网络安全运行与维护M4-1

〖步骤3〗保护 DNS 免于 Spoofed攻击
• 第一步：关闭rescursion的功能
– 修改配置文件：/etc/named.conf.加入一行： – [root@lab2 ~]# vi /etc/named.conf – recursion no;
任务实施——实施步骤(cont.)
实施步骤
任务实施——实施步骤(cont.)
实施步骤
〖步骤4〗保护 Zone Transfer 的安全
• 默认情况下BIND的区域(zone)传输是全部开放的
– [root@lab2 ~]# vi /etc/named.conf – acl "zone-transfer" {192.168.123.11;192.168.123.20;}; – zone "xuanbo.com" IN { – type master; – file "/var/named/xuanbo.com.hosts"; – allow-query {any;}; – allow-transfer {zone-transfer;}; – allow-update {none;}; – };
任务实施——实施步骤(cont.)
实施步骤
• 私有密钥
– – – – – – – – [root@lab2 ~]# cat Klab2.xuanbo.com.+157+00415.private Private-key-format: v1.2 Algorithm: 157 (HMAC_MD5) Key: AqgKPP98op6ORpyeUpbPhg== [root@lab2 ~]# cat Klab3.xuanbo.com.+157+41321.private Private-key-format: v1.2 Algorithm: 157 (HMAC_MD5) Key: 9WcIbGo85OaRQ9y4eEZokg==
• 第二步：关闭 glue fetching 的功能
– 修改配置文件：/etc/named.conf.加入一行： – [root@lab2 ~]# vi /etc/named.conf – fetch-glue no;
• 第三步：限制查询要求的服务对象
– – – – – – – – – – – 限制询问要求的来源（IP 地址） 限制可以查询的区域范围 [root@lab2 ~]# vi /etc/named.conf ………… allow-query {192.168.123.0/24;}; zone "xuanbo.com" IN { type master; file "/var/named/xuanbo.com.hosts"; allow-query {any;}; allow-update {none;}; };
《网络安全运行与维护》
模块四 Linux服务器系统安全管理与维护
总体概述
DHCP DNS Web FTP CA 服务器群集 邮件服务 网管工作站
DHCP
WEB
DNS
WEB
FTP
BDNS
北京总部
VPN
Internet
DDN
– 加强Linux系统的DNS服务的安全防御能力 – 加固Linux系统的DHCP服务安全防御能力 – 提升Linux系统的 WEB服务的安全防御能力 长春分公司 – 提高Linux系统的FTP服务安全访问及安全防御能力 重庆分公司
任务实施——实施步骤(cont.)
实施步骤
• 第三步：修改primary master 的 named.conf
– – – – – – – – – – [root@lab2 ~]# vi /etc/named.conf ………… key lab3.xuanbo.com.{ algorithm hmac-md5; secret "9WcIbGo85OaRQ9y4eEZokg=="; }; server 192.168.123.16 { keys {lab3.xuanbo.com.;}; }; …………
任务实施——实施步骤(cont.)
实施步骤
• 第四步：修改slave 的 named.conf
– – – – – – – – – – – [root@lab2 ~]# vi /etc/named.conf // ………… key lab2.xuanbo.com.{ algorithm hmac-md5; secret " AqgKPP98op6ORpyeUpbPhg=="; }; server 192.168.123.11 { keys {lab2.xuanbo.com.;}; }; …………
• 第二步：加密密钥（公钥）
– – – – [root@lab2 ~]# cat Klab2.xuanbo.com.+157+00415.key lab2.xuanbo.com. IN KEY 512 3 157 AqgKPP98op6ORpyeUpbPhg== [root@lab2 ~]# cat Klab3.xuanbo.com.+157+41321.key lab3.xuanbo.com. IN KEY 512 3 157 9WcIbGo85OaRQ9y4eEZokg==
• 分布式拒绝服务攻击 • 缓冲区漏洞溢出攻击
相关知识
相关知识
DNS欺骗
• 如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址， 这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得 的网站的主页了，这就是DNS欺骗的基本原理。
拒绝服务攻击
• SYN Flood
– SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP 协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满 负荷或内存不足)的攻击方式。
– DNS服务器要专用，不要在DNS服务器上运行其它服务，尽量允许普通 用户登录。
• 第二步：隐藏DNS服务器
– [root@lab2 ~]# vi /etc/named.conf – version "unknow on this platform";
任务实施——实施步骤(cont.)
实施步骤
任务实施——实施步骤(cont.)
实施步骤
〖步骤5〗保护Dynamic Update的安全
• 允许能向本DNS服务器提交动态 DNS 更新的主机IP列表。
– – – – – – – – – – [root@lab2 ~]# vi /etc/named.conf acl "zone-transfer" {192.168.123.11;192.168.123.20;}; acl "updater" {192.168.123.15;};//dhcp-server zone "xuanbo.com" IN { type master; file "/var/named/xuanbo.com.hosts"; allow-query {any;}; allow-transfer {zone-transfer;}; allow-update {updater;}; };
– 使用Linux防火墙模块提升服务器的安全防御能力
能力单元1
加强Linux系统的DNS服务的安 全防御
任务描述
任务描述
本任务主要是通过以下方法来加强DNS服务器的安全。
• • • • • • • • • • 隔离DNS服务器 隐藏DNS服务器 避免透露服务器信 关闭DNS服务器的glue fetching选项 使用非root权限运行bind 控制区域（zone）传输 请求限制 其他強化措施 使用DNSSEC 为DNS服务器配置DNS Flood Detector
任务实施——实施步骤(cont.)
实施步骤
〖步骤6〗使用 TSIG保护DNS服务器
• 第一ຫໍສະໝຸດ Baidu：产生加密密钥
– [root@lab2 ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST lab2.xuanbo.com – Klab2.xuanbo.com.+157+00415 – [root@lab2 ~]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST lab3.xuanbo.com – Klab3.xuanbo.com.+157+41321 – [root@lab2 ~]#
总结
本任务主要加强Linux系统的DNS服务的安全防御能力 本任务主要通过以下技术方法实现
选择没有安全缺陷的DNS版本 保护DNS服务器本身安全 保护 DNS 免于 Spoofed攻击 保护 Zone Transfer 的安全 保护Dynamic Update的安全 使用 TSIG保护DNS服务器
• 第三步：避免透露DNS服务器信息
– 不要轻易透露服务器其他信息。为了让潜在的攻击者更难得手，尽量不 要在DNS配置文件中使用这HINFO和 TXT两个资源记录。
• 第四步：以最小的权限及使用chroot()方式运行BIND
– 以 root 使用者的身分执行BIND有安全隐患，攻击者若找到BIND的安全 漏洞，可能获取 root 的身分，从而进行对服务器攻击。 – named -u named -t /var/named
任务分析
任务分析
DNS服务面临的安全隐患主要包括：DNS欺骗（DNS Spoffing）、拒绝服务（Denial of service，DoS）攻击、分 布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow）。具体如下：
• DNS欺骗
– 缓存感染 – DNS信息劫持 – DNS重定向
任务实施——拓扑结构
拓扑结构
任务实施——实施步骤
实施步骤
〖步骤1〗选择没有安全缺陷的DNS版本
• BIND主要分为三个版本：
– （1）v4：1998年多数unix捆绑 – （2）v8：如今使用最多最广大版本 – （3）v9：最新版本，
〖步骤2〗保护DNS服务器本身安全
• 第一步：隔离DNS服务器