网络基础设施安全

第七讲、网络基础设施安全（4）域名系统安全网络基础设施安全全文共40页，当前为第1页。目录7.1局域网和VLAN7.2远程访问（拨号）7.3路由系统安全7.4网络管理系统安全7.5域名系统安全​网络基础设施安全全文共40页，当前为第2页。7.5域名服务系统安全DNS基础DNS风险DNS安全管理政策DNS安全技术措施​网络基础设施安全全文共40页，当前为第3页。DNS基础域名服务是最重要的基础设施之一分布式数据库，域名IP地址“”educomgovorgcnjp…​网络基础设施安全全文共40页，当前为第4页。​网络基础设施安全全文共40页，当前为第5页。域名解析的过程​网络基础设施安全全文共40页，当前为第6页。Resolver,Primary&secondaryDNSPrimaryDNSSecondaryDNSresolverresolverUDPport53UDPport53UDPport53TCPport53​网络基础设施安全全文共40页，当前为第7页。DNS数据流masterCachingforwarderresolverZoneadministratorZonefileslavesDynamicupdates​网络基础设施安全全文共40页，当前为第8页。主要风险缓冲区溢出漏洞允许远程控制域名欺骗（DNSSpoofing）利用区传输造成DNS信息泄密针对域名服务的拒绝服务(DOS)攻击无访问控制的递规查询造成流量的增加未经授权的更新​网络基础设施安全全文共40页，当前为第9页。DATAProtectionServerProtectionDNS隐患ZonefileslavesmasterCachingforwarderresolverZoneadministratorDynamicupdatesCachepollutionbyDataspoofingUnauthorizedupdatesCorruptingdataImpersonatingmasterCacheimpersonation​网络基础设施安全全文共40页，当前为第10页。常用软件及新的特性BIND—BerkeleyInternetNameDomainWindowsNT/2k动态更新,DHCP通知,Primary->Secondary​网络基础设施安全全文共40页，当前为第11页。缓冲区溢出漏洞CERT®AdvisoryCA-1999-14MultipleVulnerabilitiesinBIND（8.2.2以前）the"nxtbug"Vulnerability#2:the"sigbug"Vulnerability#3:the"so_lingerbug"Vulnerability#4:the"fdmaxbug"Vulnerability#5:the"maxdnamebug"Vulnerability#6:the"naptrbug"tsigbug​网络基础设施安全全文共40页，当前为第12页。域名欺骗（DNSSpoofing）劫持域名查询请求，假冒DNS的响应污染DNS的缓冲区（DNScachepoisoning）侵入操作系统，修改DNS数据文件​网络基础设施安全全文共40页，当前为第13页。DNSCachePollution攻击目标DNSDNS.

V=Victim=Victim=​网络基础设施安全全文共40页，当前为第14页。DNS区传输信息泄密​网络基础设施安全全文共40页，当前为第15页。DNSDoS伪造源地址查询STdnsdnsdnsdnsQueryfromTResponsetoT​网络基础设施安全全文共40页，当前为第16页。对查询请求无限制地响应递规查询转发（Forwarder）dnsdnsInternet​网络基础设施安全全文共40页，当前为第17页。DNS管理策略谁来管理域名服务器？如何增加新的DNS记录？多久备份一次？多久更新杀毒软件？​网络基础设施安全全文共40页，当前为第18页。DNS安全技术措施版本更新和补丁防止单点故障专用DNS服务器限制区传输谨慎使用动态更新限制使用递规查询查询限制反欺骗措施：IDPool不以Root运行named,chroot转发(forwarder)DNS​网络基础设施安全全文共40页，当前为第19页。BIND版本当前常见的版本4.9.8:8.2.3:

9.1.0(推荐使用):

不同版本的漏洞信息/bind-security.html​网络基础设施安全全文共40页，当前为第20页。防止单点故障不要把所有的域名服务器放置在同一子网不将所有的域名服务器放在同一个路由器之后所有的域名服务器不使用同一条线路备份域名服务器运行不同的操作系统平台​网络基础设施安全全文共40页，当前为第21页。专用的DNS服务器不要运行其他应用配置防火墙，过滤其他不必要的流量从外部执行一次端口扫描，检查是否只提供了UDP53和TCP53端口​网络基础设施安全全文共40页，当前为第22页。限制区传输减轻服务器负载防止黑客列举区（zone）中的信息确定目标MailserversNameservers获取主机的统计信息HowmanyhostsyouhaveWhatmakesandmodelsyouhaveWhattheirnamesare(valuableifyounamethemafterpeopleorprojects)​网络基础设施安全全文共40页，当前为第23页。限制区传输—BIND8配置allow-transfersubstatement:options{ allow-transfer{78;};};or,specifictoazone:zone“”{typemaster;file“”;allow-transfer{78;};};​网络基础设施安全全文共40页，当前为第24页。限制区传输—BIND8配置注意，Secondary也要配置Nslookup的ls命令Dig的axfr选项​网络基础设施安全全文共40页，当前为第25页。限制区传输—用TSIG认证会话签名BIND8.2andlater在主域名服务器和从域名服务器上配置密钥，然后要求域名服务器通信时进行签名​网络基础设施安全全文共40页，当前为第26页。限制区传输—用TSIG认证（Cont.）主域名服务器的named.conf:keyhuskymo-tornado.{algorithmhmac-md5;secret“mZiMNOUYQPMNwsDzrX2ENw==”;};zone“”{typemaster;file“”;allow-transfer{keyhuskymo-tornado;};};这一配置要求对来自78的域名服务器域传输请求使用TSIG密钥huskymo-tornado.进行签名​网络基础设施安全全文共40页，当前为第27页。限制区传输—用TSIG认证（Cont.）从域名服务器的named.conf:keyhuskymo-tornado.{algorithmhmac-md5;secret“mZiMNOUYQPMNwsDzrX2ENw==”;};server50{transfer-formatmany-answers;keys{huskymo-tornado.;};};zone“”{typeslave;file“”;allow-transfer{none;};};​网络基础设施安全全文共40页，当前为第28页。限制动态更新动态更新既有用又有害有时甚至可以添加、删除纪录如果使用动态更新，必须限制其范围单另的IP地址一系列TSIG密钥如果使用IP地址进行限制，必须确保进行了anti-spoofing设置在borderrouter或者堡垒主机​网络基础设施安全全文共40页，当前为第29页。避免地址假冒可以对任何地址进行递归查询，将使域名服务器易于遭到地址假冒攻击入侵者可以查询它们所控制域内机器的情况这样本机将可能接受那些虚假的数据对策：只必要时开启递归查询限制来源IP限制递归查询的来源IP​网络基础设施安全全文共40页，当前为第30页。防止假冒BIND8可以使用use-id-pool来使报文的ID随机化，这样假冒会更困难options{directory“/var/named”;use-id-poolyes;};BIND9缺省使用这一特性​网络基础设施安全全文共40页，当前为第31页。关闭GlueFetching当域名服务器没有A记录时，会返回NS纪录，这就称作GlueFetching有可能会被欺骗进行假冒回答关闭GlueFetching服务器不会进行解析请求不会产生cache​网络基础设施安全全文共40页，当前为第32页。BIND4.9配置optionsno-recursionoptionsno-fetch-glueBIND8配置options{recursionno;fetch-glueno;};BIND9语法同BIND8，不过BIND9缺省关闭fetchglue​网络基础设施安全全文共40页，当前为第33页。DNS服务器的访问控制BIND8后可以设置：aclinternal{76/29;};options{directory“/var/named”;allow-query{internal;};};zone“”{typemaster;file“”;allow-query{any;};};​网络基础设施安全全文共40页，当前为第34页。DNS服务器的访问控制BIND8.2.1之后可以限制接受递归查询的IP地址范围aclinternal{78/29;};options{directory“/var/named”;allow-recursion{internal;};};zone“”{typemaster;file“”;};​网络基础设施安全全文共40页，当前为第35页。防火墙与DNS配置​网络基础设施安全全文共40页，当前为第36页。转发DNSoptions{forwarders{;;};forwardonly;};​网络基础设施安全全文共40页，当前为第37页。DNS安全技术措施－总结版本更新和打补丁防止单点故障专用DNS服务器限制区传输谨慎使用动态更新限制使用递规查询查询限制反欺骗措施：IDPool不以Root运行named,chroot转发(forwarder)DNS​网络基础设施安全全文共40页，当前为第38页。作业分别从局域网交换系统、路由系统、域名系统与网络管理系统讨论，网络基础设施存在哪些安全威胁，如何从技术上和管理上防范这些威胁？​网络基础设施安全全文共40页，当前为第39页。1、有时候读书是一种巧妙地避开思考的方法。6月-236月-23Wednesday,June7,20232、阅读一切好书如同和过去最杰出的人谈话。12:16:5312:16:5312:166/7/202312:16:53PM3、越是没有本领的就越加自命不凡。6月-2312:16:5312:16Jun-2307-Jun-234、越是无能的人，越喜欢挑剔别人的错儿。12:16:5312:16:5312:16Wednesday,June7,20235、知人者智，自知者明。胜人者有力，自胜者强。6月-236月-2312:16:5312:16:53June7,20236