2009年不容忽視的安全隱患--DNS漏洞

2008年發(fā)現(xiàn)的DNS(域名服務)漏洞在安全產(chǎn)業(yè)引起軒然大波，但是考慮到經(jīng)濟危機對IT造成的影響，行業(yè)專家擔心2009年受影響的系統(tǒng)以及圍繞域名服務器的安全問題將被暫時擱置。

由IOActive公司Dan Kaminsky發(fā)現(xiàn)的DNS安全漏洞引發(fā)眾多供應商開始進行產(chǎn)品升級，以保護企業(yè)網(wǎng)絡免受緩存中毒以及其他DNS攻擊的威脅(例如分布式拒絕攻擊DDoS等)。專家們鼓勵IT主管們對他們的DNS系統(tǒng)進行升級以防潛在威脅，但是Measurement Group的調(diào)查結(jié)果顯示截至11月中旬，仍有四分之一的服務器尚未升級，DNS專家們擔心DNS項目將因為經(jīng)濟危機而被擱置。

專家表示，“沒有進行升級的域名服務器很容易受到Kaminsky攻擊的毒害，只需利用一個有效的漏洞腳本，黑客就能在10秒內(nèi)向這些域名服務器的緩存插入任何數(shù)據(jù)?！?/P>

DNSstuff公司9月份針對466名企業(yè)級在線客戶進行的另一項調(diào)查結(jié)果表明，9.6%還沒有修復DNS服務器，21.9%還不確定其公司是否修復了DNS服務器。調(diào)查結(jié)果顯示，盡管DNS社區(qū)和一些供應商努力號召大家升級服務器，仍然有大量的服務器管理員還沒有采取行動。至于未能修復服務器的原因，超過45%的受訪者表示缺乏內(nèi)部資源，30%表示他們并不知道漏洞的存在，而其余的24%則表示他們不具備專業(yè)的DNS知識，無法采取適當?shù)男袆印NSstuff公司對客戶的調(diào)查還發(fā)現(xiàn)受訪者遇到過的最常見的DNS問題包括：69%的電子郵件停工期，50%的DDoS攻擊和緩存中毒攻擊，18.5%的欺詐攻擊。

這就是為什么IP地址管理供應商們努力讓大家認識DNS并希望引起大家高度重視的原因，盡管目前經(jīng)濟狀況不是很理想。

首先，Infoblox表示，對于DNS存在一種普遍的誤解，即DNS是網(wǎng)絡中微不足道的一部分。事實上，DNS發(fā)揮著關鍵作用：映射域名到IP地址以及將互聯(lián)網(wǎng)查詢指引到適當?shù)奈恢??！叭绻髽I(yè)的DNS系統(tǒng)發(fā)生故障，所有的互聯(lián)網(wǎng)功能，包括電子郵件、網(wǎng)絡訪問，電子商務和外部網(wǎng)絡都無法使用?！?/P>

其次，有一種觀點認為，任何版本的BIND都能夠保護互聯(lián)網(wǎng)商的名稱服務機器，這種想法是錯誤的。BIND版本只是Berkeley Internet Name Domain的改寫版本，包括DNS安全和增強協(xié)議，以及對Ipv6的支持。

另一個關于BIND的誤解就是，使用BIND版本9的企業(yè)能夠免受Kaminsky漏洞的攻擊。Infoblox的Liu表示，這是不正確的?！凹词惯\行最新版本的BIND，很多企業(yè)如果沒有采取必要的預防措施來限制到遞歸或者安全轉(zhuǎn)移地帶的訪問，也將是徒勞的。”

最后，認為必須等到IT獲得公司資金后再升級DNS也是不合理的。隨時都可以利用免費下載的工具對系統(tǒng)進行測試以發(fā)現(xiàn)系統(tǒng)漏洞，并對DNS服務器進行升級。舉例來說，可以從Infoblox的官方網(wǎng)站下載該公司的QuickSecure解決方案。

可以在doxpara.com和www.dnsadvisor.com網(wǎng)站測試遞歸名稱服務器中是否存在Kaminsky漏洞，或者使用DNS-OARC的端口測試工具，如果發(fā)現(xiàn)服務器中存在漏洞，Infoblox建議將該名稱服務器轉(zhuǎn)移到使用查詢端口隨機化的服務器處或者轉(zhuǎn)移到支持該服務器的另一臺名稱服務器中。

安全專家建議，“即使對于那些無法修復Kanminsky漏洞的企業(yè)，也還可以進行很多其他方面配置，如配置遞歸和開放區(qū)轉(zhuǎn)移等，同樣也能起到保護作用。大家應該更多地將注意力放在配置和部署架構(gòu)商，能夠保護DNS基礎設施免受攻擊和中斷的威脅。”