DNS系统的安全性与对策.pdfVIP

维普资讯 维普资讯 2DNS系统的安全对策 信息；2)基于主机的访问控制；3)主机名和地址验证服 2．1网络系统的安全 务；4)控制每个服务对系统资源的存取 。 网络系统的安全性主要考虑保证网络设备连接的 通过正确地配置文件 ／etc／hosts．all0W和 ／etc／ 安全 ，这需要一组相互重叠 的安全机制 ，包括 防火墙 hosts．deny便可控制对主机或服务的访问。／etc／hosts． (firewal1)、数据包过滤器 (packetfilters)、物理安全、 allow用来指定哪些主机可以访问xinetd服务 ，而 ／etc／ 审查 日志、身份验证和授权等。着重考虑以下3个方面： hosts．deny则用来指定哪些主机不允许访问xinetd服务。 (1)使用防火墙或访 问控制列表实施对 网络设备的防护， 如果在hosts．deny中加入以下一行 ： 隔离和过滤非法用户对网络设备的远程访问。(2)设置网 all：all (或 all：0．0．0．0／0．0．0．0) 络设备的加密 口令，合法用户的远程访问使用加密传输的 则意味着未经hosts．allow 明确指明的任何主机都不 协议。防止访问控制信息在传输过程中的泄漏。(3)划分 能访问所请求 的服务。 专用 VLAN来设置网络设备地址，设备地址的分配尽量 (4) 使用防火墙。防火墙是指设置在不同网络 (如可 使用保留地址，防止互联网用户对设备访问。 信任的内部网和不可信任的公共网)或网络安全域之间的 2．2操作系统的安全 一 系列部件的组合。它是不同网络或网络安全域之间信息 操作系统安全是整个 DNS系统安全的基础。Linux 的惟一出入口，能根据安全政策 (允许、拒绝、监测)控 +BIND是做 DNS系统的常用平 台，下面主要考虑 制出入网络的信息流，且本身具有较强的抗攻击能力。防 Linux系统的安全配置，其基本思路同样适用于其他平台 火墙一般分为两种类型，包过滤器及应用程序级。 的操作系统 。 Linux核心中包含一个功能强大 的网络子系统 一 (1)使用先进口令技术。存在于 ／etc／passwd文件中 Netfilter 。它能够实现有状态或无状态的数据包过滤， 的DES (Data Encryption Standard) 口令，现代的计 为策略路 由和连接状态管理 IP数据包的包头等功能。我 算机在很短的时间内就可以攻破 ，新版本的Linux系统提 们可以将此功能配置为一个过滤型防火墙，可以检测源 供了隐秘的口令，它不是存在于可 以读到的 ／etc／passwd IP地址 、目标 IP地址、源端 口号、目标端口号及协议类 中，而是存在于只有root用户才能读到的 ／etc／shadow 型。Netfilter是通过一个称之为iptables的软件工具包来 中，极大地提高了口令的安全性 ，老版本的系统应该安装 控制和管理的。通过 iptables对Netfilter的配置可以简单、 Shadow Utils软件包 。 高效地对 DNS服务器进行保护，比如配置 iptables只允 (2)删除不必要的服务。网络服务是造成系统安全的 许用户对 DNS的访问： 重要原因，常见的DoS攻击、弱脚本攻击 以及缓冲区溢 ／sbin／iptables—P inputDENY 出攻击都是 由于系统存在网络服务所引起 的。在安装操 ／sbin／iptables—P outputDENY 作系统前 ，就应该确定在系统中运行的服务的最小集合， ／sbi