加强linux系统的DNS服务的安全防御能力.doc

M8-1 加强Linux系统的DNS服务的安全防御能力1.1场景描述1.1.1 学习目的学生通过该能力模块的学习,能够独立完成和熟练掌握安全配置DNS服务器，加强Linux系统的DNS服务的安全防御能力。1.1.2 学习要求理解：DNS服务存在安全风险掌握：DNS服务安全选项配置掌握：DNS服务TSIG配置1.1.3 学习重点和难点1.学习重点 保护DNS服务器本身安全 保护 Zone Transfer 的安全 保护 DNS 免于 Spoofed攻击 使用 TSIG保护DNS服务器 保护Dynamic Update的安全2.学习难点 使用 TSIG保护DNS服务器1.2 知识准备1.2.1 Zone TransferDNS的区域传输目的是为了DNS的备份，当DNS服务器坏了，它的数据不会丢失。注意在配置区域传输是一定要注意辅助服务器上建立的区域是辅助区域且与主服务器的域名相同，而且区域传输是双向的，不但需要在辅助服务器上配置还要在主服务器上进行相应的配置。1.2.2 DNS威胁DNS服务面临的安全问题主要包括：DNS欺骗（DNS Spoffing）、拒绝服务（Denial of service，DoS）攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击（Buffer Overflow）。1. DNS欺骗DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过三种方法进行DNS欺骗。图1是一个典型的DNS欺骗的示意图。2. TuPkVGdvW6tl（1）缓存感染黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。（2）DNS信息劫持入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。（3）DNS复位定向攻击者能够将DNS名称查询复位向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。2.拒绝服务攻击黑客主要利用一些DNS软件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。如果得不到DNS服务，那么就会产生一场灾难：由于网址不能解析为IP地址，用户将无方访问互联网。这样，DNS产生的问题就好像是互联网本身所产生的问题，这将导致大量的混乱。3、分布式拒绝服务攻击DDOS 攻击通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得服务拒绝攻击更难以防范：使服务拒绝攻击更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood是针对DNS服务器最常见的分布式拒绝服务攻击。4.缓冲区漏洞Bind软件的缺省设置是允许主机间进行区域传输（zone transfer）。区域传输主要用于主域名服务器与辅域名服务器之间的数据同步，使辅域名服务器可以从主域名服务器获得新的数据信息。一旦起用区域传输而不做任何限制，很可能会造成信息泄漏，黑客将可以获得整个授权区域内的所有主机的信息，判断主机功能及安全性，从中发现目标进行攻击。 1.2.3 TSIGDNS 的事务签名分为 TSIG (Transaction Signatures) 与 SIG0 (SIGnature)两种。该如何选择呢? 首先，要先判断客户端与服务器间的信任关系为何，若是可信任者，可选择对称式的 TSIG。TSIG 只有一组密码，并无公开/私密金钥之分；若是非完全信任者，可选择非对称式金钥的 SIG0，虽有公开/私密金钥之分，相对的，设定上也较复杂。至于要选用哪种较适合，就由自己来判断。通常区带传输是主域名服务器到辅助域名服务器。1.TSIG技术交易签章 (TSIGRFC 2845)，是为了保护 DNS安全而发展的。从BIND 8.2版本开始引入 TSIG 机制，其验证 DNS 讯息方式是使用共享金钥 (Secret Key) 及单向杂凑函式(One-way hash function) 来提供讯息的验证和数据的完整性。主要针对区带传输（ZONE Transfer）进行保护的作用，利用密码学编码方式为通讯传输信息加密以保证 DNS 讯息的安全，特别是响应与更新的讯息数据。也就是说在DNS服务器之间进行辖区传送时所提供保护的机制，以确保传输数据不被窃取及监听。2.SIG0 技术简介SIG0是一九九九年三月 由 IBM公司的D. Eastlake 提出成为标准。其是利用公开金钥机制为辖区资料进行数字签章的动作，以保证每笔传输的 source record 具有可验证性与不可否认性。实际上 SIG0 才是防止 DNS Spoofing 发生最主要的技术，SIG0 是使用公开金钥加密法，让辖区管理者为其辖区数据加上数字签章，由此证明辖区资料的可信赖性。除此之外，SIG0 保有是否选择认证机制的弹性，以及可灵活地配合自订的安全机制。1.3 注意事项在对DNS进行安全配置之前，需要确认DNS是否能够正常解析。1.4 操作步骤1.4.1选择没有安全缺陷的DNS版本BIND主要分为三个版本：（1）v4：1998年多数unix捆绑（2）v8：如今使用最多最广大版本安全信息：/showQueryL.asp?libID=530（3）v9：最新版本，免费（)2.保持DNS服务器配置正确、可靠dlint是专门检查DNS配置文件开源代码软件：/dns/dlint.shtmldnstop可以查询DNS服务器状态：/dnstop/dentop-20010809-1.i386.rpm1.4.2保护DNS服务器本身安全第一步：隔离DNS服务器DNS服务器要专用，不要在DNS服务器上运行其它服务，尽量允许普通用户登录。第二步：隐藏DNS服务器网络攻击者对DNS服务进行攻击前，首先要知道BIND有版本号，根据BIND版本号找到漏洞来确定攻击DNS服务器方法，攻击者使用dig命令可以查询到BIND的版本号。为了保障DNS服务器安全的首先要隐藏DNS服务器。下面是没有隐藏DNS服务，攻击者查询到的DNS服务器的版本。 rootcentos # dig 1 txt chaos version.bind; DiG 9.3.4-P1 1 txt chaos version.bind; (1 server found); global options: printcmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 10122; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0; QUESTION SECTION:;version.bind. CH TXT; ANSWER SECTION:version.bind. 0 CH TXT 9.2.4; AUTHORITY SECTION:version.bind. 0 CH NS version.bind.; Query time: 20 msec; SERVER: 1#53(1); WHEN: Thu Jan 14 18:33:27 2010; MSG SIZE rcvd: 62rootcentos #通过下面对服务器进行安全配置，攻击者无法查询到DNS服务地版本信息，编辑BIND配置文件，如下所示。rootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ / query-source address * port 53;/ a caching only nameserver config/etc/named.conf 79L, 1572C 在配置文件中加入“version unknow on this platform;”，保存配置文件，然后 退出，重启DNS服务器。rootlab2 # service named restart停止 named： 确定 启动 named： 确定 rootlab2 #再使用dig命令进行测试，如下所示：rootcentos # dig 1 txt chaos version.bind; DiG 9.3.4-P1 1 txt chaos version.bind; (1 server found); global options: printcmd; Got answer:; -HEADER- opcode: QUERY, status: NOERROR, id: 61670; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0; QUESTION SECTION:;version.bind. CH TXT; ANSWER SECTION:version.bind. 0 CH TXT unknow on this platform; AUTHORITY SECTION:version.bind. 0 CH NS version.bind.; Query time: 16 msec; SERVER: 1#53(1); WHEN: Thu Jan 14 18:40:23 2010; MSG SIZE rcvd: 80通过上面测试，可以看到攻击者无法查询到DNS的版本信息。第三步：避免透露DNS服务器信息和版本号一样，也不要轻易透露服务器其他信息。为了让潜在的攻击者更难得手，尽量不要在DNS配置文件中使用这HINFO和 TXT两个资源记录。第四步：以最小的权限及使用chroot()方式运行BIND以 root 使用者的身分执行BIND有安全隐患，攻击者若找到BIND的安全漏洞，可能获取 root 的身分，从而进行对服务器攻击。BIND 8.1.2+ 允許在启动DNS服务器後，变更其UID和GID，可以使用命令named -u named 以 chroot() 的方式执行BIND可将危害减至最低设置 chroot 之后的环境：设置dev/zero、dev/random、dev/log或etc/localtime，可以使用命令修改运行用户。named -u named -t /var/named1.4.3保护 DNS 免于 Spoofed攻击DNS服务器若接受来自Internet的递归询问要求，易遭受Spoofing的攻击，导致攻击者修改DNS服务器区域文件，其它用户解析域名的时候，取回的是假造的名称信息。第一步：关闭rescursion的功能关闭 rescursion 功能后，DNS服务器只会响应非递归的询问要求无递归功能的DNS服务器不易易遭受 Spoofing 的攻击，因为它不会送出查询要求，所以也不会摄取所管区域以外的任何数据如果DNS服务器还提供服务给合法的解析器（resolver），或是充当其他D NS服务器的代询服务器（forwarder），就不应该关闭 rescursion 的功能。如果无法关闭 rescursion 的功能，应该限制查询要求的服务对象修改配置文件：/etc/named.conf.加入一行：rootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default./etc/named.conf 81L, 1603C 第二步：关闭 glue fetching 的功能修当DNS服务器为响应询问的 DNS 封包建立 additional data 区段的数据时，会自动解析 NS 纪录中任何DNS服务器的域名，这称为 glue fetching， 易遭受 Spoofing 的攻击。关闭 glue fetching 的功能，可避免DNS服务器送出任何的查询要求，所以也不会摄取所管区域以外的任何数据。当DNS服务器返回一个域的域名服务器纪录并且域名服务器纪录中没有A纪录，DNS服务器会尝试获取一个纪录。就称为glue fetching,攻击者可以利用它进行DNS欺骗。关闭glue fetching是一个好方法，修改配置文件：/etc/named.conf.加入一行：rootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default./etc/named.conf 81L, 1603C 第三步：限制查询要求的服务对象如果无法关闭 rescursion 的功能，应该限制查询要求的服务对象限制询问要求的来源（IP 地址）限制可以查询的区域范围DNS服务器应该拒绝来自以下网络的询问要求私有网络（除非你自己在使用）实验性网络群播网络一般的DNS服务器对所管区域的名称信息，可以服务来自任何 IP 地址的查询要求，因为它是经授权而来管理该区域的权威DNS服务器对于所管区域以外的名称信息，只应该服务来自内部或可信赖之 IP 地址的查询要求cahing-only DNS服务器应该只服务来自特定 IP 地址的解析器authoritative-only DNS服务器必须服务来自任何IP地址的询问要求，但是应该拒绝任何递归的询问要求。具体配置如下所示。rootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; allow-query /24; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivilegedzone IN type master; file /var/named/.hosts; allow-query any; allow-update none; ; IN type master; file/var/named/192.168.123.rev; allow-updatenone; ;include /etc/rndc.key;这样所有的用户都可以访问的DNS服务器，但是只有网段的主机用户可以请求DNS服务器的任意服务，另外也不要允许其他网段的主机进行递归询问。1.4.5保护 Zone Transfer 的安全默认情况下BIND的区域(zone)传输是全部开放的，如果没有限制那么DNS服务器允许对任何人都进行区域传输的话，那么网络架构中的主机名、主机IP列表、路由器名和路由IP列表，甚至包括各主机所在的位置和硬件配置等情况都很容易被入侵者得到。因此，要对区域传输进行必要的限制。可以通过在etcnamedconf文件当中添加以下语句来限制区域传输。rootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; allow-query /24; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivilegedacl zone-transfer 1;0;zone IN type master; file /var/named/.hosts; allow-query any; allow-transfer zone-transfer; allow-update none; ;这样只有ip地址为：10的主机能够同DNS服务器进行区域传输。1.4.6保护Dynamic Update的安全允许能向本DNS服务器提交动态 DNS 更新的主机IP列表。虽然 Dynamic Update 很有用但也很危险，必须予以限制。除了 SOA 纪录以及一个 NS 纪录外，经授权的更新者可以删除区域中所有的纪录，也可以加入完全不同的纪录rootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; allow-query /24; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged;acl zone-transfer 1;0;acl updater 5;/dhcp-serverzone IN type master; file /var/named/.hosts; allow-query any; allow-transfer zone-transfer; allow-update updater; ; IN type master; file/var/named/192.168.123.rev; allow-updatenone; ;/etc/named.conf 86L, 1795C1.4.7使用 TSIG保护DNS服务器为了保护DNS讯息的安全，BIND 8.2 导入了一个新的机制，称为 TSIG（transaction signature；RFC 2845）。TSIG 使用数字签名来验证 DNS 讯息，特别是响应与更新的讯息。首先你必须在 primary master 上产生加密密钥（或称密码签章），然后（以 ssh）传递给 slaves，设定 slaves 以密钥签署送往 primary master 的区域传送要求，反之亦然；提供服务给经密钥签署过的动态更新要求。第一步：产生加密密钥rootlab2 # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST K.+157+00415rootlab2 # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST K.+157+41321rootlab2 #第二步：加密密钥公钥rootlab2 # cat K.+157+00415.key . IN KEY 512 3 157 AqgKPP98op6ORpyeUpbPhg=rootlab2 # cat K.+157+41321.key . IN KEY 512 3 157 9WcIbGo85OaRQ9y4eEZokg=私有密钥rootlab2 # cat K.+157+00415.private Private-key-format: v1.2Algorithm: 157 (HMAC_MD5)Key: AqgKPP98op6ORpyeUpbPhg=rootlab2 # cat K.+157+41321.private Private-key-format: v1.2Algorithm: 157 (HMAC_MD5)Key: 9WcIbGo85OaRQ9y4eEZokg=第三步：修改primary master 的 named.confrootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; allow-query /24; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivilegedkey . algorithm hmac-md5; secret 9WcIbGo85OaRQ9y4eEZokg=;server 6 keys .;acl zone-transfer 1;0;acl updater 5;/dhcp-serverzone IN type master; file /var/named/.hosts; allow-query any; allow-transfer zone-transfer; allow-update updater; ; IN type master; file/var/named/192.168.123.rev; allow-updatenone; ;include /etc/rndc.key;第四步：修改slave 的 named.confrootlab2 # vi /etc/named.conf/ named.conf for Red Hat caching-nameserver/options directory /var/named; version unknow on this platform; recursion no; fetch-glue no; allow-query /24; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivilegedkey . algorithm hmac-md5; secret AqgKPP98op6ORpyeUpbPhg=;server 1 keys .;zone IN type slave; file /var/named/.hosts; allow-query any; allow-transfer none; allow-update none; ; IN type slave; file/var/named/192.168.123.rev; allow-updatenone; ;include /etc/rndc.key;1.5 拓展知识1.5.1 IPSec红帽企业 Linux 支持使用 IPsec 在公共载体网络（如互联网）上使用安全隧道来连接远程主机和网络。IPsec 可以使用主机到主机（一个计算机工作站到另一个计算机工作站）或网络到网络（一个 LAN/WAN 到另一个 LAN/WAN）来实现。红帽企业 Linux 中的 IPsec 实现使用互联网密钥交换（Internet Key Exchange，IKE）。它是一个被互联网工程任务组（Internet Engineering Task Force，IETF）实现的用于彼此验证和安全连接系统的协议。IPsec 连接被分成两个逻辑阶段。在第一阶段，IPsec 节点引发和远程节点或网络的连接。远程节点或网络检查请求节点的证件，双方商谈连接所用的验证方法。在红帽企业 Linux 系统上，IPsec 连接使用 IPsec 节点验证的“预共享钥匙”（pre-shared key）方法。在预共享钥匙 IPsec 连接中，双方主机必须使用同一钥匙才能进入 IPsec 连接的第二阶段。 IPsec 连接的第二阶段在 IPsec 节点间创建“安全关联”（security association，SA）。该阶段使用配置信息（如加密方法、密钥互换参数等等）来建立 SA 数据库。它管理远程节点和网络间的实际 IPsec 连接。 红帽企业 Linux 中的 IPsec 实现使用 IKE 来在互联网的主机间共享钥匙。racoon 这个钥匙守护进程处理 IKE 钥匙分发和交换任务。 实现 IPsec 要求你在所有 IPsec 主机（若使用主机到主机配置）或路由器（若使用网络到网络配置）上安装 ipsec-tools RPM 软件包。RPM 软件包中包含帮助你设置 IPsec 连接所必需的库、守护进程和配置文件。/lib/libipsec.so 包含红帽企业 Linux 中使用的 Linux 内核与 IPsec 实现间的 PF_KEY 信任的钥匙管理套接字接口。 /sbin/setkey 在内核中操作 IPsec 的钥匙管理和安全属性。该可执行文件被 racoon 钥匙管理守护进程控制。关于 setkey 的更多信息，请参阅 setkey(8) 说明书页。/sbin/racoon IKE 钥匙管理守护进程，用来管理和控制 IPsec 连接的系统之间的安全关联和钥匙共享。守护进程可以通过编辑 /etc/racoon/racoon.conf 文件而被控制。关于 racoon 的详细信息，请参阅 racoon(8) 说明书页。/etc/racoon/racoon.conf racoon 守护进程配置文件，用来配置 IPsec 连接的各个方面，包括连接中使用的验证方法和加密算式。要获得完整的指令列表，请参阅 racoon.conf(5) 说明书页。 （1）IPsec 主机到主机配置IPsec 可以通过主机到主机连接的配置来连接一个桌面或工作站到另一个桌面或工作站。这类连接使用每个主机所连的网络来创建彼此间的安全隧道。主机到主机连接的要求很少，每个主机的 IPsec 配置的要求也很少。主机只需要到载体网络（如互联网）的专用连接和红帽企业 Linux 就能够创建 IPsec 连接。 创建连接的第一步是从每个工作站收集系统和网络信息。对于主机到主机连接，你需要以下信息： 两个主机的 IP 地址 用来把 IPsec 连接从其它设备或连接中区别出来的独特名称（如 ipsec0） 固定的加密钥匙或被 racoon 自动生成的钥匙 被用来初始连接和在会话中交换加密钥匙的预共享验证钥匙 例如：假定工作站 A 和工作站 B 想通过 IPsec 隧道来彼此连接。它们想使用值为 foobarbaz 的预共享钥匙来连接，并且用户同意让 racoon 自动生成和共享每个主机间的验证钥匙。两个主机用户都决定把它们的连接命名为 ipsec0。以下是工作站 A 和工作站 B 之间的主机到主机 IPsec 连接的 ifcfg 文件（这个例子中用来识别该连接的独特名称是 ipsec0，因此其结果文件被命名为 /etc/sysconfig/network-scripts/ifcfg-ipsec0）。DST=X.X.X.XTYPE=IPSECONBOOT=yesIKE_METHOD=PSK工作站 A 将会把 X.X.X.X 替换成工作站 B 的 IP 地址，而工作站 B 将会把 X.X.X.X 替换成工作站 A 的 IP 地址。连接被设置成引导时被引发（ONBOOT=yes），并使用预共享钥匙验证方法（IKE_METHOD=PSK）。 以下是预共享钥匙文件（叫做 /etc/sysconfig/network-scripts/keys-ipsec0），两个工作站都使用它来彼此验证。该文件的内容应该完全一致，并且只有根用户才应该有读写权。IKE_PSK=foobarbaz如果需要改变验证钥匙，必须编辑两个工作站上的 keys-ipsec0 文件。两个文件必须完全一致才能保证正确的连接性。 下一个例子显示了到远程主机的第一阶段连接的特有配置。该文件的名称为 X.X.X.X.conf（把 X.X.X.X 替换成远程 IPsec 路由器的 IP 地址）。注意，一旦 IPsec 隧道被激活，该文件会被自动生成，不应该被直接编辑。 ;remote X.X.X.X exchange_mode aggressive, main; my_identifier address; proposal encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared