TANet DNS及 Mail Server 系統規劃、維護與管理 期初報告:

Slides:



Advertisements
Similar presentations
Internet/WWW 應用大全 黃燕忠 中國文化大學 資訊管理系/所 副教授 -- 簡易 Web 架設技巧.
Advertisements

●網路能做些什麼呢? 檔案管理 共享檔案 傳輸檔案 共享應用程式 資料庫 網路電玩 週邊設備分享 印表機 硬碟空間 光碟機 傳真 / 數據機 和其他網路使用者交流 收發電子郵件 電子會議 網路電玩 在網路上,必須透過帳號與密碼來管理使用者的身分與權限.
Internet & WWW 靜宜大學資訊工程學系 蔡奇偉 副教授 靜宜大學資訊工程學系 蔡奇偉 副教授.
DNS DNS( Domain Name System): 域名系统 DNS 介绍 DNS 基本构成 DNS 名字解析过程 在 Windows2000 中配置 DNS.
2008年上海市精品课程 2007年度上海建桥学院教改课程 计算机网络技术 理论 DNS服务的应用 项目负责人 张嗣萍/本环节主讲教师 阮鹏.
计算机网络技术基础(第三版) 主编:尚晓航 高等教育出版社
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
第6章 网络应用基础 主讲:.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
第七章 Internet网络应用.
第9章 DNS服务器的配置与管理 DNS的基本概念 DNS的测试 DNS服务器的动态更新 Windows Server 2003网络操作系统
第五章 网络服务组件.
第9章 DNS和DHCP.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第 八 章 Internet 基础.
第4单元 网络技术与信息安全.
課程名稱:計算機概論 授課老師:李春雄 博士
计算机基础知识培训 信息所网络研究室.
第4单元 网络技术与信息安全.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第七章 Internet 基础与应用 第一节 主机名字与域名服务 第二节 Internet的域名体系 第三节 主机名字的书写方法
第六章 计算机网络基础 PPT电子演示文稿 琼台师专信息技术系.
了 解 从 Internet IP 开 始.
BOTNET Detection and Prevention
实训十四、IE浏览器的基本应用.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
复旦大学计算机学院 肖川 计算机网络与网页制作 复旦大学计算机学院 肖川
第一节 电子商务网站规划 第二节 网络服务的选择与费用核算 第三节 网站内容建设
伺服器網路檢測與管理 資訊中心網路管理組 王裕仁 2006/06/29.
第7章 计算机网络与安全.
了 解 Internet 从 ip 开 始.
臺灣學術網路竹苗區域網路中心 89年網際網路教育訓練及 推廣研習課程 網路系統安全
交通大學計算機與網路中心 陳 昌 盛 網域名稱伺服系統 (DNS) 規劃與建置 交通大學計算機與網路中心 陳 昌 盛 TANet DNS Tutorial Course,
DNS 西安交通大学 李思 2004年8月23日.
计算机系统安全 第10章 常用攻击手段.
计算机网络基础.
第5章 网络软件 开发技术 (一) 软件开发技术基础 计算机教学实验中心.
第七章 Linux邮件服务器 安装与配置 本章主要内容: Sendmail的安装和配置 dovecot的安装和配置.
指導教授:黃 燕 忠 教授 研究生 :李欣衛 謝士傑
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
台灣大學計資中心 陳永樵 Mail Server建置與 管理維護 台灣大學計資中心 陳永樵
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第 13 章 DNS 著作權所有 © 旗標出版股份有限公司.
網路安全技術期末報告 Proxy Server
第 16 章 Internet架構.
網域名稱系統 Domain Name System
實驗目的: 明瞭DNS運作原理 建置DNS伺服器
第九章 DNS和DHCP 課前指引 前面的章節已介紹了DoD模型的TCP/IP協定組合,前三層的協定,從本章開始將陸續介紹應用層的協定。本章要介紹的是用於查詢網域主機IP的DNS協定;還有可以讓主機自動取得IP的DHCP協定。
DNS y2k/security 相關問題 剖析及對策
岗位技能(三) Linux网络服务器配置与管理 项目2 架设DNS服务器
97/07/03 【 網際網路介紹 】 上課日期:97年7月3日 主講人:王首惠 技士.
本章主要讲解Internet应用服务器的配置方法,包括DNS服务器、FTP服务器、 服务器。通过对本章的学习,主要掌握以下内容:
第六章 网络基础.
實驗目的: 明瞭DNS運作原理 建置DNS伺服器
5.3 IP地址与域名 IP地址 子网划分 IPv 域名机制 域名解析.
臺灣學術網路竹苗區域網路中心 88年暑期網際網路教育訓練及 推廣研習課程 電子郵件系統 ( ) 的 規劃與建置
Windows 2003 server 進階介紹 麋鹿.
認識FTP檔案傳輸協定 建立我的部落格 Archie檔案檢索服務 Google搜尋密技 歷久彌新的老朋友-BBS Skype網路電話
新世代計算機概論第三版 第11章 網際網路.
Unit 10: Introduction to the Internet
我們的製作人員有: “3C精英” 湛啟初,萬偉傑,陳瑋瑜
解析系統介紹 TWNIC 2000年11月27日.
98年-ichip使用與轉移教育訓練 注意事項 使用者資料備份與還原 資料庫資料匯出與匯入 環境設定備份(時光回溯) 系統基礎操作
網路應用 電子郵件系統 & 廣告信件攔截系統.
新网产品培训 MYDNS功能和使用.
Network Application Programming(3rd Edition)
實驗十一 建置防範病毒信及廣告信之郵件伺服器
ENCNTC ENCNTC 工作報告 南投縣教育網路中心 主講人:林紹湖校長
Domain Name System 蔡 政 道 Ver
信息安全防护技术—— 防火墙和入侵检测 万明
Presentation transcript:

TANet DNS及 Mail Server 系統規劃、維護與管理 期初報告: 89.07.11 執行單位: 交通大學計算機與網路中心

內容概要 DNS 系統建置規劃與管理 E-mail 系統建置規劃與管理 相關課題 附錄 – case study

1. DNS 系統課題 DNS 系統建置規劃與管理 因應網路攻擊 多國語言 mDNS 系統測試

1.1. DNS server 規劃需求 Availability/Reliability Load sharing/balancing Scalability 防治網路入侵攻擊

1.2. DNS Server Hosts 配置與規劃(1) 主機系統選擇 ( platform/OS ) Unix , Windows NT, OS/2, ... 現階段, 仍以 Unix 為佳 硬體設備需求 主要 memory size, 原則是 named 將 90% 以上的 dns query 放在 RAM 中 caching 起來, 不需用到 swap. 目前而言, 建議 64Mb 以上, 專屬系統 系統軟體 ( BIND/named, ... ) 盡量使用最新版的軟體

1.2 DNS Server Hosts 配置與規劃 (2) 網路位址 (多重 servers) master/slave server host 分離, 放在不同的網路區段, 當然如果能放在不同單位, 通常更好. 例如, Slave server 建置於區網/縣網中心 重要 services 使用, 建立獨立的 caching servers 將一般用戶使用和 server 專用者區隔開來 proxy server, mail server 等 因應入侵攻擊, 以及不可預期的錯誤 實際案例 ( 課堂作業可能拖垮校園網路)

1.3. DNS 管理者的基本任務 - 掌理及定義資訊 網域授權 (domain zone -> NS RR) 網域名稱 ( domain name -> A RR) telnet bbs.cis.nctu.edu.tw 電子郵件交換 ( mail exchange -> MX RR) mail cschen@cc.nctu.edu.tw 網址對應 (pointer -> PTR RR) 140.113.1.1 -> ns1.nctu.edu.tw 常用別名 (alias naming -> CNAME RR) proxy.nctu.edu.tw -> wproxy1.nctu.edu.tw 其他功能

. Fig.1 DNS 運作基本架構圖 root servers gov, mil . . . INT tw Arpa com, org,net cn,hk,.. NSAP IP6 gov,mil in-addr net edu org 203 192 . .. com 140 www ncku nctu 113 hc hgsh 127 ee 114 cc nehs cis ... ns1 6 hchs 250 bbs ... mail www .. ccserv2 2 ccserv2.cc.nctu.edu.tw <=> 140.113.6.2 Fig.1 DNS 運作基本架構圖

1.4. DNS server list of “NCTU.edu.tw “ master/slave server 的差別 ? 如何分工 ? 目前 domain zone “NCTU.edu.tw” 登記有 4 個 DNS servers (*) ns.nctu.edu.tw / 140.113.250.135 (primary/master) ns1.nctu.edu.tw / 140.113.1.1 (secondary/slave) ns2.nctu.edu.tw / 140.113.6.2 (secondary/slave) ns3.nctu.edu.tw /163.28.64.246 (臨時增加) master/slave servers 最好分佈在不同的 sub-nets

1.5. DNS/BIND Security 問題 BIND 最新的正式版本 8.2.2-P5 1999.11.12 (released) BIND/named Security issues Buffer overflow 與 CNAME bug 等嚴重問題 參考 CERT 相關網頁報告 ( CERT Advisory ) http://www.cert.org http://dnsrd.nctu.edu.tw/Tech/cert.html Upgrade 到最新版本

1.5.1 DNS 設定與入侵嘗試 特定對象的入侵 尋找不特定的入侵對象 DNS zone transfer 設限 buffer overflow 等系統問題 尋找不特定的入侵對象 forward & reverse domain zone scanning DNS zone transfer 設限 阻擋不特定的目標搜索

1.5.2. DoS Network Attack via DNS DNS 放大攻擊 ( DNS ACL) 假造 IP 封包 ( Router ACL) http://dnsrd.nctu.edu.tw/Tech/cert.html 疏緩之道 個別 DNS 設限 http://dnsrd.nctu.edu.tw/Named-Conf/named.conf-c

Fig 2 經由 DNS 的網路流量放大攻擊 Q: zone transfer Dn: n 是一個很大數目 A: 攻擊者 ( Attacker) Q(1) Q(n) D1 D2 Dn R(1) R(2) R(n) V: 被攻擊者 ( Victum)

1.5.3. DNS server 設限 BIND 8.x /etc/named.conf 的相關片段 // 省略 options { directory /var/named; allow-transfer { none; // 原則上, 阻擋所有 不相干的 zone transfer }; allow-query { Trusted-IP}; // 僅允許鄰近地區的使用者 // 省略 zone “nctu.edu.tw” { type master ; file “Zone-NCTU” ; allow-query { any; }; allow-transfer { 140.113.1.1; 140.113.6.2; // 允許 slave/secondary server zone “113.140.in-addr.arpa” { ….

1.6. mDNS 測試(1) 建立兩個 測試 server Porting issues 中文 input tools mdns1.nctu.edu.tw (140.113.54.119) OS: FreeBSD 3.4-stable mdns2.nctu.edu.tw (140.113.54.19) OS: FreeBSD 4.0-stable Porting issues Bind versions Vendors/OS 中文 input tools

1.6 mDNS 測試 (2) Zone transfer ( server-server ) mdns1.nctu.edu.tw ( master ) mdns2.nctu.edu.tw ( slave) dig 查詢 ( client-server ) dig @mdns2.nctu.edu.tw ‘資工.交大.教育.tw’

2. Mail server 規劃需求 Reliability Load sharing/balancing Scalability Mail Delivery Issues Anti-SPAM Issues Anti-virus Issues

2.1 E-mail 系統規劃原則 出入的 Mail 分流 E-mail, 收/送系統分開 兩段式, 的 e-mail 收送系統 增加系統彈性 提昇系統整體使用效能 兩段式, 的 e-mail 收送系統 使用 mail relay/forwarder 有效提昇頻寬利用 提昇系統的穩定度 (availability/reliability) 加強系統安全管理

2.2 出入的 Mail 分流 分開不同機器 /usr/lib/sendmail –bd # incoming jobs SMTP Server (outgoing) POP3/IMAP Server ( incoming ) 同一機器, 但 incoming 與 outgoing 經由不同 process /usr/lib/sendmail –bd # incoming jobs /usr/lib/sendmail -q30m # outgoing jobs

2.3 Incoming Mail 系統的規劃 使用 Mail Relay DNS 上 的相關配合設定 ; e-mail 最終目的地 ==> E-mail: cschen@cc.nctu.edu.tw cc.nctu.edu.tw. IN MX 10 mgate.nctu.edu.tw. ; mail relay ==> 宜善加利用, 可作為“備援與轉接”之用 cc.nctu.edu.tw. IN MX 20 m-relay.nctu.edu.tw. ;

2.4.1 Outgoing Mail 的轉送 (1) - Smart Relay + Mailer-table Sendmail (Smart Relay) /etc/mail/sendmail.cf # Smart Relay DSm-fwd.nctu.edu.tw:m-relay.nctu.edu.tw

2.4.2 Outgoing Mail的轉送 (2) - Smart Relay + Mailer-table Sendmail (Mailertable) /etc/mail/mailertable # DNS MX lookup cc.nctu.edu.tw smtp:ccms.nctu.edu.tw # No DNS MX lookup cc.nctu.edu.tw smtp:[math.nctu.edu.tw]

2.5. Mail Relay/Forwarder 的設立與管理 建立聯防體系 提供 relay/forwarder 列表, 處理誤用情況

Mail 的接收- 混成傳送模式 Internet 區網中心 Mail Relay Fig.3 Hybrid Internet Mail Delivery

Mail 的接收- 轉送模式 Internet Fig.4 Mail aliasing/forwarding Campus Mail Forwarding server Acer.cis89@nctu.edu.tw Internet Honda.cm90@nctu.edu.tw Fig.4 Mail aliasing/forwarding Grade-90 Mail Server Grade-89 Mail Server

Mail 的寄送- 間接傳送模式 Internet 區網中心 Mail Relay Fig.5 Indirect Internet Mail Delivery Local SMTP Server

2.6. SPAM Mail & DNS SPAM Mail <=> UCE/UBE (不請自來) UCE/UBE 散佈途徑 UCE = Unsolicited Commercial E-mail UBE = Unsolicited Bulk E-Mail UCE/UBE 散佈途徑 名單收錄 www homepage, USENET news articles account password files on individual servers 其他不當途徑 ( program bug, 招募會員活動, …) 找尋管理較鬆散的 mail relay Domain Zone scanning ( DNS) URL scanning (web pages )

2.6.2. Anti SPAM Mail & DNS ACL SMTP server upgrade/patch DNS 設ACL 限定 mail relaying 對象 DNS 設ACL 可相當程度阻擋不特定的 relay 嘗試 系統管理人員介入 聯絡相關系統的管理人員 rbl 建立 (Real-time Block List )

Fig.6 Anti-SPAM & Anti-virus Mail 流程示意(二) Mail Server Internet Mail 暫存區 sendmail 掃毒軟體 POP3/IMAP server Mail spool 用戶 PC Netscape/MS-IE 用戶 Mail 存放區 掃毒軟體

3. Todo List 建立DNS/Mail server 示範網站 網路流量分析與追蹤 (netflow) 建立聯防資訊系統 區網與縣市網工作配合事項 Dnswalk, anti-spam mail

3.1. 網路流量分析與追蹤 了解正常的 DNS 與 SMTP 流量 (netflow) 流量異常的可能原因 系統工作或設定不正常 系統被入侵, 當作攻擊他站的跳板 系統被偽裝使用 e.g. 以 tcp port 53 跑其他非 DNS 程式 其他

3.2. 問題處理與追蹤 各單位聯絡 e-mail address (Internet 慣例) postmaster@your-domain-zone abuse@your-organization,security@your-organization 例如, postmaster@nctu.edu.tw, abuse@nctu.net.tw, webadmin@www.nctu.edu.tw, newsadmin@netnews.nctu.edu.tw

3.3. 建立聯防管理系統 落實 contact person/address 共享管理資訊 Online alert information Offline probing/scanning Dnswalk [DNS/bind] Anti-spam probing [SMTP]

附錄- DNS/Mail 系統個案研究 mbox@xyz.com.tw 轉到 德國某公司 WINS 與 DNS 搭配問題 前幾年有 BBS/Mail, 戲稱要暗殺美國總統柯林頓 未即時處理, 引起軒然大波. mbox@xyz.com.tw 轉到 德國某公司 本地公司設定錯誤 回報到該公司, 該國的 CERT, 以及TWNIC WINS 與 DNS 搭配問題 網路攻擊的中途站(1999.08) TANet 竹苗區網某校的 DNS server 被入侵

A.1.1 DNS & Mail - 烏龍事件 成因 舊版 BIND/named 有 bug 系統管理人員觀念不夠清楚 前幾年,有德國X公司反應, 持續不斷接收到, 許多應該是寄往台灣Y公司的 e-mail, 卻一直被轉往該公司. 因為收信的帳號不存在, 系統於是一直產生, user 不在的退信, 持續往系統管理信箱塞, 信件越累積越多, 導致server performance 大受影響. 由於該公司並無台灣分公司, 也找不出合理的解釋, 於是開始擔心有台灣的競爭對手, 想癱瘓他們網路的正常運作, 接下來只好採取正式的防衛行動, 透過正式的 CERT 向相關單位反應, ... 成因 舊版 BIND/named 有 bug 系統管理人員觀念不夠清楚 系統管理人員輸入資料時, IP address 打錯

A.1.2. DNS & Mail - 烏龍事件(續) 示意範例 $origin xyz.com.tw. 底下 IP address 與 domain name 都是隨意假定 這個 server 上的 BIND/named 有 bug $origin xyz.com.tw. Xyz.com.tw. IN MX 10 mail.xyz.com.tw. Xyz.com.tw. IN MX 10 mail.ABC.net.tw. ; 錯誤 Mail.xyz.com.tw. In A 192.168.123.45 mail.ABC.net.tw. IN A 139.75.6.78 ; 設定錯誤 ;mail.ABC.net.tw. IN A 139.175.6.78 ;台灣 ;mserver.ZYX.de IN A 139.75.6.78 ;德國

A.2. WINS 與 DNS WINS 設定不當, 導致大量消耗可用頻寬 啟動 Negative Caching 功能 實例,過去 TANet 竹苗區網某一學校, 曾經發生 http://www.edu.tw (MOECC newsletter, 參考 8801-8806 期 ) 儘量避免使用 啟動 Negative Caching 功能 自我保護 避免拖累網路大環境 請Upgrade 到最新版本 ( BIND 8.x 以後) 內建 Negative Caching

A.3. 竹苗區網 DNS server 入侵事件 某校在區網的網域, 登錄有兩個 DNS server 該 server-A 有 security hole, 被外來者闖入 入侵者, 持續透過該 server-A, 嘗試入侵國外網站 網域上層, 持續收到國外不同地方轉來的抱怨與求助 e-mail 電話通知該校管理者處理. 後來轉維護廠家工程師. 將近一週, 仍無改善. 區網接手, 協助處理. 設 tcp_wrapper, 擋掉不明來源的連線.