서버 캐시

인터넷 안전에 대해 언급하면 웹페이지 사기의 위험에 익숙해질 수도 있지만 도메인 사기 (pharming)의 위협을 아십니까?

한 온라인 회사에 있어서 이런 위험은 치명적이다!

간단하게 말하면 도메인 사기는 본래 한 사이트를 방문하는 데 쓰는 것이다

가구, 어느덧 모조 사이트를 납치할 경우, 사용자가 한 유명 브랜드를 방문하는 인터넷 상점을 준비하면 해커는 도메인 사기를 통한 수단을 통해 가짜 온라인 상점에 가져가고, 사용자의 ID 정보와 비밀번호를 동시에 수집할 수 있다.

이런 범죄는 일반적으로 DNS 서버의 캐시 투독 (cache poisoning) 이나 도메인 납치로 이루어진 것이다.

최근 몇 달 동안 해커들은 이미 사람들에게 이러한 공격 방식의 위해를 보여 주었다.

지난 3월 SANS Institute 1300개 유명 브랜드 도메인 네임 캐시 마약 공격, ABC, American Express, Citi, Verizon Wirless 등이 발견됐다. 1월, Panix 도메인 도메인 네임은 호주 해킹에 의해 납치됐다. 4월 Hushmail 메인 서버의 IP 주소가 해킹에 연결된 웹사이트로 변경됐다.

도메인 사기 사건의 통계 데이터는 아직 없다.

그러나 반홈페이지 사기 스태프 (APWG)는 이미 역기를 근시의 업무에 속여왔다.

전문가들은 캐시 투독과 도메인 납치 문제는 이미 관련 기관의 중요성을 불러일으켰고, 온라인 브랜드의 증가에 따라 매출액이 커지고 있다는 점도 더욱 두드러지고, 사기꾼이 머지않아 이 해킹기술을 이용해 많은 사용자를 속여 귀중한 개인정보를 얻고 온라인 시장의 혼란을 일으킬 우려가 있다.

도역은 기술과 조직에 속여 해결하는 것이 매우 복잡하지만.

하지만 현재로서는 기업을 보호하는 DNS 서버와 도메인 이름의 사기꾼이 조종하지 않는 조치를 취할 수 있다.

곤경 을 해결하다

DNS 안전 문제의 근원은 Berkeley Internet Domain (BIND)이다.

BIND 는 지난 5년간 광범위하게 보도된 각종 안전 문제가 넘치고 있다.

버이션사 수석인 켄 소바 (Ken Silva) 는 BIND 기반 DNS 서버를 사용하면 DNS 관리의 최상의 관례에 따라 하세요.

SANS 수석연구관인 Johannnes는 "현재 DNS 의 근본적인 문제가 존재하고 있으며 가장 중요한 조치는 DNS 서버를 꾸준히 수선해 최신 상태를 유지하는 것이다"고 말했다.

Nominu의 수석 과학자, DNS 프로토콜 원작인 Paul Mockapetris 는 BIND 9.2.5 또는 DNSSec 로 업그레이드, 캐시 해소할 위험을 해소하겠다.

그러나 Cisco, F5 Networks, Lucent, Nortel 등 제조업체의 DNS 관리 장비에서 제공한 인터페이스 인터페이스가 없다면 이러한 이전을 완수하는 데 어려움과 소비 시간을 완수할 수 있다.

일부 회사들은 Hushmail 과 같이 개방원코드 TinyDNS 로 BINDNS를 대체했다.

DNS 를 대체하는 소프트웨어는 Microsoft, PowerDNS, JH Software, 기타 제조업체의 제품을 선택합니다.

어떤 DNS 를 사용하든 BlueCat Networks 회장 Micchael Hyatt 에서 제공하는 최상의 관례를 따르십시오:

1. 다른 인터넷에서 분리된 도메인 이름 서버를 실행하여 쓸데없는 여성을 얻는다.

2, 외부와 내부 도메인 서버를 분리하거나 BIND Views 실행 (forwarders) 을 사용합니다.

외부 도메인 이름 서버는 거의 어떤 주소에서든 조회할 수 있지만, 전송기는 받아들이지 않는다.

그들은 내부 주소에서만 검색하는 것으로 설정되어야 한다.

외부 도메인 이름 서버의 재귀성 기능을 닫기 (뿌리 서버부터 DNS 기록을 지정하는 과정).

이것은 어떤 DNS 서버와 인터넷과 연락을 제한할 수 있습니까?

3, 가능하면 동적 DNS 업데이트 제한.

4, 지역 전송을 권한장치에 제한합니다.

5, 사무 서명을 이용해 지역 전송 및 지역 업데이트 디지털 서명.

6, 서버의 BIND 버전 숨기기.

7, DNS 서버에서 실행할 필요없는 서비스를 삭제합니다. FTP, telnet, HTTP.

8. 인터넷 외곽과 DNS 서버에서 방화벽 서비스를 사용합니다.

DNS 기능에 필요한 포트 / 서비스에 접근할 것입니다.

등록상에게 책임을 지다

지역 사기 문제는 조직에서 해결하는 것도 중요하다.

얼마 전 해킹 사기 고객 서비스 대표가 Hushmail 의 메인 도메인 서버의 IP 주소를 수정했다.

이에 대해 Hushmail 회사의 CTO Brian Smith 는 화가 나서 해커가 도메인 등록상 고객 서비스 대표를 쉽게 속일 수 있다는 사실이 분명했다.

Smith 는 "이 일은 우리에게 정말 엉망이다.

나는 등록상들이 제정하고 더 좋은 안전정책을 공포하는 것을 보고 싶다.

그러나 나는 등록상이 이렇게 하는 것을 찾지 못하고 이 일이 발생한 후, 나는 줄곧 이런 등록상을 찾고 있다.

Panix.com 총재는 Alex Resin 이 등록상 문제로 올해 1월 Panix 도메인이 납치될 때 같은 불만을 느꼈다.

우선 그의 등록상은 사전에 알려지지 않은 상황에서 그의 도메인 등록을 전매상에게 팔았다.

그리고 이 도메인은 또 한 사회공사인에게 도메인을 옮기는 것도 Resin 에게 알리지 않았다.

Resin 은 도메인 시스템의 체계적, 근본적인 개혁이 필요하다고 말했다.

지금은 많은 건의가 있지만 일이 빨리 진전되지 않는다.

시장수요와 ICANN 지도층이 등록상에게 안전한 이동정책을 실행할 수 있도록 하려면 장시간 걸릴 것이다.

이에 따라 Resin, Smith 와 ICANN 수석 등록 상호 연락관 Tim Cole 은 다음과 같은 위험 감소를 제안했다.

1. 당신의 등록자에게 서면을 꺼내 실행할 수 있는 정책 성명.

도메인 이름을 옮기려면 적시에 연락을 요구하는 조항을 서면 문서에 쓰도록 하세요.

2, 도메인 이름을 잠그고 등록자에게 자물쇠를 해체하는 구령이나 다른 신분 편지에 대해 요구하는가? script src = >