M4-1 加强Linux系统的DNS服务的安全防御.pptVIP

《网络安全运行与维护》 模块四 Linux服务器系统安全管理与维护 DHCP DNSWeb FTPCA服务器群集邮件服务 DDN Internet 北京总部 长春分公司 VPN 网管工作站 重庆分公司 DHCP WEB WEB FTP DNS BDNS 总体概述 加强Linux系统的DNS服务的安全防御能力 加固Linux系统的DHCP服务安全防御能力 提升Linux系统的WEB服务的安全防御能力 提高Linux系统的FTP服务安全访问及安全防御能力 使用Linux防火墙模块提升服务器的安全防御能力 能力单元1 加强Linux系统的DNS服务的安全防御 任务描述 任务描述 本任务主要是通过以下方法来加强DNS服务器的安全。 隔离DNS服务器 隐藏DNS服务器 避免透露服务器信 关闭DNS服务器的glue fetching选项 使用非root权限运行bind 控制区域（zone）传输 请求限制 其他強化措施 使用DNSSEC 为DNS服务器配置DNS Flood Detector 任务分析 任务分析 DNS服务面临的安全隐患主要包括：DNS欺骗（DNS Spoffing）、拒绝服务（Denial of service，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow）。具体如下： DNS欺骗 缓存感染 DNS信息劫持 DNS重定向 分布式拒绝服务攻击 缓冲区漏洞溢出攻击 相关知识 相关知识 DNS欺骗 如果可以冒充域名服务器，然后把查询的IP地址设为攻击者的IP地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要取得的网站的主页了，这就是DNS欺骗的基本原理。 拒绝服务攻击 SYN Flood SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。 任务实施——拓扑结构 拓扑结构 任务实施——实施步骤 实施步骤 〖步骤1〗选择没有安全缺陷的DNS版本 BIND主要分为三个版本： （1）v4：1998年多数unix捆绑 （2）v8：如今使用最多最广大版本 （3）v9：必威体育精装版版本， 〖步骤2〗保护DNS服务器本身安全 第一步：隔离DNS服务器 DNS服务器要专用，不要在DNS服务器上运行其它服务，尽量允许普通用户登录。 第二步：隐藏DNS服务器 [root@lab2 ~]# vi /etc/named.conf version unknow on this platform; 任务实施——实施步骤(cont.) 实施步骤 第三步：避免透露DNS服务器信息 不要轻易透露服务器其他信息。为了让潜在的攻击者更难得手，尽量不要在DNS配置文件中使用这HINFO和 TXT两个资源记录。 ?第四步：以最小的权限及使用chroot()方式运行BIND 以 root 使用者的身分执行BIND有安全隐患，攻击者若找到BIND的安全漏洞，可能获取 root 的身分，从而进行对服务器攻击。 named -u named -t /var/named 〖步骤3〗保护 DNS 免于 Spoofed攻击 第一步：关闭rescursion的功能 修改配置文件：/etc/named.conf.加入一行： [root@lab2 ~]# vi /etc/named.conf recursion no; 任务实施——实施步骤(cont.) 实施步骤 第二步：关闭 glue fetching 的功能 修改配置文件：/etc/named.conf.加入一行： [root@lab2 ~]# vi /etc/named.conf fetch-glue no; 第三步：限制查询要求的服务对象 限制询问要求的来源（IP 地址） 限制可以查询的区域范围 [root@lab2 ~]# vi /etc/named.conf ………… allow-query {/24;}; zone IN { type master; file /var/named/.hosts; allow-query {any;}; allow-update {none;}; }; 任务实施——实施步骤(cont.) 实施步骤 〖步骤4〗保护 Zone Transfer 的安全 默认情况下BIND的区域(zone)传输是全部开放的 [root@lab2 ~]# vi /etc/named.conf acl zone-t