主動式 dns 網域安全設定檢測機制
DESCRIPTION
主動式 DNS 網域安全設定檢測機制. 指導老師:葉禾田 老師 學生:謝禮安 (M98F0206). 論文背景. 篇名:主動式 DNS 網域安全設定檢測機制 作者:沈志昌、古東明、楊禎葆、鄭進興 出處:網際網路技術學刊 Vol.6 No.2 Psge165-171 關鍵字:網際綱路 ,DNS, 網路安全 , 網域檢測 , 入侵攻擊. 摘要. 以往探討 DNS 安全,焦點皆在系統設計上的漏洞。 然而 DNS 設定上的缺失 才是攻擊者成功入侵的主因。 本研究預計提出以 Web 介面的自動檢測機制 ,在 自動化與便利化環境 之下協助使用者 修正設定問題 。 - PowerPoint PPT PresentationTRANSCRIPT
主動式DNS網域安全設定檢測機制
指導老師:葉禾田 老師 學生:謝禮安 (M98F0206)
論文背景 篇名:主動式 DNS 網域安全設定檢測機制
作者:沈志昌、古東明、楊禎葆、鄭進興
出處:網際網路技術學刊 Vol.6 No.2 Psge165-171
關鍵字:網際綱路 ,DNS, 網路安全 , 網域檢測 , 入侵攻擊
摘要 以往探討 DNS 安全,焦點皆在系統設計上的漏洞。
然而 DNS設定上的缺失才是攻擊者成功入侵的主因。
本研究預計提出以 Web介面的自動檢測機制,在自動化與便利化環境之下協助使用者修正設定問題。
並與 TWNIC DNS 主機安全檢測機制搭配建構完整 DNS安全環境檢測機制
Domain Name System (DNS) 網址←→IP位置
DNS 攻擊方式 Buffer Overflow
Crash Server
Denial of Server
Protocol Flaws
Information leak
全面的 DNS 安全防護 DNS Securty in Australia 於 2001 年的調查報告中指出,
澳洲境內有 70%DNS 主機存在漏洞。
而多數問題之根源乃由於 BIND 的版本關係。
台灣區 DNS 網域設定問題 TWNIC 針對台灣各網域進行設定檢測,歸納出台灣區最
常見的網域設定問題:
不良委任 授權錯誤 DNS 容錯能力不足 轄區傳送 版本偵測
國外網域設定調查 Men & Mice 於 2003 年以全球網域為 .com 之 DNS 主
機亂數選取 5000 部進行設定檢測。
DNS 設定失誤造成安全問題 多數的 DNS 錯誤皆是人為疏失(委任、授權、傳送錯
誤)。
大部分管理員並不瞭解 DNS 組態設定與轄區資訊。
有心人藉由設定上的失誤可輕易進行探索、攻擊。
DNS 網域安全檢測機制架構 本研究提出之 DNS 網域安全檢測機制分做前端及後端部
分。
前端使用者認證機制用以檢測使用者合法性。
後段由 CVE 結合 SMS 檢測並產生回報機制於使用者做修正參考。
前端使用者認證介面 DNS 存放資料除 IP 與網域名稱,尚有許多敏感資訊。
使用者在此介面需經由 TWNIC 用戶資料庫進行驗證,確保身分正確。
該介面環境為 WEB 、以 PHP 控制 CVE 進行系統操作。 CVE 中含 nslookup 、 dig 、 host 等 DNS 查詢公用程式。
在利用瀏覽器進行檢測申請後,將會回報建議報表。
Scan Module Set (SMS) 根據先前研究調查 DNS 常見設定缺失, SMS 將探測模組
分為六種探測方式:
M1 :網域完整檢測 M2 : NS 設定檢測 M3 : SOA 設定檢測 M4 : MX 設定檢測 M5 : Aps 設定檢測 M6 :進階項目
Report Generator (RG) 在掃描結果完成後,回報產生機制負責列出建議報表:
建議報表輸出狀態包含 Pass 、 Warn 、 Fail 。
標示檢測狀態後會針對其提出修改方針及建議。
系統實做 本系統架構於 Linux ,以 Apache Web Server 及 PHP
搭配 Perl撰寫之後端進行檢測。
合法使用者透過瀏覽器要求檢測,即自動完成檢測結果回報。
由 TWCERT/CC開發置放於 TWNIC 的DNS 安全資源網站提供服務。
系統實做 使用者驗證 使用者在向 TWNIC註冊個人網域時,需提供 IP 及個資等相關資料於 TWNIC 網域資料庫。
檢測系統將確認其申請之網域主機做檢測。
系統實做 網域完整性檢測 判斷該 IP 之主機是否存在,記錄之上層 DNS 是否存在,
是否有對該 IP 做記錄。
若其中失效則無法繼續檢測。
系統實做 NS 設定檢測 檢測 Name Server 是否錯誤如上下層 DNS同時註冊,
造成委任錯誤,以及 Lame Server 的情形。
系統實做 SOA記錄檢測 以 RFC 文件的標準為評估準則。
SOA 檢測 DNS 在進行資料轉換、回覆時間、查詢時間的設定。
系統實做 MX 設定檢測 針對與郵件相關的設定,如MX記錄、郵件傳送偵
測、 RBL 進行檢測。
瞭解郵件出錯時應該排除的問題及更改的設定。
系統實做 應用伺服器檢測 針對網域上的主機進行檢測,確保其記錄正確。
如主機位置、別名等。
系統實做 進階項目 針對轄區傳送部分進行檢測,確保設置正確。
避免非法使用者利用錯誤的轄區傳送設置取得該網域的資訊。
結論 使用者對於 DNS 的系統工作原理不明瞭,容易造成設定
上的缺失。
在主動式 DNS 網域安全設定檢測機制能夠使得使用者快速便利掌握 DNS狀態,並進一步修正。
然而真正的系統安全還是得仰賴管理人的專業素養和高度警戒。