保護你的域名

的最佳做法

12 Dec 2016

Ben Lee

香港互聯網註冊管理有限公司

HKIRC

1

Copyright 2016 HKIRC. All rights reserved.

1

自我介紹

• Ben Lee, IT主管, HKIRC

– 同時被任命為資訊保安主任

– 管理.hk and .香港 地區頂級域名(ccTLD)的技術和保安

– 在域名行業有14年經驗

– 參與亞太地區的互聯網活動，如CDNC和APTLD

2

香港互聯網註冊管理有限公司(HKIRC)為一非牟利組織，由香港特區政府指定，專責執行香港地區頂級域名(即'.hk'及'.香港')的註冊及管理工作。

HKIRC透過其下之註冊服務機構(Registrars)以提供'.hk'

及'.香港'的域名註冊服務

HKIRC的任務之一是在國際互聯網論壇上代表香港，促進互聯網和相關技術的使用

3

HKIRC的背景

公司使命及願景

HKIRC是一非分配利潤組織，本著暢通無阻、有效可靠、以客為尊及持續經營為宗旨，致力提供及監管其他服務供應商提供 .hk及 .香港 域名註冊、域名解析及相關服務。

使命

願景

.hk / .香港是香港居民，公司和組織最喜歡的頂級域名

4

.hk與‘保安’

• HKIRC一直努力提供可靠，健壯和安全的服務

• 保持客戶的信心和信任對.hk很重要

• 客戶有更高保安意識，需求更安全的服務的

5

500,000 (最大query per second)

6

域名是攻擊目標？

• 是

• 更頻繁和更多的攻擊針對域名系統（DNS）

• 在香港，DDoS攻擊DNS的威脅和損害已有更多人知道

7

為何要攻擊/保護DNS？

• .hk註冊總數超過43萬

• DNS – 拒絕服務(DOS)和防礙數據存取

• Website defacement – 影響聲譽/公共形象

• E-commerce sites defacement / diversion – 收入損

失/顧客信心

• Email traffic diversion – 機密信息洩漏

8

DNS Ecosystem

#Registrant 註冊人– 註冊域名用於 網站/電子郵件服務 #Registrar 註冊商 – 註冊服務和更新DNS服 務器和IP地址 #Registry 註冊中心– 註冊服務和提供 域名解析 #DNS Operator DNS操作者– 伺服器 操作和提供域名解析

9

Op

eratio

n

Re

gistration

anycast DNS服務 #Registrants #DNS Operators

• 使用或部署anycast DNS服務 – 能夠用大量不同地理位置的服務器去處理的DNS查詢

• 保護DNS服務免受DDoS攻擊

• 有費用考慮，使用的決定在於風險水平的高低

10

2-Factor authentication #Registrants #Registrars

• 啟用2-factor authentication雙因素認證 or Dual-Password雙密碼

• 防止域名因密碼被竊或被猜中而被接管/劫持

11

Registry及Registrar Lock #Registrants #Registrars

• 啟用Registry Lock and Registrar Lock –由Registry (or Registrar)控制的鎖

• 防止未經授權的DNS更改

運行方法：

• Registry (or Registrar)方面把DNS鎖定，禁止更改NS和IP地址記錄

• 由授權人通過Registry（或Registrar）核實後解鎖

• 也叫作EPP server/client status

12

域名監測服務 #Registrants

• 使用域名監測服務 -監測與你的域名類似的註冊

• 偵測惡意模仿你的域名或網站

• 保護商標持有人的權利

13

DNSSEC #Registrants #Registrars

#DNS Operators

• 啟用DNSSEC – DNS Security extension DNS數據加上數碼簽署digital signature

• 檢測未經授權更改的DNS數據

14

啟用Email authentication #Registrants #DNS Operators

• 啟用電郵驗證

– Sender Policy Framework (SPF)

– Domain Keys Identified Mail (DKIM)

– Domain-based Message Authentication, Reporting & Conformance (DMARC)

• 收件人可以標記或丟棄偽造,誘騙或垃圾電郵

• 防範域名被作假電郵

15

保安管理框架 #Registrars #DNS Operators

• 建立保安管理框架

– InfoSec資訊保安政策

– Incident Response / Business Continuity 計劃和演練

– 快速應對網絡釣魚和保安事件

– 提供熱線支援

– Security audit保安審計

• 提高應付新保安風險的準備能力

16

#All

• 保安和防禦是一個無盡的貓捉老鼠遊戲

• 時刻注意新的保安威脅和漏洞並保持警惕

17

Thank you!

18

What .hk #Registry is doing

• InfoSec Policy ISO27001 based

• Security audit conducted by external auditor

• Regular exchanges with HKCERT, OGCIO,

OFCA and Police on security issues and

initiatives, e.g. security drills

19

Combat Phishing #Registry

Continuing efforts in combating attempts to register .hk for phishing. Total number of phishing cases using .hk in 2014 dropped by 99% compared with 2009.

20

Year No. of ‘.hk’ reported

for Phishing

2008 492

2009 10

2010 21

2011 15

Year No. of ‘.hk’ reported

for Phishing

2012 12

2013 7

2014 6

2015 1 (as at Mar)

0

0.2

0.4

0.6

0.8

1

1.2

372,684 522,684

Phishing

Enhance DNS server #Registry

• Resilience: primary, secondary and Anycast

• Benefit of Anycast over Unicast

– Redundancy

– Capacity

– Performance

• Attack usually targeted at specific domain names: will keep coming and even bigger

• Monitor scales of attacks and adjust capacity as required

21

Enabling DNSSEC

• Signed with root in Dec 2016

• Next steps

– Enhance .hk registration system for registrars,

resellers and registrants

– Promote DNSSEC to raise awareness

– Educate DNSSEC to ease deployment

22