DNS安全稽核與防護體系之建置
Download
Report
Transcript DNS安全稽核與防護體系之建置
DNS伺服器安全檢測
與防護體系之建置
鄭進興
樹德科技大學資管系
[email protected]
92.10.23
1
OUTLINE
研究背景與動機
文獻探討
研究方法與架構
研究範圍與主要成果
網路現況分析
網路安全探討
網路安全檢測系統類別
DNS安全性探討
DNS伺服器漏洞探討
常見DNS漏洞攻擊
台灣區DNS狀態調查
DNS攻擊模式
2
OUTLINE
DNS安全檢測系統
台灣區DNS常見問題
主動性安全掃描
系統架構
使用者前端驗證(User Certificate Interface)
NSE(Nessus Scan Engine)
NASL(Nessus Attack Script Language)
Scan Result DateBase
檢測分類
DNS網域安全檢測
台灣區常見錯誤
網域設定錯誤影響
檢測項目
檢測結果
3
OUTLINE
系統實作與展示
結論與建議
完整DNS安全檢測方案
DNS安全檢測系統
DNS網域安全檢測
DNS資源網站
即時統計分析
系統掃描狀態
DNS版本分佈狀態
DNS漏洞分佈
結論
建議
未來研究方向
4
研究背景與動機
5
研究背景與動機
DNS為重要20大服務之一
DNS為網路服務第一線
第三層DNS檢測所遭遇問題
鞏固DNS系統有助於網際網路環境完整性
6
研究方法與架構
文
獻
探
討
網路狀況、網路安全
現
況
分
析
台灣區DNS主機
安 全 性 分 析
掃
工
描
具
稽
探
核
討
D N S 伺 服 器
弱 點 分 析
DNS檢測系統
評 估 及 設 計
系 統 實 作 及
上 線 使 用
結 論 及 相 關
研 究 建 議
7
研究範圍與主要成果
範圍
內部人員及防火牆設置下之環境
DNS外之網路服務項目
成果
第三層DNS安全檢測機制與防護體系
DNS安全資源網站
蒐集掃描資訊
8
文獻探討
9
網路現況分析
http://www.find.org.tw/0105/howmany/index.asp
http://www.twnic.net/total/total_01.htm
2000年
2001年
成長率
對外頻寬
7.2 Gbps
14.8Gbps
105%
連網主機數量
343萬部
392萬部
14%
寬頻上網用戶數
114萬戶
210萬戶
85%
TANET用戶數
291萬戶
344萬戶
18%
44.4 %
61.6 %
17.2%
企業連網普及率
10
網路安全探討
入侵事件回報
100000
82,094
80000
52,658
60000
40000
20000
0
42,586
21,756
9,859
2,340
2,573
3,734
2,412
2,134
252 406 7731,334
1990
1992
1994
1996
1998
2000
2002
資料來源:CERT/CC(http://www.cert.org)2003.02
11
網路安全檢測系統類別
工具名稱
軟體架構
架設平台
軟體授權
檢測弱點
數升級
開放原始
碼
Nmap
獨立
Win/Unix
免費
無
是
Saint
獨立
線上/Win
商用軟體
不定
否
CyberCop
獨立
Win/Unix
商用軟體
不定
否
ISS
獨立
Win
商用軟體
天為單位
否
Nessus
分散式
Unix
免費
天為單位
是
12
DNS安全性探討
13
DNS安全性探討
SANS安全嚴重性 TOP20—排名第九
1999-2002 CVE漏洞通報佔了11項
DNS為相當重要系統
14
DNS伺服器漏洞探討
Domains
Vulnerable DoS
Vulnerable Root Compromise
36,577
59,060
Other (inc NZ Domains)
75,076
3,559
5,476
6,544
Org
2,287
Net
17,588
25,555
16,428
Com
63,906
78,633
1,711
3,491
3,990
other ?AU
914
1,633
2,501
gov.au
3,915
6,869
7,199
3,051
org.au
net.au
13,869
19,813
16,250
Com.au
52,422
65,528
0
10,000
20,000
30,000
40,000
50,000
60,000
資料來源:DNS Security in Australia
70,000
80,000
90,000
15
常見DNS漏洞攻擊
DNS系統冒名欺騙攻擊(Spoofing)
DNS系統阻斷服務攻擊(DoS)
DNS系統漏洞攻擊
Buffer Overflow
DNS Worm
16
台灣區DNS狀態調查
DNS版本分佈圖
1416
1500
1182
1120
969
1000
769
776
757
717
525
500
142
26
46
25
11
18
31 44
35 5
263
201
98 79
94 41
34
0
.3 .9.6 .9.8 .1.2 .2.1 .2.3 .2.5 .3.1 .3.3 .1.0 .1.2 .2.0 .2.2
9
.
4 4 4 8 8 8 8 8 8 9 9 9 9
資料來源:TWCERT/CC(台灣電腦網路危機處理暨協調中心)2002.12
17
DNS攻擊模式
Buffer Overflow
Crash Server
Denial of Service
Information Leak
18
DNS安全檢測系統
19
台灣區DNS常見問題
不良委任關係(Lame Server)
授權錯誤(Delegation Error)
DNS容錯能力
轄區傳送(Zone Transfer)
版本偵測
20
主動式安全掃描
遭遇問題
第三層DNS權責分散
數量繁多
自行設計檢測系統困難度高
設計考量
降低管理權責問題
Web操作介面
使用者無須安裝額外系統
21
系統架構
後端
前端 TWNIC
TWCERT/CC
Nessus Scan Engine
User Certificate
掃瞄要求
Interface
plugin
Scan Result
使用者
掃瞄報告
DataBase
NASL
22
使用者前端驗證(User Certificate Interface)
由TWNIC設計
驗證TWNIC用戶資料庫資訊
取得註冊主機網域、IP位置、郵件信箱
預防惡意人士藉由系統掃描他人主機
23
NSE(Nessus Scan Engine)
分散式架構
重編譯核心建構中文化檢測環境
Web設計理念
更換稽核程式可以增加檢測能力
24
NASL(Nessus Attack Script Language)
弱點編號
弱點名稱
輸出報表
影響平台
攻擊方式
相關建議
漏洞分類
後門、CGI惡意程式、
Dos等
參照外部稽核
程式、額外資訊
稽核程式本體,
回傳檢測值
NASL 設計模型
掃描成功判定
25
Scan Result DateBase
紀錄使用者掃描狀態
內容
漏洞敘述
建議修正
相關資訊鏈結
提供線上即時分析、用戶狀態分析
26
檢測分類
檢測服務版本
攻擊服務檢測
轉送服務要求
轄區轉送檢測
DNS蠕蟲
DNS相關問題
27
DNS網域安全檢測
28
DNS網域安全檢測
台灣區常見錯誤
不良委任關係(Lame Server)
授權錯誤(Delegation Error)
DNS容錯能力
轄區傳送(Zone Transfer)
版本偵測
網域設定錯誤影響
網域效率降低(浪費多餘時間於查詢)
洩漏網域資訊
影響整體台灣區網域運作流暢
29
DNS網域安全檢測
檢測項目
(用來檢測與上層DNS溝通正確性)
NS(針對網域之NS主機驗證)
SOA(驗證NS主機在資訊更新上的正確性)
MX(郵件主機設定正確性)
WWW(網頁主機檢測)
Parent
檢測結果
中文化輸出
相關修正建議
30
系統實作與展示
31
完整DNS安全檢測方案
第三層DNS安全問題 完整解決方案
INTERNET網際網
路
提供服務
DNS 系統檢測
進行系統檢測
DNS安全稽核檢測系統
DNS 伺服器
架設
DNS網域設定檢測
修補 改正
DNS 伺服器
學習DNS相關資訊
DNS安全資源網站
具主機安全性 網域效
率之DNS伺服器
使用者
DNS 安全資訊學習
32
DNS安全檢測實作方塊圖
前端 TW-NIC
user certificate
Interface
後端 TW-CERT/CC
DNS 安全檢測系統
掃描結果
用戶資料庫
Nessus Scan Engine
https連
線
用戶
登入主畫面
Apache
Server
SMTP SERVER
Plug-in
DataBase
用戶
產生報告
MYSQL
資料庫
新增plug-in
撰寫 NASL
管理者
33
34
35
36
37
DNS安全檢測網站
38
DNS安全檢測系統
39
即時統計分析
40
系統掃描狀態
上線時間
91.7~92.6
累積至今結果
累積用戶數:1399 (不包含重複掃描)
掃描主機數:1483 部
41
DNS版本分佈狀態
DNS 版本
數量(部)
佔有率(%)
BIND 9系列
426
28.73%
BIND 8系列
270
18.21%
BIND 4系列
8
0.54%
Windows DNS
677
45.65%
隱藏伺服器版本
102
6.88%
1483
100%
掃瞄主機(TOTAL)
42
DNS漏洞分佈
DNS 版本
數量(部)
佔有率(%)
DNS TRf 漏洞
1252
84.42%
DNS XRf 漏洞
7
0.47%
ZONE TRANS 漏洞
28
1.89%
bind 廣播風暴漏洞
31
45
118
2.09%
3.03%
7.96%
1483
100%
BIND9_DoS
未含漏洞
掃瞄主機(TOTAL)
43
DNS網域安全檢測
DNS Domain Test
44
DNS網域安全檢測 (cont.)
45
DNS網域安全檢測 (cont.)
46
DNS網域安全檢測 (cont.)
47
DNS網域安全檢測 (cont.)
48
系統展示
DNS資源網站
DNS安全檢測系統
DNS網域安全檢測
49
結論及建議
50
結論
DNS版本由2001年以bind 8.2.3轉換為bind 9.X,
漏洞存在數量有下降趨勢。
更換OS版本可以修正DNS弱點。
隱含使用者對於DNS設定及更新技術仍屬不足。
DNS允許遞迴查詢錯誤佔台灣區DNS設定錯誤之
主要原因,建議進行改正,防止DNS洩漏網域資
訊。
人為設定及系統安裝錯誤為最常見問題。
51
建議
本機安全性設定—注意漏洞通報及使用DNS安全
稽核系統來檢測。
本機設定—修正本機設定檔,限制查詢範圍、可
查詢主機及隱藏版本。
善用DNS安全資源網站,提升自身網路安全技術
及概念。
結合DNS安全資源網站及DNS安全稽核系統將可
達到教育與檢測全方位解決方案。
52
未來研究方向
DNS安全檢測程式新增
DNS網域檢測功能新增及統計功能
IPV6 DNS安全性
DNS 安全簽章
53
問題與指教
54