7月第4周安全回顾 DNS漏洞影响广泛 网络访问控制受关注

本文涉及的产品
云解析 DNS,旗舰版 1个月
全局流量管理 GTM,标准版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:
 
本周(080721至080727)信息安全威胁为低。
 
推荐阅读:
1)NIST研究人员的网络风险评估新方法;推荐指数:中
美国标准和技术学会的研究人员目前正在开发由攻击图表(Attack Graph)和美国国家漏洞数据库(NVD)相结合的网络风险评估新方法,以帮助企业的IT管理人员更为有效的防御敏感数据丢失的发生。现在的网络风险评估中仍主要以单点评估为主,攻击图表方法由于其效率较低和使用复杂而使用较少,NIST的研究是否能够给网络风险评估带来新的变革?笔者将持续关注该领域并为读者带来最新的报道。
2)银行网站使用Web 2.0技术所带来的风险;推荐指数:高
为了增强功能和用户体验,前几年开始国内外的众多银行都纷纷在自己的网站上使用Web 2.0技术。时过境迁,当Ajax等Web 2.0技术频繁爆出严重漏洞的时候,银行网站使用能够的Web 2.0技术是否仍无懈可击?推荐金融行业的读者阅读一下本文。
 
新闻回顾:
媒体方面,本周值得关注的新闻集中在漏洞攻击和网络访问控制领域。
 
漏洞攻击:DNS漏洞影响范围巨大;开放源代码产品中潜藏漏洞;关注指数:高
新闻1:7月24日,来自多家媒体的消息,安全厂商IOActive的Dan Kaminsky在一个Web视频节目中,向公众介绍了互联网域名系统(DNS)存在的严重漏洞,而该漏洞的利用程序,也在稍晚时候被著名的安全工具Metasploit所收录。该漏洞会使攻击者能够在较短的时间内成功猜出一个Web会话进行DNS查询的对话ID,如果成功利用该漏洞,攻击者可以修改目标系统DNS缓存内的内容,从而将目标系统的网络流量转向攻击者精心构造的主机上。另据报道,首例针对该DNS漏洞的攻击已于7月26日被发现。研究人员在7月初已经开始和各主要的DNS厂商进行交流,并协作推出修正该漏洞的补丁程序,这次DNS漏洞信息在完全修补前便被迫提前公开,也是因为针对该漏洞的补丁程序被第三方研究人员逆向工程并公开细节而造成。
 
分析:互联网DNS系统存在各种漏洞的讨论由来已久。由于DNS是上个世纪80年代初的产品,其最早用于APRNET,和许多早期信息产品相类似,最早的DNS主要考虑的是完成其功能,而并没有对安全有太多的关注。尽管随着信息技术的快速发展,DNS技术和方案也有了相当高程度的提升,但DNS协议本身所固有的缺陷,使得DNS的安全性一直不佳。目前黑客针对DNS的攻击,主要集中在对DNS服务软件本身漏洞的攻击上,或者对小范围的网络进行DNS缓存内容修改,较大规模的DNS攻击事件则未见有报道。但上周末发生的全球范围MSN服务无法登陆的事件,再结合技术人员提供的临时解决办法是手动修改MSN登录服务器DNS解析记录,和当时正好是Metasploit收录DNS漏洞利用工具的前后几天这两点来看,说不定就是这个DNS漏洞已经被攻击者应用于大规模攻击的例子。
 
笔者观点:对普通的个人用户来说,对这个漏洞基本是无能为力的。但对提供公众网络服务的ISP,或者自己架设有DNS服务器的企业和组织来说,则应尽快联系DNS服务器厂商,并升级自己现有的DNS服务器,以将该漏洞造成的威胁降低到最低程度。
 
新闻2:7月21号,来自Darkreading.com的消息,代码安全厂商Fortify在一个报告中称,11个流行的开放源代码产品的代码审核结果不容乐观,每个产品中都发现了多个威胁程度不等的安全漏洞。报告还指出,尽管开源产品能够有效的降低企业用于购置和部署软件的开支,但企业在使用之前,应该先深入了解部署开源产品有可能带来的各种安全风险。
 
笔者观点:根据Gartner稍早的一份调查报告,到2011年,将会有超过80%的企业会使用开源产品。开源产品进入企业应用领域的潮流不可逆转,但开源软件自身所固有的缺陷,显然会对其进入企业的速度和数量有较大的影响:作为技术人员实现自己想法的产品,开源软件的侧重点更多是在实现功能上,而非安全、易用等其他对用户同样重要的特点上,尽管近几年来开源社区逐渐重视开源软件的安全性,但在安全漏洞的预防、发现和响应上,仍远远不如用途相当的封闭源代码软件。同时,繁杂的软件版本、复杂麻烦的配置过程,也进一步的制约了企业安全使用开源软件。笔者认为,在开源软件大规模进入企业应用领域的大背景下,推广开源软件安全相关的产品和外包服务,不单将会对企业使用开源软件产生积极的影响,而且将会成为企业应用安全市场的新热点。
 
网络访问控制:Symantec 网络访问控制报告发布;关注指数:中
新闻3:来自informationweek.com的消息,安全厂商Symantec本周早些时候发布了2008年度的网络访问控制(NAC)报告,报告显示NAC市场的表现并不容乐观。其中,NAC市场上只有大概不到20家企业声称自己是纯粹的NAC厂商,2008年以来已经有3家厂商退出NAC市场,与此同时,有一些小的新厂商却进入这个市场。在NAC产品推出3年多之后,成功部署的数量仍较少,只占到受调查企业的20%不到,成功部署的用户也主要集中在有内部或外部法律法规要求的行业中。
 
笔者观点:从技术上说,NAC的观点是非常正确的,将不符合安全策略的节点堵在敏感的内部网络之外,从而保护内部网络里的系统及敏感数据安全。但从用户的实际反馈来看,现有的NAC产品大都不能在用户的实际环境中完善的工作,用户大型内网中种类繁杂的节点和网络设备,无疑会成为NAC厂商的噩梦,如果要让某个NAC产品运行企业,需要更换的软硬件以及新增的人员成本相当巨大,有些时候甚至比用户重新部署一套与互联网隔离的保密内网更贵。此外,NAC系统部署和维护也对企业用户的IT部门提出了很大的挑战,将企业安全策略和NAC系统的访问策略一一对应就是一件相当难完成的工作。笔者认为,尽管NAC市场现状不容乐观,但现在就断言NAC系统没有前途还为时尚早,NAC在适合的条件下,仍然是企业用户的内部网络多提供一层安全保障的良好选择。但现在的问题是,在NAC技术已经成为Microsoft  Windows 2008和Vista SP1操作系统的标准组件,Cisco等网络设备厂商的NAC产品走兼容道路的趋势下,单纯的软件NAC厂商应如何应对?





本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/89963,如需转载请自行联系原作者

目录
打赏
0
0
0
0
100
分享
相关文章
深入解析:Linux网络配置工具ifconfig与ip命令的全面对比
虽然 `ifconfig`作为一个经典的网络配置工具,简单易用,但其功能已经不能满足现代网络配置的需求。相比之下,`ip`命令不仅功能全面,而且提供了一致且简洁的语法,适用于各种网络配置场景。因此,在实际使用中,推荐逐步过渡到 `ip`命令,以更好地适应现代网络管理需求。
34 11
深入解析PDCERF:网络安全应急响应的六阶段方法
PDCERF是网络安全应急响应的六阶段方法,涵盖准备、检测、抑制、根除、恢复和跟进。本文详细解析各阶段目标与操作步骤,并附图例,助读者理解与应用,提升组织应对安全事件的能力。
273 89
DNS技术标准趋势和安全研究
本文探讨了互联网域名基础设施的结构性安全风险,由清华大学段教授团队多年研究总结。文章指出,DNS系统的安全性不仅受代码实现影响,更源于其设计、实现、运营及治理中的固有缺陷。主要风险包括协议设计缺陷(如明文传输)、生态演进隐患(如单点故障增加)和薄弱的信任关系(如威胁情报被操纵)。团队通过多项研究揭示了这些深层次问题,并呼吁构建更加可信的DNS基础设施,以保障全球互联网的安全稳定运行。
阿里云先知安全沙龙(武汉站) - 网络空间安全中的红蓝对抗实践
网络空间安全中的红蓝对抗场景通过模拟真实的攻防演练,帮助国家关键基础设施单位提升安全水平。具体案例包括快递单位、航空公司、一线城市及智能汽车品牌等,在演练中发现潜在攻击路径,有效识别和防范风险,确保系统稳定运行。演练涵盖情报收集、无差别攻击、针对性打击、稳固据点、横向渗透和控制目标等关键步骤,全面提升防护能力。
一次读懂网络分层:应用层到物理层全解析
网络模型分为五层结构,从应用层到物理层逐层解析。应用层提供HTTP、SMTP、DNS等常见协议;传输层通过TCP和UDP确保数据可靠或高效传输;网络层利用IP和路由器实现跨网数据包路由;数据链路层通过MAC地址管理局域网设备;物理层负责比特流的物理传输。各层协同工作,使网络通信得以实现。
TCP报文格式全解析:网络小白变高手的必读指南
本文深入解析TCP报文格式,涵盖源端口、目的端口、序号、确认序号、首部长度、标志字段、窗口大小、检验和、紧急指针及选项字段。每个字段的作用和意义详尽说明,帮助理解TCP协议如何确保可靠的数据传输,是互联网通信的基石。通过学习这些内容,读者可以更好地掌握TCP的工作原理及其在网络中的应用。
探索网络模型与协议:从OSI到HTTPs的原理解析
OSI七层网络模型和TCP/IP四层模型是理解和设计计算机网络的框架。OSI模型包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层,而TCP/IP模型则简化为链路层、网络层、传输层和 HTTPS协议基于HTTP并通过TLS/SSL加密数据,确保安全传输。其连接过程涉及TCP三次握手、SSL证书验证、对称密钥交换等步骤,以保障通信的安全性和完整性。数字信封技术使用非对称加密和数字证书确保数据的机密性和身份认证。 浏览器通过Https访问网站的过程包括输入网址、DNS解析、建立TCP连接、发送HTTPS请求、接收响应、验证证书和解析网页内容等步骤,确保用户与服务器之间的安全通信。
176 3
深入解析图神经网络:Graph Transformer的算法基础与工程实践
Graph Transformer是一种结合了Transformer自注意力机制与图神经网络(GNNs)特点的神经网络模型,专为处理图结构数据而设计。它通过改进的数据表示方法、自注意力机制、拉普拉斯位置编码、消息传递与聚合机制等核心技术,实现了对图中节点间关系信息的高效处理及长程依赖关系的捕捉,显著提升了图相关任务的性能。本文详细解析了Graph Transformer的技术原理、实现细节及应用场景,并通过图书推荐系统的实例,展示了其在实际问题解决中的强大能力。
281 30
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。

相关产品

  • 云解析DNS
  • 推荐镜像

    更多