来自 安全 2021-06-10 16:02 的文章

高防cdn_cdn防护ddos_无限

高防cdn_cdn防护ddos_无限

在2020年1月下旬,一个热门话题出现在安全专业人士之间,这个问题在历史上有不同的解决方案。这篇博客文章旨在探索这些解决方案,并确定在这个涉及客户场所设备(CPE)安全的具体问题上降低风险的实用方法。两名安全研究人员(Tom Pohl和Nick Starke)分析了Netgear固件映像,发现公开可用的映像包含两个正确签名且有效的TLS证书,其中包含私钥。因为这些密钥被泄露,所以进行中间人攻击之类的攻击是微不足道的。发布的建议相对简短,没有建议的补救建议,因此,我们决定发布此博客文章,介绍如何在不让用户面临Netgear解决方案固有的额外风险的情况下缓解这一难题的建议方法。首先,一些背景…Netgear允许客户管理其设备的方法是什么?当客户端计算机连接到网络时,Netgear路由器上的DCHP服务器将向客户端下推一个配置,该客户端将自己列为DNS服务器。建议客户使用管理路由器的网页。因为DNS服务器本身就是路由器,它会告诉用户域名解析为路由器的IP地址(默认情况下通常为192.168.0.1)。建立连接后,将执行TLS密钥交换,其中包括证书验证。由于路由器提供的证书是为完全相同的域名签名和颁发的,验证将成功。路由器和用户之间的连接现在被认为是安全的。但是是吗?为什么Netgear在固件中放入两个签名证书?在客户机的PC机和客户机设备(CPE)(例如路由器)之间建立安全连接被认为是一个难题,原因有很多:设备只能从内部网络访问,它没有外部名称(没有公共DNS记录),用户可能会更改其IP地址,因此,地址不能用作固定的引用tels证书通常需要一个主机名来验证(指向服务器的DNS记录),私钥和其他机密不能在多个设备之间共享,以避免在任何地方都出现一次中断的情况自签名证书可以部分解决此问题,但浏览器不信任这些证书,因此用户会在浏览器中看到与证书相关的错误。我们希望避免用户不得不对此类错误授予异常,因为它训练用户忽略(可能更严重)错误。Netgear试图通过在内部网络上欺骗DNS并使用硬编码签名证书来解决此问题。Netgear的方法有什么问题?对于主机名,证书不是唯一的,但对于主机名来说不是唯一的。私钥在许多设备上共享,内网ddos防御,这使得它很容易泄露。如果攻击者设法获得了私钥(请参阅提示),那么他们可以在MITM攻击中重用证书。可以对通信进行解密,也可以建立一个通过安全TLS通道提供服务的网站,该通道具有签名的证书。受害者只需要被重定向到这个网站。针对这种情况,有很多攻击场景,包括:通过Wi-FiDNS takeoverSpoofed DHCP响应欺骗DNS记录DNS重新绑定如果攻击成功,则有可能利用用户的浏览器并窃取凭据。如何解决这个问题?在不增加制造或维护成本的情况下,没有完美的方法来解决此问题,但我们相信以下解决方案之一将显著提高安全性,并将额外成本降至最低。解决方案1:工厂供应在制造过程中,可以为所有设备分配一个唯一的主机名和相应的证书,该证书由通用浏览器信任的证书颁发机构(CA)正确签名。这可能会增加制造成本,因为流程中可能需要添加额外的供应步骤。用户体验也可能受到影响,因为用户需要打开比简单的短主机名或IP地址更复杂的URL。这种方法的一个主要缺点是它不能应用于现有的现场设备。解决方案2:在线资源调配工厂配置允许在某种程度上受控制的环境中提供设备证书(特别是由于制造过程复杂,因此并不完美)。将这样的系统应用于现场设备需要在设备部署后向设备公开证书签名服务器。正确地对设备进行身份验证仍然需要某种设备唯一的秘密,设备和服务器可以共享这些秘密。但是,即使没有出厂安装的证书,大多数消费设备也会有某种形式的唯一(不一定是秘密的)身份,这些身份可以在证书签名服务器上白名单,以帮助限制意外设备获取证书签名。当设备首次连接到Internet时,可以启动配置:设备使用唯一的设备标识生成私钥和证书签名请求设备通过安全通道从配置服务器请求签名证书。这可以是简单的HTTPS,通过适当的证书检查和证书固定将签名的证书和私钥存储在设备的非易失性存储中每当客户端连接到设备并使用HTTP时,它会将用户重定向到仅与该设备对应的安全HTTPS URL(使用新的签名证书):将发送主机名的DNS请求,该请求可以由设备本身或供应商的DNS服务器通过递归进行应答DNS记录应解析为设备的内部地址某些设备具有固定地址,如调制解调器使用192.168.100.1,如果设备支持用户配置的IP地址,则无法更改,然后,在每次更改时都需要在供应商或设备的DNS服务器中更新,因为主机名将是正确的,并且相应的证书已签名-连接将得到保护对于初始开箱即用配置,当可能还没有可用的Internet连接时,将通过不安全的HTTP提供访问。显然,在HTTP处于图片中的两种情况下(脱机模式和重定向),用户都可能受到干扰,但即使如此,这仍然比大多数其他当前使用的解决方案(仅限HTTP或硬编码签名证书)提供的攻击面小得多。解决方案3:"Plex"解决方案这种方法首先由Plex描述。它只在设备可以访问Internet并要求用户提供自己的设备时工作。对于许多技术含量较低的用户来说,这可能是太多的负担。供应商设置一个可通过Internet访问的网页。用户必须在该网页上注册,并在设备上设置凭据,以便可以启动设置:配置服务器将生成并签署证书,vps怎样开cc防御,并设置该设备唯一的DNS记录。记录的名称可以是分配给该用户设备的任何唯一值,cc可以防御,例如证书的哈希值或约定的随机值的哈希值设备将从配置服务器下载相应的证书并将其存储在非易失性存储器中,以防用户要更改或查看配置,供应商的网站将被打开,凭据将提交登录。这将标识用户。以前生成的唯一域名将被使用浏览器现在可以在后台发送XMLHttpRequest(XHR)或异步JavaScript和XML(AJAX)请求,如果一切配置正确,跨源资源共享(CORS)将不会成为问题。此配置允许任何设备在每个用户的基础上使用正确签名的唯一证书。我们认为这个解决方案是最优雅的。为什么研究人员发表他们的发现?这个问题之所以在媒体上很突出,很大一部分原因是这个问题的披露方式。两位研究人员似乎对Bugcrowd和Netgear遵循的披露政策并不满意。不可能同时报告错误并将其公开,因此他们决定发布以鼓励供应商更改其解决方案,宝塔防御ddos,或者让用户通过切换供应商来保护自己。关于各种披露方法的伦理问题的争论不在这篇博文中,然而,与这一领域相关的一个有趣的事实是,另一位研究人员在2017年在Bugcrowd上报告了同样的漏洞。在那里,它被标记为一个副本,这意味着多方已经知道这个问题,供应商被通知,但没有实施修复。用户很容易受到攻击。在出版方面,研究人员至少成功地在两天之内撤销了这些证书,这有助于防止证书被用来攻击受害者。有一件事是可以肯定的:在咨询或披露中有一个实用的建议比没有一个对最终用户更有用,即使这个建议是为了更换设备供应商。结论没有一个解决方案是完美的。它们中的一些要么面临实际问题,比如只支持新制造的设备,要么需要互联网接入。另一些则有一些弱点,比如不安全的初始连接更容易受到攻击。然而,所有这些解决方案都比使用自签名、硬编码或不使用证书的常见做法要好。在这里讨论的三种情况中,设备和用户浏览器之间的连接最终是安全的。此外,如果设备的私钥被盗,免费防御ddos攻击,攻击者将只能攻击一个特定用户,而不是该设备的所有用户