網絡上的一切都始于域名。這是一家公司建立網絡形象的基礎。如果此基礎受到破壞,公司將遭受巨大損害。
作為CIO Week的一部分,我們研究了公司在網絡上始終面臨的所有最大風險,以及我們該如何應對這些風險。對域名的破壞仍然是最大的風險之一。域名被劫持的方式有很多種,或可能被其他方式破壞,最嚴重的是:完全失去對域名的控制。
您不希望這種破壞發(fā)生在您身上。想象一下,如果域名遭到破壞,您失去的不僅僅是您的網站,還有您公司所有的電子郵件,無數個與您公司域名相關的系統(tǒng),誰知道還有什么。攻擊者破壞您的公司域名對每個首席信息官來說都是噩夢。而且,如果您是一名首席信息官,那么您無需再擔心此事,因為,我們確實調查了每一個其他域名注冊商,并對他們的安全措施非常不滿意,我們需要推出我們自己的域名注冊。
但是,現在我們已經做到了,我們想讓域名破壞的事情永遠不會再發(fā)生。有鑒于此,我們很高興地宣布,我們將幫助所有企業(yè)用戶擴展到新的域名記錄保護級別。我們稱其為Cloudflare域名保護,并為每一位Cloudflare企業(yè)客戶免費提供這項服務。對于那些擁有受域名保護服務保護的客戶,我們也將免除這些域名的所有注冊和續(xù)訂費用。Cloudflare域名保護將在第一季度推出,您現在可以與您的客戶經理溝通,獲取該服務。
如果不了解域名是如何被破壞的,就不可能構建一個真正安全的域名注冊商解決方案。在詳細介紹我們的產品之前,我們想帶您了解一下域名是如何遭到破壞的。
盜走您王國的鑰匙
我們經常能聽到三種類型的域名破壞。讓我們逐一介紹。
域名轉移
最嚴重的破壞之一是未經授權將域名轉讓給另一家注冊商。雖然注冊商之間的合作在過去幾年里有了很大的改善,但要恢復被盜的域名仍然困難重重。這通常需要幾周甚至幾個月的時間。也可能需要采取法律行動。在最好的情況下,域名可能在幾天內恢復;最壞的情況是,您可能永遠無法恢復。
在注冊商之間簡單轉讓域名的能力至關重要,這也是保持域名注冊市場競爭力的一部分。然而,這也帶來了潛在的風險。大多數注冊機構使用的轉讓過程涉及到使用令牌來授權轉讓。在廣泛使用對公眾可訪問的whois數據進行編輯之前,也曾使用電子郵件審批流程。要竊取域名,不法分子只需要獲得對授權代碼的訪問,即可移除任何域名鎖。
未經授權的轉讓通常從破壞賬戶開始。在許多情況下,客戶的帳戶證書可能會被破壞。在其他情況下,攻擊者會使用復雜的社會工程方案來控制域名,他們通常在將域名轉移到另一個注冊商之前,會在注冊商帳戶之間移動域名。
域名服務器更新
域名服務器更新是另一種可能破壞域名的方式。域名轉讓通常是試圖永久接管域名,而域名服務器的更新在本質上則是暫時的。然而,即使更新通??梢院芸毂荒孓D,但這些類型的域名劫持可能非常極具破壞性。他們有可能竊取客戶數據和攔截電子郵件流量。但最重要的是:他們會讓一個機構的聲譽受到嚴重損害。
域名掛起和刪除
大多數域名掛起和刪除均非惡意活動的結果,而是由于人為錯誤或系統(tǒng)故障而發(fā)生。在很多情況下,客戶會忘記更新域名或忘記更新他們的付款方式。在其他情況下,注冊商可能會錯誤地掛起或刪除域名。
無論是何種原因:其結果是一個域名無法再被解析。
雖然這些不是域名可能被破壞的唯一方式,但它們是部分最具破壞性的方式。我們花費了大量時間關注這些類型的破壞,以及如何防止它們發(fā)生。
不同的域名處理方法
與很多熟人一樣,我們一直對域名業(yè)務的現狀感到沮喪。而且,這也并不是我們第一次在這里演示了。
我們已經提供一項注冊商服務——Cloudflare Registrar——這項服務對Cloudflare的所有客戶開放。我們讓它超級易于上手,并與Cloudflare相集成,我們在定價上沒有任何服務費——我們承諾,我們永遠不會向您收取任何高于每TLD批發(fā)價的費用。我們的目標是:消除“誘餌推銷”和“無止境增銷”(據我們的客戶所言,這是域名行業(yè)最常見的兩個術語)。相反,這是一個您會喜歡的注冊商。顯然,這就是Cloudflare,因此,我們也將一些最佳安全性實踐納入其運行方式中。
對于我們要求最為苛刻的企業(yè)客戶,我們也提供了自定義域名保護。每個使用自定義域名保護的客戶端都定義了其的更新記錄的流程。正如我們介紹它時所說:“如果使用自定義域名保護的客戶不希望我們改變其域名記錄,那么除非有六個不同的個人在同一個周二(滿月之日),通過一組預定義的電話號碼向我們致電,各自讀出多位獨有的密碼,并告訴我們他們最喜歡的冰淇淋口味,我們才會執(zhí)行這一要求。說到做到。”
沒錯,它很安全的,但并非擴展性最強的解決方案。因此,我們將對這項服務收取額外費用。然而,當我們與我們的企業(yè)客戶交談時,我們需要一種介于兩者之間的東西——一個黃金解決方案,可以這么說,這種解決方案能夠提供種高水平的保護,但并非傳統(tǒng)保護。
進入Cloudflare域名保護。
“三道鎖”法
我們提供的域名保護服務對域名進行保護的方法非常簡單:識別各種攻擊向量,并設計出分層的安全模式來應對每種潛在的威脅。
在我們研究每個安全層之前,理解注冊商和注冊機構之間的關系以及它們如何影響域名安全非常重要。您可以把注冊機構看作是域名的批發(fā)商。他們會管理頂級域名(TLD)內所有注冊域名的中央數據庫。他們也負責決定批發(fā)價格和制定TLD的具體政策。
另一方面,注冊商是域名的零售商,負責將域名銷售給終端用戶。每次注冊、轉讓或續(xù)簽時,注冊商將向注冊機構支付一筆交易費。
注冊商和注冊機構在所謂的“共享注冊系統(tǒng)(SRS)”中共同管理域名注冊。注冊商使用一種稱為可擴展配置協(xié)議(EPP)的IETF標準與注冊機構進行通信。EPP標準中包含了一組域名狀態(tài),注冊商和注冊機構可以應用這些狀態(tài)來鎖定域名,防止更新、刪除和轉讓(給另一個注冊商)。
注冊商能夠使用“客戶端”鎖,通常稱為“注冊商鎖”。注冊機構能夠使用“服務器”鎖,也稱為“注冊機構鎖”。要重點注意的是,注冊機構鎖將始終取代注冊商鎖。這意味著,在注冊商鎖被移除之前,無法移除注冊機構鎖。
現在,讓我們仔細看看我們的計劃方法。
我們首先將EPP注冊商鎖應用到域名中。這些是EPP客戶端鎖,用于防止域名更新、轉讓和刪除。
然后,我們會應用一個內部鎖,以防止任何針對該域名API調用的處理。該鎖能夠在EPP之外發(fā)揮作用,其旨在當EPP鎖被移除的情況下以及在EPP之外執(zhí)行操作的情況下,對域名進行保護。例如,在一些頂級域名(TLDs)中,域名聯(lián)系人數據只存儲在注冊商處,永遠不會傳輸到注冊機構。在這些情況下,擁有一個非EPP鎖定機制非常重要。
應用注冊鎖后,我們將使用一個特殊的非基于EPP的過程請求應用注冊機構鎖。需要注意的是,并非所有注冊機構都提供注冊機構鎖服務。在某些情況下,我們可能無法采用最后這項鎖定功能。
最后,創(chuàng)建一個安全的驗證過程,以處理未來解鎖或修改域名的任何請求。
包括開箱即用
我們的目標是使Cloudflare域名保護成現有擴展性最強的安全域名解決方案。我們希望確保對客戶最重要的域名—關鍵任務、高價值域名—能夠獲得安全保護。
明確包含在Cloudflare Enterprise合同下的符合條件的域名,并可以包含在我們的域名保護注冊服務中,而無需額外費用。而且,正如我們前面所提到的,這也將涵蓋注冊和更新費用—因此,保護您的域名將會減少您的擔憂,也無需再擔心費用問題。
您愿意為您的域名采用Cloudflare域名保護嗎?請聯(lián)系您的客戶經理,告知您的興趣。更多細節(jié)將在2022年第一季度初公布。