搜索
域名系统安全防护标准及检查域名系统安全防护标准及检查1.域名及其重要性1.域名及其重要性2.国家域名服务体系现状及问题2.国家域名服务体系现状及问题3.域名服务体系系列标准3.域名服务体系系列标准4.域名系统安全防护标准及检查表域名和域名系统域名(DomainName)是用于识别和定位互联网上计算机的结构化字符标识,相对域名(DomainName)是用于识别和定位互联网上计算机的结构化字符标识,相对于IP地址而言,更便于使用者理解和记忆。域名系统(DNS)是一种分布式的等级制查询系统,主要用于域名和IP地址之间的翻译转换。系统对于互联网的稳定和可用性起到关键作用互联网业务应用电子商务、电子政务、网络游戏、视频通讯等域名系统(域名IP地址)159.226.97.85互联网物理设施基础网络、传输设备、互联设备、接入系统等域名系统是互联网的基础服务,中枢神经系统,事关互联网的安全与稳定绝大多数互联网应用(网站、邮件、游戏、视频等)都基于域名系统开展绝大多数互联网通信都必须先通过域名系统完成域名到IP地址之间的寻址转换绝大多数互联网通信都必须先通过域名系统完成域名到IP地址之间的寻址转换域名系统的故障会导致互联网应用不能使用,互联网将陷于瘫痪。树形结构、分级授权管理•全球域名服务体系是一棵倒立的树,有根、有干、有叶;•数据分布式存储•管理上逐级授权递归域名服务器包括上千万服务器,分为两个类•权威域名服务器递归域名服务器权威域名服务器•存储域名数据•应答递归域名服务器的域名查询请求递归域名服务器权威域名服务器•递归域名服务器•作为查询代理,逐级查询各级权威域名服务器,并将查询结果返回给最终用户缓存查询结果3•缓存查询结果互联网域名服务体系四个环节根域名服务器•域名根服务器系统•全球共有13个根域名服务器存储和维护全球顶级域的授权记录根域名服务器13个根服务器189个根镜像服务器•存储和维护全球顶级域的授权记录•顶级域名服务系统•顶级域名数据的存储和解析顶级域名服务器282个顶级域名上千台顶级域名服务器•二级及二级以下域名服务系统•各级域名数据的存储和解析•自建:各公司、机构负责自建DNS服务器;二级与二级以下域名服务器两亿以上二级域名全球:290万台套国内:10万台套递归域名服务器全球:1340万台套国内:30万台套递归服务器自建:各公司、机构负责自建DNS服务器;•托管:托管给域名注册商或ISP•递归域名服务系统•接受用户的域名查询请求国内:10万台套递归服务器•接受用户的域名查询请求•自建:各公司、机构自建递归服务器•公共:使用运营商或第三方机构的公共服务器权威服务器2010年6月11日4务器域名服务的核心需求•性能•数据包小,查询速度要求极高,对最终用户透明。•可靠性•具有冗余服务机制,能应对突发流量和突发事故,确保服务可靠性。安全性•安全性•作为基础服务,必须是安全的;其特点是攻击代价小,后果严重。•易用性易用性•易部署,易管理,易维护。•兼容性•全球分布,支持各种服务。域名系统安全防护标准及检查域名系统安全防护标准及检查1.域名及其重要性1.域名及其重要性2.国家域名服务体系现状及问题2.国家域名服务体系现状及问题3.域名服务体系系列标准3.域名服务体系系列标准4.域名系统安全防护标准及检查表•整体抗攻击和风险能力严重不足•国内情况•各环节在服务可靠性方面均存在问题,安全事件频发5.19事件--递归服务和权威服务存在的严重服务能力问题–5.19事件--递归服务和权威服务存在的严重服务能力问题–2010百度事件--注册流程需要规划化以及服务应急能力不足•域名系统安全还处在不断改善阶段–不重视向重视的转变过程中–安全保障措施落实过程中•国外情况•国外的商业托管和备份服务已经非常成熟UltraDNS,SNS@ISC...•UltraDNS,SNS@ISC...•各环节服务质量均处于领先水平•Verisign处于领导地位•软件安全性不够•目前国内主要的域名服务器软件系统基本采用国外软件,其中超过80%使用的是一款没有服务保障的开源软件BIND,而BIND软件漏过80%使用的是一款没有服务保障的开源软件BIND,而BIND软件漏洞频发•例如2009年7月28日BIND9被报告存在高危漏洞,利用该漏洞黑客可以进行远程攻击,造成BIND9崩溃进行远程攻击,造成BIND9崩溃•从69家国家重要的政府、新闻、银行、企业域名服务的抽样分析结果来看,具有安全风险的超过半数以上结果来看,具有安全风险的超过半数以上•欧美等发达国家均已开发出众多领先的软硬件件系统ANS/CNS,NSD/Unbound,Atlas,Secure64•ANS/CNS,NSD/Unbound,Atlas,Secure64•美国ISC投入1100万美金开发BIND10•建设和运行缺乏规范,没有统一的整体管理、监控和分析•无分析和预警措施建设过程缺乏规范,投入不够•建设过程缺乏规范,投入不够•无安全防范指导方针•国外情况•IETF已经完成域名相关158个RFC•DNS-OARC,ICANN,等致力于推动建立域名运维新标准•韩国制定国家标准进行安全等级审查•韩国制定国家标准进行安全等级审查域名系统安全防护标准及检查域名系统安全防护标准及检查1.域名及其重要性1.域名及其重要性2.国家域名服务体系现状及问题2.国家域名服务体系现状及问题3.域名服务体系系列标准3.域名服务体系系列标准4.域名系统安全防护标准及检查表域名系统运行总体技术要求界定该系列标准的范畴以及总体技术要求定义独立域/域名的解析授权体系需要遵循的技术规范规定公共域名服务系统运营过程中的各项安全管理规范针对以DNSSEC协议为核心的安全框架进行了规定域名服务公共域名解析系统安全要求域名系统授权体系技术要求规定了公众电信网和互联网相关域名系统在安全等级保护、安全风险定义权威服务器的技术规范、运行维护要求服务安全框架技术要求域名系统安全防护域名系统权威服务器运行技域名系统递归服务器运行技域名系统安全防护全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护要求范、运行维护要求定义递归服务器的技术规范、运行维护要求要求防护要求运行技术要求运行技术要求防护检测要求6网络域名规定了公众电信网和互联网相关域名系统国内节点在安全等级保护、范、运行维护要求规定IPv6网络上域名服务IPv6网络域名服务技术要求安全协议要求功能协议要求运行管理要求安全风险评估、灾难备份及恢复等方面的安全防护检测要求器的技术规范以及v4/v6过渡规范安全协议要求功能协议要求运行管理要求域名系统运行总体域名注册服务总体技术要求域名系统运行总体技术要求技术要求公共域名解析域名服务安全公共域名解析系统安全要求域名系统授权体系技术要求域名域名系统域名注册审核要求域名注册服务系统安全技术要求域域名注册协议域名注册协议域名域名注册协议务安全框架技术要求系统安全防护要求域名系统权威服务器运行技术要求域名系统递归服务器运行技术要求系统安全防护检测要求域名注册系统协议联系人供应技术要求协议域名供应技术要求名注册系统安域名注册数据域名注册系统协议主机供应技术要求术要求术要求IPv6网络域名服务域名注册协议传输技统安全防护要安全防护检测数据存储技术要求系统服务水平要求IPv6网络域名服务技术要求术要求要求测要求域名系统安全防护标准及检查域名系统安全防护标准及检查1.域名及其重要性1.域名及其重要性2.国家域名服务体系现状及问题2.国家域名服务体系现状及问题3.域名服务体系系列标准3.域名服务体系系列标准4.域名系统安全防护标准及检查表《域名系统安全防护要求》《域名系统安全防护要求》安全等级保护:业务及应用安全、拓扑安全、设备安全、物理环境安全、管理安全风险评估:资产脆弱性威胁灾难备份及恢复:域名系统对冗余保护,数据及业务备份,相关人员和技术能力,运行维护管物理环境安全、管理安全威胁和技术能力,运行维护管理能力,灾难恢复预案《域名系统安全防护检测要求》评估范围评估原则评估范围、评估原则、计算方法、结果判定为域名系统划分安全等级《电信网和互联网管理安全等级保护要求》为域名系统划分安全等级全等级保护要求》针对域名系统进行安全风险按照不同安全等级域名系统的要求进行检测《域名系统安全防护检测要求》评估统的要求进行检测要求》满足标准《域名系统安全不满足标准《域名系统安全防护要求》和《公共域名满足标准《域名系统安全防护要求》和《公共域名解析系统安全要求》防护要求》和《公共域名解析系统安全要求》,考虑整改通信络安全防护达标检查表《域名系统安全防护要求》通信网络安全防护达标检查表递归/权威域名解析系统《域名系统安全防护检测要求》突出重点《域名系统安全防护检测要求》业务灾难务及应用安系统安全难恢复及备拓扑安全安全要求全要求备份要求全要求•业务及应用安全要求•业务可用性要求•解析响应时间要求•解析性能要求•业务服务器要求•解析版本安全控制要求解析版本安控制要求•入侵检测和攻击防范要求(3.1级及以上)•业务可用性要求•可用性监测:进行24小时域名解析业务可用性监测•进行24小时域名解析业务可用性监测•监测频率不低于5分钟一次统计分析:•统计分析:•对解析业务可用性按月进行月度统计分析可用性指标:•可用性指标:•按月统计的域名解析业务可用性大于99.99%(过去12个月内)月内)•技术保障(3.1级及以上要求)•冗余架构冗余架构•多点任播•解析响应时间要求•响应时间监测:•进行24小时域名解析响应时间监测•监测频率不低于5分钟一次•统计分析:•对解析响应时间按月进行月度统计分析•响应时间指标:•按月统计,不考虑网络延时,95%的解析服务器域名解析响应时间1500MS(过去12个月内)响应时间1500MS(过去12个月内)•解析性能要求解析性能要求•解析访问量监测:•解析访问量监测:•进行24小时域名解析访问量监测•监测频率不低于5分钟一次监测频率不低于5分钟一次•性能指标:•域名解析系统可处理3倍任一单个节点(每个对外提供解域名解析系统可处理3倍任一单个节点(每个对外提供解析服务的节点IP记为一个节点)过去1年历史访问量的95th百分点•95th百分点:统计时去掉最大的5%采样值,剩下的采样值中的最大值业务服务器要求•业务服务器要求•递归服务器不能兼做权威服务器使用•域名服务器服务•只向公共互联网提供TCP协议和UDP协议53端口的标准DNS解析服务不提供其他服务•不提供其他服务•解析软件版本安全要求•版本安全监控•版本安全监控•指定内部人员/部门或第三方负责DNS软件版本更新监控和检测•BIND软件权威发布平台—ISC官方网站()•BIND软件版本不低于bind-9.4.3-P3:2009年7月28日ISC网站提出警示,发现域名系统软件BIND9存在一个高危漏洞,利用该漏洞黑客可以进行远程攻击,造成BIND9崩溃,进而导致域名系统无法提供服务。。•漏洞评估•建立漏洞评估机制,评估版本漏洞是否与当前应用相关及漏洞威胁严•建立漏洞评估机制,评估版本漏洞是否与当前应用相关及漏洞威胁严重程度,判断是否需要升级•漏洞对照表:://•软件升级过程•DNS软件安全漏洞的检测和升级修补工作形成备查的报告/记录DNS软件安全漏洞的检测和升级修补工作形成备查的报告/记录•入侵检测和攻击防范要求(3.1级及以上)•日志记录•记录解析日志•入侵检测•定期根据日志信息进行入侵检测和入侵企图分析•攻击防范“缓冲区污染”攻击:进行版本控制,采用无Kaminsky漏洞的•“缓冲区污染”攻击:进行版本控制,采用无Kaminsky漏洞的的新版DNS软件做缓存服务器;•“放大递归查询”攻击:对单一IP的请求进检查其请求量是否“放大递归查询”攻击:对单一IP的请求进检查其