【TechTarget中国原创】问:我们已知的管理DNS的最佳实践,有哪些是可以信任的呢?更具体地说,在普通的企业风险排行中,DNS安全应该处于什么位置?
答:如果Dan Kaminsky关于如何破解DNS的研究显示了什么内容的话,那就是企业正处于暴露的状态中。但是安全专家需要理解减轻这种风险的做法很少。第一种做法是确保公司的DNS服务器采取了资源端口的随机选择。这样并不能完全解决Kaminsky DNS攻击,但是它使得大幅减轻这种风险变得更困难(成本更高)。
这也就是说DNS服务器必须要打补丁,或者公司应该更新到更强大的服务器架构。其中的一个可能是DNSSEC,这是没用联邦政府所采用的,但是它相当复杂。
另外重要的是确保所有的上游ISP需要协同工作。即使公司的系统是良好的,处理这些危险的名称服务器(name server)的损失也是巨大的。
DNS安全责任取决于安全团队的操作责任。现在很多安全团队都是影响的受者而不是施与者,这也就是说他们需要和公司的网络团队和作,他们可以实际采用一些修复措施。