Шесть устаревших протоколов, которые вредны Интернету

26 декабря 2014

Интернет стал таким, каким мы его теперь видим, не благодаря продуманному плану построения. Он развивался стихийно, благодаря различным протоколам, изобретавшимся «по случаю», чтобы удовлетворить нужды момента.

При этом безопасности уделялось очень мало внимания, максимум, о чем думали их создатели — это о защите от назойливых соседей, а не от нападения бандитов.

В результате мы имеем набор устаревших протоколов, уязвимых для эксплойтов. Часть уязвимостей прикрываются «заплатками», но очевидно, что полумерами тут не обойтись — и протоколы требуют полной замены. InfoWorld собрал «коллекцию» из шести наиболее опасных для современной Сети протоколов. D-Russia представляет изложение статьи.

BGP: Border Gateway Protocol

BGP (протокол граничного шлюза) — основной протокол динамической маршрутизации в Интернете. Он используется роутерами для обмена информацией об изменениях в топологии Интернета (о достижимости подсетей между группами маршрутизаторов), что делает его одним из старейших ключевых сетевых протоколов. Действующая версия BGP датируется 1994 годом.

Из-за BGP данные легко можно подменить фальшивкой — например, с какого IP-адреса пришел пакет. На этой уязвимости основан спуфинг (от англ. spoof — мистификация). Он применяется с целью сокрытия истинного адреса атакующего.

В настоящее время эта уязвимость не поддается «починке». А из-за фундаментального значения BGP его нельзя быстро и безболезненно заменить.

SMTP: Simple Mail Transfer Protocol

SMTP разрабатывался как простейший способ доставки почты от пользователя к пользователю в те времена, когда Интернет был юн (в 1982 году), а разработчики не думали о возможных угрозах. С тех пор вышло несколько расширений к протоколу (самый свежий — в 2008 году), предназначенных для усиления его безопасности, однако кардинально улучшить SMTP нельзя — и подделка адреса отправителя письма является на сегодня вполне доступным делом.

DNS: Domain Name System

Из-за того, что DNS (система доменных имён, разработана в 1983 году), «переводящий» IP-адреса в доменные имена, является основополагающим интернет-протоколом, он стал привычной целью для хакерских атак, использующих его уязвимости и низкий уровень защищенности софта, им управляющего.

Начиная с 2010 года в DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами. К сожалению, DNSSEC не идеальное решение — он может создать помехи для работы DNS-сервера под высокой нагрузкой, также его возможно использовать для организации DDoS-атак.

Источник: Госбук

Читайте также: