DNS y2k/security 相關問題 剖析及對策

Slides:



Advertisements
Similar presentations
●網路能做些什麼呢? 檔案管理 共享檔案 傳輸檔案 共享應用程式 資料庫 網路電玩 週邊設備分享 印表機 硬碟空間 光碟機 傳真 / 數據機 和其他網路使用者交流 收發電子郵件 電子會議 網路電玩 在網路上,必須透過帳號與密碼來管理使用者的身分與權限.
Advertisements

Internet & WWW 靜宜大學資訊工程學系 蔡奇偉 副教授 靜宜大學資訊工程學系 蔡奇偉 副教授.
DNS DNS( Domain Name System): 域名系统 DNS 介绍 DNS 基本构成 DNS 名字解析过程 在 Windows2000 中配置 DNS.
2008年上海市精品课程 2007年度上海建桥学院教改课程 计算机网络技术 理论 DNS服务的应用 项目负责人 张嗣萍/本环节主讲教师 阮鹏.
计算机网络技术基础(第三版) 主编:尚晓航 高等教育出版社
6.1 区域委派与域名转发 6.2 虚拟主机技术 6.3 架设FTP服务器 6.4 动态主机分配协议 6.5 架设Mail服务器
第6章 网络应用基础 主讲:.
Windows 2000/XP网络组建与系统管理 李燕 中南分校.
第七章 Internet网络应用.
第9章 DNS服务器的配置与管理 DNS的基本概念 DNS的测试 DNS服务器的动态更新 Windows Server 2003网络操作系统
第五章 网络服务组件.
第9章 DNS和DHCP.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第 八 章 Internet 基础.
Internet Chapter INTERNET的起源 8-2 Internet提供的資源 8-3 寬頻上網的方式
第4单元 网络技术与信息安全.
課程名稱:計算機概論 授課老師:李春雄 博士
计算机基础知识培训 信息所网络研究室.
第4单元 网络技术与信息安全.
第七章 Internet 基础与应用 第一节 主机名字与域名服务 第二节 Internet的域名体系 第三节 主机名字的书写方法
怎样利用搜索引擎检索网络资源 1. 网络的基础知识
網路駭客攻擊方式與防範 康宇佳 劉雙瑜 彭昕婷 陳韋蓉
資訊安全與防毒 Chapter 認識資訊安全 14-2 網路帶來的安全威脅 14-3 電腦病毒/特洛依木馬/網路蠕蟲
了 解 从 Internet IP 开 始.
TANet DNS及 Mail Server 系統規劃、維護與管理 期初報告:
电子商务概论 第二章 电子商务网络技术基础.
BOTNET Detection and Prevention
网页的欣赏与设计 主讲:杨军锋.
复旦大学计算机学院 肖川 计算机网络与网页制作 复旦大学计算机学院 肖川
第一节 电子商务网站规划 第二节 网络服务的选择与费用核算 第三节 网站内容建设
第7章 计算机网络与安全.
了 解 Internet 从 ip 开 始.
臺灣學術網路竹苗區域網路中心 89年網際網路教育訓練及 推廣研習課程 網路系統安全
交通大學計算機與網路中心 陳 昌 盛 網域名稱伺服系統 (DNS) 規劃與建置 交通大學計算機與網路中心 陳 昌 盛 TANet DNS Tutorial Course,
DNS 西安交通大学 李思 2004年8月23日.
计算机网络基础.
指導教授:黃 燕 忠 教授 研究生 :李欣衛 謝士傑
計資中心教學研究組唐瑤瑤 電腦與網路 計資中心教學研究組唐瑤瑤
第 13 章 DNS 著作權所有 © 旗標出版股份有限公司.
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
網路安全技術期末報告 Proxy Server
(C) Active Network CO., Ltd
第 16 章 Internet架構.
網域名稱系統 Domain Name System
實驗目的: 明瞭DNS運作原理 建置DNS伺服器
網站架構與網頁設計基礎 清雲科技大學資管系 歐陽芳泉.
第九章 DNS和DHCP 課前指引 前面的章節已介紹了DoD模型的TCP/IP協定組合,前三層的協定,從本章開始將陸續介紹應用層的協定。本章要介紹的是用於查詢網域主機IP的DNS協定;還有可以讓主機自動取得IP的DHCP協定。
岗位技能(三) Linux网络服务器配置与管理 项目2 架设DNS服务器
97/07/03 【 網際網路介紹 】 上課日期:97年7月3日 主講人:王首惠 技士.
單元六:你信賴電子商務嗎? (網域名稱、商標與爭議處理)
本章主要讲解Internet应用服务器的配置方法,包括DNS服务器、FTP服务器、 服务器。通过对本章的学习,主要掌握以下内容:
實驗目的: 明瞭DNS運作原理 建置DNS伺服器
5.3 IP地址与域名 IP地址 子网划分 IPv 域名机制 域名解析.
臺灣學術網路竹苗區域網路中心 88年暑期網際網路教育訓練及 推廣研習課程 電子郵件系統 ( ) 的 規劃與建置
益思科技法律事務所 賴文智律師 網域名稱與商標權 益思科技法律事務所 賴文智律師
Windows 2003 server 進階介紹 麋鹿.
本章要点: 计算机网络的基本概念 Internet基础 Internet服务
4 網路開站設備選購指南.
新世代計算機概論第三版 第11章 網際網路.
Unit 10: Introduction to the Internet
我們的製作人員有: “3C精英” 湛啟初,萬偉傑,陳瑋瑜
第一章 互联网与网站 Cpt1 Interent & Website
解析系統介紹 TWNIC 2000年11月27日.
98年-ichip使用與轉移教育訓練 注意事項 使用者資料備份與還原 資料庫資料匯出與匯入 環境設定備份(時光回溯) 系統基礎操作
网络域名及其管理 复习IP地址相关知识,上网时为什么没有输入IP地址而是输入如
新网产品培训 MYDNS功能和使用.
ENCNTC ENCNTC 工作報告 南投縣教育網路中心 主講人:林紹湖校長
大学计算机基础 5-5 网络地址与域名系统.
Domain Name System 蔡 政 道 Ver
信息安全防护技术—— 防火墙和入侵检测 万明
Presentation transcript:

DNS y2k/security 相關問題 剖析及對策 交通大學計算機與網路中心 陳昌盛 cschen@cc.nctu.edu.tw 1999.10.23 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop Contents TW 網域現狀 Generic System Configuration Issues DNS y2k 相關問題 DNS Server Security Issues Network/System Security & DNS SPAM & DNS Case Study TANet’99 Conference & TWNIC Technical Workshop

. Fig. 1 DNS 運作基本架構圖 root servers gov, mil . . . INT tw Arpa com, org,net cn,hk,.. NSAP IP6 gov,mil in-addr net edu org 203 192 . .. com 140 www ncku nctu 113 hc hgsh 127 ee 114 cc nehs cis ... ns1 6 hchs 250 bbs ... mail www .. ccserv2 2 ccserv2.cc.nctu.edu.tw <=> 140.113.6.2 Fig. 1 DNS 運作基本架構圖

TANet’99 Conference & TWNIC Technical Workshop Fig. 2 tw 網域組織架構現狀 tw ccTLD ccSLD net com edu org gov mil Notes: 1. ccTLD = country code Top Level Domain 2. ccSLD = country code Secondary Level Domain 3. 反解網域 (reverse domain zone), 並不在此列 4. ccSLD 未來可能再增加 TANet’99 Conference & TWNIC Technical Workshop

2. Generic System Configuration Issues Load sharing/balancing ( DNS, Mail, …) 提昇整體網路及系統效能 (global internetworking ) Backup system ( DNS, Mail,…) high availability/reliability Relaying System ( DNS, Mail , WWW ) 類似同義詞 : proxy, forwarding Caching ( DNS, www proxy, ftp mirror) TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 2.1 DNS server 規劃與建置 每一網域都應建置兩個以上的 DNS server 網路備援 分散 loading 提昇整體效能 ( 計算 RTT, 往最近處查詢) ccTLD, ccSLD 服務的 server 足夠嗎 ? ccTLD =2, ccSLD=2,3 應增加 同一網域 server 宜考慮分散不同處所 停電, 斷網, 系統受攻擊, 當機等效應 (ccTLD, ccTLD) 不太會改變者, 每筆資料的 TTL 宜設長一點 減少不必要的 DNS 查詢, 提昇網路系統效能及穩定度 建議 TTL >= 3 天 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop NS=(moevax.edu.tw, ns.twnic.net) NS=(aladdin.iii.org.tw, moevax.edu.tw) com edu NS=(moevax.edu.tw, moesun.edu.tw) gov NS=(hntp1.hinet.net,hntp2.hinet.net, dns.hinet.net) NS=(dns1.mil.tw, dns2.mil.tw) mil net NS=(aladdin.iii.org.tw, moevax.edu.tw) NS=(aladdin.iii.org.tw, moevax.edu.tw) org Fig. 3 tw 網域 DNS server 配置現狀 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 2.2 DNS server 規劃及建置問題 沒有複式 server 的觀念 國內第三層以下 domain zone 常見的問題 多未建立 slave/secondary DNS server 公司行號, 政府單位, 新成立的中小學縣市網路 反解網域的註冊與管理 比以往有進步, 但觀念普及仍不夠 相關領域: SPAM mail 的反制, www proxy 的管理 相關中文文件太少 http://dnsrd.nctu.edu.tw TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 3. DNS/BIND 與 y2k DNS server host 進行系統 y2k 實機測試 分散系統 e.g., Solaris 7, FreeBSD 3.2-stable 系統軟體部分 BIND 8.2 is y2k-compliance http://www.isc.org/ISC/y2k.html DNS server y2k conformance testing TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 3.1 DNS/BIND Security 問題 BIND 最新的正式版本 8.2.2 1999.10.19 (released) BIND/named Security issues Buffer overflow 與 CNAME bug 等嚴重問題 參考 CERT 相關網頁報告 ( CERT Advisory ) http://www.cert.org Upgrade 到最新版本 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 3.2 WINS 與 DNS WINS 設定不當, 導致大量消耗可用頻寬 實例,過去 TANet 竹苗區網某一學校, 曾經發生 http://www.edu.tw (MOECC newsletter, 參考 8801-8806 期 ) 儘量避免使用 啟動 Negative Caching 功能 自我保護 避免拖累網路大環境 請Upgrade 到最新版本 ( BIND 8.x 以後) 內建 Negative Caching TANet’99 Conference & TWNIC Technical Workshop

4. Network/System Security & DNS 了解問題 問題回報及追蹤 解決問題 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 4.1 常見的網路攻擊型態 Denial-of-Service ping ( system bug ) SPAM E-mail/NetNews, ... Intrusion (電腦與網路入侵) Trojan Horse ( BO, NetBus, ...) computer virus Information Theft Trojan Horse ( BO, NetBus, … 遙控程式) TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 4.1.1 問題處理與追蹤 Security 問題回報及反應 向相關單位報備及追蹤問題 向相關 CERT 報備及追蹤問題 各單位聯絡 e-mail address (Internet 慣例) postmaster@your-domain-zone abuse@your-organization,security@your-organization 例如, postmaster@nctu.edu.tw, abuse@seed.net.tw TANet’99 Conference & TWNIC Technical Workshop

4.2 Generic Access Control Issues 分層負責 Router ACL DNS server ACL 個別 server 的 ACL SMTP - sendmail http proxy - squid NNTP - inn向 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 4.3 DNS 設定與入侵嘗試 特定對象的入侵 buffer overflow 等系統問題 尋找不特定的入侵對象 forward & reverse domain zone scanning DNS zone transfer 設限 阻擋不特定的目標搜索 TANet’99 Conference & TWNIC Technical Workshop

4.3.1 DNS server 限制 zone transfer BIND 8.x /etc/named.conf 的相關片段 options { directory /var/named; allow-transfer { none; // 原則上, 阻擋所有 不相干的 zone transfer }; // 省略 zone “nctu.edu.tw” { type master ; file “Zone-NCTU” ; allow-transfer { 140.113.1.1; 140.113.6.2; // 允許 slave/secondary server zone “113.140.in-addr.arpa” { …. TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 4.4 Mail SPAM & DNS SPAM Mail <=> UCE/UBE (不請自來) UCE = Unsolicited Commercial E-mail UBE = Unsolicited Bulk E-Mail UCE/UBE 散佈途徑 名單收錄 www homepage, USENET news articles account password files on individual servers 其他不當途徑 ( program bug, 招募會員活動, …) 找尋管理較鬆散的 mail relay Domain Zone scanning ( DNS) URL scanning (web pages ) TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 4.4.1 Anti SPAM Mail & DNS ACL SMTP server upgrade/patch 限定 mail relaying 對象 DNS 設ACL 可相當程度阻擋不特定的 relay 嘗試 系統管理人員介入 聯絡相關系統的管理人員 rbl 建立 (Real-time Block List ) TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 5. Case Study 前幾年有 BBS/Mail, 戲稱要暗殺美國總統柯林頓 未即時處理, 引起軒然大波. 後來美國轉到外交單位轉回國內教育部處理 mbox@xyz.com.tw 轉到 德國某公司 本地公司設定錯誤 回報到該公司, 該國的 CERT, 以及TWNIC 網路攻擊的中途站(1999.08) TANet 竹苗區網某校的 DNS server 被入侵 參考 http://dnsrd.nctu.edu.tw TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 5.1 DNS & Mail - 烏龍事件 前幾年,有德國X公司反應, 持續不斷接收到, 許多應該是寄往台灣Y公司的 e-mail, 卻一直被轉往該公司. 因為收信的帳號不存在, 系統於是一直產生, user 不在的退信, 持續往系統管理信箱塞, 信件越累積越多, 導致server performance 大受影響. 由於該公司並無台灣分公司, 也找不出合理的解釋, 於是開始擔心有台灣的競爭對手, 想癱瘓他們網路的正常運作, 接下來只好採取正式的防衛行動, 透過正式的 CERT 向相關單位反應, ... 成因 舊版 BIND/named 有 bug 系統管理人員觀念不夠清楚 系統管理人員輸入資料時, IP address 打錯 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 5.1 DNS & Mail - 烏龍事件(續) 示意範例 底下 IP address 與 domain name 都是隨意假定 這個 server 上的 BIND/named 有 bug $origin xyz.com.tw. Xyz.com.tw. IN MX 10 mail.xyz.com.tw. Xyz.com.tw. IN MX 10 mail.ABC.net.tw. ; 錯誤 Mail.xyz.com.tw. In A 192.168.123.45 mail.ABC.net.tw. IN A 139.75.6.78 ; 設定錯誤 ;mail.ABC.net.tw. IN A 139.175.6.78 ;台灣 ;mserver.ZYX.de IN A 139.75.6.78 ;德國 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 5.2 竹苗區網 DNS server 入侵事件 某校在區網的網域, 登錄有兩個 DNS server 不過, 從一開始, 就只有建立一個 server 該 server-A 有 security hole, 被外來者闖入 入侵者, 持續透過該 server-A, 嘗試入侵國外網站 網域上層, 持續收到國外不同地方轉來的抱怨與求助 e-mail 電話通知該校管理者處理. 後來轉維護廠家工程師. 將近一週, 仍無改善. 區網接手, 協助處理. 設 tcp_wrapper, 擋掉不明來源的連線. TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 5.3 DNS 與相關系統管理 結論 各網域必須落實設立兩個以上 DNS server 重要 server 勤作 security patch DNS 設 ACL, 限制 zone transfer 委外廠商維護能力, 意願與合約 TANet’99 Conference & TWNIC Technical Workshop

TANet’99 Conference & TWNIC Technical Workshop 參考網頁與資料 按照 URL 的英文字母順序 http://dnsrd.nctu.edu.tw ( DNS/BIND) http://www.cert.org ( Security) http://www.dns.net/dnsrd/ ( DNS/BIND) http://www.isc.org ( BIND) http://www.sendmail.org ( anti-spam ) http://www.twnic.net ( TWNIC,DNS) USENET newsgroups comp.protocols.tcp-ip.domains comp.protocols.dns.bind TANet’99 Conference & TWNIC Technical Workshop