dns设定与网路管理-abcdefghijklmnopqrstuvwxyz-DNSy2k.pptVIP

DNS y2k/security 相關問題剖析及對策 交通大學計算機與網路中心 陳昌盛 cschen@.tw 1999.10.23 Contents TW 網域現狀 Generic System Configuration Issues DNS y2k 相關問題 DNS Server Security Issues Network/System Security DNS SPAM DNS Case Study 2. Generic System Configuration Issues Load sharing/balancing ( DNS, Mail, …) 提昇整體網路及系統效能 (global internetworking ) Backup system ( DNS, Mail,…) high availability/reliability Relaying System ( DNS, Mail , WWW ) 類似同義詞 : proxy, forwarding Caching ( DNS, www proxy, ftp mirror) 2.1 DNS server 規劃與建置 每一網域都應建置兩個以上的 DNS server 網路備援 分散 loading 提昇整體效能 ( 計算 RTT, 往最近處查詢) ccTLD, ccSLD 服務的 server 足夠嗎 ? ccTLD =2, ccSLD=2,3 應增加 同一網域 server 宜考慮分散不同處所 停電, 斷網, 系統受攻擊, 當機等效應 (ccTLD, ccTLD) 不太會改變者, 每筆資料的 TTL 宜設長一點 減少不必要的 DNS 查詢, 提昇網路系統效能及穩定度 建議 TTL = 3 天 2.2 DNS server 規劃及建置問題 沒有複式 server 的觀念 國內第三層以下 domain zone 常見的問題 多未建立 slave/secondary DNS server 公司行號, 政府單位, 新成立的中小學縣市網路 反解網域的註冊與管理 比以往有進步, 但觀念普及仍不夠 相關領域: SPAM mail 的反制, www proxy 的管理 相關中文文件太少 .tw 3. DNS/BIND 與 y2k DNS server host 進行系統 y2k 實機測試 分散系統 e.g., Solaris 7, FreeBSD 3.2-stable 系統軟體部分 BIND 8.2 is y2k-compliance /ISC/y2k.html DNS server y2k conformance testing 3.1 DNS/BIND Security 問題 BIND 必威体育精装版的正式版本 8.2.2 1999.10.19 (released) BIND/named Security issues Buffer overflow 與 CNAME bug 等嚴重問題 參考 CERT 相關網頁報告 ( CERT Advisory ) Upgrade 到必威体育精装版版本 3.2 WINS 與 DNS WINS 設定不當, 導致大量消耗可用頻寬 實例,過去 TANet 竹苗區網某一學校, 曾經發生 .tw (MOECC newsletter, 參考 8801-8806 期 ) 儘量避免使用 啟動 Negative Caching 功能 自我保護 避免拖累網路大環境 請Upgrade 到必威体育精装版版本 ( BIND 8.x 以後) 內建 Negative Caching 4. Network/System Security DNS 了解問題 問題回報及追蹤 解決問題 4.1 常見的網路攻擊型態 Denial-of-Service ping ( system bug ) SPAM E-mail/NetNews, ... Intrusion (電腦與網路入侵) Trojan Horse ( BO, NetBus, ...) computer virus Information Theft Trojan Horse ( BO, NetBus, … 遙控程式) 4.1.1 問題處理與追蹤 Security 問題回報及反應 向相關單位報備及追蹤問題 向相關 CERT 報備及追蹤問題 各單位聯絡 e-mail address (Internet 慣例) postmaster@your-domain-zone abuse@your-organization,security@your-organization 例如, postmaster@.tw, abuse@.tw 4.2 Generic Access Control Issues 分層負責 Ro