DNS导论与安全问题(1)

1台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterDNS導論與安全問題TWCERT/CC魏銪志台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenter什麼是DNSnDNS全名nDomainNameSystemn領域名稱解析系統、網域名稱系統n領域名稱(DomainName)與IP位址的轉換n將較容易記憶的主機名稱，轉譯成IP位址，可以不用強記IP位址。2台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterDNS的架構nDNS系統基本是採樹狀階層式(hierarchy)的架構n分散管理n分散儲存n分散查詢台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterDNS的重要性n沒有DNS，Internet沒有辦法將hostname轉換成IP位址nDNS系統所造成的影響是全面性的n無法存取WebServer，並不會影響SMTPServer但如果DNS有問題??n部份的Firewall或Proxy系統使用hostname的ACL作為限制的依據，DNS有問題則防禦網可能崩潰3台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterDNS運作原理nRecursive(遞迴式)n客戶端只丟出一個詢問給其所屬的DNS伺服器nDNS伺服器就會不斷地查詢，直到有結果為止n最後把結果傳回來給客戶端nIterative(交談式)n詢問其他DNS伺服器是否知道結果n如果沒有這個記錄，則會傳回一個參考位址，也許這個位址可以查到需要的資料。n一般來說Resolver對localDNSserver都是RecursiveQuery;而DNSserver之間的查詢則多是Iterativen大部份的DNSserver都可以接受Recursive和Iterative兩種查詢方式；但考量負載問題，Rootnameserver只接受Iterative查詢台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterDNS安全考量因素n系統設定問題nZoneTransfernDNS實作問題nSystemVulnerabilitynDNSSpoofingnDNSIDhackingnDNScachepoisoningnDNS規劃與管理問題nSplitHorizonDNSnSplit-ServiceDNSn將DNS安裝在專屬機器上nInformationleaknDOS&DDOS4台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenter.COMZonesMisconfiguredn68.6%的.COM區域DNS設定有問題DomainHealthSurvey2002.11台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterSinglePointofFailureSinglePointofFailurePercentage(N=5000)ChangesinceAug'02ChangesinceMay'01Allnameserversonthesamesubnet28.1%+0.5+2.6Onlyoneauthoritativenameserver6.6%-0.8+0.6DomainHealthSurvey2002.11台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterZoneTransfer問題(1)ZoneTransferResultsPercentage(N=5000)ChangesinceAug'02ChangesinceNov'98Noserverallowedzonetransfer38.6%-1.0-24.96Someserverblockedzonetransfer6.0%+3.3-0.36Allnameserversallowedzonetransfer55.3%-1.2-24.0DomainHealthSurvey2002.11使用者可透過此種方式，得知整個IP位址或網域名稱的資料。台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterZoneTransfer問題(2)nHacker取得這些資訊的用途n確認目標n獲得相關資訊nHowmanyhostsyouhavenWhatmakesandmodelsyouhavenWhattheirnamesaren可經由named.conf檔案中，設定限制對象或不啟動allow-transfer選項，以防範這類的問題。6台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenter避免SPOF的方法(1)n不要把雞蛋放在同一個籃子裏!!!n網路方面nDon’tplacealltheDNSServersinthesamesubnetwiththesinglechokepointorrouter.nDon’tputalloftheDNSserversbehindasingleleasedlinenAlwaysdistributetheDNSServersindifferentnetworkindifferentroutingpaths.台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenter避免SPOF的方法(2)n主機方面nAtleasttwodifferentserverhostsnRunningtheDNSondifferentplatformsofhardware/OSn管理的複雜度的增加!!!nDifferentversionsofDNSServerSoftwareOrDifferentDNSServersSoftwarenChooseotheralternativesnArrangeOff-siteslavenameserver7台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterSystemVulnerability(1)nNewvulnerabilitiesarefoundinDNSServerallthetimen可能的原因nDsignPhasenImplementationPhasenOperationPhasenHumanNaturen可能的運用方式nBufferOverflownFormatStringnEtc…台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterSystemVulnerability(2)n可能造成的結果nProgramErrornGainPrivilegenDenialofServicenInformationLeaknBackdoor/trojan8台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterSystemVulnerability(3)nThesevulnerabilitiesareusuallypatchedquicklynStaycurrentwiththelastestreleaseorpatchupdatenJointhemailinglistthatannouncesthelastestreleaseorpatchupdatetokeepyouinformed.nTWCERT/CCAdvisoryn台灣電腦網路危機處理中心暨協調中心台灣電腦網路危機處理中心暨協調中心TaiwanTaiwanComputerEmergencyResponseTeam/CoordinationCenterComputerEmergencyResponseTeam/CoordinationCenterSplitHorizonDNSn有時DNS提供太多的資訊，可以很明確的得知系統或網路結構n有效隱蔽內部DNS結構n將DNS