因为他们没有部署了在2008年规定的新的认证机制,一项新的研究表明的美国政府网站的一半是脆弱的普遍DNS攻击。
管理和预算下达了办公室(OMB)授权要求联邦机构部署额外的层安全- 所谓的DNS安全扩展或DNSSEC - 由2009年12月31日,他们.GOV网站。
然而,一项独立研究进行这个月显示,机构的51%是不符合规定的要求的部署DNSSEC,这也是必要的根据联邦信息安全管理法案或机构报告卡高分FISMA。
DNSSEC是一种互联网标准,可以防止黑客劫持网络流量并将其重定向到虚假网站。它允许网站使用数字签名和公钥加密来验证它们的域名和相应的IP地址。
为了有效,DNSSEC必须在整个互联网基础设施在DNS层次结构的顶部到服务器上部署,从根服务器运行。州长,.com和其他顶级域名,然后下到服务器该缓存内容个别网站。
一旦完全部署,DNSSEC将防止缓存中毒攻击,即流量从合法网站重定向到虚假网站,而网站运营商或用户都不知道。缓存中毒攻击是由安全研究人员披露的DNS的一个严重缺陷造成的卡明斯基在2008年。
DNSSEC在根区去年7月启用。多十几个顶级域名- 包括.ORG非利润,埃杜大学和.NET的网络公司 - 支持该标准。
相关事件:从今天开始,DNS增加了安全措施
Secure64软件公司。,一个DNS供应商,测试360家联邦机构对他们的.GOV域的数字签名的证据。该公司运行同样的测试在一年前,发现只有20%的联邦网站都符合DNSSEC的要求
“我们检查了其对这些网站的人签署,这是第一步部署DNSSEC,”为Secure64营销和产品管理的副总裁马克·贝克特说。“去年,这个数字是20%。今年,这个数字是49%。”
Secure64的研究结果显示出对DNSSEC方面取得进展,与联邦机构进行数字签名有一倍以上的域的数量。“但是,如果你认为政府应该尽快全面部署,这是一个令人失望的数字,”贝克特补充说。
Secure64只检查.GOV域名,消除联邦网站在。密尔,.com或.org从它的研究最后因为OMB任务仅适用于.GOV网站。
贝克特说:“样本量足够大,根据我们在市场上看到的情况,这些数字是非常可信和可信的。”
根据Secure64的调查,DNSSEC部署的领导者包括国务院(100%服从)和劳工部(90%服从)。
其中出现在DNSSEC部署落后于机构包括财政部,这是只有在签署了十几个子域之一。
贝克特说,机构是更加落后于他们的父域,这是签署了DNS区前后的DNSSEC部署的第二个步骤建立信任链。
“有签名域名的人……只有大约20%的人与父母建立了信任链,”贝克特说。他说:“超过一半的机构还没有签署协议,更大比例的机构还没有建立起他们的信任链,这一事实告诉你,任何人,包括联邦机构,在部署这个系统时都很困难。这证明了这样做的复杂性。”
Secure64售价为DNSSEC部署的自动化系统;一个典型的客户花费低于$ 100,000在他们的系统。
其他供应商出售DNSSEC服务内置到更广泛的产品套件,如IP地址管理产品从Infoblox和BlueCat网络或加载从平衡系统F5。
DNSSEC将继续在今年因为新闻VeriSign已于3月承诺支持。com域名的安全技术。据最新数据显示,作为互联网最大的域名,。com拥有超过9000万个注册域名威瑞信域名行业简报。
贝克特说:“我认为网络签名是一件非常重要的事情。“我认为这将为产品和服务创造一个更大的市场,使DNSSEC变得更容易。”从我们的统计数据可以看出,部署DNSSEC并不是最简单的事情。我认为你会看到越来越多像我们这样的公司提供产品和服务,减轻DNSSEC的痛苦。”
这DNSSEC将消除类型的DNS攻击十分普遍。比它的一半决策者在过去的两年里,报告的基于DNS的攻击是受害者根据2010年7月的调查弗雷斯特研究公司。其中的DNS攻击的最常见的形式是人在这方面的中间人攻击,DNS缓存中毒 - 这两者可以通过DNSSEC被淘汰。
美国政府是不拖泥带水上DNSSEC部署的唯一部门。只有11%由Forrester Research调查的近300名IT决策者采取了DNSSEC,而这些IT决策者代表的金融服务公司,互联网服务供应商,内容提供商,电子商务网站和公共部门组织。
“DNSSEC还没有被广泛了解或部署,但大多数知道DNSSEC的人都计划采用它,”Forrester Research的调查称。