2009年不容忽视的安全隐患——DNS漏洞
2008年发现的DNS(域名服务)漏洞在安全产业引起轩然大波,但是考虑到经济危机对IT造成的影响,行业专家担心2009年受影响的系统以及围绕域名服务器的安全问题将被暂时搁置。
由IOActive公司Dan Kaminsky发现的DNS安全漏洞引发众多供应商开始进行产品升级,以保护企业网络免受缓存中毒以及其他DNS攻击的威胁(例如分布式拒绝攻击DDoS等)。专家们鼓励IT主管们对他们的DNS系统进行升级以防潜在威胁,但是Measurement Group的调查结果显示截至11月中旬,仍有四分之一的服务器尚未升级,DNS专家们担心DNS项目将因为经济危机而被搁置。
专家表示,“没有进行升级的域名服务器很容易受到Kaminsky攻击的毒害,只需利用一个有效的漏洞脚本,黑客就能在10秒内向这些域名服务器的缓存插入任何数据。”
DNSstuff公司9月份针对466名企业级在线客户进行的另一项调查结果表明,9.6%还没有修复DNS服务器,21.9%还不确定其公司是否修复了DNS服务器。调查结果显示,尽管DNS社区和一些供应商努力号召大家升级服务器,仍然有大量的服务器管理员还没有采取行动。至于未能修复服务器的原因,超过45%的受访者表示缺乏内部资源,30%表示他们并不知道漏洞的存在,而其余的24%则表示他们不具备专业的DNS知识,无法采取适当的行动。DNSstuff公司对客户的调查还发现受访者遇到过的最常见的DNS问题包括:69%的电子邮件停工期,50%的DDoS攻击和缓存中毒攻击,18.5%的欺诈攻击。
这就是为什么IP地址管理供应商们努力让大家认识DNS并希望引起大家高度重视的原因,尽管目前经济状况不是很理想。
首先,Infoblox表示,对于DNS存在一种普遍的误解,即DNS是网络中微不足道的一部分。事实上,DNS发挥着关键作用:映射域名到IP地址以及将互联网查询指引到适当的位置。“如果企业的DNS系统发生故障,所有的互联网功能,包括电子邮件、网络访问,电子商务和外部网络都无法使用。”
其次,有一种观点认为,任何版本的BIND都能够保护互联网商的名称服务机器,这种想法是错误的。BIND版本只是Berkeley Internet Name Domain的改写版本,包括DNS安全和增强协议,以及对Ipv6的支持。
另一个关于BIND的误解就是,使用BIND版本9的企业能够免受Kaminsky漏洞的攻击。Infoblox的Liu表示,这是不正确的。“即使运行最新版本的BIND,很多企业如果没有采取必要的预防措施来限制到递归或者安全转移地带的访问,也将是徒劳的。”
最后,认为必须等到IT获得公司资金后再升级DNS也是不合理的。随时都可以利用免费下载的工具对系统进行测试以发现系统漏洞,并对DNS服务器进行升级。举例来说,可以从Infoblox的官方网站下载该公司的QuickSecure解决方案。
可以在doxpara.com和www.dnsadvisor.com网站测试递归名称服务器中是否存在Kaminsky漏洞,或者使用DNS-OARC的端口测试工具,如果发现服务器中存在漏洞,Infoblox建议将该名称服务器转移到使用查询端口随机化的服务器处或者转移到支持该服务器的另一台名称服务器中。
安全专家建议,“即使对于那些无法修复Kanminsky漏洞的企业,也还可以进行很多其他方面配置,如配置递归和开放区转移等,同样也能起到保护作用。大家应该更多地将注意力放在配置和部署架构商,能够保护DNS基础设施免受攻击和中断的威胁。”