dns系統面臨的主要風險
目前,dns面臨的安全問題主要可以分為三類:dns欺騙攻擊、拒絕服務攻擊、系統漏洞,下文將分別進行介紹。
dns欺騙攻擊
當乙個dns伺服器遭到欺騙攻擊,使用了來自乙個惡意網域名稱資訊記錄的,將會產生許多安全問題。常見的dns欺騙方式有以下種:快取投毒(cache poison或快取汙染)、網域名稱劫持、ip欺騙(ip spoofing)、不安全的動態更新。
拒絕服務攻擊
一旦dns系統遭受拒絕服務攻擊,其服務將停止,會導致網際網路將處於癱瘓狀態。針對dns的拒絕服務攻擊主要有:通用型ddos攻擊、、dns query flood攻擊(常見的query flood攻擊有ip spoofing型攻擊、random qname型攻擊、濫用型攻擊等);利用dns的拒絕服務攻擊主要有反射ddos攻擊(drddos)、放大攻擊等。
系統與應用漏洞
bind已經是dns伺服器的事實標準,但是bind自身存在安全漏洞,如遠端快取破壞漏洞、可**dns查詢id漏洞、驗證遠端拒絕服務漏洞、上下文遠端拒絕服務漏洞等。
三. dns系統安全防護解決方案
3.1 dns系統安全目標
對運營商而言,dns系統的安全目標是:第一,保障dns系統自身的安全,第二,dns服務的高可靠性、可用性、連續性,第三,為其他相關業務系統提供支援。也可以說,對運營商而言,dns系統的安全目標就是為使用者提供可信、安全、可靠的dns服務。
3.2 dns安全體系模型
乙個完備的dns系統保障體系,應該包括四個部分(策略體系、管理體系、技術體系、運作體系)、四個層次(物理安全、網路安全、主機安全、應用及資料安全)和三個階段(安全評估、安全防護、安全運維),它們共同構成乙個有機的整體,協同作用,使dns系統可以提供高可靠性、高可用性、高連續性的dns服務,如圖3.1所示。
圖 3.1 dns安全體系模型
3.3 dns安全整體解決方案框架
從兩個維度來構建dns整體解決方案,如圖3.2所示:
圖 3.2 dns安全解決方案
時間維度
在安全評估階段,dns安全體系的建設內容主要是:依據風險管理思想,對dns系統進行全面的安全評估,提出風險處置計畫。
在安全防護階段,構建dns安全體系的主要工作是:對dns系統進行全面的實時安全防護,保障業務的可用性。
在安全運維階段,主要是從安全角度,完善dns系統運維工作,依託技術從管理上保障dns業務的正常執行。對於電信運營商而言,dns系統的安全運維工作主要包括以下三個方面:(1)安全運維隊伍:如何建立乙個高效、具備解決問題能力的安全運維隊伍;(2) 安全運維流程:如何建立適合核心業務需求的安全事件處理機制、流程;(3) 安全運維平台:依靠何種手段將眾多的安全基礎設施管理起來。
構成維度
主要從產品和服務兩個方面,來構成dns安全解決方案,產品主要包括安全基線檢查系統、dns專項防護系統、流量清洗系統;服務主要包括針對dns系統的安全評估服務、滲透測試服務、安全值守服務、系統監控服務、安全事件處理、應急響應、事件追溯等
3.4 dns系統安全防護方案部署
構建dns系統雙層立體防護體系:運營商骨幹網部署流量清洗中心,進行大流量級清洗;在dns系統前部署dns專項防護系統,進行有針對性的細粒度的清洗,基線檢查工具;用於日常安全檢查評估工作。部署示意圖如下所示:
圖 3.3 dns立體防護體系示意圖
3.5 dns系統安全服務方案
3.5.1 安全評估
對運營商dns系統進行安全評估,應該從技術和管理兩個方面的評估展開。
技術評估主要包括網路安全評估、主機安全評估、業務及應用安全評估、資料安全評估,目的是從網路、主機、業務及應用、資料等層面對dns系統進行完整的安全評估,掌握其整體安全狀況。管理評估主要包括安全管理制度、安全管理組織、人員管理安全、系統建設管理、系統運維管理等方面的管理評估,目的是掌握dns的安全管理狀況。
3.5.2 安全加固
對dns系統的應用軟體、主機、網路裝置、管理制度等四個方面進行檢查加固工作。
對於伺服器加固而言,就是:根據伺服器功能型別的不同,分別完成各自伺服器在補丁更新、密碼策略設定、執行策略配置、使用者授權控制、日誌審計等方面的分析與加固工作。
很多dns系統使用bind軟體進行網域名稱解析。bind安全選項非常多,應針對bind服務軟體進行安全配置,充分利用bind自身已經實現的保護功能加強bind安全性,從而能抵禦目前已知的bind安全漏洞,並盡可能使潛在的安全漏洞對dns服務造成最小的影響。
bind安全配置可完成針對限制域傳輸、限制查詢、防止dns欺騙、設定重試查詢次數、修改bind的版本資訊等bind系統安全配置,具體配置專案包括:
隱藏bind版本資訊
禁止dns網域名稱遞迴查詢
增加查詢id的隨機性
限制網域名稱查詢
限制網域名稱遞迴查詢
指定動態dns更新主機
指定不接受區域請求
系統資源限制
定義acl位址名
控制管理介面
設定重試查詢次數
3.5.3 滲透測試
通過採用滲透測試的方式,完成dns系統的滲透測試,找出面臨的威脅,發現弱點、了解設計和執行的缺陷,提前做針對性的防範工作。
3.5.4 安全巡檢服務
對dns系統進行定期的安全狀態巡查,借助專業工具在實際環境中檢驗系統的運作情況,檢測、分析系統的執行健康狀況、策略的適用情況、安全方案應用的實際效果等,對其中發現的問題及時進行修復,並提供優化建議。
3.5.5 安全值守服務
在重大/特定時期,提供dns安全值守服務,即提供現場及遠端的7*24小時dns安全監控服務,及時發現dns的安全問題,隨時處理,保障dns的安全運營。
3.5.6 應急響應
當dns系統遭受攻擊,或出現異常情況時,提**急響應服務,使dns系統恢復正常業務。同時,針對網域名稱系統可能發生的ddos攻擊、權威解析篡改、快取投毒等安全事件,協助客戶編寫應急預案並組織應急演練,完善安全事件的聯動處理流程。
跨運營商的MPLS 解決方案3
拓撲 配置 r2 router bgp 100 no bgp default ipv4 unicast bgp log neighbor changes neighbor 4.4.4.4 remote as 100 neighbor 4.4.4.4 update source loopback0 a...
登入註冊系統,前端密碼安全解決方案
解決密碼安全問題,通常是需要一套解決方案的。而不是某幾個加密方法。1 採用https加持 2 後端不需要解密前端傳過來的密碼,這種情況下用md5加密 3 後端需要解密前端傳過來的密碼,可以用aes 令牌 密碼 前端登入流程 呼叫介面獲取令牌,令牌放入redis 字首 sessionid作為快取key...
網上匯市登入系統資訊保安的乙個解決方案
附上idea加解密的 public class idea private void inttobytes intinputint,byte outbytes,intstartpos private intx multiply y intx,inty else if y 0 else returnx ...