主動式 dns 網域安全設定檢測機制
DESCRIPTION
主動式 DNS 網域安全設定檢測機制. 指導老師:葉禾田 老師 學生:謝禮安 (M98F0206). 論文背景. 篇名:主動式 DNS 網域安全設定檢測機制 作者:沈志昌、古東明、楊禎葆、鄭進興 出處:網際網路技術學刊 Vol.6 No.2 Psge165-171 關鍵字:網際綱路 ,DNS, 網路安全 , 網域檢測 , 入侵攻擊. 摘要. 以往探討 DNS 安全,焦點皆在系統設計上的漏洞。 然而 DNS 設定上的缺失 才是攻擊者成功入侵的主因。 本研究預計提出以 Web 介面的自動檢測機制 ,在 自動化與便利化環境 之下協助使用者 修正設定問題 。 - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/1.jpg)
主動式DNS網域安全設定檢測機制
指導老師:葉禾田 老師 學生:謝禮安 (M98F0206)
![Page 2: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/2.jpg)
論文背景 篇名:主動式 DNS 網域安全設定檢測機制
作者:沈志昌、古東明、楊禎葆、鄭進興
出處:網際網路技術學刊 Vol.6 No.2 Psge165-171
關鍵字:網際綱路 ,DNS, 網路安全 , 網域檢測 , 入侵攻擊
![Page 3: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/3.jpg)
摘要 以往探討 DNS 安全,焦點皆在系統設計上的漏洞。
然而 DNS設定上的缺失才是攻擊者成功入侵的主因。
本研究預計提出以 Web介面的自動檢測機制,在自動化與便利化環境之下協助使用者修正設定問題。
並與 TWNIC DNS 主機安全檢測機制搭配建構完整 DNS安全環境檢測機制
![Page 4: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/4.jpg)
Domain Name System (DNS) 網址←→IP位置
![Page 5: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/5.jpg)
DNS 攻擊方式 Buffer Overflow
Crash Server
Denial of Server
Protocol Flaws
Information leak
![Page 6: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/6.jpg)
全面的 DNS 安全防護 DNS Securty in Australia 於 2001 年的調查報告中指出,
澳洲境內有 70%DNS 主機存在漏洞。
而多數問題之根源乃由於 BIND 的版本關係。
![Page 7: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/7.jpg)
台灣區 DNS 網域設定問題 TWNIC 針對台灣各網域進行設定檢測,歸納出台灣區最
常見的網域設定問題:
不良委任 授權錯誤 DNS 容錯能力不足 轄區傳送 版本偵測
![Page 8: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/8.jpg)
國外網域設定調查 Men & Mice 於 2003 年以全球網域為 .com 之 DNS 主
機亂數選取 5000 部進行設定檢測。
![Page 9: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/9.jpg)
DNS 設定失誤造成安全問題 多數的 DNS 錯誤皆是人為疏失(委任、授權、傳送錯
誤)。
大部分管理員並不瞭解 DNS 組態設定與轄區資訊。
有心人藉由設定上的失誤可輕易進行探索、攻擊。
![Page 10: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/10.jpg)
DNS 網域安全檢測機制架構 本研究提出之 DNS 網域安全檢測機制分做前端及後端部
分。
前端使用者認證機制用以檢測使用者合法性。
後段由 CVE 結合 SMS 檢測並產生回報機制於使用者做修正參考。
![Page 11: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/11.jpg)
前端使用者認證介面 DNS 存放資料除 IP 與網域名稱,尚有許多敏感資訊。
使用者在此介面需經由 TWNIC 用戶資料庫進行驗證,確保身分正確。
該介面環境為 WEB 、以 PHP 控制 CVE 進行系統操作。 CVE 中含 nslookup 、 dig 、 host 等 DNS 查詢公用程式。
在利用瀏覽器進行檢測申請後,將會回報建議報表。
![Page 12: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/12.jpg)
Scan Module Set (SMS) 根據先前研究調查 DNS 常見設定缺失, SMS 將探測模組
分為六種探測方式:
M1 :網域完整檢測 M2 : NS 設定檢測 M3 : SOA 設定檢測 M4 : MX 設定檢測 M5 : Aps 設定檢測 M6 :進階項目
![Page 13: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/13.jpg)
Report Generator (RG) 在掃描結果完成後,回報產生機制負責列出建議報表:
建議報表輸出狀態包含 Pass 、 Warn 、 Fail 。
標示檢測狀態後會針對其提出修改方針及建議。
![Page 14: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/14.jpg)
系統實做 本系統架構於 Linux ,以 Apache Web Server 及 PHP
搭配 Perl撰寫之後端進行檢測。
合法使用者透過瀏覽器要求檢測,即自動完成檢測結果回報。
由 TWCERT/CC開發置放於 TWNIC 的DNS 安全資源網站提供服務。
![Page 15: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/15.jpg)
系統實做 使用者驗證 使用者在向 TWNIC註冊個人網域時,需提供 IP 及個資等相關資料於 TWNIC 網域資料庫。
檢測系統將確認其申請之網域主機做檢測。
![Page 16: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/16.jpg)
系統實做 網域完整性檢測 判斷該 IP 之主機是否存在,記錄之上層 DNS 是否存在,
是否有對該 IP 做記錄。
若其中失效則無法繼續檢測。
![Page 17: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/17.jpg)
系統實做 NS 設定檢測 檢測 Name Server 是否錯誤如上下層 DNS同時註冊,
造成委任錯誤,以及 Lame Server 的情形。
![Page 18: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/18.jpg)
系統實做 SOA記錄檢測 以 RFC 文件的標準為評估準則。
SOA 檢測 DNS 在進行資料轉換、回覆時間、查詢時間的設定。
![Page 19: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/19.jpg)
系統實做 MX 設定檢測 針對與郵件相關的設定,如MX記錄、郵件傳送偵
測、 RBL 進行檢測。
瞭解郵件出錯時應該排除的問題及更改的設定。
![Page 20: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/20.jpg)
系統實做 應用伺服器檢測 針對網域上的主機進行檢測,確保其記錄正確。
如主機位置、別名等。
![Page 21: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/21.jpg)
系統實做 進階項目 針對轄區傳送部分進行檢測,確保設置正確。
避免非法使用者利用錯誤的轄區傳送設置取得該網域的資訊。
![Page 22: 主動式 DNS 網域安全設定檢測機制](https://reader036.vdocuments.site/reader036/viewer/2022081417/568134c2550346895d9be6ea/html5/thumbnails/22.jpg)
結論 使用者對於 DNS 的系統工作原理不明瞭,容易造成設定
上的缺失。
在主動式 DNS 網域安全設定檢測機制能夠使得使用者快速便利掌握 DNS狀態,並進一步修正。
然而真正的系統安全還是得仰賴管理人的專業素養和高度警戒。