6大陳舊協議可能讓互聯網陷入危險邊緣
責編:admin |2014-12-29 15:53:18 對互聯網來說,最大的威脅就是它從來都不是認認真真設計出來的,而是拼湊出來的。它的進化也不是連續的,而是斷斷續續、間歇式的。所以,它的各種協議也只是為了滿足各種一時之需而倉促設計的。在設計這些協議時,很少有人會去考慮安全性問題。如果硬要說這些協議具有一些安全功能的話,那也只是防君子不防小人的。
結果就是一大堆已經陳舊的協議在支撐著漏洞百出的互聯網。有不少攻擊就是沖著這些協議而來的,盡管情況因為修補漏洞而多少得到了緩解,但是很顯然的是,這些協議本身需要用更健壯的協議來替代才行。本篇Slideshow所列出的這6個互聯網協議,就是需要替換的,而且是宜早不宜遲的。
BGP:邊界網關協議
BGP主要用于互聯網路由器,將變化的路由信息交換給互聯網的網絡拓撲,這個協議可以說是最古老,也是最重要的互聯網協議之一。由于它是在人們彼此還相互信任的時代所建立的互聯網對等協議,所以它也是最容易從根本上被攻破的協議。無須費什么力氣,你就可以偽造互聯網的路由信息,這叫BGP詐騙。
此類詐騙已經發生過很多次。所導致的災難后果通常都很明顯,盡管BGP協議很快便可以檢測到并可予以糾正,但它也為攻擊者提供了一個充足的時間窗口,足以造成災難性的傷害。最糟糕的是,這一問題按照該協議目前的狀況是根本無法修復的。恰如安全專家所言,沒有一個統一的權威機構可以確認某個特定地址是否屬于某個特定的網絡。由于BGP是如此重要的一個基礎性協議,所以短期看還沒有替代它的可能。但最起碼,應該在Linux基金會的 Core Infrastructure Initiative項目中將“修復BGP”納入其待辦事項列表中。
SMTP:簡單郵件傳輸協議
盡管多年來涌現出各種各樣的替代方案試圖取消電郵,但電郵仍然在廣泛使用,當然還有它的底層協議SMTP。SMTP的最大問題在于,由于它是在那個人們還很淳樸的年代產生的,所以它從未考慮過安全問題。
隨著時間推移,SMTP也開發了不少強化自身安全的各種附加功能(例如反向DNS檢驗),但協議本身并不會強制執行這樣的安全,因此令人困惑的就是由誰來實施安全。這一切都是因為郵件網關不會去盡職職責地檢查每一封進來的郵件。盡管收件箱有可能顯示出一條走出郵件迷宮的道路,但是絕不可對此期望過高。
DNS:域名系統
因為這個互聯網協議要將IP地址翻譯成域名,所以對互聯網的正常運行來說是最基本的一個協議,但它也因為本身的漏洞和安全缺陷,而成了遭到普遍攻擊的目標。例如伊朗的網軍就曾徹底控制過Twitter域名的DNS服務器,敘利亞的電子軍隊也曾劫持過《紐約時報》的域名登錄賬戶。
對DNS安全敲響的第一聲警鐘出現在2008年,安全專家Dan Kaminsky當時披露了該協議在設計上的一個大漏洞。此舉促成了DNS的安全版本DNSSEC的誕生,以防范偽造的數據進入DNS服務器。但DNSSEC必須從頭開始實施,更糟的是,在負載較重時它可能會影響DNS服務器的性能,甚至可能被用來發動DoS映射攻擊。這種矯正或許不像治病那么困難,但很顯然需要不斷地努力才行。
NTP:網絡時間協議
NTP最主要的目的就是保持全球所有計算機的時鐘同步。然而它同樣是出自一個對安全不那么重視的時代。這就使得犯罪分子有可能利用該協議的機制(+本站微信networkworldweixin),再加上眾多受控“肉雞”的配合,發起DoS攻擊。
幸運的是,針對這種惡意利用而修復NTP服務器的努力正在進行之中,而且正確的設置也能避免此類攻擊的發生。但這并不等于說未來就不存在惡意利用NTP的可能性了,因為過去從未對該協議及其實施做過很仔細的檢查。
IPv4
盡管·人們很巧妙地一直在規避IPv4地址耗盡的問題,但也沒人否認IPv4地址的耗盡終有盡頭,而且這一盡頭會很快到來。唯一可行的長期解決方案也早已存在了多年,那就是向IPv6遷移。
IPv6在一些新技術市場正在取得良好的進展,例如移動領域就廣泛使用IPv6用于構建4G網絡。但對其他領域來說,向IPv6遷移的障礙似乎無處不在。簡而言之,就是慣性巨大:很多人不愿意升級,除非被形勢倒逼。加州IPv6工作組聯合主席Ed Horley說,合格的IPv6人才依然緊缺。而NIST則擔憂攻擊者們還有充裕的時間可以在這一遷移過程中興風作浪。這里,再一次出現了這樣的狀況:無人敢說改變互聯網最根本的基礎設施是很容易的。
SSL:安全套接層
有一條經驗法則告訴我們:協議越陳舊,就越有可能以某種方式被攻破——尤其當它迫切需要被新的協議所替換之際。安全套接層(SSL)雖然早就有了替代方案,但只有現在,主要是因為災難的不斷侵襲,拋棄SSL的呼聲才越來越高。
SSL主要是為應用連接,如HTTP等提供密碼保護,但其上一個公開版本發表于1996年。而其替換協議——傳輸層安全協議(TLS)3年后才發表,該協議被廣泛使用的1.2版2008年才出現。而SSL仍在使用,主要是為了進行后向兼容測試。結果是,所有主要的瀏覽器不得不繼續支持SSL,盡管它所引導的流量僅占0.3%。
如今,我們有了一個更好的丟棄SSL的動機:因為臭名昭著的POODLE攻擊,唯有拋棄SSL才是最好的緩解手段。Mozilla和谷歌已經在這么做了,這意味著任何還在以這樣那樣的理由使用SSL的企業也需要盡快棄用這一協議。或許后向兼容性并沒有人們所吹噓的那么嚴重。