主动式DNS网域安全设定检测机制.ppt

主動式DNS網域安全設定檢測機制,指導老師：葉禾田 老師 學生：謝禮安 (M98F0206),論文背景,篇名：主動式DNS網域安全設定檢測機制 作者：沈志昌、古東明、楊禎葆、鄭進興 出處：網際網路技術學刊 Vol.6 No.2 Psge165-171 關鍵字：網際綱路,DNS,網路安全,網域檢測,入侵攻擊,摘要,以往探討DNS安全，焦點皆在系統設計上的漏洞。 然而DNS設定上的缺失才是攻擊者成功入侵的主因。 本研究預計提出以Web介面的自動檢測機制，在自動化與便利化環境之下協助使用者修正設定問題。 並與TWNIC DNS主機安全檢測機制搭配建構完整DNS安全環境檢測機制,Domain Name System (DNS),網址位置,DNS攻擊方式,Buffer Overflow Crash Server Denial of Server Protocol Flaws Information leak,全面的DNS安全防護,DNS Securty in Australia於2001年的調查報告中指出，澳洲境內有70%DNS主機存在漏洞。 而多數問題之根源乃由於BIND的版本關係。,台灣區DNS網域設定問題,TWNIC針對台灣各網域進行設定檢測，歸納出台灣區最常見的網域設定問題： 不良委任 授權錯誤 DNS容錯能力不足 轄區傳送 版本偵測,國外網域設定調查,Men & Mice 於2003年以全球網域為.com之DNS主機亂數選取5000部進行設定檢測。,DNS設定失誤造成安全問題,多數的DNS錯誤皆是人為疏失（委任、授權、傳送錯誤）。 大部分管理員並不瞭解DNS組態設定與轄區資訊。 有心人藉由設定上的失誤可輕易進行探索、攻擊。,DNS網域安全檢測機制架構,本研究提出之DNS網域安全檢測機制分做前端及後端部分。 前端使用者認證機制用以檢測使用者合法性。 後段由CVE結合SMS檢測並產生回報機制於使用者做修正參考。,前端使用者認證介面,DNS存放資料除IP與網域名稱，尚有許多敏感資訊。 使用者在此介面需經由TWNIC用戶資料庫進行驗證，確保身分正確。 該介面環境為WEB、以PHP控制CVE進行系統操作。CVE中含nslookup、dig、host等DNS查詢公用程式。 在利用瀏覽器進行檢測申請後，將會回報建議報表。,Scan Module Set (SMS),根據先前研究調查DNS常見設定缺失，SMS將探測模組分為六種探測方式： M1：網域完整檢測 M2：NS設定檢測 M3：SOA設定檢測 M4：MX設定檢測 M5：Aps設定檢測 M6：進階項目,Report Generator (RG),在掃描結果完成後，回報產生機制負責列出建議報表： 建議報表輸出狀態包含Pass、Warn、Fail。 標示檢測狀態後會針對其提出修改方針及建議。,系統實做,本系統架構於Linux，以Apache Web Server及PHP搭配Perl撰寫之後端進行檢測。 合法使用者透過瀏覽器要求檢測，即自動完成檢測結果回報。 由TWCERT/CC開發置放於TWNIC的 DNS安全資源網站提供服務。,系統實做 使用者驗證,使用者在向TWNIC註冊個人網域時，需提供IP及個資等相關資料於TWNIC網域資料庫。 檢測系統將確認其申請 之網域主機做檢測。,系統實做 網域完整性檢測,判斷該IP之主機是否存在，記錄之上層DNS是否存在，是否有對該IP做記錄。 若其中失效則無法繼 續檢測。,系統實做 NS設定檢測,檢測Name Server是否錯誤如上下層DNS同時註冊，造成委任錯誤，以及Lame Server的情形。,系統實做 SOA記錄檢測,以RFC文件的標準為評估準則。 SOA檢測DNS在進行資料轉換、回覆時間、查詢時間的設定。,系統實做 MX設定檢測,針對與郵件相關的設定，如MX記錄、郵件傳送偵測、RBL進行檢測。 瞭解郵件出錯時應該排除 的問題及更改的設定。,系統實做 應用伺服器檢測,針對網域上的主機進行檢測，確保其記錄正確。 如主機位置、別名等。,系統實做 進階項目,針對轄區傳送部分進行檢測，確保設置正確。 避免非法使用者利用錯誤的轄區傳送設置取得該網域的資訊。,結論,使用者對於DNS的系統工作原理不明瞭，容易造成設定上的缺失。 在主動式DNS網域安全設定檢測機制能夠使得使用者快速便利掌握DNS狀態，並進一步修正。 然而真正的系統安全還是得仰賴管理人的專業素養和高度警戒。,