主动式DNS网安全设定检测机制.pptVIP

主動式DNS網域安全設定檢測機制 指導老師：葉禾田　老師　　學生：謝禮安　(M98F0206) 論文背景 篇名：主動式DNS網域安全設定檢測機制 作者：沈志昌、古東明、楊禎葆、鄭進興 出處：網際網路技術學刊 Vol.6 No.2 Psge165-171 關鍵字：網際綱路,DNS,網路安全,網域檢測,入侵攻擊 摘要 以往探討DNS安全，焦點皆在系統設計上的漏洞。 然而DNS設定上的缺失才是攻擊者成功入侵的主因。 本研究預計提出以Web介面的自動檢測機制，在自動化與便利化環境之下協助使用者修正設定問題。 並與TWNIC DNS主機安全檢測機制搭配建構完整DNS安全環境檢測機制 Domain Name System (DNS) 網址←→ＩＰ位置 DNS攻擊方式 Buffer Overflow Crash Server Denial of Server Protocol Flaws Information leak 全面的DNS安全防護 DNS Securty in Australia於2001年的調查報告中指出，澳洲境內有70%DNS主機存在漏洞。 而多數問題之根源乃由於BIND的版本關係。 台灣區DNS網域設定問題 TWNIC針對台灣各網域進行設定檢測，歸納出台灣區最常見的網域設定問題： 不良委任 授權錯誤 DNS容錯能力不足 轄區傳送 版本偵測 國外網域設定調查 Men Mice 於2003年以全球網域為.com之DNS主機亂數選取5000部進行設定檢測。 DNS設定失誤造成安全問題 多數的DNS錯誤皆是人為疏失（委任、授權、傳送錯誤）。 大部分管理員並不瞭解DNS組態設定與轄區資訊。 有心人藉由設定上的失誤可輕易進行探索、攻擊。 DNS網域安全檢測機制架構 本研究提出之DNS網域安全檢測機制分做前端及後端部分。 前端使用者認證機制用以檢測使用者合法性。 後段由CVE結合SMS檢測並產生回報機制於使用者做修正參考。 前端使用者認證介面 DNS存放資料除IP與網域名稱，尚有許多敏感資訊。 使用者在此介面需經由TWNIC用戶資料庫進行驗證，確保身分正確。 該介面環境為WEB、以PHP控制CVE進行系統操作。CVE中含nslookup、dig、host等DNS查詢公用程式。 在利用瀏覽器進行檢測申請後，將會回報建議報表。 Scan Module Set (SMS) 根據先前研究調查DNS常見設定缺失，SMS將探測模組分為六種探測方式： M1：網域完整檢測 M2：NS設定檢測 M3：SOA設定檢測 M4：MX設定檢測 M5：Aps設定檢測 M6：進階項目 Report Generator (RG) 在掃描結果完成後，回報產生機制負責列出建議報表： 建議報表輸出狀態包含Pass、Warn、Fail。 標示檢測狀態後會針對其提出修改方針及建議。 系統實做 本系統架構於Linux，以Apache Web Server及PHP搭配Perl撰寫之後端進行檢測。 合法使用者透過瀏覽器要求檢測，即自動完成檢測結果回報。 由TWCERT/CC開發置放於TWNIC的 DNS安全資源網站提供服務。 系統實做　使用者驗證 使用者在向TWNIC註冊個人網域時，需提供IP及個資等相關資料於TWNIC網域資料庫。 檢測系統將確認其申請 之網域主機做檢測。 系統實做　網域完整性檢測 判斷該IP之主機是否存在，記錄之上層DNS是否存在，是否有對該IP做記錄。 若其中失效則無法繼 續檢測。 系統實做　NS設定檢測 檢測Name Server是否錯誤如上下層DNS同時註冊，造成委任錯誤，以及Lame Server的情形。 系統實做　SOA記錄檢測 以RFC文件的標準為評估準則。 SOA檢測DNS在進行資料轉換、回覆時間、查詢時間的設定。 系統實做　MX設定檢測 針對與郵件相關的設定，如MX記錄、郵件傳送偵測、RBL進行檢測。 瞭解郵件出錯時應該排除 的問題及更改的設定。 系統實做　應用伺服器檢測 針對網域上的主機進行檢測，確保其記錄正確。 如主機位置、別名等。 系統實做　進階項目 針對轄區傳送部分進行檢測，確保設置正確。 避免非法使用者利用錯誤的轄區傳送設置取得該網域的資訊。 結論 使用者對於DNS的系統工作原理不明瞭，容易造成設定上的缺失。 在主動式DNS網域安全設定檢測機制能夠使得使用者快速便利掌握DNS狀態，並進一步修正。 然而真正的系統安全還是得仰賴管理人的專業素養和高度警戒。