《[精选]网络基础设施安全32777.pptx》由会员分享,可在线阅读,更多相关《[精选]网络基础设施安全32777.pptx(40页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第七讲、网络基础设施安全(4)域名系统安全目录7.1 局域网和VLAN7.2 远程访问(拨号)7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全7.5 域名服务系统安全DNS基础DNS 风险DNS安全管理政策DNS 安全技术措施DNS 基础域名服务是最重要的基础设施之一分布式数据库,域名 IP地址“”域名解析的过程Resolver,Primary&secondary DNSPrimary DNSSecondary DNSresolverresolverUDP port 53UDP port 53UDP port 53TCP port 53DNS 数据流masterCaching
2、forwarderresolverZone administratorZone fileslavesDynamicupdates主要风险缓冲区溢出漏洞允许远程控制域名欺骗(DNS Spoofing)利用区传输造成DNS信息泄密针对域名服务的拒绝服务(DOS)攻击无访问控制的递规查询造成流量的增加未经授权的更新DATA ProtectionServer ProtectionDNS 隐患Zone fileslavesmasterCaching forwarderresolverZone administratorDynamicupdatesCache pollution byData spoofi
3、ngUnauthorized updatesCorrupting dataImpersonating masterCache impersonation常用软件及新的特性BINDBerkeley Internet Name Domain Windows NT/2k 动态更新,DHCP通知,Primary-Secondary缓冲区溢出漏洞域名欺骗(DNS Spoofing)劫持域名查询请求,假冒DNS 的响应污染DNS的缓冲区(DNS cache poisoning)侵入操作系统,修改DNS数据文件DNS Cache Pollution攻击目标DNS DNS1.2.3.4V=1.2.3.4Vic
4、tim=1.2.3.4Victim=4.3.2.1DNS区传输信息泄密DNS DoS 伪造源地址查询STdnsdnsdnsdnsQuery from TResponse to T对查询请求无限制地响应递规查询转发(Forwarder)dnsdnsInternetDNS管理策略谁来管理域名服务器?如何增加新的DNS记录?多久备份一次?多久更新杀毒软件?DNS 安全技术措施版本更新和补丁防止单点故障专用DNS服务器限制区传输谨慎使用动态更新限制使用递规查询查询限制反欺骗措施:ID Pool不以Root 运行named,chroot转发(forwarder)DNSBIND 版本防止单点故障不要把所有
5、的域名服务器放置在同一子网不要把所有的域名服务器放置在同一子网不将所有的域名服务器放在同一个路由器之后所有的域名服务器不使用同一条线路备份域名服务器备份域名服务器运行不同的操作系统平台专用的DNS服务器不要运行其他应用配置防火墙,过滤其他不必要的流量从外部执行一次端口扫描,检查是否只提供了UDP 53 和TCP 53 端口限制区传输减轻服务器负载防止黑客列举区(zone)中的信息 确定目标 Mail servers Name servers 获取主机的统计信息主机的统计信息How many hosts you have What makes and models you haveWhat th
6、eir names are(valuable if you name them after people or projects)限制区传输BIND 8配置allow-transfer substatement:options allow-transfer 206.168.119.178;or,specific to a zone:zone“”type master;file“”;allow-transfer 206.168.119.178;限制区传输BIND 8配置注意,Secondary 也要配置Nslookup 的ls 命令Dig 的axfr选项限制区传输用用TSIG认证认证会话签名会话
7、签名BIND 8.2 and later在主域名服务器和从域名服务器上配置密在主域名服务器和从域名服务器上配置密钥,然后要求域名服务器通信时进行签名钥,然后要求域名服务器通信时进行签名限制区传输用用TSIG认证(认证(Cont.)主域名服务器的主域名服务器的 named.conf:key huskymo-tornado.algorithm hmac-md5;secret“mZiMNOUYQPMNwsDzrX2ENw=”;zone“”type master;file“”;allow-transfer key huskymo-tornado;这一配置要求对来自这一配置要求对来自206.168.11
8、9.178 的域名服务的域名服务器域传输请求使用器域传输请求使用TSIG密钥密钥 huskymo-tornado.进行签名进行签名限制区传输用用TSIG认证(认证(Cont.)从域名服务器的从域名服务器的 named.conf:key huskymo-tornado.algorithm hmac-md5;secret“mZiMNOUYQPMNwsDzrX2ENw=”;server 208.8.5.250 transfer-format many-answers;keys huskymo-tornado.;zone“”type slave;file“”;allow-transfer none;限
9、制动态更新动态更新既有用又有害动态更新既有用又有害有时甚至可以添加、删除纪录如果使用动态更新,必须限制其范围如果使用动态更新,必须限制其范围单另的IP地址一系列TSIG密钥如果使用如果使用IP地址进行限制,必须确保进行了地址进行限制,必须确保进行了anti-spoofing设置设置在border router或者堡垒主机避免地址假冒避免地址假冒可以对任何地址进行递归查询,将使域名服务器可以对任何地址进行递归查询,将使域名服务器易于遭到地址假冒攻击易于遭到地址假冒攻击入侵者可以查询它们所控制域内机器的情况这样本机将可能接受那些虚假的数据对策:对策:只必要时开启递归查询限制来源IP限制递归查询的来
10、源IP防止假冒BIND 8可以使用可以使用use-id-pool 来使报文的来使报文的ID随机化,这样假冒会更困难随机化,这样假冒会更困难options directory“/var/named”;use-id-pool yes;BIND 9缺省使用这一特性缺省使用这一特性关闭关闭 Glue Fetching当域名服务器没有当域名服务器没有A记录时,会返回记录时,会返回NS 纪纪录,这就称作录,这就称作Glue Fetching有可能会被欺骗进行假冒回答有可能会被欺骗进行假冒回答关闭关闭Glue Fetching服务器不会进行解析请求服务器不会进行解析请求不会产生不会产生cacheBIND 4
11、.9配置配置options no-recursionoptions no-fetch-glueBIND 8配置配置options recursion no;fetch-glue no;BIND 9语法同语法同BIND 8,不过,不过BIND 9 缺省缺省关闭关闭fetch glueDNS服务器的访问控制BIND 8后可以设置:后可以设置:acl internal 206.168.119.176/29;options directory“/var/named”;allow-query internal;zone“”type master;file“”;allow-query any;DNS服务器
12、的访问控制BIND 8.2.1之后可以限制接受递归查询的之后可以限制接受递归查询的IP地址地址范围范围acl internal 206.168.119.178/29;options directory“/var/named”;allow-recursion internal;zone“”type master;file“”;防火墙与DNS配置转发DNSoptions forwarders 192.249.249.1;192.249.249.3;forward only;DNS 安全技术措施总结版本更新和打补丁防止单点故障专用DNS服务器限制区传输谨慎使用动态更新限制使用递规查询查询限制反欺骗措施:ID Pool不以Root 运行named,chroot转发(forwarder)DNS作业分别从局域网交换系统、路由系统、域名系统与网络管理系统讨论,网络基础设施存在哪些安全威胁,如何从技术上和管理上防范这些威胁?演讲完毕,谢谢观看!