DNSSEC/TSIG
Download
1 / 23

DNSSEC/TSIG 介紹 TWNIC 陳式偉 2002 年 04 月 12 日 dbacsw@twnic.tw - PowerPoint PPT Presentation


  • 327 Views
  • Updated On :
  • Presentation posted in: General

DNSSEC/TSIG 介紹 TWNIC 陳式偉 2002 年 04 月 12 日 dbacsw@twnic.net.tw. 內容大綱. DNS 安全 DNS Security(DNSSEC)/SIG/TSIG 介紹 Notes of the DNSSEC Technology 結論. DNS 安全. Domain Name Server 外部 進行的威脅 癱瘓 DNS 服務方式 (Denial of Service) 應用程式瑕疵所產生的漏洞 (BIND) 利用假記錄提供錯誤資訊 Domain Name Server 內部安全防護

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'DNSSEC/TSIG 介紹 TWNIC 陳式偉 2002 年 04 月 12 日 dbacsw@twnic.tw ' - augustin


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Slide1 l.jpg

DNSSEC/TSIG 介紹

TWNIC

陳式偉

2002年04月12日

dbacsw@twnic.net.tw


Slide2 l.jpg
內容大綱

  • DNS 安全

  • DNS Security(DNSSEC)/SIG/TSIG介紹

  • Notes of the DNSSEC Technology

  • 結論


Slide3 l.jpg
DNS 安全

  • Domain Name Server外部進行的威脅

    • 癱瘓DNS服務方式(Denial of Service)

    • 應用程式瑕疵所產生的漏洞 (BIND)

    • 利用假記錄提供錯誤資訊

  • Domain Name Server內部安全防護

    • Domain Name Server保護措施

    • IDS入侵偵測與安全防護機制建立

    • 入侵災害應變回復計劃

  • 入侵Domain Name Server徵兆


Domain name server l.jpg
Domain Name Server 保護措施

  • 更新DNS BIND版本至8.2.5以上,8.2.3之前有漏洞

  • 8.2版本以後可更改Version的查詢顯示

    • EX: options { version “What do you want “};

  • 限制AXFR(allow-transfer)來源,至少先Check default設定

  • 建立cache-only之主機,即以slave主機提供外部查詢

  • 平時須注意log中DNS core dump記錄,或/var/named目錄中core dump file

  • Unix系統以非系統根管理者(Root)身份啟動DNS服務, 避免入侵者取得Root身分,但Windows系統DNS無法更改

  • BIND 8.1.2以後提供啟動後更改使用者ID(UID)功能

    • EX: named –u named


Domain name server5 l.jpg
Domain Name Server保護措施(續)

  • 防範自身Domain Name Server詢問已被造假的Domain Name Server,而取回假的Domain Name資訊

    • 若Domain Name Server不接受遞迴查詢,則可關閉recursion功能及glue fetching功能

    • 若Domain Name Server提供其他解析服務或為其他Domain Name Server的forwarder,則不可關閉recursion功能,這時就應限制服務對象,限制詢問要求的來源(IP Address),或可查詢的轄區範圍

    • EX: BIND 8

      • options{ recursion no; fetch-glue no;}


Domain name server6 l.jpg
Domain Name Server保護措施(續)

  • 一般Domain Name Server的限制

    • 對所轄之名稱資訊(Resource Record),可服務任何IP的查詢要求

    • 對轄區外的名稱資訊,只應服務來自內部或可信賴的IP的查詢要求

  • Cache only Domain Name Server的限制

    • 只應服務來自特定IP的解析器

  • Authoritative only Domain Name Server

    • 須服務來自任何IP的查詢,但拒絕recursion查詢要求


Domain name server7 l.jpg
Domain Name Server保護措施(續)

  • Zone Transfer 限制

    • 避開他人使用nslookup之ls功能及dig之axfr選項,此兩指令要求Zone Transfer功能

    • Primary master and Slave間限制Zone Transfer要求的服務對象

  • Dynamic Update之更新須限制

    • EX : zone “XXX.com.tw” { type master; file “db.XXX.com.tw”; allow-update { 10.9.8.7 } };


Slide8 l.jpg
IDS入侵偵測與安全機制

  • 使用防火牆

  • 安裝入侵偵測系統,Ex: snort

  • 使用安全掃瞄工具自動檢測系統,自行檢測漏洞

  • 參考CERT mailing list所發布之最新消息,掌握即時入侵資訊

  • 注意其他非DNS應用系統提供的服務,所衍生安全問題,如rpc(111/tcp),ftp(21/tcp),sshd(22/tcp),ntpd(43/tcp)(net time protocol),telnetd(BSD,23/tcp)等等,眾所周知的service


Domain name server9 l.jpg
入侵Domain Name Server徵兆

  • Domain Name Server資料被篡改

  • 網站可能無法訪問(因大多數使用者使用FQDN方式,而無法正確解析)

  • 使用者可能訪問的網站是假的,騙走使用者登錄資料

  • 電子郵件不能收,或被攔截修改等

  • 如有提供認證服務等相關業務,需使用反解資訊等服務時,會產生認證造假之問題


Dns security dnssec sig l.jpg
DNS Security(DNSSEC)/SIG介紹

  • March 1999 由IBM D. Eastlake 提出成為標準

  • DNS SECurity extensions 特性

    • 使用數位簽章提供資料完整性(SIG Record)

    • 使用public key提供認證機制

    • 保有選擇認證機制與否彈性

    • 可靈活配合自定之安全機制政策

    • DNS內建解析與應用此加密與認證功能


Dnssec l.jpg
DNSSEC

  • DNSSEC 包含四部分

    • 數位簽章(Digital Signature)

    • TSIG ,使用於Zone Transfer、DHCP registration 及與其他nameserver間之traffic

    • Secure dynamic update for using TSIG

    • 定義 CERT Resource Record for using security data


Dnssec tsig l.jpg
DNSSEC/TSIG

  • Transaction Signature (TSIG ; RFC 2845) , 使用加密簽章驗證DNS訊息,特別是回應與更新

    • 新增MD5 hash加密簽章(cryptographic signature)方式,以認證nameserver間資料傳輸

    • 首先須於Primary master上自行產生加密簽章,之後將此簽章傳遞給Slave,經設定後由Slave以密碼簽章送往Primary master要求Zone Transfer

    • 同時亦提供服務給加密簽章簽署過的動態更新要求

    • TSIG功能

      • 確認DNS之資訊是由某特定DNS Server提供

      • 大多數應用於DNS間之Zone Transfer,確保 Slave與Primary nameserver複製資料不會由其它假的nameserver提供或被篡改截取


Dnssec tsig13 l.jpg
DNSSEC/TSIG設定步驟

  • Transaction Signature (TSIG) 設定 --- 以BIND為例

    • 步驟一:執行 dnskeygen function產生兩個Secret Key,一為Public key file,另一為Private key file

      • dnskeygen -H 256 -h -n 20020410.tsigkey

      • -H : Key size ,Range 1-512

      • -h : create a host key

      • -n : the name of the key

    • 步驟二:複製此兩Secret Key file,至Primary and Slave nameserver,即使用相同的KEY認證


Dnssec tsig14 l.jpg
DNSSEC/TSIG設定步驟(續)

  • 步驟三:新增Secret Key於Primary and Slave Name Server之Configuration file (named.conf),目的是設定nameserver key內容

    • 使用 key 語法如下:

      • key 20020410.tsigkey.{ algorithm “hmac-md5”; secret “Hw/yHcn81113q1B7tzAxo3n4+Qmdn…”; };


Dnssec tsig15 l.jpg
DNSSEC/TSIG(續)

  • 步驟四:設定Primary與Slave nameserver啟動時機,目的是由指定nameserver IP 須使用已設定之 key進行認證

    • 使用 server 語法如下

    • 於Primary nameserver named.conf 加入

      • server slave-IP { keys {“20020410.tsigkey.”; }; };

    • 亦於Slave nameserver named.conf 加入

      • server primary-IP { keys {“20020410.tsigkey.”; }; };


Dnssec tsig16 l.jpg
DNSSEC/TSIG(續)

  • 步驟五:重新啟動此兩台nameserver,並檢視log files

    • 使用 ndc reconfig nameserver,先shutdown 再重新啟動

    • Check log file 看有無warnings or errors


Dnssec tsig17 l.jpg
DNSSEC/TSIG動態更新

  • BIND 8.2+ EX :

    • Nsupdate –k /var/named:20020410.tsigkey.

  • BIND 9 EX:

    • Nsupdate –k 20020410.tsigkey.key

    • Nsupdate –k 20020410.tsigkey.private


Dnssec tsig18 l.jpg
DNSSEC/TSIG限制

  • 如果Primary master與Slave其中任一遭到入侵,則失去保護作用,因入侵者可取得加密簽章

  • TSIG無法對廣大INTERNET Name server全面進行設置TSIG加密簽章,因使用相互共享的加密簽章,故使用TSIG將面臨散佈加密簽章與管理上的問題


Notes of dnssec technology l.jpg
Notes of DNSSEC Technology

  • Group Status Report

    • NLnet Labs目前實驗Signing large Zone並無問題

    • VersigDNS代管服務已有規模,試圖提供DNSSEC服務

    • RSSAC認為TSIG值得發展

      • 於Root DNS上須進行較長時間的測試

      • 重複認證Zone Key程序影響

    • CIRN建立trust鏈結,於DNS Tree中斷或不安全時,DNSSEC容錯的機制

    • NISA研究加上DNSSEC時work load前後比較

    • DISA指出BIND DNS Service已可支援DNSSEC


Notes of dnssec technology20 l.jpg
Notes of DNSSEC Technology

  • Group Status Report

    • RIPE NCC研究DNSSEC對IP-registry的衝擊

    • ARIN研究DNSSEC對

      • in-addr.arpa Zone的影響

      • IPV6 的影響

    • IP6.ini.domain於DNS已使用TSIG與CERT Records


Notes of dnssec technology21 l.jpg
Notes of DNSSEC Technology

  • DNSSEC 遭遇之問題

    • DNSSEC是否到了可推廣時機?市場是否接受?

    • Client端相關AP是否支援DNSSEC?

      • AP直接使用DNSSEC尚須努力,如於作業系統之gethostbyname LIB加入DNSSEC功能

    • 是否需有CA認證 Parent/children簽章機制?

  • TSIG 應用保障Zone Transfer 已成熟


Slide22 l.jpg
結論

  • 注意Named.conf設定

    • Logging設定愈完整,發生問題時愈容易查驗

      • Version設定 “What do you want?”

      • 設定lamer_log,security_log,packet_log等

      • Options設定或Zone domain設定,其中allow-transfer參數須再次檢查

    • 使用Zone Transfer加入TSIG加密簽章認證設定

  • 不以系統管理者(root)啟動nameserver

  • 其他service漏洞修補

  • 每日檢視log file


Slide23 l.jpg
參考

  • RFC 1034,1035定義 Domain Name System運作結構

  • RFC 2535定義 DNS security extensions (SIG)

  • RFC 2845定義 DNS Secret Key Transaction Authentication for DNS (TSIG)

  • RFC 3008定義 Domain Name System Security (DNSSEC) Signing Authority, 針對 RFC 2535 提出修正,限制DNSSEC Signature(SIG) Records 修改權限

  • RFC 3130匯集第49屆IETF會議對DNS Security Extension (DNSSEC)結論

  • www.linux.ie/articles/tutorials/dns-tsig.php

  • DNS & BIND 3/e,蔣大偉編譯


ad
  • Login