《DNSy2ksecurity相关问题剖析及对策.ppt》由会员分享,可在线阅读,更多相关《DNSy2ksecurity相关问题剖析及对策.ppt(25页珍藏版)》请在三一办公上搜索。
1、,DNS y2k/security 相關問題剖析及對策,交通大學計算機與網路中心陳昌盛,TANet99 Conference&TWNIC Technical Workshop,Contents,TW 網域現狀Generic System Configuration Issues DNS y2k 相關問題DNS Server Security IssuesNetwork/System Security&DNS SPAM&DNS Case Study,TANet99 Conference&TWNIC Technical Workshop,Fig.1 DNS 運作基本架構圖,com,org,net,
2、cn,hk,.,tw,gov,mil,Arpa,in-addr,INT,IP6,root servers,140,org,gov,mil,edu,nctu,com,net,hc,hchs,www,cis,hgsh,ncku,203,www,.,127,cc,ns1,ccserv2,113,6,250,2,114,ee,bbs,.,.,nehs,.,mail,192,.,NSAP,.,tw,com,net,edu,org,gov,mil,ccTLD,ccSLD,Notes:1.ccTLD=country code Top Level Domain2.ccSLD=country code Seco
3、ndary Level Domain3.反解網域(reverse domain zone),並不在此列4.ccSLD 未來可能再增加,Fig.2 tw 網域組織架構現狀,TANet99 Conference&TWNIC Technical Workshop,2.Generic System Configuration Issues,Load sharing/balancing(DNS,Mail,)提昇整體網路及系統效能(global internetworking)Backup system(DNS,Mail,)high availability/reliabilityRelaying Sys
4、tem(DNS,Mail,WWW)類似同義詞:proxy,forwardingCaching(DNS,www proxy,ftp mirror),TANet99 Conference&TWNIC Technical Workshop,2.1 DNS server 規劃與建置,每一網域都應建置兩個以上的 DNS server 網路備援分散 loading提昇整體效能(計算 RTT,往最近處查詢)ccTLD,ccSLD 服務的 server 足夠嗎?ccTLD=2,ccSLD=2,3 應增加同一網域 server 宜考慮分散不同處所停電,斷網,系統受攻擊,當機等效應(ccTLD,ccTLD)不太會
5、改變者,每筆資料的 TTL 宜設長一點減少不必要的 DNS 查詢,提昇網路系統效能及穩定度建議 TTL=3 天,TANet99 Conference&TWNIC Technical Workshop,tw,com,net,edu,org,gov,mil,Fig.3 tw 網域 DNS server 配置現狀,NS=(moevax.edu.tw,),NS=(aladdin.iii.org.tw,moevax.edu.tw),NS=(moevax.edu.tw,moesun.edu.tw),NS=(,),NS=(dns1.mil.tw,dns2.mil.tw),NS=(aladdin.iii.or
6、g.tw,moevax.edu.tw),NS=(aladdin.iii.org.tw,moevax.edu.tw),TANet99 Conference&TWNIC Technical Workshop,2.2 DNS server 規劃及建置問題,沒有複式 server 的觀念 國內第三層以下 domain zone 常見的問題多未建立 slave/secondary DNS server公司行號,政府單位,新成立的中小學縣市網路 反解網域的註冊與管理比以往有進步,但觀念普及仍不夠相關領域:SPAM mail 的反制,www proxy 的管理相關中文文件太少,TANet99 Confere
7、nce&TWNIC Technical Workshop,3.DNS/BIND 與 y2k,DNS server host進行系統 y2k 實機測試分散系統e.g.,Solaris 7,FreeBSD 3.2-stable系統軟體部分BIND 8.2 is y2k-complianceDNS server y2k conformance testing,TANet99 Conference&TWNIC Technical Workshop,3.1 DNS/BIND Security 問題,BIND 1999.10.19(released)BIND/named Security issuesBu
8、ffer overflow 與 CNAME bug 等嚴重問題參考 CERT 相關網頁報告(CERT Advisory)Upgrade 到最新版本,TANet99 Conference&TWNIC Technical Workshop,3.2 WINS 與 DNS,WINS 設定不當,導致大量消耗可用頻寬實例,過去 TANet 竹苗區網某一學校,曾經發生http:/www.edu.tw(MOECC newsletter,參考 8801-8806 期)儘量避免使用 啟動 Negative Caching 功能自我保護避免拖累網路大環境請Upgrade 到最新版本(BIND 8.x 以後)內建 N
9、egative Caching,TANet99 Conference&TWNIC Technical Workshop,4.Network/System Security&DNS,了解問題問題回報及追蹤解決問題,TANet99 Conference&TWNIC Technical Workshop,4.1 常見的網路攻擊型態,Denial-of-Serviceping(system bug)SPAM E-mail/NetNews,.Intrusion(電腦與網路入侵)Trojan Horse(BO,NetBus,.)computer virusInformation TheftTrojan H
10、orse(BO,NetBus,遙控程式),TANet99 Conference&TWNIC Technical Workshop,4.1.1 問題處理與追蹤,Security 問題回報及反應向相關單位報備及追蹤問題向相關 CERT 報備及追蹤問題各單位聯絡 e-mail address(Internet 慣例)postmasteryour-domain-zoneabuseyour-organization,securityyour-organization例如,TANet99 Conference&TWNIC Technical Workshop,4.2 Generic Access Cont
11、rol Issues,分層負責Router ACLDNS server ACL個別 server 的 ACLSMTP-sendmailhttp proxy-squidNNTP-inn向,TANet99 Conference&TWNIC Technical Workshop,4.3 DNS 設定與入侵嘗試,特定對象的入侵buffer overflow 等系統問題尋找不特定的入侵對象forward&reverse domain zone scanningDNS zone transfer 設限阻擋不特定的目標搜索,TANet99 Conference&TWNIC Technical Worksho
12、p,4.3.1 DNS server 限制 zone transfer,BIND 8.x/etc/named.conf 的相關片段options directory/var/named;allow-transfer none;/原則上,阻擋所有 不相干的 zone transfer;/省略 zone“nctu.edu.tw”type master;file“Zone-NCTU”;allow-transfer 140.113.1.1;140.113.6.2;/允許 slave/secondary server;addr.arpa”.,TANet99 Conference&TWNIC Techni
13、cal Workshop,4.4 Mail SPAM&DNS,SPAM Mail UCE/UBE(不請自來)UCE=Unsolicited Commercial E-mailUBE=Unsolicited Bulk E-MailUCE/UBE 散佈途徑名單收錄www homepage,USENET news articlesaccount password files on individual servers其他不當途徑(program bug,招募會員活動,)找尋管理較鬆散的 mail relay Domain Zone scanning(DNS)URL scanning(web page
14、s),TANet99 Conference&TWNIC Technical Workshop,4.4.1 Anti SPAM Mail&DNS ACL,SMTP server upgrade/patch限定 mail relaying 對象DNS 設ACL 可相當程度阻擋不特定的 relay 嘗試系統管理人員介入 聯絡相關系統的管理人員rbl 建立(Real-time Block List),TANet99 Conference&TWNIC Technical Workshop,5.Case Study,前幾年有 BBS/Mail,戲稱要暗殺美國總統柯林頓未即時處理,引起軒然大波.後來美國轉到
15、外交單位轉回國內教育部處理.tw 轉到 德國某公司 本地公司設定錯誤回報到該公司,該國的 CERT,以及TWNIC網路攻擊的中途站(1999.08)TANet 竹苗區網某校的 DNS server 被入侵,TANet99 Conference&TWNIC Technical Workshop,5.1 DNS&Mail-烏龍事件,前幾年,有德國X公司反應,持續不斷接收到,許多應該是寄往台灣Y公司的 e-mail,卻一直被轉往該公司.因為收信的帳號不存在,系統於是一直產生,user 不在的退信,持續往系統管理信箱塞,信件越累積越多,導致server performance 大受影響.由於該公司並無
16、台灣分公司,也找不出合理的解釋,於是開始擔心有台灣的競爭對手,想癱瘓他們網路的正常運作,接下來只好採取正式的防衛行動,透過正式的 CERT 向相關單位反應,.成因舊版 BIND/named 有bug系統管理人員觀念不夠清楚系統管理人員輸入資料時,IP address 打錯,TANet99 Conference&TWNIC Technical Workshop,5.1 DNS&Mail-烏龍事件(續),示意範例 底下 IP address 與 domain name 都是隨意假定這個 server 上的 BIND/named 有 bug$origin.tw.X.tw.INMX 10.tw.X.t
17、w.INMX10mail.ABC.net.tw.;錯誤mail.ABC.net.tw.INA139.75.6.78;設定錯誤;mail.ABC.net.tw.INA139.175.6.78;台灣;mserver.ZYX.deINA139.75.6.78;德國,TANet99 Conference&TWNIC Technical Workshop,5.2 竹苗區網 DNS server 入侵事件,某校在區網的網域,登錄有兩個 DNS server不過,從一開始,就只有建立一個 server該 server-A 有 security hole,被外來者闖入入侵者,持續透過該 server-A,嘗試
18、入侵國外網站網域上層,持續收到國外不同地方轉來的抱怨與求助 e-mail電話通知該校管理者處理.後來轉維護廠家工程師.將近一週,仍無改善.區網接手,協助處理.設 tcp_wrapper,擋掉不明來源的連線.,TANet99 Conference&TWNIC Technical Workshop,5.3 DNS 與相關系統管理,結論各網域必須落實設立兩個以上 DNS server 重要 server 勤作 security patchDNS 設 ACL,限制 zone transfer委外廠商維護能力,意願與合約,TANet99 Conference&TWNIC Technical Workshop,參考網頁與資料,按照 URL 的英文字母順序http:/dnsrd.nctu.edu.tw(DNS/BIND)http:/www.cert.org(Security)http:/(DNS/BIND)http:/www.isc.org(BIND)http:/www.sendmail.org(anti-spam)http:/(TWNIC,DNS)USENET newsgroups,TANet99 Conference&TWNIC Technical Workshop,
