配置dns 服务器在指定的ip 地址上侦听.ppt

LOGO LOGO DNS Security 夏威 主要安全问题 单点故障 软件漏洞 域名劫持 拒绝服务攻击 缓冲区中毒 区域信息泄漏 单点故障 将域名翻译为IP的过程，就是DNS解析 通过DNS服务器访问网络 单点故障 DNS服务器S2为网络节点A、B、C、D、E提供域名解析服务,由于大部分的网络应用通过域名访问Internet所以如果S2不能正常工作,则其所辖的所有节点都无法通过域名连接到网络,S2成为该子网的瓶颈,存在单点故障风险问题. DNS单点故障 软件漏洞 BIND是一种开源的DNS（Domain Name System）协议的实现，包含对域名的查询和响应所需的所有软件。它是互联网上最广泛使 用的一种DNS服务器，对于类UNIX系统来说，已经成为事实上的标准。 构成严重威胁的漏洞主要有两种.一种是缓冲区溢出漏洞。另一种是拒绝服务(DoS)漏洞。 域名劫持 域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响 应，其效果就是对特定的网址不能访问或访问的是假网址。 域名劫持 其实施步骤如下： 一、获取劫持域名注册信息 二、控制该域名的E-MAIL帐号 三、修改注册信息 四、使用E-MAIL收发确认函 拒绝服务攻击 是指攻击者尝试使用递归查询塞满网络中的一个或多个 DNS 服务器，从而拒绝网络服务的可用性。 一次DoS攻击日志 正常日志 缓冲区中毒 在缓存数据的生存期(TTL)内,缓存区中毒的机器又可能将错误的数据传播出去,导致更多的服务器缓存中毒.如果减少缓存数据的生存期可以减少缓存中毒的影响范围,但过于频繁的缓存数据更新将大大增加服务器的负担! 区域信息泄露 DNS服务器作为公开开放的数据库,对域名请求查询通常不加以验证,网络拓扑、子网结构等信息容易泄漏也为各类攻击提供了机会. 防范 安全级别介绍 低级安全性 低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接 威胁的专用网络中才部署该级 DNS 安全性。??? ??企业的 DNS 结构完全暴露给 Internet。 ??? ??标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。 ??? ??所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。 ??? ??所有 DNS 服务器都允许向任何服务器进行区域传输。 ??? ??所有 DNS 服务器都配置为侦听其所有 IP 地址。 ??? ??在所有 DNS 服务器上禁用防止缓存污染。 ??? ??允许对所有 DNS 区域进行动态更新。 ??? ??用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。 安全级别介绍 中级安全性??? 中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。??? ??企业的 DNS 结构有限暴露给 Internet。 ??? ??所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。 ??? ??所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。 ??? ??配置 DNS 服务器在指定的 IP 地址上侦听。 ??? ??在所有 DNS 服务器上已启用缓存污染防止。 ??? ??不允许对任何 DNS 区域进行动态更新。 ??????内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许 的源和目标地址的有限列表。 ??? ??防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。 ??????所有 Internet 名称解析都使用代理服务器和网关执行。 安全级别介绍 高级安全性??? 高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。??? ??企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。 ??? ??企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。 ??? ??