目前並無跡象顯示其系統受到損害,ICANN 目前也正與相關社群成員合作,針對頂級域名受攻擊事件進行調查。 閱讀全文 “ICANN宣布有關 DNS 攻擊警告”