网络基础设施安全.pptVIP

网络基础设施安全 （4）域名系统安全 目录 7.1 局域网和VLAN 7.2 远程访问（拨号） 7.3 路由系统安全 7.4 网络管理系统安全 7.5 域名系统安全 7.5 域名服务系统安全 DNS基础 DNS 风险 DNS安全管理政策 DNS 安全技术措施 DNS 基础 域名服务是最重要的基础设施之一 分布式数据库， 域名? ?IP地址 域名解析的过程 Resolver, Primary secondary DNS DNS 数据流 主要风险 缓冲区溢出漏洞允许远程控制 域名欺骗（DNS Spoofing） 利用区传输造成DNS信息泄密 针对域名服务的拒绝服务(DOS)攻击 无访问控制的递规查询造成流量的增加 未经授权的更新 DNS 隐患 常用软件及新的特性 BIND—Berkeley Internet Name Domain Windows NT/2k 动态更新, DHCP 通知, Primary - Secondary 缓冲区溢出漏洞 CERT? Advisory CA-1999-14 Multiple Vulnerabilities in BIND（8.2.2 以前） the nxt bug Vulnerability #2: the sig bug Vulnerability #3: the so_linger bug Vulnerability #4: the fdmax bug Vulnerability #5: the maxdname bug Vulnerability #6: the naptr bug tsig bug /products/BIND/bind-security.html 域名欺骗（DNS Spoofing） 劫持域名查询请求，假冒DNS 的响应 污染DNS的缓冲区（DNS cache poisoning ） 侵入操作系统，修改DNS数据文件 DNS Cache Pollution DNS区传输信息泄密 DNS DoS 伪造源地址查询 对查询请求无限制地响应 递规查询 转发（Forwarder） DNS管理策略 谁来管理域名服务器？ 如何增加新的DNS记录？ 多久备份一次？ 多久更新杀毒软件？ DNS 安全技术措施 版本更新和补丁 防止单点故障 专用DNS服务器 限制区传输 谨慎使用动态更新 限制使用递规查询 查询限制 反欺骗措施：ID Pool 不以Root 运行named, chroot 转发(forwarder)DNS BIND 版本 当前常见的版本 4.9.8: /isc/bind/src/4.9.8/bind-4.9.8-REL.tar.gz 8.2.3: /isc/bind/src/cur/bind-8/bind-src.tar.gz 9.1.0 (推荐使用): /isc/bind9/9.1.0/bind-9.1.0.tar.gz 不同版本的漏洞信息 /products/BIND /bind-security.html 防止单点故障 不要把所有的域名服务器放置在同一子网 不将所有的域名服务器放在同一个路由器之后 所有的域名服务器不使用同一条线路 备份域名服务器 运行不同的操作系统平台 专用的DNS服务器 不要运行其他应用 配置防火墙，过滤其他不必要的流量 从外部执行一次端口扫描，检查是否只提供了UDP 53 和TCP 53 端口 限制区传输 减轻服务器负载 防止黑客列举区（zone）中的信息 确定目标 Mail servers Name servers 获取主机的统计信息 How many hosts you have What makes and models you have What their names are (valuable if you name them after people or projects) 限制区传输—BIND 8配置 allow-transfer substatement: options { allow-transfer { 78; }; }; or, specific to a zone: zone “verisign” { type master; file “db.verisign”; allow-transfer { 78; }; }; 限制区传输—BIND 8配置 注意，Secondary 也要配置 Nslookup 的ls 命令 Dig 的axfr选项 限制区传输—用TSIG认证 会话签名 BIND 8.2 and later 在主域名服务器和从域名服务器上配置密钥，然后要求域名服务器通信时进行签名 限制区传输—用TSIG认证（Cont.） 主域名服务器的 named.con