主动式DNS网域安全设定检测机制.ppt

主動式DNS網域安全設定檢測機制指導老師：葉禾田老師學生：謝禮安(M98F0206)01篇名：主動式DNS網域安全設定檢測機制02作者：沈志昌、古東明、楊禎葆、鄭進興03出處：網際網路技術學刊Vol.6No.2Psge165-17104關鍵字：網際綱路,DNS,網路安全,網域檢測,入侵攻擊論文背景以往探討DNS安全，焦點皆在系統設計上的漏洞。然而DNS設定上的缺失才是攻擊者成功入侵的主因。本研究預計提出以Web介面的自動檢測機制，在自動化與便利化環境之下協助使用者修正設定問題。並與TWNICDNS主機安全檢測機制搭配建構完整DNS安全環境檢測機制摘要DomainNameSystem(DNS)網址←→ＩＰ位置BufferOverflowCrashServerDenialofServerProtocolFlawsInformationleakDNS攻擊方式全面的DNS安全防護DNSSecurtyinAustralia於2001年的調查報告中指出，澳洲境內有70%DNS主機存在漏洞。而多數問題之根源乃由於BIND的版本關係。台灣區DNS網域設定問題01TWNIC針對台灣各網域進行設定檢測，歸納出台灣區最常見的網域設定問題：02不良委任03授權錯誤04DNS容錯能力不足05轄區傳送06版本偵測國外網域設定調查MenMice於2003年以全球網域為.com之DNS主機亂數選取5000部進行設定檢測。多數的DNS錯誤皆是人為疏失（委任、授權、傳送錯誤）。大部分管理員並不瞭解DNS組態設定與轄區資訊。有心人藉由設定上的失誤可輕易進行探索、攻擊。DNS設定失誤造成安全問題DNS網域安全檢測機制架構”本研究提出之DNS網域安全檢測機制分做前端及後端部分。01前端使用者認證機制用以檢測使用者合法性。02後段由CVE結合SMS檢測並產生回報機制於使用者做修正參考。03DNS存放資料除IP與網域名稱，尚有許多敏感資訊。使用者在此介面需經由TWNIC用戶資料庫進行驗證，確保身分正確。該介面環境為WEB、以PHP控制CVE進行系統操作。CVE中含nslookup、dig、host等DNS查詢公用程式。在利用瀏覽器進行檢測申請後，將會回報建議報表。前端使用者認證介面ScanModuleSet(SMS)根據先前研究調查DNS常見設定缺失，SMS將探測模組分為六種探測方式：1M1：網域完整檢測2M2：NS設定檢測3M3：SOA設定檢測4M4：MX設定檢測5M5：Aps設定檢測6M6：進階項目701在掃描結果完成後，回報產生機制負責列出建議報表：02建議報表輸出狀態包含Pass、Warn、Fail。03標示檢測狀態後會針對其提出修改方針及建議。ReportGenerator(RG)系統實做本系統架構於Linux，以ApacheWebServer及PHP搭配Perl撰寫之後端進行檢測。合法使用者透過瀏覽器要求檢測，即自動完成檢測結果回報。由TWCERT/CC開發置放於TWNIC的DNS安全資源網站提供服務。系統實做使用者驗證使用者在向TWNIC註冊個人網域時，需提供IP及個資等相關資料於TWNIC網域資料庫。檢測系統將確認其申請之網域主機做檢測。壹贰系統實做網域完整性檢測判斷該IP之主機是否存在，記錄之上層DNS是否存在，是否有對該IP做記錄。若其中失效則無法繼續檢測。