BIND安全配置基线.doc

BIND 域名解析软件安全配置基线 中国移动集团公司第 1 页 共 18 页 BINDBIND 域名解析软件安全配置基线域名解析软件安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 BIND 域名解析软件安全配置基线 中国移动集团公司第 2 页 共 18 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 BIND 域名解析软件安全配置基线 中国移动集团公司第 3 页 共 18 页 目目 录录 第第 1 章章概述概述 4 1 1目的 4 1 2适用范围 4 1 3适用版本 4 1 4实施 4 1 5例外条款 4 第第 2 章章日志安全要求日志安全要求 5 2 1日志安全 5 2 1 1记录安全事件到文件 5 第第 3 章章协议安全要求协议安全要求 7 3 1防攻击管理 7 3 1 1隐藏BIND版本信息 7 第第 4 章章其他安全要求其他安全要求 8 4 1其他安全配置 8 4 1 1禁止DNS域名递归查询 8 4 1 2增加查询ID的随机性 8 4 1 3限制域名查询 9 4 1 4限制域名递归查询 10 4 1 5指定动态DNS更新主机 11 4 1 6限制对 DNS 服务器进行区域记录传输的主机 11 4 1 7指定不接受区域请求 12 4 1 8定义ACL地址名 13 4 1 9控制管理接口 14 4 1 10防止DNS欺骗 15 4 1 11设置重试查询次数 16 4 1 12防止污染高速缓存 Cache 17 第第 5 章章评审与修订评审与修订 18 BIND 域名解析软件安全配置基线 中国移动集团公司第 4 页 共 18 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 BIND 域名解析软件应当遵循的 设备安全性设置标准 本文档旨在指导系统管理人员进行 BIND 域名解析软件的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 BIND 域名解析软件 1 3 适用版本适用版本 BIND 域名解析软件 支持 8 x 以上的版本 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 BIND 域名解析软件安全配置基线 中国移动集团公司第 5 页 共 18 页 第第 2 章章日志安全要求日志安全要求 2 1 日志安全日志安全 2 1 1 记录安全事件到文件记录安全事件到文件 安全基线项安全基线项 目名称目名称 记录安全事件到文件安全基线要求项 安全基线编安全基线编 号号 SBL BIND 02 01 01 安全基线项安全基线项 说明说明 解决遇到的各种的异常问题 记录日志和认真地读取日志文件是系统管理员 的一项非常重要的任务 所以要记录安全事件到文件中 同时还要保持原有 的日志模式 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件中是否有如下内容 logging 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件中增加如下内容 logging channel my security channel file my security file log versions 3 size 20m severity info category security my security channel default syslog default debug BIND 域名解析软件安全配置基线 中国移动集团公司第 6 页 共 18 页 其中 my security channel 是用户自定义的 channel 名字 my security file log 是安全事件日志文件 可包含全路径 否则是以 named 进程工作目录为当前目录 安全事件日志文件名为 my security file log 保存三个最近的备份 my security file log0 my security file log1 my security file l og2 日志文件的最大容量为 20MB 如果达到或超这一数值 直到该文件 被再次打开前 将不再记录任何日志消息 缺省 省略 时是没有大小限制 备注备注 BIND 域名解析软件安全配置基线 中国移动集团公司第 7 页 共 18 页 第第 3 章章协议安全要求协议安全要求 3 1 防攻击管理防攻击管理 3 1 1 隐藏隐藏 BIND 版本信息版本信息 安全基线项安全基线项 目名称目名称 隐藏 BIND 版本信息安全基线要求项 安全基线编安全基线编 号号 SBL BIND 03 01 01 安全基线项安全基线项 说明说明 通过 DNS 服务查询 BIND 版本号时 返回隐藏后的信息 BIND 版本信息 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件中是否有如下内容 version Who knows 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件中增加如下内容 version Who knows 2 判定条件判定条件 如果通过 DNS 服务查询 BIND 版本号时 返回的信息就是 Who knows 备注备注 BIND 域名解析软件安全配置基线 中国移动集团公司第 8 页 共 18 页 第第 4 章章其他安全要求其他安全要求 4 1 其他安全配置其他安全配置 4 1 1 禁止禁止 DNS 域名递归查询域名递归查询 安全基线项安全基线项 目名称目名称 禁止 DNS 域名递归查询安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 01 安全基线项安全基线项 说明说明 针对非递归服务器 要禁止 DNS 域名递归查询 在 options 或特定 zone 区域 中增加 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件中是否有如下内容 recursion no fetch glue no 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件中的 options 或特定的 zone 区域 节中增 加 recursion no fetch glue no 2 判定条件判定条件 防止了 DNS 域名递归查询 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此根据应用场景的不同 如部署场景需开启此功能 则强制要求此 项 项 4 1 2 增加查询增加查询 ID 的随机性的随机性 安全基线项安全基线项 增加查询 ID 的随机性安全基线要求项 BIND 域名解析软件安全配置基线 中国移动集团公司第 9 页 共 18 页 目名称目名称 安全基线编安全基线编 号号 SBL BIND 04 01 02 安全基线项安全基线项 说明说明 服务器将跟踪其出站查询 ID 值以避免出现重复 并增加随机性 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的 options 节中是否有如下内容 use id pool no 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件中的 options 节中增加如下内容 use id pool yes 2 判定条件判定条件 备注备注 这将会使服务器多占用超过 128KB 内存 缺省值为 no 4 1 3 限制域名查询限制域名查询 安全基线项安全基线项 目名称目名称 限制域名查询安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 03 安全基线项安全基线项 说明说明 要限制对 DNS 服务器进行域名查询的主机 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的 options 节中是否有如下内容 allow query address match list 是允许进行域名查询的主机 IP 列表 如 1 2 3 4 5 6 7 24 2 补充操作说明 补充操作说明 BIND 域名解析软件安全配置基线 中国移动集团公司第 10 页 共 18 页 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件的 options 或特定的 zone 区域 节中增加 allow query address match list 是允许进行域名查询的主机 IP 列表 如 1 2 3 4 5 6 7 24 2 判定条件判定条件 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 4 限制域名递归查询限制域名递归查询 安全基线项安全基线项 目名称目名称 限制域名递归查询安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 04 安全基线项安全基线项 说明说明 要限制对 DNS 服务器进行域名递归查询的主机 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的 options 节中是否有如下内容 allow recursion address match list 是允许进行域名递归查询的主机 IP 列表 如 1 2 3 4 5 6 7 24 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件的 options 或特定的 zone 区域 节中增加 allow recursion address match list 是允许进行域名递归查询的主机 IP 列表 如 1 2 3 4 5 6 7 24 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 BIND 域名解析软件安全配置基线 中国移动集团公司第 11 页 共 18 页 4 1 5 指定动态指定动态 DNS 更新主机更新主机 安全基线项安全基线项 目名称目名称 指定动态 DNS 更新主机安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 05 安全基线项安全基线项 说明说明 缺省时为拒绝所有主机的提交动态 DNS 更新主机 我们可以根据需要指定允 许哪些主机向本 DNS 服务器提交动态 DNS 更新 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的 options 节中是否有如下内容 allow update address match list 是允许向本 DNS 服务器提交动态 DNS 更新的主机 IP 列 表 如 1 2 3 4 5 6 7 24 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件的 options 或特定的 zone 区域 节中增加 allow update address match list 是允许向本 DNS 服务器提交动态 DNS 更新的主机 IP 列 表 如 1 2 3 4 5 6 7 24 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 6 限制对限制对 DNSDNS 服务器进行区域记录传输的主机服务器进行区域记录传输的主机 安全基线项安全基线项 目名称目名称 限制对 DNS 服务器进行区域记录传输的主机安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 06 安全基线项安全基线项 说明说明 要限制对 DNS 服务器进行区域记录传输的主机 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的 options 节中是否有如下内容 allow transfer address match list 是允许进行区域记录传输的主机 IP 列表 如 BIND 域名解析软件安全配置基线 中国移动集团公司第 12 页 共 18 页 1 2 3 4 5 6 7 24 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件的 options 或特定的 zone 区域 节中增 加 allow transfer address match list 是允许进行区域记录传输的主机 IP 列表 如 1 2 3 4 5 6 7 24 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 7 指定不接受区域请求指定不接受区域请求 安全基线项安全基线项 目名称目名称 指定不接受区域请求安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 07 安全基线项安全基线项 说明说明 要指定不接受哪些服务器的区域记录传输请求 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的 options 节中是否有如下内容 blackhole address match list 是不接受区域记录传输请求的主机 IP 列表 如 1 2 3 4 5 6 7 24 2 补充操作说明 补充操作说明 在 options 节中还有一些资源限制选项 不同用户可根据实际情况灵活设置 但一定要注意不当的设置会损失 DNS 服务的性能 coresize core dump 的最大值 缺省为 default datasize 服务器所使用的最大数据段内存 缺 省为 default files 服务器能同时打开的最大文件数 缺省为 unlimited 不限制 注意 并非所有操作系统都支持这一选项 max ixfr log size 限制增量区域记录传输时会话日 BIND 域名解析软件安全配置基线 中国移动集团公司第 13 页 共 18 页 志的大小 stacksize 服务器所使用的最大堆栈段内存 缺省为 default 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件的 options 或特定的 zone 区域 节中增 加 blackhole address match list 是不接受区域记录传输请求的主机 IP 列表 如 1 2 3 4 5 6 7 24 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 8 定义定义 ACL 地址名地址名 安全基线项安全基线项 目名称目名称 定义 ACL 地址名安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 08 安全基线项安全基线项 说明说明 定义 ACL 地址名 即用于上面的 注意 如果要使 用这里定义的列表名 必须先定义后使用 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的相关内容 acl intranet acl partner 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件中增加 acl intranet 192 168 16 BIND 域名解析软件安全配置基线 中国移动集团公司第 14 页 共 18 页 acl partner 172 16 0 1 172 16 12 除 172 168 0 1 外 172 16 0 0 12 网络中 其它主机 BIND 已内置以下四个 ACL all 允许所有主机 none 禁止所有主机 localhost 本机的所有网络接口 localnets 本机所在网络 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 9 控制管理接口控制管理接口 安全基线项安全基线项 目名称目名称 控制管理接口安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 09 安全基线项安全基线项 说明说明 BIND 域名服务器的一个有用功能 controls 提供管理接口 如果使用第一 种 inet 则在指定 IP 接口 和端口上监听 但只允许在 allow 中限定 允许与其连接的 IP 地址列表 如果使用第二种 unix 则产生一个 FIFO 的 控制管道 权限 属主和用户组都由其参数限定 检测操作步检测操作步 骤骤 1 判定条件判定条件 检测 etc bind named conf 文件的相关内容 controls 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 在 etc bind named conf 文件中增加 注意控制管理接口 controls 节语 BIND 域名解析软件安全配置基线 中国移动集团公司第 15 页 共 18 页 法格式 controls inet ip addr port ip port allow unix path name perm number owner number group number 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 10防止防止 DNS 欺骗欺骗 安全基线项安全基线项 目名称目名称 防止 DNS 欺骗安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 10 安全基线项安全基线项 说明说明 DNS 欺骗指攻击者通过先捕捉用户查询包 然后通过猜测序列号 假冒 域名服务器返回查询地址使查询者收到虚假 IP 其危害极大 现有的大多 数 DNS 服务的实现存在两个比较危险的漏洞 其一为当 DNS 服务器收到一个合法的 DNS 应答信息时它会接受这一返回 包中的所有信息 并存入 CACHE 其二是当 DNS 服务器发查询包时 它在包内有一 query id 应答信息 只有 query id 及 ip 地址都对上时才能为服务器所接受 而此 id 是可以预 测的 这就给了入侵者以可乘之机 检测操作步检测操作步 骤骤 1 判定条件判定条件 防止入侵者上述漏洞的话 可以采取以下的方法 1 加强内网的安全性 使用性能优良的交换机作为网络连接设备 这 样可以隔离点播 在一定范围内实现对监听的控制 如果认为必要的话 可以作一脚本定时清除 CACHE 或者禁止 DNS 的递归查 BIND 域名解析软件安全配置基线 中国移动集团公司第 16 页 共 18 页 询 如果系统允许 DNS 的递归查询的话 将会给攻击者实施 DNS 欺骗造成可 乘之机 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 参考配置操作 参考配置操作 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 1 11设置重试查询次数设置重试查询次数 安全基线项安全基线项 目名称目名称 设置重试查询次数安全基线要求项 安全基线编安全基线编 号号 SBL BIND 04 01 11 安全基线项安全基线项 说明说明 辅名字服务器在收到来自其主名字服务器的某个区的 NOTIFY 请求时 它 就发送一个 NOTIFY 响应 这个响应告诉主名字服务器 该辅名字服务器已 经收到 NOTIFY 请求 这样它就停止发送该区的 NOTIFY 消息了 然后辅名字 服务器就会象刷新计时器到期了一样操作 他向主名字服务器查询 请求那 个主名字服务器声称已经改变了的区 SOA 记录 如果序列号较高 辅名字服 务器就传送该区 如果有人给辅名字服务器发送假冒的 NOTIFY 请求 造成许多不必要的区传 送 从而产生对主名字服务器的 dos 攻击 检测操作步检测操作步 骤骤 1 判定条件判定条件 如果要防止此类攻击的发生 可以采用以下的方法 在 BIND 中 DNS NOTIFY 是缺省打开的 可以通过使用下面的配置全 部关闭该功能 options notify no 也可以针对某个区打开或关闭该功能 例如