企業的 DNS 安全性：它是什麼以及為何它很重要

在這篇文章中，我們將探討 DNS(新視窗) 安全性、它對您的企業意味著什麼，以及使用 Proton VPN 如何為您的企業提供所需的 DNS 安全性(新視窗)。

網域名稱系統 (DNS) 將人類友善的網域名稱翻譯為電腦用來識別網站和其他網際網路資源的數字 IP 位址(新視窗)。因此，它在我們所有人使用網際網路（包括工作）的方式中扮演著至關重要的角色。

不幸的是，DNS 發明於 1983 年，遠在線上安全性被考量之前。預設情況下，DNS 查詢是以純文字傳送的，任何人都可以看到，並且很容易被劫持以重新導向到惡意網域。這種情況對個人網際網路使用者來說已經夠危險了，但在企業環境中可能是災難性的。

• 什麼是 DNS？
• 企業的 DNS 與隱私
• 企業的 DNS 與安全性
• DNS 安全性解決方案
• Proton VPN 如何保護貴企業的 DNS
• 結語：企業 DNS 保護的重要性

什麼是 DNS？

電腦透過獨一無二的數字 IP 位址來識別每個直接連線到網際網路的裝置。較舊的 IPv4 系統使用八位數的位址（例如 185.159.159.140），但這些位址即將用盡，因此較新的 IPv6 標準使用十六進位系統（包含數字和字母），長度可達 45 個字元（例如 2001:db8::8a2e:370:7334）。

這對電腦來說很棒，但對人類來說則不然，人類更擅長記住對我們有意義的字母位址（網域名稱）（例如 protonvpn.com）。DNS 允許人類輸入我們理解的網域名稱，並將其對應到電腦理解的數字位址。本質上，它的行為就像一本交叉參照網域名稱和 IP 位址的電話簿。

當您輸入一個網域名稱（例如，在瀏覽器搜尋列中）時，DNS 查詢會被傳送到 DNS 伺服器，該伺服器會解析查詢。也就是說，它將網域名稱翻譯為其對應的 IP 位址。

進一步瞭解 DNS 如何運作(新視窗)

企業的 DNS 與隱私

DNS 很有用，但也造成了一個巨大的安全性問題：任何有權存取貴公司 DNS 查詢的人實際上都知道其完整的瀏覽記錄，包括所有使用辦公室網路連線到網際網路的工作人員的記錄。

DNS 與貴公司的 ISP

依預設，DNS 查詢會由您的網際網路服務供應商(新視窗) (ISP) 解析。遺憾的是，ISP 並不從事保護個人或企業隱私的業務。大多數政府的大規模監控計畫都依賴 ISP 保留其客戶的瀏覽日誌。而且，由於簡單且便宜，大多數 ISP 僅透過保留 DNS 日誌來履行這些法律義務。

在某些國家 (例如美國)，ISP 甚至獲准使用或出售客戶的 DNS 記錄(新視窗)用於廣告和分析目的。

DNS 與企業監控

大多數 DNS 查詢都以純文字傳送至 DNS 伺服器，這意味著任何能攔截它們的實體都會知道您整個公司的瀏覽記錄。這包括您公司的聯絡人、商業夥伴、供應商、客戶，以及與其互動的政府、衛生和安全法規機構等等。

所有這些資料對競爭對手來說都可能是極具價值的資訊。

DNS 與企業安全性

除了被動窺探您企業的瀏覽記錄外，駭客還可以利用 DNS 進行各種主動攻擊。其中許多攻擊針對 DNS 伺服器本身 (通常是旨在使伺服器超載的各種形式的阻斷服務攻擊(新視窗))，但除非您的公司執行自己的 DNS 伺服器 (有些公司確實如此)，否則此類攻擊不太可能對您的業務構成威脅。

可能對大多數企業構成威脅的 DNS 攻擊包括：

DNS 身分冒充

為了加速查詢程序並減少 DNS 伺服器的負載，頻繁的查詢通常會儲存 (快取) 在本機 DNS 伺服器上。若要執行 DNS 身分冒充攻擊 (也稱為 DNS 投毒)，攻擊者會將錯誤的 DNS 記錄插入 DNS 伺服器快取中。

這可以透過使用中間人攻擊(新視窗) (攔截使用者裝置與 DNS 伺服器之間的查詢) 或透過快取投毒(新視窗) (利用 DNS 伺服器軟體中的漏洞將惡意項目插入其快取) 來完成。

一旦 DNS 快取被投毒，當使用者嘗試造訪合法網站時，損毀的 DNS 記錄會將他們重新導向到攻擊者控制的另一個 IP 位址。如同網路釣魚攻擊，這通常會導致密碼和信用卡資訊被竊取，及/或惡意軟體被上載到您公司的電腦。

DNS 通道

DNS 通道通常被用作企業監控的工具，用於繞過防火牆和其他旨在防止敏感資料外洩 (竊取) 的安全措施，它會將資料編碼，以便能在 DNS 查詢和回應中傳輸，有效地利用 DNS 基礎架構作為隱蔽的通訊頻道。

它也可能被攻擊者用來維持與受駭系統的通訊，在不被偵測到的情況下傳送指令並接收輸出。DNS 通道利用了 DNS 流量通常比其他類型的流量較少受到安全裝置審查的事實，使其成為繞過防火牆和過濾器的有效方法。

DNS 安全性解決方案

大多數 ISP 完全不實施任何 DNS 安全措施 (通常也對保護您企業的隱私沒有興趣)。然而，Cloudflare 1.1.1.1、Quad9 和 OpenNIC 等第三方 DNS 供應商則更注重隱私和安全性。這包括使用讓 DNS 更安全的技術。

私有 DNS

私有 DNS (也稱為已加密 DNS) 使用 DNS-over-TLS (DoT)、DNS-over-HTTPS (DoH) 或 DNSCrypt 安全協定來加密進行查詢的裝置與 DNS 伺服器之間的 DNS 查詢。

這可確保您的 ISP (或任何其他監控您公司網際網路連線的人) 無法看到您的 DNS 查詢。

進一步瞭解私有 DNS(新視窗)

私有 DNS 顯然比以純文字傳送 DNS 查詢有巨大的改進，儘管它不如使用 VPN 服務那樣私密，VPN 不僅會加密您的 DNS 請求，還會加密您公司所有的敏感資料，從而完全防止您的 ISP 看到您的企業在線上做什麼。它還可以向您員工造訪的網站隱藏您的真實 IP 位址。

DNSSEC

網域名稱系統安全擴充功能 (DNSSEC) 是一套規格，旨在為 DNS 增加一層額外的安全性。

DNSSEC：

• 確保對 DNS 查詢的回應是真實的。它透過使用數位簽署來簽署 DNS 資料，然後由用戶端進行驗證。這有助於驗證資料未被竄改，且確實來自合法來源。
• 保證資料在傳輸過程中未被更改。它透過對 DNS 資料進行數位簽署來實現這一點，從而防止中間人攻擊並防止任何人修改資料。 

Proton VPN 如何保護您企業的 DNS

除了提供閘道 IP 位址以保護您公司的資源外，Proton VPN for Business 還提供強大的 DNS 安全性：

• 所有 DNS 請求都會透過已加密 VPN 通道傳送，並由我們自己的安全 DNS 伺服器解析 (因此不需要私有 DNS 解決方案)
• 我們絕不會保留您的 DNS 查詢日誌 (實際上也不會保留任何其他內容)   
• 我們的 NetShield Ad-blocker 功能是一種 DNS 過濾器，可封鎖對已知用於廣告、追蹤程式和 (可選，為了更好的控制) 惡意軟體的惡意網域的 DNS 查詢 
• 您的 DNS 伺服器使用 DNSSEC 來驗證 DNS 資料 (被 NetShield 封鎖的網域除外，反正我們不會解析這些網域)

結語：DNS 保護對企業的重要性

DNS 安全性經常被忽視，但對於任何評估其安全態勢的企業來說，這應該是一個重要的考量因素。事實上，DNS 通道等攻擊之所以存在，正是因為通常沒有採取足夠的措施來保護企業的 DNS 查詢。

有了 Proton VPN for Business，您可以確信所有 DNS 查詢都已加密，不保留 DNS 日誌，並且 DNS 解析使用 DNSSEC 進行驗證。