2009年不容忽視的安全隱患:DNS漏洞
2008年發現的DNS(域名服務)漏洞在安全產業引起軒然大波,但是考慮到經濟危機對IT造成的影響,行業專家擔心2009年受影響的系統以及圍繞域名服務器的安全問題將被暫時擱置。
由IOActive公司Dan Kaminsky發現的DNS安全漏洞引發眾多供應商開始進行產品升級,以保護企業網絡免受緩存中毒以及其他DNS攻擊的威脅(例如分布式拒絕攻擊DDoS等)。專家們鼓勵IT主管們對他們的DNS系統進行升級以防潛在威脅,但是Measurement Group的調查結果顯示截至11月中旬,仍有四分之一的服務器尚未升級,DNS專家們擔心DNS項目將因為經濟危機而被擱置。
專家表示,“沒有進行升級的域名服務器很容易受到Kaminsky攻擊的毒害,只需利用一個有效的漏洞腳本,黑客就能在10秒內向這些域名服務器的緩存插入任何數據。”
DNSstuff公司9月份針對466名企業級在線客戶進行的另一項調查結果表明,9.6%還沒有修復DNS服務器,21.9%還不確定其公司是否修復了DNS服務器。調查結果顯示,盡管DNS社區和一些供應商努力號召大家升級服務器,仍然有大量的服務器管理員還沒有采取行動。
至于未能修復服務器的原因,超過45%的受訪者表示缺乏內部資源,30%表示他們并不知道漏洞的存在,而其余的24%則表示他們不具備專業的DNS知識,無法采取適當的行動。
DNSstuff公司對客戶的調查還發現受訪者遇到過的最常見的DNS問題包括:69%的電子郵件停工期,50%的DDoS攻擊和緩存中毒攻擊,18.5%的欺詐攻擊。
這就是為什么IP地址管理供應商們努力讓大家認識DNS并希望引起大家高度重視的原因,盡管目前經濟狀況不是很理想。
首先,Infoblox表示,對于DNS存在一種普遍的誤解,即DNS是網絡中微不足道的一部分。事實上,DNS發揮著關鍵作用:映射域名到IP地址以及將互聯網查詢指引到適當的位置。“如果企業的DNS系統發生故障,所有的互聯網功能,包括電子郵件、網絡訪問,電子商務和外部網絡都無法使用。”
其次,有一種觀點認為,任何版本的BIND都能夠保護互聯網商的名稱服務機器,這種想法是錯誤的。BIND版本只是Berkeley Internet Name Domain的改寫版本,包括DNS安全和增強協議,以及對Ipv6的支持。
另一個關于BIND的誤解就是,使用BIND版本9的企業能夠免受Kaminsky漏洞的攻擊。Infoblox的Liu表示,這是不正確的。“即使運行最新版本的BIND,很多企業如果沒有采取必要的預防措施來限制到遞歸或者安全轉移地帶的訪問,也將是徒勞的。”
最后,認為必須等到IT獲得公司資金后再升級DNS也是不合理的。隨時都可以利用免費下載的工具對系統進行測試以發現系統漏洞,并對DNS服務器進行升級。舉例來說,可以從Infoblox的官方網站下載該公司的QuickSecure解決方案。
可以在doxpara.com和www.dnsadvisor.com網站測試遞歸名稱服務器中是否存在Kaminsky漏洞,或者使用DNS-OARC的端口測試工具,如果發現服務器中存在漏洞,Infoblox建議將該名稱服務器轉移到使用查詢端口隨機化的服務器處或者轉移到支持該服務器的另一臺名稱服務器中。
安全專家建議,“即使對于那些無法修復Kanminsky漏洞的企業,也還可以進行很多其他方面配置,如配置遞歸和開放區轉移等,同樣也能起到保護作用。大家應該更多地將注意力放在配置和部署架構商,能夠保護DNS基礎設施免受攻擊和中斷的威脅。”
【編輯推薦】
