DNS安全稽核與防護體系之建置

Download Report

Transcript DNS安全稽核與防護體系之建置 

DNS伺服器安全檢測
與防護體系之建置
鄭進興
樹德科技大學資管系
[email protected]
92.10.23
1
OUTLINE

研究背景與動機



文獻探討




研究方法與架構
研究範圍與主要成果
網路現況分析
網路安全探討
網路安全檢測系統類別
DNS安全性探討




DNS伺服器漏洞探討
常見DNS漏洞攻擊
台灣區DNS狀態調查
DNS攻擊模式
2
OUTLINE

DNS安全檢測系統
台灣區DNS常見問題
主動性安全掃描
系統架構
使用者前端驗證(User Certificate Interface)
NSE(Nessus Scan Engine)
NASL(Nessus Attack Script Language)
 Scan Result DateBase
 檢測分類







DNS網域安全檢測




台灣區常見錯誤
網域設定錯誤影響
檢測項目
檢測結果
3
OUTLINE

系統實作與展示






結論與建議






完整DNS安全檢測方案
DNS安全檢測系統
DNS網域安全檢測
DNS資源網站
即時統計分析
系統掃描狀態
DNS版本分佈狀態
DNS漏洞分佈
結論
建議
未來研究方向
4
研究背景與動機
5
研究背景與動機
DNS為重要20大服務之一
 DNS為網路服務第一線
 第三層DNS檢測所遭遇問題
 鞏固DNS系統有助於網際網路環境完整性

6
研究方法與架構
文
獻
探
討
網路狀況、網路安全
現
況
分
析
台灣區DNS主機
安 全 性 分 析
掃
工
描
具
稽
探
核
討
D N S 伺 服 器
弱 點 分 析
DNS檢測系統
評 估 及 設 計
系 統 實 作 及
上 線 使 用
結 論 及 相 關
研 究 建 議
7
研究範圍與主要成果

範圍
 內部人員及防火牆設置下之環境
 DNS外之網路服務項目

成果
 第三層DNS安全檢測機制與防護體系
 DNS安全資源網站
 蒐集掃描資訊
8
文獻探討
9
網路現況分析
http://www.find.org.tw/0105/howmany/index.asp
http://www.twnic.net/total/total_01.htm
2000年
2001年
成長率
對外頻寬
7.2 Gbps
14.8Gbps
105%
連網主機數量
343萬部
392萬部
14%
寬頻上網用戶數
114萬戶
210萬戶
85%
TANET用戶數
291萬戶
344萬戶
18%
44.4 %
61.6 %
17.2%
企業連網普及率
10
網路安全探討
入侵事件回報
100000
82,094
80000
52,658
60000
40000
20000
0
42,586
21,756
9,859
2,340
2,573
3,734
2,412
2,134
252 406 7731,334
1990
1992
1994
1996
1998
2000
2002
資料來源:CERT/CC(http://www.cert.org)2003.02
11
網路安全檢測系統類別
工具名稱
軟體架構
架設平台
軟體授權
檢測弱點
數升級
開放原始
碼
Nmap
獨立
Win/Unix
免費
無
是
Saint
獨立
線上/Win
商用軟體
不定
否
CyberCop
獨立
Win/Unix
商用軟體
不定
否
ISS
獨立
Win
商用軟體
天為單位
否
Nessus
分散式
Unix
免費
天為單位
是
12
DNS安全性探討
13
DNS安全性探討
SANS安全嚴重性 TOP20—排名第九
 1999-2002 CVE漏洞通報佔了11項
 DNS為相當重要系統

14
DNS伺服器漏洞探討
Domains
Vulnerable DoS
Vulnerable Root Compromise
36,577
59,060
Other (inc NZ Domains)
75,076
3,559
5,476
6,544
Org
2,287
Net
17,588
25,555
16,428
Com
63,906
78,633
1,711
3,491
3,990
other ?AU
914
1,633
2,501
gov.au
3,915
6,869
7,199
3,051
org.au
net.au
13,869
19,813
16,250
Com.au
52,422
65,528
0
10,000
20,000
30,000
40,000
50,000
60,000
資料來源:DNS Security in Australia
70,000
80,000
90,000
15
常見DNS漏洞攻擊
DNS系統冒名欺騙攻擊(Spoofing)
 DNS系統阻斷服務攻擊(DoS)
 DNS系統漏洞攻擊

 Buffer Overflow
 DNS Worm
16
台灣區DNS狀態調查
DNS版本分佈圖
1416
1500
1182
1120
969
1000
769
776
757
717
525
500
142
26
46
25
11
18
31 44
35 5
263
201
98 79
94 41
34
0
.3 .9.6 .9.8 .1.2 .2.1 .2.3 .2.5 .3.1 .3.3 .1.0 .1.2 .2.0 .2.2
9
.
4 4 4 8 8 8 8 8 8 9 9 9 9
資料來源:TWCERT/CC(台灣電腦網路危機處理暨協調中心)2002.12
17
DNS攻擊模式
Buffer Overflow
 Crash Server
 Denial of Service
 Information Leak

18
DNS安全檢測系統
19
台灣區DNS常見問題
不良委任關係(Lame Server)
 授權錯誤(Delegation Error)
 DNS容錯能力
 轄區傳送(Zone Transfer)
 版本偵測

20
主動式安全掃描

遭遇問題
 第三層DNS權責分散
 數量繁多
 自行設計檢測系統困難度高

設計考量
 降低管理權責問題
 Web操作介面
 使用者無須安裝額外系統
21
系統架構
後端
前端 TWNIC
TWCERT/CC
Nessus Scan Engine
User Certificate
掃瞄要求
Interface
plugin
Scan Result
使用者
掃瞄報告
DataBase
NASL
22
使用者前端驗證(User Certificate Interface)
由TWNIC設計
 驗證TWNIC用戶資料庫資訊
 取得註冊主機網域、IP位置、郵件信箱
 預防惡意人士藉由系統掃描他人主機

23
NSE(Nessus Scan Engine)
分散式架構
 重編譯核心建構中文化檢測環境
 Web設計理念
 更換稽核程式可以增加檢測能力

24
NASL(Nessus Attack Script Language)
弱點編號
弱點名稱
輸出報表
影響平台
攻擊方式
相關建議
漏洞分類
後門、CGI惡意程式、
Dos等
參照外部稽核
程式、額外資訊
稽核程式本體,
回傳檢測值
NASL 設計模型
掃描成功判定
25
Scan Result DateBase
紀錄使用者掃描狀態
 內容

 漏洞敘述
 建議修正
 相關資訊鏈結

提供線上即時分析、用戶狀態分析
26
檢測分類
檢測服務版本
 攻擊服務檢測
 轉送服務要求
 轄區轉送檢測
 DNS蠕蟲
 DNS相關問題

27
DNS網域安全檢測
28
DNS網域安全檢測

台灣區常見錯誤
 不良委任關係(Lame Server)
 授權錯誤(Delegation Error)
 DNS容錯能力
 轄區傳送(Zone Transfer)
 版本偵測

網域設定錯誤影響
 網域效率降低(浪費多餘時間於查詢)
 洩漏網域資訊
 影響整體台灣區網域運作流暢
29
DNS網域安全檢測

檢測項目
(用來檢測與上層DNS溝通正確性)
 NS(針對網域之NS主機驗證)
 SOA(驗證NS主機在資訊更新上的正確性)
 MX(郵件主機設定正確性)
 WWW(網頁主機檢測)
 Parent

檢測結果
 中文化輸出
 相關修正建議
30
系統實作與展示
31
完整DNS安全檢測方案
第三層DNS安全問題 完整解決方案
INTERNET網際網
路
提供服務
DNS 系統檢測
進行系統檢測
DNS安全稽核檢測系統
DNS 伺服器
架設
DNS網域設定檢測
修補 改正
DNS 伺服器
學習DNS相關資訊
DNS安全資源網站
具主機安全性 網域效
率之DNS伺服器
使用者
DNS 安全資訊學習
32
DNS安全檢測實作方塊圖
前端 TW-NIC
user certificate
Interface
後端 TW-CERT/CC
DNS 安全檢測系統
掃描結果
用戶資料庫
Nessus Scan Engine
https連
線
用戶
登入主畫面
Apache
Server
SMTP SERVER
Plug-in
DataBase
用戶
產生報告
MYSQL
資料庫
新增plug-in
撰寫 NASL
管理者
33
34
35
36
37
DNS安全檢測網站
38
DNS安全檢測系統
39
即時統計分析
40
系統掃描狀態
 上線時間
91.7~92.6
 累積至今結果
累積用戶數:1399 (不包含重複掃描)
掃描主機數:1483 部
41
DNS版本分佈狀態
DNS 版本
數量(部)
佔有率(%)
BIND 9系列
426
28.73%
BIND 8系列
270
18.21%
BIND 4系列
8
0.54%
Windows DNS
677
45.65%
隱藏伺服器版本
102
6.88%
1483
100%
掃瞄主機(TOTAL)
42
DNS漏洞分佈
DNS 版本
數量(部)
佔有率(%)
DNS TRf 漏洞
1252
84.42%
DNS XRf 漏洞
7
0.47%
ZONE TRANS 漏洞
28
1.89%
bind 廣播風暴漏洞
31
45
118
2.09%
3.03%
7.96%
1483
100%
BIND9_DoS
未含漏洞
掃瞄主機(TOTAL)
43
DNS網域安全檢測
DNS Domain Test
44
DNS網域安全檢測 (cont.)
45
DNS網域安全檢測 (cont.)
46
DNS網域安全檢測 (cont.)
47
DNS網域安全檢測 (cont.)
48
系統展示
DNS資源網站
 DNS安全檢測系統
 DNS網域安全檢測

49
結論及建議
50
結論





DNS版本由2001年以bind 8.2.3轉換為bind 9.X,
漏洞存在數量有下降趨勢。
更換OS版本可以修正DNS弱點。
隱含使用者對於DNS設定及更新技術仍屬不足。
DNS允許遞迴查詢錯誤佔台灣區DNS設定錯誤之
主要原因,建議進行改正,防止DNS洩漏網域資
訊。
人為設定及系統安裝錯誤為最常見問題。
51
建議




本機安全性設定—注意漏洞通報及使用DNS安全
稽核系統來檢測。
本機設定—修正本機設定檔,限制查詢範圍、可
查詢主機及隱藏版本。
善用DNS安全資源網站,提升自身網路安全技術
及概念。
結合DNS安全資源網站及DNS安全稽核系統將可
達到教育與檢測全方位解決方案。
52
未來研究方向
DNS安全檢測程式新增
 DNS網域檢測功能新增及統計功能
 IPV6 DNS安全性
 DNS 安全簽章

53
問題與指教
54