网络基础设施安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
专用的DNS服务器
• 不要运行其他应用 • 配置防火墙,过滤其他不必要的流量 • 从外部执行一次端口扫描,检查是否只提
供了UDP 53 和TCP 53 端口
限制区传输
• 减轻服务器负载 • 防止黑客列举区(zone)中的信息
– 确定目标
• Mail serve源自文库s • Name servers
– 获取主机的统计信息
Impersonating master
Cache impersonation
Zone file
master
Caching forwarder
Dynamic updates
slaves
Unauthorized updates
Server Protection
Cache pollution by Data spoofing
options { allow-transfer { 206.168.119.178; };
};
• or, specific to a zone:
zone “verisign.com” {
type master; file “db.verisign.com”; allow-transfer { 206.168.119.178; };
};
限制区传输—BIND 8配置
• 注意,Secondary 也要配置 • Nslookup 的ls 命令 • Dig 的axfr选项
限制区传输—用TSIG认证
• 会话签名 • BIND 8.2 and later • 在主域名服务器和从域名服务器上配置密
DATA Protection
resolver
常用软件及新的特性
• BIND—Berkeley Internet Name Domain • Windows NT/2k • 动态更新, DHCP • 通知, Primary -> Secondary
缓冲区溢出漏洞
• CERT® Advisory CA-1999-14 Multiple Vulnerabilities in BIND(8.2.2 以前)
resolver
主要风险
• 缓冲区溢出漏洞允许远程控制 • 域名欺骗(DNS Spoofing) • 利用区传输造成DNS信息泄密 • 针对域名服务的拒绝服务(DOS)攻击 • 无访问控制的递规查询造成流量的增加 • 未经授权的更新
DNS 隐患
Corrupting data
Zone administrator
“ ”
edu
com
gov
org
cn
jp
edu.cn
tsinghua.edu.cn
cs.tsinghua.edu.cn
…
com.cn
org.cn
pku.edu.cn
math.tsinghua.edu.cn
域名解析的过程
Resolver, Primary & secondary DNS
Primary DNS
• tsig bug
域名欺骗(DNS Spoofing)
• 劫持域名查询请求,假冒DNS 的响应 • 污染DNS的缓冲区(DNS cache poisoning ) • 侵入操作系统,修改DNS数据文件
DNS Cache Pollution
1.2.3.4
攻击目标DNS
Victim=14.23.32.41
4.3.2.1
DNS.hacker.com
DNS区传输信息泄密
DNS DoS
• 伪造源地址查询
S
Query from T
dns
dns
dns
dns
Response to T T
对查询请求无限制地响应
• 递规查询 • 转发(Forwarder)
dns
dns
Internet
DNS管理策略
• 谁来管理域名服务器? • 如何增加新的DNS记录? • 多久备份一次? • 多久更新杀毒软件?
UDP port 53
Secondary DNS
TCP port 53 UDP port 53
UDP port 53
resolver
resolver
DNS 数据流
Zone administrator
Zone file
Dynamic updates
master slaves
Caching forwarder
DNS 安全技术措施
• 版本更新和补丁 • 防止单点故障 • 专用DNS服务器 • 限制区传输 • 谨慎使用动态更新 • 限制使用递规查询 • 查询限制 • 反欺骗措施:ID Pool • 不以Root 运行named, chroot • 转发(forwarder)DNS
BIND 版本
• 当前常见的版本
– 4.9.8:
– 8.2.3:
•
– 9.1.0 (推荐使用):
•
• 不同版本的漏洞信息
– /bind-security.html
防止单点故障
• 不要把所有的域名服务器放置在同一子网 • 不将所有的域名服务器放在同一个路由器
之后 • 所有的域名服务器不使用同一条线路 • 备份域名服务器 • 运行不同的操作系统平台
• How many hosts you have • What makes and models you have • What their names are (valuable if you name them after
people or projects)
限制区传输—BIND 8配置
• allow-transfer substatement:
– the "nxt bug" – Vulnerability #2: the "sig bug" – Vulnerability #3: the "so_linger bug" – Vulnerability #4: the "fdmax bug" – Vulnerability #5: the "maxdname bug" – Vulnerability #6: the "naptr bug"
第七讲、网络基础设施安全
(4)域名系统安全
目录
7.1 局域网和VLAN 7.2 远程访问(拨号) 7.3 路由系统安全 7.4 网络管理系统安全 7.5 域名系统安全
7.5 域名服务系统安全
• DNS基础 • DNS 风险 • DNS安全管理政策 • DNS 安全技术措施
DNS 基础
• 域名服务是最重要的基础设施之一 • 分布式数据库, 域名 IP地址