dns y2k/security 相關問題剖析及對策

DNS y2k/security 相關問題剖析及對策

交通大學計算機與網路中心陳昌盛

[email protected]

TANet’99 Conference & TWNIC Technical Workshop

Contents

• TW 網域現狀• Generic System Configuration Issues • DNS y2k 相關問題• DNS Server Security Issues• Network/System Security & DNS • SPAM & DNS • Case Study


Fig. 1 DNS 運作基本架構圖

com, org,netcn,hk,..cn,hk,..tw

gov, mil

Arpa

in-addr

INT

IP6

root servers

140

org org gov,migov,milledu

nctucomcom

netnet

hchc

hchshchs

wwwwww

cis

hgshhgshnckuncku

203203www . ... ..

127127cc

ns1

ccserv2

113

6250

2

114114 eeee

bbs......

......

nehsnehs

ccserv2.cc.nctu.edu.tw<=> 140.113.6.2

.... mailmail

192

. . .

NSAP

..

tw

comnet edu org gov mil

•ccTLD

•ccSLD

Notes:1. ccTLD = country code Top Level Domain2. ccSLD = country code Secondary Level Domain3. 反解網域 (reverse domain zone), 並不在此列4. ccSLD 未來可能再增加

Fig. 2 tw 網域組織架構現狀


2. Generic System Configuration Issues

• Load sharing/balancing ( DNS, Mail, …)– 提昇整體網路及系統效能 (global internetworking )

• Backup system ( DNS, Mail,…)– high availability/reliability

• Relaying System ( DNS, Mail , WWW )– 類似同義詞 : proxy, forwarding

• Caching ( DNS, www proxy, ftp mirror)


2.1 DNS server 規劃與建置• 每一網域都應建置兩個以上的 DNS server

– 網路備援– 分散 loading– 提昇整體效能 ( 計算 RTT, 往最近處查詢 )

• ccTLD, ccSLD 服務的 server 足夠嗎 ?– ccTLD =2, ccSLD=2,3 應增加

• 同一網域 server 宜考慮分散不同處所– 停電 , 斷網 , 系統受攻擊 , 當機等效應 (ccTLD, ccTLD)

• 不太會改變者 , 每筆資料的 TTL 宜設長一點– 減少不必要的 DNS 查詢 , 提昇網路系統效能及穩定度

建議 TTL >= 3 天


tw

com

net

edu

org

gov

mil

Fig. 3 tw 網域 DNS server 配置現狀

NS=(moevax.edu.tw, ns.twnic.net)

NS=(aladdin.iii.org.tw, moevax.edu.tw)

NS=(moevax.edu.tw, moesun.edu.tw)

NS=(hntp1.hinet.net,hntp2.hinet.net, dns.hinet.net)

NS=(dns1.mil.tw, dns2.mil.tw)




2.2 DNS server 規劃及建置問題

• 沒有複式 server 的觀念 – 國內第三層以下 domain zone 常見的問題

• 多未建立 slave/secondary DNS server• 公司行號 , 政府單位 , 新成立的中小學縣市網路

• 反解網域的註冊與管理– 比以往有進步 , 但觀念普及仍不夠– 相關領域 :

• SPAM mail 的反制 , www proxy 的管理• 相關中文文件太少

– http://dnsrd.nctu.edu.tw


3. DNS/BIND 與 y2k• DNS server host

– 進行系統 y2k 實機測試– 分散系統

• e.g., Solaris 7, FreeBSD 3.2-stable

• 系統軟體部分– BIND 8.2 is y2k-compliance

• http://www.isc.org/ISC/y2k.html

• DNS server y2k conformance testing


3.1 DNS/BIND Security 問題• BIND 最新的正式版本 8.2.2

– 1999.10.19 (released)

• BIND/named Security issues– Buffer overflow 與 CNAME bug 等嚴重問題– 參考 CERT 相關網頁報告 ( CERT Advisory )

– http://www.cert.org

• Upgrade 到最新版本


3.2 WINS 與 DNS• WINS 設定不當 , 導致大量消耗可用頻寬

– 實例 , 過去 TANet 竹苗區網某一學校 , 曾經發生• http://www.edu.tw (MOECC newsletter, 參考 8801-8806 期 )

– 儘量避免使用 • 啟動 Negative Caching 功能

– 自我保護– 避免拖累網路大環境

• 請 Upgrade 到最新版本 ( BIND 8.x 以後 )– 內建 Negative Caching


4. Network/System Security & DNS

• 了解問題• 問題回報及追蹤• 解決問題


4.1 常見的網路攻擊型態• Denial-of-Service

– ping ( system bug )– SPAM E-mail/NetNews,– ...

• Intrusion ( 電腦與網路入侵 )– Trojan Horse ( BO, NetBus, ...)– computer virus

• Information Theft– Trojan Horse ( BO, NetBus, … 遙控程式 )


4.1.1 問題處理與追蹤• Security 問題回報及反應

– 向相關單位報備及追蹤問題– 向相關 CERT 報備及追蹤問題

• 各單位聯絡 e-mail address (Internet 慣例 )– postmaster@your-domain-zone

– abuse@your-organization,security@your-organization• 例如 , [email protected], [email protected]


4.2 Generic Access Control Issues

• 分層負責– Router ACL– DNS server ACL– 個別 server 的 ACL

• SMTP - sendmail

• http proxy - squid

• NNTP - inn 向


4.3 DNS 設定與入侵嘗試• 特定對象的入侵

– buffer overflow 等系統問題• 尋找不特定的入侵對象

– forward & reverse domain zone scanning

• DNS zone transfer 設限– 阻擋不特定的目標搜索


4.3.1 DNS server 限制 zone transfer

• BIND 8.x /etc/named.conf 的相關片段options {

directory /var/named;allow-transfer {

none; // 原則上 , 阻擋所有不相干的 zone transfer};

};

// 省略 zone “nctu.edu.tw” { type master ; file “Zone-NCTU” ; allow-transfer {

140.113.1.1; 140.113.6.2; // 允許 slave/secondary server };};

zone “113.140.in-addr.arpa” { ….


4.4 Mail SPAM & DNS • SPAM Mail <=> UCE/UBE ( 不請自來 )

• UCE = Unsolicited Commercial E-mail• UBE = Unsolicited Bulk E-Mail

• UCE/UBE 散佈途徑– 名單收錄

• www homepage, USENET news articles• account password files on individual servers• 其他不當途徑 ( program bug, 招募會員活動 , …)

– 找尋管理較鬆散的 mail relay • Domain Zone scanning ( DNS)• URL scanning (web pages )


4.4.1 Anti SPAM Mail & DNS ACL

• SMTP server upgrade/patch– 限定 mail relaying 對象

• DNS 設 ACL – 可相當程度阻擋不特定的 relay 嘗試

• 系統管理人員介入 – 聯絡相關系統的管理人員– rbl 建立 (Real-time Block List )


5. Case Study

• 前幾年有 BBS/Mail, 戲稱要暗殺美國總統柯林頓– 未即時處理 , 引起軒然大波 .– 後來美國轉到外交單位轉回國內教育部處理

• [email protected] 轉到德國某公司 – 本地公司設定錯誤– 回報到該公司 , 該國的 CERT, 以及 TWNIC

• 網路攻擊的中途站 (1999.08)– TANet 竹苗區網某校的 DNS server 被入侵– 參考 http://dnsrd.nctu.edu.tw


5.1 DNS & Mail - 烏龍事件• 前幾年 , 有德國 X 公司反應 , 持續不斷接收到 , 許多應該是寄往台灣

Y 公司的 e-mail, 卻一直被轉往該公司 . 因為收信的帳號不存在 , 系統於是一直產生 , user 不在的退信 , 持續往系統管理信箱塞 , 信件越累積越多 , 導致 server performance 大受影響 . 由於該公司並無台灣分公司 , 也找不出合理的解釋 , 於是開始擔心有台灣的競爭對手 , 想癱瘓他們網路的正常運作 , 接下來只好採取正式的防衛行動 , 透過正式的 CERT 向相關單位反應 , ...

• 成因– 舊版 BIND/named 有　 bug– 系統管理人員觀念不夠清楚– 系統管理人員輸入資料時 , IP address 打錯


5.1 DNS & Mail - 烏龍事件(續 )

• 示意範例 – 底下 IP address 與 domain name 都是隨意假定– 這個 server 上的 BIND/named 有 bug

$origin xyz.com.tw.Xyz.com.tw. IN MX 10 mail.xyz.com.tw.Xyz.com.tw. IN MX 10 mail.ABC.net.tw. ; 錯誤

Mail.xyz.com.tw.In A 192.168.123.45mail.ABC.net.tw.IN A 139.75.6.78 ; 設定錯誤;mail.ABC.net.tw. IN A 139.175.6.78 ;台灣;mserver.ZYX.de IN A 139.75.6.78 ;德國


5.2 竹苗區網 DNS server 入侵事件• 某校在區網的網域 , 登錄有兩個 DNS server

– 不過 , 從一開始 , 就只有建立一個 server• 該 server-A 有 security hole, 被外來者闖入

– 入侵者 , 持續透過該 server-A, 嘗試入侵國外網站– 網域上層 , 持續收到國外不同地方轉來的抱怨與求助 e-mail

• 電話通知該校管理者處理 . – 後來轉維護廠家工程師 .– 將近一週 , 仍無改善 .– 區網接手 , 協助處理 .

• 設 tcp_wrapper, 擋掉不明來源的連線 .


5.3 DNS 與相關系統管理

• 結論– 各網域必須落實設立兩個以上 DNS server – 重要 server 勤作 security patch– DNS 設 ACL, 限制 zone transfer– 委外廠商維護能力 , 意願與合約


參考網頁與資料• 按照 URL 的英文字母順序

– http://dnsrd.nctu.edu.tw ( DNS/BIND)– http://www.cert.org ( Security)– http://www.dns.net/dnsrd/ ( DNS/BIND)– http://www.isc.org ( BIND)– http://www.sendmail.org ( anti-spam )– http://www.twnic.net ( TWNIC,DNS)

• USENET newsgroups– comp.protocols.tcp-ip.domains– comp.protocols.dns.bind


dns y2k/security 相關問題 剖析及對策

Documents

dns y2k/security 相關問題剖析及對策