DNS安全稽核与防护体系之建置-台南区网中心.ppt

DNS伺服器安全檢測與防護體系之建置 鄭進興 樹德科技大學資管系 jscheng@.tw 92.10.23 OUTLINE 研究背景與動機 研究方法與架構 研究範圍與主要成果 文獻探討 網路現況分析 網路安全探討 網路安全檢測系統類別 DNS安全性探討 DNS伺服器漏洞探討 常見DNS漏洞攻擊 台灣區DNS狀態調查 DNS攻擊模式 OUTLINE DNS安全檢測系統 台灣區DNS常見問題 主動性安全掃描 系統架構 使用者前端驗證（User Certificate Interface） NSE（Nessus Scan Engine） NASL（Nessus Attack Script Language） Scan Result DateBase 檢測分類 DNS網域安全檢測 台灣區常見錯誤 網域設定錯誤影響 檢測項目 檢測結果 OUTLINE 系統實作與展示 完整DNS安全檢測方案 DNS安全檢測系統 DNS網域安全檢測 DNS資源網站 即時統計分析 結論與建議 系統掃描狀態 DNS版本分佈狀態 DNS漏洞分佈 結論 建議 未來研究方向 研究背景與動機 研究背景與動機 DNS為重要20大服務之一 DNS為網路服務第一線 第三層DNS檢測所遭遇問題 鞏固DNS系統有助於網際網路環境完整性 研究方法與架構 研究範圍與主要成果 範圍 內部人員及防火牆設置下之環境 DNS外之網路服務項目 成果 第三層DNS安全檢測機制與防護體系 DNS安全資源網站 蒐集掃描資訊 文獻探討 網路現況分析.tw/0105/howmany/index.asp/total/total_01.htm 網路安全探討 網路安全檢測系統類別 DNS安全性探討 DNS安全性探討 SANS安全嚴重性 TOP20—排名第九 1999-2002 CVE漏洞通報佔了11項 DNS為相當重要系統 DNS伺服器漏洞探討 常見DNS漏洞攻擊 DNS系統冒名欺騙攻擊(Spoofing) DNS系統阻斷服務攻擊(DoS) DNS系統漏洞攻擊 Buffer Overflow DNS Worm 台灣區DNS狀態調查 DNS攻擊模式 Buffer Overflow Crash Server Denial of Service Information Leak DNS安全檢測系統 台灣區DNS常見問題 不良委任關係（Lame Server） 授權錯誤（Delegation Error） DNS容錯能力 轄區傳送（Zone Transfer） 版本偵測 主動式安全掃描 遭遇問題 第三層DNS權責分散 數量繁多 自行設計檢測系統困難度高 設計考量 降低管理權責問題 Web操作介面 使用者無須安裝額外系統 系統架構 使用者前端驗證（User Certificate Interface） 由TWNIC設計 驗證TWNIC用戶資料庫資訊 取得註冊主機網域、IP位置、郵件信箱 預防惡意人士藉由系統掃描他人主機 NSE（Nessus Scan Engine） 分散式架構 重編譯核心建構中文化檢測環境 Web設計理念 更換稽核程式可以增加檢測能力 NASL（Nessus Attack Script Language） Scan Result DateBase 紀錄使用者掃描狀態 內容 漏洞敘述 建議修正 相關資訊鏈結 提供線上即時分析、用戶狀態分析 檢測分類 檢測服務版本 攻擊服務檢測 轉送服務要求 轄區轉送檢測 DNS蠕蟲 DNS相關問題 DNS網域安全檢測 DNS網域安全檢測 台灣區常見錯誤 不良委任關係（Lame Server） 授權錯誤（Delegation Error） DNS容錯能力 轄區傳送（Zone Transfer） 版本偵測 網域設定錯誤影響 網域效率降低（浪費多餘時間於查詢） 洩漏網域資訊 影響整體台灣區網域運作流暢 DNS網域安全檢測 檢測項目 Parent （用來檢測與上層DNS溝通正確性） NS（針對網域之NS主機驗證） SOA（驗證NS主機在資訊更新上的正確性） MX（郵件主機設定正確性） WWW（網頁主機檢測） 檢測結果 中文化輸出 相關修正建議 系統實作與展示 完整DNS安全檢測方案 DNS安全檢測實作方塊圖 DNS安全檢測網站 DNS安全檢測系統 即時統計分析 系統掃描狀態 上線時間 91.7～92.6 累積至今結果 累積用戶數：1399 (不包含重複掃描) 掃描主機數：1483 部 DNS版本分佈狀態 DNS漏洞分佈 DNS網域安全檢測 DNS網域安全檢測 (cont.) DNS網域安全檢測 (cont.) DNS網域安全檢測 (cont.) DNS網域安全檢測 (cont.) 系統展示 DNS資源網站 DNS安全檢測系統 DN