dns y2k/security 相關問題 剖析及對策
DESCRIPTION
DNS y2k/security 相關問題 剖析及對策. 交通大學計算機與網路中心 陳昌盛 [email protected] 1999.10.23. TANet’99 Conference & TWNIC Technical Workshop. Contents. TW 網域現狀 Generic System Configuration Issues DNS y2k 相關問題 DNS Server Security Issues Network/System Security & DNS SPAM & DNS Case Study. - PowerPoint PPT PresentationTRANSCRIPT
DNS y2k/security 相關問題剖析及對策
交通大學計算機與網路中心陳昌盛
TANet’99 Conference & TWNIC Technical Workshop
Contents
• TW 網域現狀• Generic System Configuration Issues • DNS y2k 相關問題• DNS Server Security Issues• Network/System Security & DNS • SPAM & DNS • Case Study
TANet’99 Conference & TWNIC Technical Workshop
Fig. 1 DNS 運作基本架構圖
com, org,netcn,hk,..cn,hk,..tw
gov, mil
Arpa
in-addr
INT
IP6
root servers
140
org org gov,migov,milledu
nctucomcom
netnet
hchc
hchshchs
wwwwww
cis
hgshhgshnckuncku
203203www . ... ..
127127cc
ns1
ccserv2
113
6250
2
114114 eeee
bbs......
......
nehsnehs
ccserv2.cc.nctu.edu.tw<=> 140.113.6.2
.... mailmail
192
. . .
NSAP
..
tw
comnet edu org gov mil
•ccTLD
•ccSLD
Notes:1. ccTLD = country code Top Level Domain2. ccSLD = country code Secondary Level Domain3. 反解網域 (reverse domain zone), 並不在此列4. ccSLD 未來可能再增加
Fig. 2 tw 網域組織架構現狀
TANet’99 Conference & TWNIC Technical Workshop
2. Generic System Configuration Issues
• Load sharing/balancing ( DNS, Mail, …)– 提昇整體網路及系統效能 (global internetworking )
• Backup system ( DNS, Mail,…)– high availability/reliability
• Relaying System ( DNS, Mail , WWW )– 類似同義詞 : proxy, forwarding
• Caching ( DNS, www proxy, ftp mirror)
TANet’99 Conference & TWNIC Technical Workshop
2.1 DNS server 規劃與建置• 每一網域都應建置兩個以上的 DNS server
– 網路備援– 分散 loading– 提昇整體效能 ( 計算 RTT, 往最近處查詢 )
• ccTLD, ccSLD 服務的 server 足夠嗎 ?– ccTLD =2, ccSLD=2,3 應增加
• 同一網域 server 宜考慮分散不同處所– 停電 , 斷網 , 系統受攻擊 , 當機等效應 (ccTLD, ccTLD)
• 不太會改變者 , 每筆資料的 TTL 宜設長一點– 減少不必要的 DNS 查詢 , 提昇網路系統效能及穩定度
建議 TTL >= 3 天
TANet’99 Conference & TWNIC Technical Workshop
tw
com
net
edu
org
gov
mil
Fig. 3 tw 網域 DNS server 配置現狀
NS=(moevax.edu.tw, ns.twnic.net)
NS=(aladdin.iii.org.tw, moevax.edu.tw)
NS=(moevax.edu.tw, moesun.edu.tw)
NS=(hntp1.hinet.net,hntp2.hinet.net, dns.hinet.net)
NS=(dns1.mil.tw, dns2.mil.tw)
NS=(aladdin.iii.org.tw, moevax.edu.tw)
NS=(aladdin.iii.org.tw, moevax.edu.tw)
TANet’99 Conference & TWNIC Technical Workshop
2.2 DNS server 規劃及建置問題
• 沒有複式 server 的觀念 – 國內第三層以下 domain zone 常見的問題
• 多未建立 slave/secondary DNS server• 公司行號 , 政府單位 , 新成立的中小學縣市網路
• 反解網域的註冊與管理– 比以往有進步 , 但觀念普及仍不夠– 相關領域 :
• SPAM mail 的反制 , www proxy 的管理• 相關中文文件太少
– http://dnsrd.nctu.edu.tw
TANet’99 Conference & TWNIC Technical Workshop
3. DNS/BIND 與 y2k• DNS server host
– 進行系統 y2k 實機測試– 分散系統
• e.g., Solaris 7, FreeBSD 3.2-stable
• 系統軟體部分– BIND 8.2 is y2k-compliance
• http://www.isc.org/ISC/y2k.html
• DNS server y2k conformance testing
TANet’99 Conference & TWNIC Technical Workshop
3.1 DNS/BIND Security 問題• BIND 最新的正式版本 8.2.2
– 1999.10.19 (released)
• BIND/named Security issues– Buffer overflow 與 CNAME bug 等嚴重問題– 參考 CERT 相關網頁報告 ( CERT Advisory )
– http://www.cert.org
• Upgrade 到最新版本
TANet’99 Conference & TWNIC Technical Workshop
3.2 WINS 與 DNS• WINS 設定不當 , 導致大量消耗可用頻寬
– 實例 , 過去 TANet 竹苗區網某一學校 , 曾經發生• http://www.edu.tw (MOECC newsletter, 參考 8801-8806 期 )
– 儘量避免使用 • 啟動 Negative Caching 功能
– 自我保護– 避免拖累網路大環境
• 請 Upgrade 到最新版本 ( BIND 8.x 以後 )– 內建 Negative Caching
TANet’99 Conference & TWNIC Technical Workshop
4. Network/System Security & DNS
• 了解問題• 問題回報及追蹤• 解決問題
TANet’99 Conference & TWNIC Technical Workshop
4.1 常見的網路攻擊型態• Denial-of-Service
– ping ( system bug )– SPAM E-mail/NetNews,– ...
• Intrusion ( 電腦與網路入侵 )– Trojan Horse ( BO, NetBus, ...)– computer virus
• Information Theft– Trojan Horse ( BO, NetBus, … 遙控程式 )
TANet’99 Conference & TWNIC Technical Workshop
4.1.1 問題處理與追蹤• Security 問題回報及反應
– 向相關單位報備及追蹤問題– 向相關 CERT 報備及追蹤問題
• 各單位聯絡 e-mail address (Internet 慣例 )– postmaster@your-domain-zone
– abuse@your-organization,security@your-organization• 例如 , [email protected], [email protected]
TANet’99 Conference & TWNIC Technical Workshop
4.2 Generic Access Control Issues
• 分層負責– Router ACL– DNS server ACL– 個別 server 的 ACL
• SMTP - sendmail
• http proxy - squid
• NNTP - inn 向
TANet’99 Conference & TWNIC Technical Workshop
4.3 DNS 設定與入侵嘗試• 特定對象的入侵
– buffer overflow 等系統問題• 尋找不特定的入侵對象
– forward & reverse domain zone scanning
• DNS zone transfer 設限– 阻擋不特定的目標搜索
TANet’99 Conference & TWNIC Technical Workshop
4.3.1 DNS server 限制 zone transfer
• BIND 8.x /etc/named.conf 的相關片段options {
directory /var/named;allow-transfer {
none; // 原則上 , 阻擋所有 不相干的 zone transfer};
};
// 省略 zone “nctu.edu.tw” { type master ; file “Zone-NCTU” ; allow-transfer {
140.113.1.1; 140.113.6.2; // 允許 slave/secondary server };};
zone “113.140.in-addr.arpa” { ….
TANet’99 Conference & TWNIC Technical Workshop
4.4 Mail SPAM & DNS • SPAM Mail <=> UCE/UBE ( 不請自來 )
• UCE = Unsolicited Commercial E-mail• UBE = Unsolicited Bulk E-Mail
• UCE/UBE 散佈途徑– 名單收錄
• www homepage, USENET news articles• account password files on individual servers• 其他不當途徑 ( program bug, 招募會員活動 , …)
– 找尋管理較鬆散的 mail relay • Domain Zone scanning ( DNS)• URL scanning (web pages )
TANet’99 Conference & TWNIC Technical Workshop
4.4.1 Anti SPAM Mail & DNS ACL
• SMTP server upgrade/patch– 限定 mail relaying 對象
• DNS 設 ACL – 可相當程度阻擋不特定的 relay 嘗試
• 系統管理人員介入 – 聯絡相關系統的管理人員– rbl 建立 (Real-time Block List )
TANet’99 Conference & TWNIC Technical Workshop
5. Case Study
• 前幾年有 BBS/Mail, 戲稱要暗殺美國總統柯林頓– 未即時處理 , 引起軒然大波 .– 後來美國轉到外交單位轉回國內教育部處理
• [email protected] 轉到 德國某公司 – 本地公司設定錯誤– 回報到該公司 , 該國的 CERT, 以及 TWNIC
• 網路攻擊的中途站 (1999.08)– TANet 竹苗區網某校的 DNS server 被入侵– 參考 http://dnsrd.nctu.edu.tw
TANet’99 Conference & TWNIC Technical Workshop
5.1 DNS & Mail - 烏龍事件• 前幾年 , 有德國 X 公司反應 , 持續不斷接收到 , 許多應該是寄往台灣
Y 公司的 e-mail, 卻一直被轉往該公司 . 因為收信的帳號不存在 , 系統於是一直產生 , user 不在的退信 , 持續往系統管理信箱塞 , 信件越累積越多 , 導致 server performance 大受影響 . 由於該公司並無台灣分公司 , 也找不出合理的解釋 , 於是開始擔心有台灣的競爭對手 , 想癱瘓他們網路的正常運作 , 接下來只好採取正式的防衛行動 , 透過正式的 CERT 向相關單位反應 , ...
• 成因– 舊版 BIND/named 有 bug– 系統管理人員觀念不夠清楚– 系統管理人員輸入資料時 , IP address 打錯
TANet’99 Conference & TWNIC Technical Workshop
5.1 DNS & Mail - 烏龍事件(續 )
• 示意範例 – 底下 IP address 與 domain name 都是隨意假定– 這個 server 上的 BIND/named 有 bug
$origin xyz.com.tw.Xyz.com.tw. IN MX 10 mail.xyz.com.tw.Xyz.com.tw. IN MX 10 mail.ABC.net.tw. ; 錯誤
Mail.xyz.com.tw.In A 192.168.123.45mail.ABC.net.tw.IN A 139.75.6.78 ; 設定錯誤;mail.ABC.net.tw. IN A 139.175.6.78 ;台灣;mserver.ZYX.de IN A 139.75.6.78 ;德國
TANet’99 Conference & TWNIC Technical Workshop
5.2 竹苗區網 DNS server 入侵事件• 某校在區網的網域 , 登錄有兩個 DNS server
– 不過 , 從一開始 , 就只有建立一個 server• 該 server-A 有 security hole, 被外來者闖入
– 入侵者 , 持續透過該 server-A, 嘗試入侵國外網站– 網域上層 , 持續收到國外不同地方轉來的抱怨與求助 e-mail
• 電話通知該校管理者處理 . – 後來轉維護廠家工程師 .– 將近一週 , 仍無改善 .– 區網接手 , 協助處理 .
• 設 tcp_wrapper, 擋掉不明來源的連線 .
TANet’99 Conference & TWNIC Technical Workshop
5.3 DNS 與相關系統管理
• 結論– 各網域必須落實設立兩個以上 DNS server – 重要 server 勤作 security patch– DNS 設 ACL, 限制 zone transfer– 委外廠商維護能力 , 意願與合約
TANet’99 Conference & TWNIC Technical Workshop
參考網頁與資料• 按照 URL 的英文字母順序
– http://dnsrd.nctu.edu.tw ( DNS/BIND)– http://www.cert.org ( Security)– http://www.dns.net/dnsrd/ ( DNS/BIND)– http://www.isc.org ( BIND)– http://www.sendmail.org ( anti-spam )– http://www.twnic.net ( TWNIC,DNS)
• USENET newsgroups– comp.protocols.tcp-ip.domains– comp.protocols.dns.bind
TANet’99 Conference & TWNIC Technical Workshop