保護你的域名 的最佳做法 - ipv62016/12/12 · 自我介紹 •ben lee, it主管, hkirc...
TRANSCRIPT
保護你的域名
的最佳做法
12 Dec 2016
Ben Lee
香港互聯網註冊管理有限公司
HKIRC
1
Copyright 2016 HKIRC. All rights reserved.
1
自我介紹
• Ben Lee, IT主管, HKIRC
– 同時被任命為資訊保安主任
– 管理.hk and .香港 地區頂級域名(ccTLD)的技術和保安
– 在域名行業有14年經驗
– 參與亞太地區的互聯網活動,如CDNC和APTLD
2
香港互聯網註冊管理有限公司(HKIRC)為一非牟利組織,由香港特區政府指定,專責執行香港地區頂級域名(即'.hk'及'.香港')的註冊及管理工作。
HKIRC透過其下之註冊服務機構(Registrars)以提供'.hk'
及'.香港'的域名註冊服務
HKIRC的任務之一是在國際互聯網論壇上代表香港,促進互聯網和相關技術的使用
3
HKIRC的背景
公司使命及願景
HKIRC是一非分配利潤組織,本著暢通無阻、有效可靠、以客為尊及持續經營為宗旨,致力提供及監管其他服務供應商提供 .hk及 .香港 域名註冊、域名解析及相關服務。
使命
願景
.hk / .香港是香港居民,公司和組織最喜歡的頂級域名
4
.hk與‘保安’
• HKIRC一直努力提供可靠,健壯和安全的服務
• 保持客戶的信心和信任對.hk很重要
• 客戶有更高保安意識,需求更安全的服務的
5
500,000 (最大query per second)
6
域名是攻擊目標?
• 是
• 更頻繁和更多的攻擊針對域名系統(DNS)
• 在香港,DDoS攻擊DNS的威脅和損害已有更多人知道
7
為何要攻擊/保護DNS?
• .hk註冊總數超過43萬
• DNS – 拒絕服務(DOS)和防礙數據存取
• Website defacement – 影響聲譽/公共形象
• E-commerce sites defacement / diversion – 收入損
失/顧客信心
• Email traffic diversion – 機密信息洩漏
8
DNS Ecosystem
#Registrant 註冊人– 註冊域名用於 網站/電子郵件服務 #Registrar 註冊商 – 註冊服務和更新DNS服 務器和IP地址 #Registry 註冊中心– 註冊服務和提供 域名解析 #DNS Operator DNS操作者– 伺服器 操作和提供域名解析
9
Op
eratio
n
Re
gistration
anycast DNS服務 #Registrants #DNS Operators
• 使用或部署anycast DNS服務 – 能夠用大量不同地理位置的服務器去處理的DNS查詢
• 保護DNS服務免受DDoS攻擊
• 有費用考慮,使用的決定在於風險水平的高低
10
2-Factor authentication #Registrants #Registrars
• 啟用2-factor authentication雙因素認證 or Dual-Password雙密碼
• 防止域名因密碼被竊或被猜中而被接管/劫持
11
Registry及Registrar Lock #Registrants #Registrars
• 啟用Registry Lock and Registrar Lock –由Registry (or Registrar)控制的鎖
• 防止未經授權的DNS更改
運行方法:
• Registry (or Registrar)方面把DNS鎖定,禁止更改NS和IP地址記錄
• 由授權人通過Registry(或Registrar)核實後解鎖
• 也叫作EPP server/client status
12
域名監測服務 #Registrants
• 使用域名監測服務 -監測與你的域名類似的註冊
• 偵測惡意模仿你的域名或網站
• 保護商標持有人的權利
13
DNSSEC #Registrants #Registrars
#DNS Operators
• 啟用DNSSEC – DNS Security extension DNS數據加上數碼簽署digital signature
• 檢測未經授權更改的DNS數據
14
啟用Email authentication #Registrants #DNS Operators
• 啟用電郵驗證
– Sender Policy Framework (SPF)
– Domain Keys Identified Mail (DKIM)
– Domain-based Message Authentication, Reporting & Conformance (DMARC)
• 收件人可以標記或丟棄偽造,誘騙或垃圾電郵
• 防範域名被作假電郵
15
保安管理框架 #Registrars #DNS Operators
• 建立保安管理框架
– InfoSec資訊保安政策
– Incident Response / Business Continuity 計劃和演練
– 快速應對網絡釣魚和保安事件
– 提供熱線支援
– Security audit保安審計
• 提高應付新保安風險的準備能力
16
#All
• 保安和防禦是一個無盡的貓捉老鼠遊戲
• 時刻注意新的保安威脅和漏洞並保持警惕
17
Thank you!
18
What .hk #Registry is doing
• InfoSec Policy ISO27001 based
• Security audit conducted by external auditor
• Regular exchanges with HKCERT, OGCIO,
OFCA and Police on security issues and
initiatives, e.g. security drills
19
Combat Phishing #Registry
Continuing efforts in combating attempts to register .hk for phishing. Total number of phishing cases using .hk in 2014 dropped by 99% compared with 2009.
20
Year No. of ‘.hk’ reported
for Phishing
2008 492
2009 10
2010 21
2011 15
Year No. of ‘.hk’ reported
for Phishing
2012 12
2013 7
2014 6
2015 1 (as at Mar)
0
0.2
0.4
0.6
0.8
1
1.2
372,684 522,684
Phishing
Enhance DNS server #Registry
• Resilience: primary, secondary and Anycast
• Benefit of Anycast over Unicast
– Redundancy
– Capacity
– Performance
• Attack usually targeted at specific domain names: will keep coming and even bigger
• Monitor scales of attacks and adjust capacity as required
21
Enabling DNSSEC
• Signed with root in Dec 2016
• Next steps
– Enhance .hk registration system for registrars,
resellers and registrants
– Promote DNSSEC to raise awareness
– Educate DNSSEC to ease deployment
22