运营商DNS系统安全解决方案.doc

运营商DNS系统安全解决方案运营商DNS系统安全解决方案中联绿盟信息技术（北京）有限公司1 概述域名系统（DNS）作为互联网基础设施，在互联网服务中占据着越来越重要的地位，保障域名系统安全运行对于维护互联网安全、提升客户感知具有重要意义。近期互联网领域频繁发生针对DNS系统的DDOS攻击（分布式拒绝服务攻击）、缓存投毒、权威域名篡改等导致互联网断网或者重要应用无法访问等安全事件；有些DNS安全事件造成的损失非常巨大，以“519断网事件”为例，据有关人士估计，电信运营商损失约为1.2亿元。如何保障DNS系统的安全迫在眉睫，势在必行。该文档将给出DNS系统的安全防护整体解决方案，为运营商的DNS系统保驾护航，使其为用户提供可信、安全、可靠的DNS服务，满足运营商DNS系统“业务可用、解析正确、状态可视”的安全需求。2 DNS系统安全风险分析2.1 DNS系统的重要性DNS （Domain Name System，域名系统），是Internet的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP数串。完整的域名系统由递归域名服务系统（即本地域名服务器）、根域名服务系统、顶级域名服务系统以及各级域名服务系统等四个层级构成。DNS是十分重要的 Internet基础设施，是Internet的基石，是互联网的起点和入口，是全球互联网通信的基础，基于Internet的各种Web服务、E-mail服务、路由服务都依赖或者间接依赖DNS。DNS的作用相当于互联网的中枢神经系统，域名系统的故障会导致互联网陷入瘫痪。域名系统就像是“空气”，平时我们感觉不到它的存在，但是一旦出现问题，其影响可能是“致命”的。众所周知的“519断网事件”，为DNS的安全再一次敲响了警钟，并给了一次深刻的教训。5月19日21时起，由于网站的域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞，造成广西、江苏、海南、安徽、甘肃和浙江等省宽带用户大面积断网。此次断网事件造成的损失非常巨大，据有关人士估计，电信运营商损失约为1.2亿元，游戏运营商损失1亿元，网吧经营者损失约为1 000万元。2.2 DNS系统面临的主要风险目前，DNS面临的安全问题主要可以分为三类：DNS欺骗攻击、拒绝服务攻击、系统漏洞，下文将分别进行介绍。 DNS欺骗攻击当一个DNS服务器遭到欺骗攻击，使用了来自一个恶意域名信息记录的，将会产生许多安全问题。常见的DNS欺骗方式有以下几种：缓存投毒（cache poison或缓存污染）、域名劫持、IP欺骗（IP Spoofing）、不安全的动态更新。 拒绝服务攻击一旦DNS系统遭受拒绝服务攻击，其服务将停止，会导致互联网将处于瘫痪状态。针对DNS的拒绝服务攻击主要有：通用型DDoS攻击、DNS Query Flood攻击（常见的Query Flood攻击有IP Spoofing型攻击、Random Qname型攻击、滥用型攻击等）；利用DNS的拒绝服务攻击主要有反射DDoS攻击（DrDDoS）、放大攻击等。 系统与应用漏洞BIND已经是DNS服务器的事实标准，但是BIND自身存在安全漏洞，如远程缓存破坏漏洞、可预测DNS查询ID漏洞、验证远程拒绝服务漏洞、上下文远程拒绝服务漏洞等。3 DNS系统安全防护解决方案3.1 DNS系统安全目标对运营商而言，DNS系统的安全目标是：第一，保障DNS系统自身的安全，第二，DNS服务的高可靠性、可用性、连续性，第三，为其他相关业务系统提供支持。也可以说，对运营商而言，DNS系统的安全目标就是为用户提供可信、安全、可靠的DNS服务。3.2 DNS安全体系模型一个完备的DNS系统保障体系，应该包括四个部分（策略体系、管理体系、技术体系、运作体系）、四个层次（物理安全、网络安全、主机安全、应用及数据安全）和三个阶段（安全评估、安全防护、安全运维），它们共同构成一个有机的整体，协同作用，使DNS系统可以提供高可靠性、高可用性、高连续性的DNS服务，如图1所示。图1 DNS安全体系模型3.3 DNS安全整体解决方案框架从两个维度来构建DNS整体解决方案，如图2所示。图2 绿盟科技DNS安全解决方案 时间维度在安全评估阶段，DNS安全体系的建设内容主要是：依据风险管理思想，对DNS系统进行全面的安全评估，提出风险处置计划。在安全防护阶段，构建DNS安全体系的主要工作是：对DNS系统进行全面的实时安全防护，保障业务的可用性。在安全运维阶段，主要是从安全角度，完善DNS系统运维工作，依托技术从管理上保障DNS业务的正常运行。对于电信运营商而言，DNS系统的安全运维工作主要包括以下三个方面：（1）安全运维队伍：如何建立一个高效、具备解决问题能力的安全运维队伍；（2）安全运维流程：如何建立适合核心业务需求的安全事件处理机制、流程；（3）安全运维平台：依靠何种手段将众多的安全基础设施管理起来。 构成维度主要从产品和服务两个方面，来构成DNS安全解决方案，产品主要包括绿盟科技安全基线检查系统、绿盟科技DNS专项防护系统、绿盟科技流量清洗系统；服务主要包括绿盟科技的针对DNS系统的安全评估服务、渗透测试服务、安全值守服务、系统监控服务、安全事件处理、应急响应、事件追溯等。3.4 DNS系统安全防护方案部署构建DNS系统双层立体防护体系：运营商骨干网部署流量清洗中心，进行大流量级清洗；在DNS系统前部署DNS专项防护系统，进行有针对性的细粒度的清洗，基线检查工具用于日常安全检查评估工作。部署示意图如图3所示。图3 DNS立体防护体系示意图3.5 DNS系统安全服务方案3.5.1 安全评估对运营商DNS系统进行安全评估，应该从技术和管理两个方面的评估展开。技术评估主要包括网络安全评估、主机安全评估、业务及应用安全评估、数据安全评估，目的是从网络、主机、业务及应用、数据等层面对DNS系统进行完整的安全评估，掌握其整体安全状况。管理评估主要包括安全管理制度、安全管理组织、人员管理安全、系统建设管理、系统运维管理等方面的管理评估，目的是掌握DNS的安全管理状况。3.5.2 安全加固在渗透、脆弱性评估的基础上，由绿盟科技形成加固方案以及整改建议，对DNS系统的应用软件、主机、网络设备、管理制度等四个方面进行检查加固工作。对于服务器加固而言，就是：根据服务器功能类型的不同，分别完成各自服务器在补丁更新、密码策略设置、运行策略配置、用户授权控制、日志审计等方面的分析与加固工作。很多DNS系统使用BIND软件进行域名解析。BIND安全选项非常多，应针对BIND服务软件进行安全配置，充分利用BIND自身已经实现的保护功能加强BIND安全性，从而能抵御目前已知的BIND安全漏洞，并尽可能使潜在的安全漏洞对DNS服务造成最小的影响。BIND安全配置可完成针对限制域传输、限制查询、防止DNS欺骗、设置重试查询次数、修改BIND的版本信息等Bind系统安全配置，具体配置项目包括： 隐藏BIND版本信息 禁止DNS域名递归查询 增加查询ID的随机性 限制域名查询 限制域名递归查询 指定动态DNS更新主机 指定不接受区域请求 系统资源限制 定义ACL地址名 控制管理接口 设置重试查询次数3.5.3 渗透测试通过采用渗透测试的方式，完成DNS系统的渗透测试，找出面临的威胁，发现弱点、了解设计和执行的缺陷，提前做针对性的防范工作。 3.5.4 安全巡检服务对DNS系统进行定期的安全状态巡查，借助专业工具在实际环境中检验系统的运作情况，检测、分析系统的运行健康状况、策略的适用情况、安全方案应用的实际效果等，对其中发现的问题及时进行修复，并提供优化建议。3.5.5 安全值守服务在重大/特定时期，提供DNS安全值守服务，即提供现场及远程的724小时DNS安全监控服务，及时发现DNS的安全问题，随时处理，保障DNS的安全运营。3.5.6 应急响应当DNS系统遭受攻击，或出现异常情况时，提供应急响应服务，使DNS系统恢复正常业务。同时，针对域名系统可能发生的DDoS攻击、权威解析篡改、缓存投毒等安全事件，协助客户编写应急预案并组织应急演练，完善安全事件的联动处理流程。3.6 绿盟ADS-D专项防护系统优势 DNS专项DDoS防护模块绿盟科技利用自己常年在DDoS领域的防护经验，利用反欺骗、协议栈行为分析、特定应用防护、用户行为模式分析、动态指纹识别、流量限速等机制，专门开发了针对DNS专项DDoS攻击的防护手段，可以有效地对伪造源IP DNS攻击、DNS畸形包DoS攻击、随机域名DNS Query Flood等攻击进行清洗，将一般只有1万到10万QPS查询容量的DNS系统，提高到可以对千万级QPS DDoS攻击进行防护的能力，从而确保DNS长期稳定的对外提供服务。 安全域名缓存绿盟科技ADS-D专项防护系统，内置了安全域名缓存模块，利用这个安全域名缓存，可以协助进行DNS应用层DDoS攻击判断、对DNS的ID/Port等碰撞投毒攻击的检测，同时还可以实现诸如域名解析加速、Fast Flux检测、域名控制、域名分析、域名保护、重点域名容灾等功能，从而实现域名容错类安全问题的防护。 DNS投毒防控绿盟科技ADS-D专项防护系统利用安全域名缓存、缓存锁定机制以及特征识别等方式可以有效地检测、防御DNS投毒过程，有效地防控ID 检查机制投毒、源端口非随机性投毒、生日攻击投毒、粘合投毒（Kaminski attack）等，从而为DNS的域名安全和正确解析提供保障。 DNS监控模块DNS监控模块可以让DNS服务器的运维人员轻松地获取DNS的运行信息，并随时分析DNS运行中的安全威胁趋势变化，接收DNS安全事件的告警，从而全面掌控DNS的运行安全问题。 一体化旁路部署方式在DNS防护方式上，绿盟科技ADS-D专项防护产品可以支持串联模式，也可以支持旁路部署方式。根据DNS应用特点，绿盟科技ADS-D系统将流量安全的检测分析和清洗系统有机地集成于同一设备上，从而实现监控和清洗一体化。建议选择旁路部署模式，在正常情况下，ADS-D主要用来作为安全监控设备，一旦发生安全问题，可以由管理员手工或者自动的方式将DNS流量牵引到ADS-D设备上，并进行威胁的清除和清洗。4 DNS安全增值业务展望那么，在保障安全的同时，我们还可以作什么呢？我们可以利用DNS，开展增值业务，找到新的价值点，以促进收益。4.1 安全上网业务如图4所示，利用DNS+Web信誉系统，可以实现安全上网业务的开展。当用户访问某个网站，输入该网站的URL地址时，当地的DNS系统会和绿盟科技云安全平台中的Web信誉系统互动，查询该URL地址的信誉值，给出该页面是否安全的建议，DNS专项系统再将此结果反馈给用户，也可以直接阻断该访问。这样，就给用户创造了一个安全的上网环境，使用户可以无忧上网。图4 安全上网：DNSWeb信誉系统4.2 BotNet主机检测业务通过蜜网技术和DNS专项防护系统的联合，可以实现BotNet主机的检测，如图5所示。使用蜜网技术，可以深入跟踪和分析Botnet的性质和特征。主要过程是，首先通过蜜罐等手段尽可能多地获得各种流传在网上的bot程序样本；当获得bot程序样本后，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登录Botnet所需要的属性，如Botnet 服务器地址、服务端口、指定的恶意频道名称及登录密码，以及登录所使用到的用户名称，通过行为分析中心（BAC）对这些信息的分析，可以有效地跟踪Botnet和获取Botnet的特征。当用户访问网络时，DNS专项防护产品会和行为分析中心（BAC）互动，BAC会识别该行为是否是BotNet的行为，从而可以实现BotNet主机的检测和定位。图5 BotNet主机检测：DNS蜜网4.3 精准广告推送业务利用DNS域名重定向，可以实现广告业务的推送，如图6所示。当DNS解析失败时，根据用户行为分析，将用户的访问指向预定义的该用户喜欢的Web广告页面，从而实现广告业务的精准推送。图6 广告业务：DNS域名重定向5 总结域名系统（DNS）作为互联网基础设施，在互联网服务中占据着越来越