NIST十多年来首次更新了其DNS安全指南

DNS基礎設施几乎支撐著一個組織的每一個網路連線，但十二多年來，它的安全配置在聯邦指導層面上基本上沒有修改。NIST发布了SP 800-81r3，即安全域名系统部署指南，取代了2013年的版本。

该文件涵盖三个主要领域：使用DNS作为主动安全控制，保护DNS协议本身，以及保护运行DNS服务的服务器和基础设施。它针对两个群体：网络安全高管和决策者，以及配置和维护DNS环境的运营网络和安全团队。

DNS作为安全执行点

更新后的指南非常强调保护性DNS，该文档用该术语来描述具有增强安全功能的DNS服务，可以分析查询和响应，并对威胁采取行动。保护性DNS可以阻止与恶意域的连接，按类别过滤流量，并生成支持数字取证和事件响应的查询日志。

本文档介绍了两种通用部署模式：基于云的保护性DNS服务和使用DNS防火墙或响应策略区域（RPZ）的本地部署。在可行的情况下，建议采用结合两者的混合方法，因为云中断与本地回退仍然保留保护。

Cricket Liu，工程执行副总裁、首席DNS架构师和Infoblox高级研究员，该出版物是该出版物的合著者，他为Help Net Security提供了有关RPZ部署实践的更多详细信息。他说：“在部署响应策略区域（最常见的保护性DNS机制之一）时，我们建议组织创建一个本地RPZ，以覆盖他们可能从其他组织获得的RPZ。”“组织通常会使用本地RPZ将其内部命名空间列入白名单，然后可以将可能被错误阻止的单个域名添加到白名单中。”

该指南建议将保护性DNS日志与SIEM或日志分析平台集成，并应将DNS查询数据与DHCP租赁历史记录相关联，以便在事件响应期间将IP地址映射到特定资产。

加密的DNS改变了DNS服务器的作用

该出版物非常关注加密DNS，涵盖三种协议：在TCP端口853上运行的TLS DNS（DoT）；在TCP和UDP端口443上运行的HTTPS上的DNS（DoH）；以及在UDP端口853上运行的QUIC的DNS（DoQ）。所有三者都加密存根解析器和递归DNS服务器之间的通信，并可选择支持服务器身份验证。

美国政府要求联邦文职行政部门机构在与机构端点通信时使用加密的DNS，无论在技术支持的地方。该指南指出，组织可能需要配置浏览器和其他应用程序来实现自己的加密DNS，以便用于控制和日志记录的本地解析器不会被绕过。

刘指出了指南强化的加密DNS部署的结构性后果。他说：“当部署加密的DNS时，DNS服务器本身变得至关重要。”“DNS服务器成为检测和执行点。此外，组织可以检索和存储从其DNS服务器收集的被动DNS数据，这使他们能够检测威胁、记录响应等。”

该出版物建议组织使用TCP端口853上的防火墙规则阻止未经授权的DoT流量，并使用RPZ与防火墙规则相结合来限制未经授权的DoH流量，鉴于其使用端口443，更难阻止。建议使用移动设备管理工具在端点上强制执行已批准的DNS配置。

针对当前算法更新了DNSSEC指南

该出版物更新了DNSSEC签名建议，以反映当前的加密标准。它提供了从RFC 8624和NIST SP 800-57中提取的受支持算法表，包括带有SHA-256的RSA、ECDSA P-256和P-384，以及Edwards曲线算法Ed25519和Ed448。该文件指出，与RSA相比，ECDSA和Edwards曲线算法更受欢迎，因为较小的密钥和签名大小有助于将DNS响应大小保持在避免需要TCP的限制范围内。

DNSSEC签名密钥被归类为签名密钥，建议最长寿命为一到三年。该文件建议将RRSIG有效期缩短，最多五到七天，以限制被盗密钥可用于偽造响应的窗口。建议使用硬件安全模块来存储私钥，特别是实用的密钥签名密钥。

该指南建议NSEC而不是NSEC3进行认证的否定存在，并指出NSEC3的计算开销通常不能由它提供的对区域行走的保护来证明是合理的。政策要求使用NSEC3的组织被引导到RFC 9276进行参数设置，以降低拒绝服务风险。

尚未指定后量子加密算法用于DNSSEC。文件指出，一旦规格和工具可用，管理员应计划进行迁移。

权威服务器卫生和区域管理

该指南描述了特定于权威DNS服务的几个威胁类别。悬挂的CNAME记录，其中CNAME指向不再由组织注册或控制的域，可以允许威胁行为者接管该名称的解决方案。蹩不通的委托，即子域被委派给不再具有权威性的命名服务器，会产生类似的曝光，并可以通过托管提供商实现域劫持。
该文档建议对域名注册进行主动监控，以检测相似或错别字域。它还建议组织将退役的域授权保持在停泊状态一段时间，以防止攻击者重新注册。

对于大多数DNS数据，建议TTL值在1,800秒（30分钟）到86,400秒（一天）之间。明确禁止TTL为零，DNSSEC签名的记录不建议使用低于30秒的值。