《主动式DNS网域安全设定检测机制.ppt》由会员分享,可在线阅读,更多相关《主动式DNS网域安全设定检测机制.ppt(22页珍藏版)》请在三一办公上搜索。
1、主動式DNS網域安全設定檢測機制,指導老師:葉禾田老師學生:謝禮安(M98F0206),論文背景,篇名:主動式DNS網域安全設定檢測機制作者:沈志昌、古東明、楊禎葆、鄭進興出處:網際網路技術學刊 Vol.6 No.2 Psge165-171關鍵字:網際綱路,DNS,網路安全,網域檢測,入侵攻擊,摘要,以往探討DNS安全,焦點皆在系統設計上的漏洞。然而DNS設定上的缺失才是攻擊者成功入侵的主因。本研究預計提出以Web介面的自動檢測機制,在自動化與便利化環境之下協助使用者修正設定問題。並與TWNIC DNS主機安全檢測機制搭配建構完整DNS安全環境檢測機制,Domain Name System(D
2、NS),網址位置,DNS攻擊方式,Buffer OverflowCrash ServerDenial of ServerProtocol FlawsInformation leak,全面的DNS安全防護,DNS Securty in Australia於2001年的調查報告中指出,澳洲境內有70%DNS主機存在漏洞。而多數問題之根源乃由於BIND的版本關係。,台灣區DNS網域設定問題,TWNIC針對台灣各網域進行設定檢測,歸納出台灣區最常見的網域設定問題:不良委任授權錯誤DNS容錯能力不足轄區傳送版本偵測,國外網域設定調查,Men&Mice 於2003年以全球網域為.com之DNS主機亂數選取
3、5000部進行設定檢測。,DNS設定失誤造成安全問題,多數的DNS錯誤皆是人為疏失(委任、授權、傳送錯誤)。大部分管理員並不瞭解DNS組態設定與轄區資訊。有心人藉由設定上的失誤可輕易進行探索、攻擊。,DNS網域安全檢測機制架構,本研究提出之DNS網域安全檢測機制分做前端及後端部分。前端使用者認證機制用以檢測使用者合法性。後段由CVE結合SMS檢測並產生回報機制於使用者做修正參考。,前端使用者認證介面,DNS存放資料除IP與網域名稱,尚有許多敏感資訊。使用者在此介面需經由TWNIC用戶資料庫進行驗證,確保身分正確。該介面環境為WEB、以PHP控制CVE進行系統操作。CVE中含nslookup、d
4、ig、host等DNS查詢公用程式。在利用瀏覽器進行檢測申請後,將會回報建議報表。,Scan Module Set(SMS),根據先前研究調查DNS常見設定缺失,SMS將探測模組分為六種探測方式:M1:網域完整檢測M2:NS設定檢測M3:SOA設定檢測M4:MX設定檢測M5:Aps設定檢測M6:進階項目,Report Generator(RG),在掃描結果完成後,回報產生機制負責列出建議報表:建議報表輸出狀態包含Pass、Warn、Fail。標示檢測狀態後會針對其提出修改方針及建議。,系統實做,本系統架構於Linux,以Apache Web Server及PHP搭配Perl撰寫之後端進行檢測。
5、合法使用者透過瀏覽器要求檢測,即自動完成檢測結果回報。由TWCERT/CC開發置放於TWNIC的DNS安全資源網站提供服務。,系統實做使用者驗證,使用者在向TWNIC註冊個人網域時,需提供IP及個資等相關資料於TWNIC網域資料庫。檢測系統將確認其申請之網域主機做檢測。,系統實做網域完整性檢測,判斷該IP之主機是否存在,記錄之上層DNS是否存在,是否有對該IP做記錄。若其中失效則無法繼續檢測。,系統實做NS設定檢測,檢測Name Server是否錯誤如上下層DNS同時註冊,造成委任錯誤,以及Lame Server的情形。,系統實做SOA記錄檢測,以RFC文件的標準為評估準則。SOA檢測DNS在進行資料轉換、回覆時間、查詢時間的設定。,系統實做MX設定檢測,針對與郵件相關的設定,如MX記錄、郵件傳送偵測、RBL進行檢測。瞭解郵件出錯時應該排除的問題及更改的設定。,系統實做應用伺服器檢測,針對網域上的主機進行檢測,確保其記錄正確。如主機位置、別名等。,系統實做進階項目,針對轄區傳送部分進行檢測,確保設置正確。避免非法使用者利用錯誤的轄區傳送設置取得該網域的資訊。,結論,使用者對於DNS的系統工作原理不明瞭,容易造成設定上的缺失。在主動式DNS網域安全設定檢測機制能夠使得使用者快速便利掌握DNS狀態,並進一步修正。然而真正的系統安全還是得仰賴管理人的專業素養和高度警戒。,
