สมัครเพื่อรับการแจ้งเตือนเมื่อมีโพสต์ใหม่:สมัครรับข้อมูล

ขอแนะนำการป้องกันโดเมนของ Cloudflare — ที่ทำให้ช่องโหว่ของโดเมนเป็นเพียงอดีต

2021-12-10

อ่านเมื่อ 6 นาทีก่อน
โพสต์นี้ยังแสดงเป็นภาษาEnglish, 日本語, Indonesia และ简体中文ด้วย

ทุกอย่างบนเว็บเริ่มต้นด้วยชื่อโดเมน นี่เป็นพื้นฐานในการเริ่มต้นการดำเนินการทางออนไลน์ของบริษัท หากพื้นฐานดังกล่าวมีช่องโหว่ อาจทำให้มีความเสียหายขนาดใหญ่

Introducing Cloudflare Domain Protection — Making Domain Compromise a Thing of the Past

ระหว่างช่วง CIO Week เราได้ตรวจสอบความเสี่ยงที่ร้ายแรงที่สุดทั้งหมดที่บริษัทยังประสบทางออนไลน์ และวิธีที่เราสามารถรับมือได้ ช่องโหว่ของชื่อโดเมนยังเป็นหนึ่งในสิ่งที่สำคัญที่สุด มีหลายวิธีที่โดเมนอาจถูกลอกเลียนหรือมีช่องโหว่ ไปจนถึงการสูญเสียที่ร้ายแรงที่สุดต่อการจัดการชื่อโดเมนของคุณ

คุณไม่ต้องการให้เรื่องนี้เกิดขึ้นกับคุณ ลองจินตนาการว่าคุณไม่ได้สูญเสียเพียงเว็บไซต์ แต่รวมถึงอีเมล ระบบต่างๆ ที่ผูกกับโดเมนบริษัทของคุณทั้งหมด และสิ่งอื่นๆ ที่คุณอาจไม่ได้ตระหนักถึง ดังนั้นการที่มีผู้โจมตีสร้างช่องโหว่ให้กับโดเมนบริษัทของคุณจึงเป็นเรื่องที่เลวร้ายสำหรับทุกๆ CIO และหากคุณเป็น CIO แต่นี่ไม่ใช่สิ่งที่คุณกังวลอยู่ โปรดทราบว่าจริงๆ แล้วเราได้ทำการสำรวจตัวแทนผู้จดทะเบียนโดเมนอื่นๆ ทั้งหมดแล้วและรู้สึกไม่พึงพอใจกับการดำเนินการด้านความปลอดภัย เราจึงต้องการที่จะเปิดตัวบริการของเราเอง

ปัจจุบันเมื่อเรามีบริการดังกล่าวแล้ว เราต้องการทำให้ช่องโหว่ของโดเมนเป็นสิ่งที่ไม่ควรเกิดขึ้นอีกต่อไป ด้วยเหตุผลนั้น เรารู้สึกตื่นเต้นที่จะประกาศว่าเรากำลังปรับเพิ่มระดับการป้องกันบันทึกโดเมนใหม่แก่ลูกค้าองค์กรทั้งหมดของเรา สิ่งนั้นคือ การป้องกันโดเมนของ Cloudflare และเราได้รวมไว้ให้แล้วสำหรับลูกค้าองค์กรของ Cloudflare ทั้งหมดโดยไม่เสียค่าใช้จ่าย สำหรับลูกค้าที่มีโดเมนที่รักษาความปลอดภัยโดยการป้องกันโดเมนของ Cloudflare เราจะยกเลิกการเรียกเก็บค่าธรรมเนียมการลงทะเบียนและการต่ออายุสำหรับโดเมนเหล่านั้นทั้งหมด การป้องกันโดเมนของ Cloudflare จะพร้อมให้บริการในไตรมาสที่ 1 — คุณสามารถพูดคุยกับผู้จัดการบัญชีของคุณได้เลยตอนนี้เพื่อรับสิทธิประโยชน์จากข้อเสนอ

เป็นไปไม่ได้เลยที่จะสร้างโซลูชันตัวแทนผู้จดทะเบียนโดเมนที่ปลอดภัยได้อย่างสมบูรณ์โดยไม่เข้าใจว่าโดเมนมีช่องโหว่ได้อย่างไร ก่อนที่เราจะลงรายละเอียดเกี่ยวกับข้อเสนอของเรา เราต้องการพาคุณไปดูว่าโดเมนเกิดช่องโหว่ได้อย่างไร

การขโมยคีย์เพื่อเข้าสู่พื้นที่ส่วนตัวของคุณ

ช่องโหว่ของโดเมนที่เรามักได้ยินมี 3 ประเภท มาดูแต่ละประเภทกัน

การโอนย้ายโดเมน

ช่องโหว่หนึ่งที่ร้ายแรงที่สุดคือการโอนย้ายโดเมนที่ไม่ได้รับอนุญาตไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง ขณะที่ในหลายปีมานี้การดำเนินงานร่วมกับตัวแทนผู้จดทะเบียนได้พัฒนาอย่างก้าวกระโดด การกู้คืนโดเมนที่ถูกขโมยก็ยังคงอาจเป็นเรื่องที่แก้ไขได้ยากอยู่ โดยอาจใช้เวลาหลายสัปดาห์ หรือจนกระทั่งหลายเดือน หรืออาจต้องมีการดำเนินการทางกฎหมาย ในกรณีที่โชคดี โดเมนอาจได้รับการกู้คืนในไม่กี่วัน ในกรณีที่เลวร้ายที่สุด คุณอาจไม่ได้รับโดเมนคืนอีกเลย

ความสามารถในการโอนย้ายโดเมนระหว่างตัวแทนผู้จดทะเบียนอย่างง่ายดายจึงเป็นเรื่องที่สำคัญมาก และเป็นส่วนหนึ่งที่ทำให้ตลาดการจดทะเบียนโดเมนยังสามารถแข่งขันกันได้ อย่างไรก็ตาม สิ่งนี้ยังอาจนำไปสู่ความเสี่ยง ขั้นตอนการโอนย้ายที่ใช้โดยตัวแทนผู้จดทะเบียนส่วนใหญ่นั้นเกี่ยวข้องกับการใช้โทเค็นเพื่ออนุญาตให้มีการโอนย้าย ก่อนการดำเนินการที่แพร่หลายในการแก้ไขข้อมูล WHOIS ที่เข้าถึงได้อย่างเป็นสาธารณะ ขั้นตอนการอนุมัติอีเมลก็ถูกใช้อยู่ก่อนด้วยเช่นกัน ในการขโมยโดเมน ผู้ประสงค์ร้ายเพียงต้องมีสิทธิ์การเข้าถึงรหัสอนุญาตและสามารถที่จะนำการล็อกโดเมนออกได้

การโอนย้ายที่ไม่ได้รับอนุญาตมักเริ่มต้นจากบัญชีที่มีช่องโหว่ ในหลายๆ กรณี ลูกค้าอาจมีข้อมูลบัญชีที่มีช่องโหว่ ในกรณีอื่นๆ ผู้โจมตีใช้แผนวิศวกรรมสังคมที่ซับซ้อนในการเข้าควบคุมโดเมน โดยมักจะเคลื่อนย้ายโดเมนระหว่างบัญชีตัวแทนผู้จดทะเบียนก่อนโอนย้ายโดเมนไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง

การอัปเดตเนมเซิร์ฟเวอร์

การอัปเดตเนมเซิร์ฟเวอร์เป็นอีกหนึ่งวิธีที่อาจทำให้โดเมนมีช่องโหว่ ขณะที่โดยปกติแล้วการโอนย้ายโดเมนจะเป็นการดำเนินการเพื่อเข้าควบคุมโดเมนอย่างถาวร แต่การอัปเดตเนมเซิร์ฟเวอร์เป็นการดำเนินการอย่างชั่วคราวมากกว่า อย่างไรก็ตาม แม้ว่าโดยปกติแล้วการอัปเดตสามารถเรียกคืนได้อย่างรวดเร็ว การลอกเลียนโดเมนประเภทเหล่านี้อาจเป็นเรื่องที่สร้างความเสียหายได้เป็นอย่างมาก ซึ่งเป็นการเปิดโอกาสให้มีการขโมยข้อมูลลูกค้าและขัดขวางการรับส่งข้อมูลอีเมล แต่เหนือสิ่งอื่นใด สิ่งเหล่านี้อาจทำให้องค์กรเผชิญกับความเสียหายด้านชื่อเสียงได้อย่างร้ายแรง

การระงับโดเมนและการลบโดเมน

การระงับโดเมนและการลบโดเมนส่วนมากไม่ได้เป็นผลมาจากกิจกรรมที่เป็นอันตราย แต่มักเกิดขึ้นผ่านความผิดพลาดของมนุษย์หรือความล้มเหลวของระบบ ในหลายๆ กรณี ลูกค้าอาจลืมต่ออายุโดเมนหรือไม่ได้อัปเดตวิธีการชำระเงินของพวกเขา ในบางกรณี ตัวแทนผู้จดทะเบียนเป็นผู้ระงับหรือลบโดเมนโดยไม่ได้ตั้งใจ

ไม่ว่าจะด้วยเหตุผลใดก็ตาม ผลลัพธ์ก็คือเราไม่สามารถแก้ไขโดเมนได้อีกแล้ว

ในขณะที่วิธีเหล่านี้ไม่ได้เป็นเพียงวิธีเดียวที่โดเมนอาจมีช่องโหว่ แต่เป็นวิธีหนึ่งที่สร้างความเสียหายได้มากที่สุด เราได้ทุ่มเทเวลาไปกับการมุ่งเน้นที่ช่องโหว่ประเภทเหล่านี้และวิธีป้องกันไม่ให้เกิดช่องโหว่ดังกล่าว

วิธีอื่นในการจัดการโดเมน

เหมือนกับหลายๆ คน เราเองก็รู้สึกไม่พอใจสถานการณ์ของธุรกิจโดเมนที่มีมาอย่างยาวนาน และดังนั้น สิ่งนี้จึงไม่ได้บริการแรกของเราที่นี่

เรามีบริการเกี่ยวกับตัวแทนผู้จดทะเบียนอยู่แล้ว ซึ่งเรียกว่า — Cloudflare Registrar — ซึ่งเปิดให้บริการกับลูกค้า Cloudflare ทุกราย เราทำให้การเริ่มต้นใช้บริการนี้และการผสานรวมกับ Cloudflare เป็นเรื่องที่แสนง่ายดาย และไม่มีการบวกราคาเพิ่ม — เรา สัญญา ว่าจะไม่เรียกเก็บค่าบริการคุณมากกว่าราคาขายส่งที่แต่ละ TLD เรียกเก็บ วัตถุประสงค์: ไม่มี "การใช้ราคาเพื่อล่อลวง" และ “การเพิ่มยอดขายที่ไม่มีที่สิ้นสุด” (จากคำบอกเล่าของลูกค้า สองคำนี้เป็นคำที่เกี่ยวข้องกับอุตสาหกรรมโดเมนที่ได้ยินมากที่สุด) คุณจะได้พบกับตัวแทนผู้จดทะเบียนที่คุณประทับใจ และแน่นอนว่าก็คือ Cloudflare เรามีคำแนะนำการดำเนินการเกี่ยวกับแนวทางปฏิบัติแนะนำด้านความปลอดภัยที่ดีที่สุด จนถึงวิธีการปฏิบัติงานด้วยเช่นกัน

สำหรับลูกค้าองค์กรที่มีความต้องการสูงเป็นพิเศษ เรายังมี การป้องกันโดเมนแบบกำหนดเอง โดยที่ไคลเอนต์ทั้งหมดจะใช้การป้องกันโดเมนแบบกำหนดเองเพื่อกำหนดขั้นตอนของตนเองในการอัปเดตบันทึก ตามที่เรากล่าวไว้เมื่อตอนเปิดตัว: “หากไคลเอนต์การป้องกันโดเมนแบบกำหนดเองไม่ต้องการให้เราเปลี่ยนแปลงบันทึกโดเมน เว้นเสียแต่ว่ามีบุคคลจำนวนหกรายโทรติดต่อเรา โดยเรียงลำดับจากชุดหมายเลขโทรศัพท์ที่กำหนดไว้ล่วงหน้า รหัสผ่านการอ่านจำนวนมากที่ไม่ซ้ำกันแต่ละรหัส และแจ้งรสชาติไอศกรีมโปรดในวันอังคารซึ่งเป็นวันพระจันทร์เต็มดวงให้เราทราบ เราจึงจะดำเนินการดังกล่าวให้ เชื่อเราได้เลย

ใช่ เป็นบริการที่ปลอดภัย แต่ก็ไม่ได้เป็นโซลูชันที่ปรับขนาดได้มากที่สุด ดังนั้น เราจะมีการเก็บค่าบริการเสริม อย่างไรก็ตาม ตามที่เราได้พูดคุยกับลูกค้าองค์กร เรายังพบว่ามีความต้องการบางอย่างอยู่ — นั่นก็คือโซลูชันของ Goldilocks ที่นำเสนอการป้องกันระดับสูงโดยไม่มีการปรับแต่งมากเกินไป

เข้าสู่การป้องกันโดเมนของ Cloudflare

วิธีการแบบ Triple-Locked

วิธีการรักษาความปลอดภัยโดเมนด้วยการป้องกันโดเมนของ Cloudflare ค่อนข้างตรงไปตรงมา โดยเป็นการระบุพาหะการโจมตีที่หลากหลาย และออกแบบโหมดความปลอดภัยที่มีเลเยอร์เพื่อจัดการแต่ละภัยคุกคามที่อาจเกิดขึ้น

ก่อนที่เราจะพูดถึงเลเยอร์ความปลอดภัยแต่ละเลเยอร์ เป็นเรื่องสำคัญที่จะทำความเข้าใจความสัมพันธ์ระหว่างตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียน และผลกระทบต่อความปลอดภัยของโดเมน คุณสามารถมองว่าผู้เก็บข้อมูลทะเบียนเป็นผู้ค้าส่งชื่อโดเมน พวกเขาจะจัดการฐานข้อมูลกลางของโดเมนที่ลงทะเบียนทั้งหมดภายในโดเมนระดับสูง (TLD) และยังรับผิดชอบต่อการกำหนดราคาค้าส่งและสร้างนโยบายเฉพาะสำหรับ TLD

ในทางกลับกัน ตัวแทนผู้จดทะเบียนเป็นผู้ค้าปลีกของโดเมนและรับผิดชอบต่อการขายโดเมนไปยังผู้ใช้งานปลายทาง สำหรับแต่ละการจดทะเบียน การโอนย้าย หรือการต่ออายุ ตัวแทนผู้จดทะเบียนจะชำระค่าธรรมเนียมธุรกรรมให้แก่ผู้เก็บข้อมูลทะเบียน

ตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียนจะร่วมกันจัดการการลงทะเบียนโดเมนโดยเรียกว่า ระบบการลงทะเบียนร่วม (SRS) ตัวแทนผู้จดทะเบียนจะติดต่อกับผู้เก็บข้อมูลทะเบียนโดยใช้มาตรฐาน IETF ที่เรียกว่า โปรโตคอลการลงทะเบียนหน่วยข้อมูล (EPP) การผสานรวมกับมาตรฐาน EPP เป็นชุดสถานะโดเมนที่สามารถใช้ได้โดยตัวแทนผู้จดทะเบียนและผู้เก็บข้อมูลทะเบียนในการล็อกโดเมนและป้องกันการอัปเดต การลบ และการโอนย้าย (ไปยังอีกตัวแทนผู้จดทะเบียนหนึ่ง)

ตัวแทนผู้จดทะเบียนสามารถใช้การล็อก "ไคลเอนต์" หรือที่หมายถึงการล็อกตัวแทนผู้จดทะเบียน ผู้เก็บข้อมูลทะเบียนสามารถใช้การล็อก "เซิร์ฟเวอร์" หรือที่รู้จักว่าเป็นการล็อกผู้เก็บข้อมูลทะเบียน ข้อสำคัญที่ควรทราบคือการล็อกผู้เก็บข้อมูลทะเบียนมักจะมีผลแทนที่การล็อกตัวแทนผู้จดทะเบียน สิ่งนี้หมายความว่าจะไม่สามารถลบการล็อกตัวแทนผู้จดทะเบียนได้จนกว่าการล็อกผู้เก็บข้อมูลทะเบียนจะถูกลบ

ตอนนี้เรามาลงรายละเอียดเกี่ยวกับวิธีการที่เราวางแผนไว้กันเถอะ

เราเริ่มจากการใช้ การล็อกตัวแทนผู้จดทะเบียน แบบ EPP กับชื่อโดเมน ซึ่งเป็นการล็อกไคลเอนต์ EPP ที่ป้องกันการอัปเดต การโอนย้าย และการลบโดเมน

จากนั้นเราใช้การล็อกภายในที่ป้องกันไม่ให้ API เรียกใช้การประมวลผลไปยังโดเมนนั้น การล็อกนี้ทำงานอยู่นอก EPP และออกแบบมาเพื่อป้องกันโดเมนโดยควรมีการลบการล็อก EPP ออก เช่นเดียวกับสถานการณ์นี้ที่ต้องมีการดำเนินการนอก EPP เช่น ในบาง TLD ข้อมูลติดต่อโดเมนจะถูกจัดเก็บที่ตัวแทนผู้จดทะเบียนเท่านั้น และจะไม่ถูกส่งต่อไปยังผู้เก็บข้อมูลทะเบียน ในกรณีเหล่านี้ เป็นเรื่องสำคัญที่จะมีกลไกการล็อกที่ไม่ใช่ EPP

หลังจากใช้การล็อกตัวแทนผู้จดทะเบียนแล้ว เราจะร้องขอให้ผู้เก็บข้อมูลทะเบียนใช้การล็อกผู้เก็บข้อมูลทะเบียน โดยใช้กระบวนการพิเศษที่ไม่ใช่ EPP ข้อสำคัญที่ควรทราบคือไม่ใช่ผู้เก็บข้อมูลทะเบียนทั้งหมดที่จะเสนอบริการการล็อกผู้เก็บข้อมูลทะเบียน ในบางกรณี เราอาจไม่สามารถใช้คุณลักษณะการล็อกสุดท้ายนี้ได้

สุดท้าย เราได้สร้างกระบวนการยืนยันที่ปลอดภัยเพื่อรับมือกับคำขอใดๆ ในอนาคตที่ต้องการปลดล็อกหรือแก้ไขโดเมน

พร้อมใช้งานทันที

วัตถุประสงค์ของเราคือเพื่อทำให้การป้องกันโดเมนของ Cloudflare เป็นโซลูชันที่ปลอดภัยและสามารถปรับขนาดได้สำหรับโดเมนที่พร้อมใช้งาน เราต้องการตรวจสอบให้แน่ใจว่าโดเมนที่สำคัญที่สุดกับลูกค้า — โดเมนที่มีมูลค่าสูงและสำคัญกับองค์กร— ได้รับการป้องกันไว้อย่างปลอดภัย

โดเมนที่มีสิทธิ์ใช้งานที่รวมไว้ภายใต้สัญญาองค์กรของ Cloudflare อาจถูกรวมไว้ในบริการลงทะเบียนการป้องกันโดเมนของเราโดยไม่เสียค่าใช้จ่ายเพิ่มเติม และตามที่เราได้กล่าวไว้ก่อนหน้านี้ สิ่งนี้ยังครอบคลุมค่าธรรมเนียมการลงทะเบียนและการต่ออายุ — ดังนั้นนอกจากคุณจะไม่ต้องกังวลกับการรักษาความปลอดภัยโดเมนของคุณแล้ว คุณยังไม่ต้องกังวลกับการจ่ายชำระเพื่อใช้บริการด้วยเช่นกัน

หากสนใจใช้การป้องกันโดเมนของ Cloudflare กับชื่อโดเมนของคุณ โปรดติดต่อผู้จัดการบัญชีของคุณและแจ้งให้พวกเขาทราบว่าคุณสนใจ จะมีการเผยแพร่รายละเอียดเพิ่มเติมในต้นไตรมาสที่ 1 ปี 2022

เราปกป้องเครือข่ายของทั้งองค์กร โดยช่วยลูกค้าสร้างแอปพลิเคชันรองรับผู้ใช้อินเทอร์เน็ตทั่วโลกได้อย่างมีประสิทธิภาพ เพิ่มความรวดเร็วของการใช้เว็บไซต์หรือแอปพลิเคชันอินเทอร์เน็ต จัดการการโจมตีแบบ–DDoS ป้องปรามบรรดาแฮกเกอร์ และช่วยเหลือคุณตลอดเส้นทางสู่ Zero Trust

เข้าไปที่ 1.1.1.1 จากอุปกรณ์ใดก็ได้เพื่อลองใช้แอปฟรีของเราที่จะช่วยให้อินเทอร์เน็ตของคุณเร็วขึ้นและปลอดภัยขึ้น

หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับภารกิจของเราเพื่อปรับปรุงการใช้งานอินเทอร์เน็ต เริ่มได้จากที่นี่ หากคุณกำลังมองหางานในสายงานใหม่ ลองดูตำแหน่งที่เราเปิดรับ
CIO WeekRegistrarความปลอดภัย

ติดตามบน X

Cloudflare|@cloudflare

โพสต์ที่เกี่ยวข้อง

02 ตุลาคม 2567 เวลา 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....

27 กันยายน 2567 เวลา 13:00

Advancing cybersecurity: Cloudflare implements a new bug bounty VIP program as part of CISA Pledge commitment

Cloudflare strengthens its commitment to cybersecurity by joining CISA's "Secure by Design" pledge. In line with this commitment, we're enhancing our vulnerability disclosure policy by launching a VIP bug bounty program, giving top researchers early access to our products. Keep an eye out for future updates regarding Cloudflare's CISA pledge as we work together to shape a safer digital future....

27 กันยายน 2567 เวลา 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...