Cloudflare 推出 Fearless SSH:为基础设施带来零信任的短期证书

2024-10-24

Cloudflare 推出了 Access for Infrastructure,这是其 SASE 平台 Cloudflare One 中 BastionZero 的原生集成。Access for Infrastructure 将使组织能够在其服务器、数据库、网络设备、Kubernetes 集群等之前应用零信任控制。文章介绍了 Access for Infrastructure 的第一个可用功能:短期 SSH 访问。它解释了如何通过使用由 Cloudflare 管理的证书颁发机构 (CA) 颁发的短期 SSH 证书来消除管理 SSH 密钥的安全风险和开销。

阅读更多
未分类

避免停机:证书绑定的现代替代方案

2024-09-29

证书绑定曾是安全标准,但随着证书颁发机构(CA)更频繁地轮换证书和中间证书以提高安全性,证书绑定正导致越来越多的中断。文章解释了证书绑定在当今公钥基础设施(PKI)世界中的弊端,并推荐了更有效、更现代的替代方案,如更短的证书生命周期、CAA记录、证书透明度和多视点域控制验证(DCV)检查,以在不增加管理开销和风险的情况下实现相同级别的安全性。

阅读更多
未分类 证书绑定 PKI

Cloudflare 推出 Ephemeral ID:一种用于欺诈检测的新工具

2024-09-23

Cloudflare 推出了一种名为 Ephemeral ID 的新型反欺诈工具。该工具通过分析浏览器属性和信号生成一个短暂的 Ephemeral ID,用于识别和阻止恶意行为,而无需依赖 IP 地址。Ephemeral ID 具有短暂性和非完全唯一性,可以有效识别欺诈和滥用模式,同时保护用户隐私。该工具已集成到 Cloudflare 的 Turnstile 产品中,可供所有 Turnstile 用户使用。

阅读更多
未分类

Cloudflare Radar洞察TCP连接重置和超时

2024-09-09

本文介绍了Cloudflare Radar的新功能,该功能可以洞察TCP连接重置和超时现象。文章分析了导致TCP连接异常的原因,包括扫描、应用程序突然关闭、网络错误、攻击和网络流量干扰等。Cloudflare Radar提供了一个仪表盘和API,可以实时查看由于重置或超时而在前10个入口数据包内终止的TCP连接。通过分析这些异常行为,可以深入了解扫描、连接篡改、DoS攻击、连接问题和其他行为。

阅读更多
未分类

RADIUS/UDP协议易受改进MD5碰撞攻击

2024-07-09

RADIUS(远程身份验证拨入用户服务)是一种广泛使用的身份验证协议,常用于网络设备的远程访问。然而,RADIUS/UDP协议中使用过时的MD5加密算法,容易受到改进的MD5碰撞攻击。研究人员开发了一种名为“Blast-RADIUS”的攻击,可以利用MD5的弱点,将拒绝访问的数据包更改为接受访问的数据包,从而获得对网络设备的未授权访问权限。该攻击利用了RADIUS响应验证器中的缺陷,并通过将恶意数据插入可选的Proxy-State属性来实现攻击。为了应对这种攻击,建议网络运营商升级到支持RADIUS over TLS(RADSEC)的设备,或使用HMAC-MD5消息验证器来保护RADIUS/UDP通信。

阅读更多

Cloudflare 1.1.1.1 服务故障分析:BGP 劫持和路由泄露

2024-07-05

2024年6月27日, Cloudflare 的 1.1.1.1 公共 DNS 解析器服务遭遇了 BGP 劫持和路由泄露事件,导致全球部分用户无法访问或访问延迟增加。事件根源是 AS267613 错误地宣布了 1.1.1.1/32 路由,导致部分流量被黑洞,而 AS262504 则泄露了 1.1.1.0/24 路由,加剧了影响。Cloudflare 采取了下线相关网络连接等措施,并呼吁业界加强 RPKI 和 ASPA 等安全机制的部署,以预防类似事件再次发生。

阅读更多
未分类

一键阻止AI爬虫:Cloudflare 推出新型网络安全工具

2024-07-03

为保护内容创作者的权益,Cloudflare 推出了一项全新功能,支持一键阻止所有 AI 爬虫。该功能适用于所有用户,包括免费用户。文章分析了当前网络中 AI 爬虫的活跃程度,指出部分 AI 公司未经授权抓取网站内容用于模型训练的行为,并介绍了 Cloudflare 如何识别和阻止这类行为,强调其机器学习模型能有效识别伪装成真实浏览器的 AI 爬虫。

阅读更多