Download
1 / 25
250 likes | 364 Views
DNS y2k/security 相關問題 剖析及對策. 交通大學計算機與網路中心 陳昌盛 cschen@cc.nctu.edu.tw 1999.10.23. TANet’99 Conference & TWNIC Technical Workshop. Contents. TW 網域現狀 Generic System Configuration Issues DNS y2k 相關問題 DNS Server Security Issues Network/System Security & DNS SPAM & DNS Case Study.
E N D
DNS y2k/security 相關問題剖析及對策 交通大學計算機與網路中心 陳昌盛 cschen@cc.nctu.edu.tw 1999.10.23 TANet’99 Conference & TWNIC Technical Workshop
Contents • TW 網域現狀 • Generic System Configuration Issues • DNS y2k 相關問題 • DNS Server Security Issues • Network/System Security & DNS • SPAM & DNS • Case Study TANet’99 Conference & TWNIC Technical Workshop
. root servers gov, mil . . . INT tw Arpa com, org,net cn,hk,.. NSAP gov,mil IP6 in-addr net edu org 203 192 . .. com 140 www ncku nctu hgsh 113 hc 127 ee 114 cc nehs cis ... ns1 6 hchs 250 bbs ... mail www .. ccserv2 2 ccserv2.cc.nctu.edu.tw <=> 140.113.6.2 Fig. 1 DNS 運作基本架構圖
Fig. 2 tw 網域組織架構現狀 tw • ccTLD • ccSLD net com edu org gov mil Notes: 1. ccTLD = country code Top Level Domain 2. ccSLD = country code Secondary Level Domain 3. 反解網域 (reverse domain zone), 並不在此列 4.ccSLD 未來可能再增加 TANet’99 Conference & TWNIC Technical Workshop
2. Generic System Configuration Issues • Load sharing/balancing ( DNS, Mail, …) • 提昇整體網路及系統效能 (global internetworking ) • Backup system ( DNS, Mail,…) • high availability/reliability • Relaying System ( DNS, Mail , WWW ) • 類似同義詞 : proxy, forwarding • Caching ( DNS, www proxy, ftp mirror) TANet’99 Conference & TWNIC Technical Workshop
2.1 DNS server 規劃與建置 • 每一網域都應建置兩個以上的 DNS server • 網路備援 • 分散 loading • 提昇整體效能 ( 計算 RTT, 往最近處查詢) • ccTLD, ccSLD 服務的 server 足夠嗎 ? • ccTLD =2, ccSLD=2,3 應增加 • 同一網域 server 宜考慮分散不同處所 • 停電, 斷網, 系統受攻擊, 當機等效應 (ccTLD, ccTLD) • 不太會改變者, 每筆資料的 TTL 宜設長一點 • 減少不必要的 DNS 查詢, 提昇網路系統效能及穩定度 • 建議 TTL >= 3 天 TANet’99 Conference & TWNIC Technical Workshop
tw NS=(moevax.edu.tw, ns.twnic.net) NS=(aladdin.iii.org.tw, moevax.edu.tw) com NS=(moevax.edu.tw, moesun.edu.tw) edu NS=(hntp1.hinet.net,hntp2.hinet.net, dns.hinet.net) gov NS=(dns1.mil.tw, dns2.mil.tw) mil NS=(aladdin.iii.org.tw, moevax.edu.tw) net NS=(aladdin.iii.org.tw, moevax.edu.tw) org Fig. 3 tw 網域 DNS server 配置現狀 TANet’99 Conference & TWNIC Technical Workshop
2.2DNS server 規劃及建置問題 • 沒有複式 server 的觀念 • 國內第三層以下 domain zone 常見的問題 • 多未建立 slave/secondary DNS server • 公司行號, 政府單位, 新成立的中小學縣市網路 • 反解網域的註冊與管理 • 比以往有進步, 但觀念普及仍不夠 • 相關領域: • SPAM mail 的反制, www proxy 的管理 • 相關中文文件太少 • http://dnsrd.nctu.edu.tw TANet’99 Conference & TWNIC Technical Workshop
3. DNS/BIND 與 y2k • DNS server host • 進行系統 y2k 實機測試 • 分散系統 • e.g., Solaris 7, FreeBSD 3.2-stable • 系統軟體部分 • BIND 8.2 is y2k-compliance • http://www.isc.org/ISC/y2k.html • DNS server y2k conformance testing TANet’99 Conference & TWNIC Technical Workshop
3.1 DNS/BIND Security 問題 • BIND 最新的正式版本 8.2.2 • 1999.10.19 (released) • BIND/named Security issues • Buffer overflow 與 CNAME bug 等嚴重問題 • 參考 CERT 相關網頁報告 ( CERT Advisory ) • http://www.cert.org • Upgrade 到最新版本 TANet’99 Conference & TWNIC Technical Workshop
3.2 WINS 與 DNS • WINS 設定不當, 導致大量消耗可用頻寬 • 實例,過去 TANet 竹苗區網某一學校, 曾經發生 • http://www.edu.tw (MOECC newsletter, 參考 8801-8806 期 ) • 儘量避免使用 • 啟動 Negative Caching 功能 • 自我保護 • 避免拖累網路大環境 • 請Upgrade 到最新版本 ( BIND 8.x 以後) • 內建 Negative Caching TANet’99 Conference & TWNIC Technical Workshop
4. Network/System Security & DNS • 了解問題 • 問題回報及追蹤 • 解決問題 TANet’99 Conference & TWNIC Technical Workshop
4.1 常見的網路攻擊型態 • Denial-of-Service • ping ( system bug ) • SPAM E-mail/NetNews, • ... • Intrusion (電腦與網路入侵) • Trojan Horse ( BO, NetBus, ...) • computer virus • Information Theft • Trojan Horse ( BO, NetBus, … 遙控程式) TANet’99 Conference & TWNIC Technical Workshop
4.1.1 問題處理與追蹤 • Security 問題回報及反應 • 向相關單位報備及追蹤問題 • 向相關 CERT 報備及追蹤問題 • 各單位聯絡 e-mail address (Internet 慣例) • postmaster@your-domain-zone • abuse@your-organization,security@your-organization • 例如, postmaster@nctu.edu.tw, abuse@seed.net.tw TANet’99 Conference & TWNIC Technical Workshop
4.2 Generic Access Control Issues • 分層負責 • Router ACL • DNS server ACL • 個別 server 的 ACL • SMTP - sendmail • http proxy - squid • NNTP - inn向 TANet’99 Conference & TWNIC Technical Workshop
4.3 DNS 設定與入侵嘗試 • 特定對象的入侵 • buffer overflow 等系統問題 • 尋找不特定的入侵對象 • forward & reverse domain zone scanning • DNS zone transfer 設限 • 阻擋不特定的目標搜索 TANet’99 Conference & TWNIC Technical Workshop
4.3.1 DNS server 限制 zone transfer • BIND 8.x /etc/named.conf 的相關片段 options { directory /var/named; allow-transfer { none; // 原則上, 阻擋所有 不相干的 zone transfer }; }; // 省略 zone “nctu.edu.tw” { type master ; file “Zone-NCTU” ; allow-transfer { 140.113.1.1; 140.113.6.2; // 允許 slave/secondary server }; }; zone “113.140.in-addr.arpa” { …. TANet’99 Conference & TWNIC Technical Workshop
4.4 Mail SPAM & DNS • SPAM Mail <=> UCE/UBE (不請自來) • UCE = Unsolicited Commercial E-mail • UBE = Unsolicited Bulk E-Mail • UCE/UBE 散佈途徑 • 名單收錄 • www homepage, USENET news articles • account password files on individual servers • 其他不當途徑 ( program bug, 招募會員活動, …) • 找尋管理較鬆散的 mail relay • Domain Zone scanning ( DNS) • URL scanning (web pages ) TANet’99 Conference & TWNIC Technical Workshop
4.4.1 Anti SPAM Mail & DNS ACL • SMTP server upgrade/patch • 限定 mail relaying 對象 • DNS 設ACL • 可相當程度阻擋不特定的 relay 嘗試 • 系統管理人員介入 • 聯絡相關系統的管理人員 • rbl 建立 (Real-time Block List ) TANet’99 Conference & TWNIC Technical Workshop
5. Case Study • 前幾年有 BBS/Mail, 戲稱要暗殺美國總統柯林頓 • 未即時處理, 引起軒然大波. • 後來美國轉到外交單位轉回國內教育部處理 • mbox@xyz.com.tw 轉到 德國某公司 • 本地公司設定錯誤 • 回報到該公司, 該國的 CERT, 以及TWNIC • 網路攻擊的中途站(1999.08) • TANet 竹苗區網某校的 DNS server 被入侵 • 參考 http://dnsrd.nctu.edu.tw TANet’99 Conference & TWNIC Technical Workshop
5.1 DNS & Mail - 烏龍事件 • 前幾年,有德國X公司反應, 持續不斷接收到, 許多應該是寄往台灣Y公司的 e-mail, 卻一直被轉往該公司. 因為收信的帳號不存在, 系統於是一直產生, user 不在的退信, 持續往系統管理信箱塞, 信件越累積越多, 導致server performance 大受影響. 由於該公司並無台灣分公司, 也找不出合理的解釋, 於是開始擔心有台灣的競爭對手, 想癱瘓他們網路的正常運作, 接下來只好採取正式的防衛行動, 透過正式的 CERT 向相關單位反應, ... • 成因 • 舊版 BIND/named 有 bug • 系統管理人員觀念不夠清楚 • 系統管理人員輸入資料時, IP address 打錯 TANet’99 Conference & TWNIC Technical Workshop
5.1 DNS & Mail - 烏龍事件(續) • 示意範例 • 底下 IP address 與 domain name 都是隨意假定 • 這個 server 上的 BIND/named 有 bug $origin xyz.com.tw. Xyz.com.tw. IN MX 10 mail.xyz.com.tw. Xyz.com.tw. IN MX 10 mail.ABC.net.tw. ; 錯誤 Mail.xyz.com.tw. In A 192.168.123.45 mail.ABC.net.tw. IN A 139.75.6.78 ; 設定錯誤 ;mail.ABC.net.tw. IN A 139.175.6.78 ;台灣 ;mserver.ZYX.de IN A 139.75.6.78 ;德國 TANet’99 Conference & TWNIC Technical Workshop
5.2 竹苗區網 DNS server 入侵事件 • 某校在區網的網域, 登錄有兩個 DNS server • 不過, 從一開始, 就只有建立一個 server • 該 server-A 有 security hole, 被外來者闖入 • 入侵者, 持續透過該 server-A, 嘗試入侵國外網站 • 網域上層, 持續收到國外不同地方轉來的抱怨與求助 e-mail • 電話通知該校管理者處理. • 後來轉維護廠家工程師. • 將近一週, 仍無改善. • 區網接手, 協助處理. • 設 tcp_wrapper, 擋掉不明來源的連線. TANet’99 Conference & TWNIC Technical Workshop
5.3 DNS 與相關系統管理 • 結論 • 各網域必須落實設立兩個以上 DNS server • 重要 server 勤作 security patch • DNS 設 ACL, 限制 zone transfer • 委外廠商維護能力, 意願與合約 TANet’99 Conference & TWNIC Technical Workshop
參考網頁與資料 • 按照 URL 的英文字母順序 • http://dnsrd.nctu.edu.tw ( DNS/BIND) • http://www.cert.org ( Security) • http://www.dns.net/dnsrd/ ( DNS/BIND) • http://www.isc.org ( BIND) • http://www.sendmail.org ( anti-spam ) • http://www.twnic.net ( TWNIC,DNS) • USENET newsgroups • comp.protocols.tcp-ip.domains • comp.protocols.dns.bind TANet’99 Conference & TWNIC Technical Workshop
