更多

    提升 .hk 公司網站安全 啟動 DNSSEC 教學

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    DNS 一向都是駭客進行攻擊的熱門目標對象,全因為 DNS 本身的機制存有漏洞,有機會讓攻擊者騎劫網址,將用戶轉送到惡意網站。 負責「 .hk 」和「.香港」域名註冊的 HKIRC 今日宣布全面啟動 DNSSEC 支援,減低域名被騎劫的風險,那麼到底如何啟動?筆者就以著名的 CloudFlare DNS 服務為例,講解一下如何啟動 DNSSEC 。

    點解域名會畀人騎劫?

    其實我們平常「看得懂」的域名,電腦是無法「看懂」的。電腦是用精確的 IP 地址來互相聯繫的,但 IP 地址一點都不好記。為了要給網站一個人類易懂的名稱,所以就出現「域名」這東西,而負責將域名「翻譯」成 IP 地址的,就是 DNS 的工作。

    不過 DNS 這個協定存在根本性的漏洞,駭客有機會騎劫「翻譯」過程,從而將用戶的引領到虛假的釣魚網站,欺騙用戶提供個人資料。

    因此就出現 DNSSEC 標準,以金鑰和數碼簽署來加強「翻譯」過程的保安。

    DNSSEC 與 HTTPS 是同一回事嗎?

    不是,雙方所處理的是不同的問題。 HTTPS ( SSL )是處理用戶與網站之間的資料加密,和網站伺服器本身的身份認證;而 DNSSEC 是確保域名在翻譯成 IP 地址的時候,沒有受到駭客竄改,是 DNS 服務供應商與域名註冊商之間的關係,但需要公司網站管理員在雙方之間確認的事情。

    在 CloudFlare 及 HKDNR 啟動 DNSSEC 好容易

    啟動 DNSSEC 時,需要 DNS 服務供應商與域名註冊商雙方知道對方的加密資料。筆者今次就以 CloudFlare DNS 來示範如何啟動這功能。

    CloudFlare 是著名的內容傳遞網絡服務供應商( CDN ),他們有提供免費安全的 DNS 服務,而且還支援 DNSSEC 安全標準。

    [row][third_paragraph]

    1. 登入 CloudFlare ,在網頁頂部選擇「 DNS 」,然後在域名清單中選取要啟動 DNSSEC 的域名;
    1. 登入 CloudFlare ,在網頁頂部選擇「 DNS 」,然後在域名清單中選取要啟動 DNSSEC 的域名;

    [/third_paragraph][third_paragraph]

    2. 撥到網頁下方,有 DNSSEC 一欄,按下「 Enable DNSSEC 」鍵;
    2. 撥到網頁下方,有 DNSSEC 一欄,按下「 Enable DNSSEC 」鍵;

    [/third_paragraph][third_paragraph]

    3. 網頁會彈出一些註冊 DNSSEC 時所需的資料,包括 Key Tag 、 Digest 等。先別心急按下 Continue 鍵⋯⋯
    3. 網頁會彈出一些註冊 DNSSEC 時所需的資料,包括 Key Tag 、 Digest 等。先別心急按下 Continue 鍵⋯⋯

    [/third_paragraph][/row][row][third_paragraph]

    4. 另開一個網頁登入 .hk 域名的註冊商 HKDNR 網站,在域名清單中選擇要啟動 DNSSEC 的域名;
    4. 另開一個網頁登入 .hk 域名的註冊商 HKDNR 網站,在域名清單中選擇要啟動 DNSSEC 的域名;

    [/third_paragraph][third_paragraph]

    5. 在功能目錄最下方找到修改和更新 DNSSEC 的一項按進去;
    5. 在功能目錄最下方找到修改和更新 DNSSEC 的一項按進去;

    [/third_paragraph][third_paragraph]

    6. 將第 3 步中 CloudFlare 顯示出來的資料,按圖中編號拷貝過去。要留意 HKDNR 裡 Digest Type (雜湊類型)是用數字來代表的,要對照 CloudFlare 上的資料來選擇。填妥後就按「 Add 」鍵繼續;
    6. 將第 3 步中 CloudFlare 顯示出來的資料,按圖中編號拷貝過去。要留意 HKDNR 裡 Digest Type (雜湊類型)是用數字來代表的,要對照 CloudFlare 上的資料來選擇。填妥後就按「 Add 」鍵繼續;

    [/third_paragraph][/row][row][third_paragraph]

    7. 在下一頁勾選確認啟動 DNSSEC 之後,就會出現成功更新的畫面;
    7. 在下一頁勾選確認啟動 DNSSEC 之後,就會出現成功更新的畫面;

    [/third_paragraph][third_paragraph]

    8. 這時可以再次選擇 HKDNR 裡的域名和 DNSSEC 選項來確認資料已生效,也可以刪除或新增其他 DNSSEC 資料(如果你的公司網站採用多間供應商的 DNS 的話);
    8. 這時可以再次選擇 HKDNR 裡的域名和 DNSSEC 選項來確認資料已生效,也可以刪除或新增其他 DNSSEC 資料(如果你的公司網站採用多間供應商的 DNS 的話);

    [/third_paragraph][third_paragraph]

    9. 這時回到 CloudFlare ,按下第 3 步中的「 Continue 」鍵,就會看到 CloudFlare 會翻查 HKDNR 的資料,以確定雙方的設定一致。成功的話就會顯示「 Success 」字樣。
    9. 這時回到 CloudFlare ,按下第 3 步中的「 Continue 」鍵,就會看到 CloudFlare 會翻查 HKDNR 的資料,以確定雙方的設定一致。成功的話就會顯示「 Success 」字樣。

    [/third_paragraph][/row]

    延伸閱讀

    http://staging.pcmarket.com.hk/2018/05/29/dot-hk%e5%95%9f%e5%8b%95dnssec-%e9%98%b2%e6%ad%a2%e5%81%87%e5%86%92%e7%b6%b2%e7%ab%99/

     

    您會感興趣的內容

    相關文章