1 / 25

DNS y2k/security 相關問題 剖析及對策

DNS y2k/security 相關問題 剖析及對策. 交通大學計算機與網路中心 陳昌盛 cschen@cc.nctu.edu.tw 1999.10.23. TANet’99 Conference & TWNIC Technical Workshop. Contents. TW 網域現狀 Generic System Configuration Issues DNS y2k 相關問題 DNS Server Security Issues Network/System Security & DNS SPAM & DNS Case Study.

kina
Download Presentation

DNS y2k/security 相關問題 剖析及對策

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. DNS y2k/security 相關問題剖析及對策 交通大學計算機與網路中心 陳昌盛 cschen@cc.nctu.edu.tw 1999.10.23 TANet’99 Conference & TWNIC Technical Workshop

  2. Contents • TW 網域現狀 • Generic System Configuration Issues • DNS y2k 相關問題 • DNS Server Security Issues • Network/System Security & DNS • SPAM & DNS • Case Study TANet’99 Conference & TWNIC Technical Workshop

  3. . root servers gov, mil . . . INT tw Arpa com, org,net cn,hk,.. NSAP gov,mil IP6 in-addr net edu org 203 192 . .. com 140 www ncku nctu hgsh 113 hc 127 ee 114 cc nehs cis ... ns1 6 hchs 250 bbs ... mail www .. ccserv2 2 ccserv2.cc.nctu.edu.tw <=> 140.113.6.2 Fig. 1 DNS 運作基本架構圖

  4. Fig. 2 tw 網域組織架構現狀 tw • ccTLD • ccSLD net com edu org gov mil Notes: 1. ccTLD = country code Top Level Domain 2. ccSLD = country code Secondary Level Domain 3. 反解網域 (reverse domain zone), 並不在此列 4.ccSLD 未來可能再增加 TANet’99 Conference & TWNIC Technical Workshop

  5. 2. Generic System Configuration Issues • Load sharing/balancing ( DNS, Mail, …) • 提昇整體網路及系統效能 (global internetworking ) • Backup system ( DNS, Mail,…) • high availability/reliability • Relaying System ( DNS, Mail , WWW ) • 類似同義詞 : proxy, forwarding • Caching ( DNS, www proxy, ftp mirror) TANet’99 Conference & TWNIC Technical Workshop

  6. 2.1 DNS server 規劃與建置 • 每一網域都應建置兩個以上的 DNS server • 網路備援 • 分散 loading • 提昇整體效能 ( 計算 RTT, 往最近處查詢) • ccTLD, ccSLD 服務的 server 足夠嗎 ? • ccTLD =2, ccSLD=2,3 應增加 • 同一網域 server 宜考慮分散不同處所 • 停電, 斷網, 系統受攻擊, 當機等效應 (ccTLD, ccTLD) • 不太會改變者, 每筆資料的 TTL 宜設長一點 • 減少不必要的 DNS 查詢, 提昇網路系統效能及穩定度 • 建議 TTL >= 3 天 TANet’99 Conference & TWNIC Technical Workshop

  7. tw NS=(moevax.edu.tw, ns.twnic.net) NS=(aladdin.iii.org.tw, moevax.edu.tw) com NS=(moevax.edu.tw, moesun.edu.tw) edu NS=(hntp1.hinet.net,hntp2.hinet.net, dns.hinet.net) gov NS=(dns1.mil.tw, dns2.mil.tw) mil NS=(aladdin.iii.org.tw, moevax.edu.tw) net NS=(aladdin.iii.org.tw, moevax.edu.tw) org Fig. 3 tw 網域 DNS server 配置現狀 TANet’99 Conference & TWNIC Technical Workshop

  8. 2.2DNS server 規劃及建置問題 • 沒有複式 server 的觀念 • 國內第三層以下 domain zone 常見的問題 • 多未建立 slave/secondary DNS server • 公司行號, 政府單位, 新成立的中小學縣市網路 • 反解網域的註冊與管理 • 比以往有進步, 但觀念普及仍不夠 • 相關領域: • SPAM mail 的反制, www proxy 的管理 • 相關中文文件太少 • http://dnsrd.nctu.edu.tw TANet’99 Conference & TWNIC Technical Workshop

  9. 3. DNS/BIND 與 y2k • DNS server host • 進行系統 y2k 實機測試 • 分散系統 • e.g., Solaris 7, FreeBSD 3.2-stable • 系統軟體部分 • BIND 8.2 is y2k-compliance • http://www.isc.org/ISC/y2k.html • DNS server y2k conformance testing TANet’99 Conference & TWNIC Technical Workshop

  10. 3.1 DNS/BIND Security 問題 • BIND 最新的正式版本 8.2.2 • 1999.10.19 (released) • BIND/named Security issues • Buffer overflow 與 CNAME bug 等嚴重問題 • 參考 CERT 相關網頁報告 ( CERT Advisory ) • http://www.cert.org • Upgrade 到最新版本 TANet’99 Conference & TWNIC Technical Workshop

  11. 3.2 WINS 與 DNS • WINS 設定不當, 導致大量消耗可用頻寬 • 實例,過去 TANet 竹苗區網某一學校, 曾經發生 • http://www.edu.tw (MOECC newsletter, 參考 8801-8806 期 ) • 儘量避免使用 • 啟動 Negative Caching 功能 • 自我保護 • 避免拖累網路大環境 • 請Upgrade 到最新版本 ( BIND 8.x 以後) • 內建 Negative Caching TANet’99 Conference & TWNIC Technical Workshop

  12. 4. Network/System Security & DNS • 了解問題 • 問題回報及追蹤 • 解決問題 TANet’99 Conference & TWNIC Technical Workshop

  13. 4.1 常見的網路攻擊型態 • Denial-of-Service • ping ( system bug ) • SPAM E-mail/NetNews, • ... • Intrusion (電腦與網路入侵) • Trojan Horse ( BO, NetBus, ...) • computer virus • Information Theft • Trojan Horse ( BO, NetBus, … 遙控程式) TANet’99 Conference & TWNIC Technical Workshop

  14. 4.1.1 問題處理與追蹤 • Security 問題回報及反應 • 向相關單位報備及追蹤問題 • 向相關 CERT 報備及追蹤問題 • 各單位聯絡 e-mail address (Internet 慣例) • postmaster@your-domain-zone • abuse@your-organization,security@your-organization • 例如, postmaster@nctu.edu.tw, abuse@seed.net.tw TANet’99 Conference & TWNIC Technical Workshop

  15. 4.2 Generic Access Control Issues • 分層負責 • Router ACL • DNS server ACL • 個別 server 的 ACL • SMTP - sendmail • http proxy - squid • NNTP - inn向 TANet’99 Conference & TWNIC Technical Workshop

  16. 4.3 DNS 設定與入侵嘗試 • 特定對象的入侵 • buffer overflow 等系統問題 • 尋找不特定的入侵對象 • forward & reverse domain zone scanning • DNS zone transfer 設限 • 阻擋不特定的目標搜索 TANet’99 Conference & TWNIC Technical Workshop

  17. 4.3.1 DNS server 限制 zone transfer • BIND 8.x /etc/named.conf 的相關片段 options { directory /var/named; allow-transfer { none; // 原則上, 阻擋所有 不相干的 zone transfer }; }; // 省略 zone “nctu.edu.tw” { type master ; file “Zone-NCTU” ; allow-transfer { 140.113.1.1; 140.113.6.2; // 允許 slave/secondary server }; }; zone “113.140.in-addr.arpa” { …. TANet’99 Conference & TWNIC Technical Workshop

  18. 4.4 Mail SPAM & DNS • SPAM Mail <=> UCE/UBE (不請自來) • UCE = Unsolicited Commercial E-mail • UBE = Unsolicited Bulk E-Mail • UCE/UBE 散佈途徑 • 名單收錄 • www homepage, USENET news articles • account password files on individual servers • 其他不當途徑 ( program bug, 招募會員活動, …) • 找尋管理較鬆散的 mail relay • Domain Zone scanning ( DNS) • URL scanning (web pages ) TANet’99 Conference & TWNIC Technical Workshop

  19. 4.4.1 Anti SPAM Mail & DNS ACL • SMTP server upgrade/patch • 限定 mail relaying 對象 • DNS 設ACL • 可相當程度阻擋不特定的 relay 嘗試 • 系統管理人員介入 • 聯絡相關系統的管理人員 • rbl 建立 (Real-time Block List ) TANet’99 Conference & TWNIC Technical Workshop

  20. 5. Case Study • 前幾年有 BBS/Mail, 戲稱要暗殺美國總統柯林頓 • 未即時處理, 引起軒然大波. • 後來美國轉到外交單位轉回國內教育部處理 • mbox@xyz.com.tw 轉到 德國某公司 • 本地公司設定錯誤 • 回報到該公司, 該國的 CERT, 以及TWNIC • 網路攻擊的中途站(1999.08) • TANet 竹苗區網某校的 DNS server 被入侵 • 參考 http://dnsrd.nctu.edu.tw TANet’99 Conference & TWNIC Technical Workshop

  21. 5.1 DNS & Mail - 烏龍事件 • 前幾年,有德國X公司反應, 持續不斷接收到, 許多應該是寄往台灣Y公司的 e-mail, 卻一直被轉往該公司. 因為收信的帳號不存在, 系統於是一直產生, user 不在的退信, 持續往系統管理信箱塞, 信件越累積越多, 導致server performance 大受影響. 由於該公司並無台灣分公司, 也找不出合理的解釋, 於是開始擔心有台灣的競爭對手, 想癱瘓他們網路的正常運作, 接下來只好採取正式的防衛行動, 透過正式的 CERT 向相關單位反應, ... • 成因 • 舊版 BIND/named 有 bug • 系統管理人員觀念不夠清楚 • 系統管理人員輸入資料時, IP address 打錯 TANet’99 Conference & TWNIC Technical Workshop

  22. 5.1 DNS & Mail - 烏龍事件(續) • 示意範例 • 底下 IP address 與 domain name 都是隨意假定 • 這個 server 上的 BIND/named 有 bug $origin xyz.com.tw. Xyz.com.tw. IN MX 10 mail.xyz.com.tw. Xyz.com.tw. IN MX 10 mail.ABC.net.tw. ; 錯誤 Mail.xyz.com.tw. In A 192.168.123.45 mail.ABC.net.tw. IN A 139.75.6.78 ; 設定錯誤 ;mail.ABC.net.tw. IN A 139.175.6.78 ;台灣 ;mserver.ZYX.de IN A 139.75.6.78 ;德國 TANet’99 Conference & TWNIC Technical Workshop

  23. 5.2 竹苗區網 DNS server 入侵事件 • 某校在區網的網域, 登錄有兩個 DNS server • 不過, 從一開始, 就只有建立一個 server • 該 server-A 有 security hole, 被外來者闖入 • 入侵者, 持續透過該 server-A, 嘗試入侵國外網站 • 網域上層, 持續收到國外不同地方轉來的抱怨與求助 e-mail • 電話通知該校管理者處理. • 後來轉維護廠家工程師. • 將近一週, 仍無改善. • 區網接手, 協助處理. • 設 tcp_wrapper, 擋掉不明來源的連線. TANet’99 Conference & TWNIC Technical Workshop

  24. 5.3 DNS 與相關系統管理 • 結論 • 各網域必須落實設立兩個以上 DNS server • 重要 server 勤作 security patch • DNS 設 ACL, 限制 zone transfer • 委外廠商維護能力, 意願與合約 TANet’99 Conference & TWNIC Technical Workshop

  25. 參考網頁與資料 • 按照 URL 的英文字母順序 • http://dnsrd.nctu.edu.tw ( DNS/BIND) • http://www.cert.org ( Security) • http://www.dns.net/dnsrd/ ( DNS/BIND) • http://www.isc.org ( BIND) • http://www.sendmail.org ( anti-spam ) • http://www.twnic.net ( TWNIC,DNS) • USENET newsgroups • comp.protocols.tcp-ip.domains • comp.protocols.dns.bind TANet’99 Conference & TWNIC Technical Workshop

More Related