《網(wǎng)絡系統(tǒng)安全運行與維護》課件項目五 任務一 加強Linux系統(tǒng)DNS服務的安全防御

【項目描述】

隨著辦公網(wǎng)絡中可共享的資源不斷增加，需要在辦公網(wǎng)絡中架設了多臺服務器，包括DNS服務器、Web服務器、DHCP服務器和FTP服務器等，通過這些服務器為內(nèi)網(wǎng)用戶和互聯(lián)網(wǎng)用戶提供服務。

由于這些服務器不但需要為內(nèi)網(wǎng)用戶提供服務，而且還需要為互聯(lián)網(wǎng)用戶提供服務，使得服務器在開放的Internet上面臨各種各樣的安全威脅。

為了保障單位內(nèi)部服務器的安全，需要采取以下安全措施對服務器中的各種服務進行安全配置。（1）加強Linux系統(tǒng)DNS服務的安全防御。（2）加強Linux系統(tǒng)DHCP服務的安全防御。（3）加強Linux系統(tǒng)Web服務的安全防御。（4）加強Linux系統(tǒng)FTP服務的安全防御。（5）使用防火墻模塊提升Linux服務器的安全防御。項目五Linux服務器系統(tǒng)安全運行與維護【學習目標】（1）能夠在Linux系統(tǒng)中配置DNS服務器。（2）能夠在Linux系統(tǒng)中部署DNS服務器的安全策略。（3）能夠在Linux系統(tǒng)中配置DHCP服務器。（4）能夠在Linux系統(tǒng)中部署DHCP服務器的安全策略。（5）能夠在Linux系統(tǒng)Apache服務器實施安全配置。（6）能夠?qū)inux系統(tǒng)FTP服務器進行安全配置。（7）會使用防火墻保護Linux系統(tǒng)中服務器的安全。（8）會使用防火墻保護內(nèi)網(wǎng)用戶和服務的安全。項目五Linux服務器系統(tǒng)安全運行與維護項目主要內(nèi)容：任務一

加強Linux系統(tǒng)DNS服務的安全防御任務二

加強Linux系統(tǒng)DHCP服務的安全防御任務三

加強Linux系統(tǒng)Web服務的安全防御任務四

加強Linux系統(tǒng)FTP服務的安全防御任務五

使用防火墻模塊提升Linux服務器的安全防御任務提出

在辦公網(wǎng)絡中，DNS服務器在對外提供服務過程中會經(jīng)常遇到拒絕服務（DenialofService，DoS)、分布式拒絕服務（DistributedDenialofService，DDoS)、緩沖區(qū)漏洞溢出、DNS欺騙等攻擊，直接影響辦公網(wǎng)絡的正常運行。為了保障DNS服務器的安全運行并提供正常服務，可以通過以下措施來加強DNS服務器的安全。1.保護DNS服務器自身安全

通過在Linux系統(tǒng)中隔離DNS服務器、隱藏DNS服務器版本號、避免透露DNS服務器信息、限制運行權(quán)限等措施保護DNS服務器自身的安全。2.保護DNS服務器免于Spoofing攻擊

為Linux上的DNS服務器關(guān)閉rescursion功能、關(guān)閉gluefetching功能、限制查詢請求的服務對象等，保護DNS服務器，使其免于Spoofing攻擊。3.保護區(qū)域傳輸?shù)陌踩ㄟ^編輯DNS配置文件，限制可以進行區(qū)域傳輸?shù)闹鳈C。4.保護動態(tài)更新的安全限制可以向DNS服務器提交動態(tài)更新的主機，保護動態(tài)更新的安全性。5.使用TSIG保護DNS服務器使用TSIG，通過加密密鑰的方式保護DNS服務器的區(qū)域傳輸。任務分析1.保護DNS服務器自身安全DNS欺騙是指域名信息欺騙，是最常見的DNS安全問題。如果一臺DNS服務器掉入陷阱，使用了來自一項惡意DNS服務的錯誤信息，那么該DNS服務器就被欺騙了。DNS欺騙會使那些易受攻擊的DNS服務器產(chǎn)生許多安全問題，例如將用戶引導到錯誤的Internet站點，或者發(fā)送一個電子郵件到一個未經(jīng)授權(quán)的郵件服務器。

通過使用隔離DNS服務器、隱藏DNS服務器版本號、避免透露DNS服務器信息、限制運行權(quán)限等措施，可以保護DNS免于DNS欺騙。2.保護DNS服務器免于Spoofing攻擊Spoofing攻擊是指欺騙攻擊，攻擊者偽造數(shù)據(jù)包包頭，使顯示的信息源不是實際的來源，從而借用另外一臺機器的IP地址與服務器打交道。Spoofing攻擊容易帶來拒絕服務攻擊和分布式拒絕服務攻擊。拒絕服務攻擊是指攻擊者大量消耗服務器資源，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求，服務器停止提供服務。分布式拒絕服務攻擊是指，攻擊者向目標系統(tǒng)發(fā)起的惡意攻擊請求，隨機生成大批假冒源IP，如果目標防御較為薄弱，對收到的惡意請求也無法分析攻擊源的真實性，從而達到攻擊者隱藏自身的目的。

通過為DNS服務器關(guān)閉rescursion功能、關(guān)閉gluefetching功能、限制查詢請求的服務對象等，保護DNS服務器免于Spoofing攻擊。3.保護區(qū)域傳輸?shù)陌踩J情況下，BIND區(qū)域傳輸是全部開放的，如果沒有限制，DNS服務器會允許對任何人都進行區(qū)域傳輸，那么網(wǎng)絡架構(gòu)中的主機名、主機IP列表、路由器名和路由IP列表，甚至包括各主機所在的位置和硬件配置等情況都很容易被入侵者獲取，因此要對區(qū)域傳輸進行必要的限制，保護區(qū)域傳輸?shù)陌踩?.保護動態(tài)更新的安全雖然動態(tài)更新很有用，但也存在很大危險，必須予以限制。允許向本DNS服務器提交動態(tài)DNS更新的主機IP列表，經(jīng)授權(quán)的更新者可以刪除區(qū)域中的所有記錄（除了SOA記錄和NS記錄)，也可以添加新的記錄。5.使用TSIG保護DNS服務器事務簽名TSIG（TransactionSIGnature）是RFC2845中定義的計算機網(wǎng)絡協(xié)議。它使域名系統(tǒng)（DNS）能夠驗證對DNS數(shù)據(jù)庫的更新。在更新動態(tài)DNS或輔助/從屬DNS服務器時，TSIG使用共享密鑰和單向哈希提供一種密碼安全的方式來認證連接的每個端點，使它們被允許作出或響應DNS更新，從而保證了DNS服務器之間傳送區(qū)域信息的安全。任務實施1.保護DNS服務器自身安全

操作步驟如下：

步驟1實驗準備階段，根據(jù)項目一中任務二知識點，在VMwareWorkstation中部署兩臺RedHatEnterpriseLinux6.4系統(tǒng)虛擬機server1和server2，，兩個虛擬機的IP地址規(guī)劃如表所示，并將兩臺虛擬機實現(xiàn)網(wǎng)絡連通。設備名稱設備角色操作系統(tǒng)IP地址server1主DNS服務器RedHatLinux6.4/24server2從DNS服務器RedHatLinux6.40/24步驟2在server1和server2上分別安裝和啟動DNS服務。①在server1上安裝和啟動DNS服務。②在server2上安裝和啟動DNS服務。步驟同①。[root@linuxA桌面]#yumlist|grepbindbind.i68632:9.8.2-0.17.rc1.el6basebind-chroot.i68632:9.8.2-0.17.rc1.el6base……[root@linuxA桌面]#yum-yinstallbind[root@linuxA桌面]#systemctlstartnamed[root@linuxA桌面]#ps-ef|grepnamed步驟3配置DNS服務。（1）在server1上配置主DNS服務。①在配置文件/etc/named.conf中添加區(qū)域。[root@linuxA桌面]#vim/etc/named.confoptions{listen-onport53{any;};listen-on-v6port53{::1;};directory"/var/named";dump-file"/var/named/data/cache_dump.db";statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt";allow-query{any;};recursionyes;……zone""IN{typemaster;file".zone";allow-update{none;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{none;};};②驗證DNS配置文件。③創(chuàng)建正向區(qū)域文件。[root@linuxA桌面]#named-checkconf[root@linuxA桌面]#cd/var/named/[root@linuxAnamed]#vim.zone$TTL86400@INSOA..(20140801;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNS.INMX5.wwwINAmailINA0ftpINCNAMEwwwdnsINA④驗證正向區(qū)域文件。⑤創(chuàng)建反向區(qū)域文件。其中，尾行中的9為主DNS服務器IP地址的主機部分。[root@linuxAnamed]#named-checkzone.zone[root@linuxAnamed]#cp.zone192.168.159.rev[root@linuxAnamed]#vim192.168.159.rev$TTL86400@INSOA..(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimum@INNS.9INPTR.⑥驗證反向區(qū)域文件。⑦在server1上修改DNS配置文件。⑧在server1上驗證DNS解析。[root@linuxAnamed]#named-checkzone159.168.192.192.168.159.rev[root@linuxAnamed]#vim/etc/resolv.confnameservernameserver0[root@localhostnamed]#systemctlrestartnamed[root@linuxAnamed]#nslookup>Server: Address: #5392. name=.>Server: Address: #53Name: Address:⑨將server1設置為寬容模式。[root@localhostnamed]#systemctlstopfirewalld[root@localhostnamed]#setenforce0注意：setenforce命令只能將selinux暫時關(guān)閉，當系統(tǒng)重啟后，selinux會重新打開，如要永久關(guān)閉，需要在/etc/selinux/config文件中設置SELINUX=disabled。（2）在server2上配置從DNS服務。①在配置文件/etc/named.conf中添加區(qū)域。[root@linuxB桌面]#vim/etc/named.conf……zone""IN{typeslave;file".zone";masters{;};};zone"159.168.192."IN{typeslave;file"192.168.159.rev";masters{;};};②驗證DNS配置文件。③設置named組用戶對named目錄有修改權(quán)限。④將server2設置為寬容模式。[root@linuxB桌面]#named-checkconf[root@linuxB桌面]#chmodg+w/var/named/[root@localhost~]#systemctlstopfirewalld[root@localhost~]#setenforce0⑤在server2上修改DNS配置文件。⑥重啟DNS服務。⑦驗證結(jié)果。[root@linuxB桌面]#vim/etc/resolv.confnameservernameserver0[root@localhost~]#systemctlrestartnamed[root@linuxB桌面]#ls/var/named/192.168.159.revdatanamed.canamed.localhostslaves.zonedynamicnamed.emptynamed.loopback⑧在server2上驗證DNS解析。[root@linuxB桌面]#nslookup>Server: Address: #5392. name=.>Server: Address: #53Name: Address:（3）驗證DNS服務。[root@linuxB桌面]#dig[root@linuxB桌面]#dig[root@linuxB桌面]#dig-tMX[root@linuxB桌面]#dig-tCNAME

步驟4保護DNS服務器自身安全。

（1）隔離DNS服務器。DNS服務器要專用，不要在DNS服務器上運行其他服務，避免出現(xiàn)較多漏洞。盡量使用普通用戶登錄，避免管理員登錄，或者為DNS服務器指定專門的管理用戶。

（2）隱藏DNS服務器版本號。

網(wǎng)絡攻擊者對DNS服務器進行攻擊前，首先使用dig命令查詢到BIND的版本號，接著根據(jù)BIND版本號查詢該版本DNS服務存在的漏洞，然后確定攻擊DNS服務器的方法，由此進行有針對性的攻擊。

需要對DNS服務器進行配置，隱藏DNS服務器的版本號，使攻擊者無法查詢到DNS服務器的版本信息。①查詢BIND的版本號。②編輯BIND配置文件，在配置文件中設置版本號信息。[root@linuxA~]#dig@txtchaosversion.bind;<<>>DiG9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6<<>>@txtchaosversion.bind……;;ANSWERSECTION:version.bind. 0 CH TXT "9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6";;AUTHORITYSECTION:……[root@linuxA~]#vim/etc/named.confoptions{……directory"/var/named";version"unknowonthisplatform";……③重啟DNS服務器。④再次查詢DNS版本號。通過上述測試可以看出，攻擊者無法查詢到DNS的版本信息，只能看到設置后的版本信息。[root@linuxA~]#systemctlrestartnamed[root@linuxA~]#dig@txtchaosversion.bind;<<>>DiG9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6<<>>@txtchaosversion.bind……version.bind. 0 CH TXT "unknowonthisplatform"……

（3）避免透露DNS服務器信息。

為了使攻擊者更難進行攻擊，盡量不要在DNS配置文件中使用HINFO和TXT資源記錄，盡量隱藏服務器信息，使?jié)撛诘暮诳透y得手。

（4）以最小的權(quán)限及使用chroot()方式運行BIND。

以root身份執(zhí)行BIND有安全隱患，攻擊者若找到BIND的安全漏洞，可能獲取root的身份，從而對服務器進行攻擊。①變更DNS的UID和GID。

改變運行DNS的所屬用戶ID和組ID，避免使用根權(quán)限用戶身份運行DNS。

定義域名服務器運行時所使用的UID和GID必須為named組中的用戶，丟棄啟動時所需要的root用戶。[root@linuxA~]#named-unamed②以chroot()的方式執(zhí)行BIND，可以將危害降至最低。設置chroot的環(huán)境后，可以使用以下命令修改運行的用戶。

指定當DNS服務器進程處理完命令行參數(shù)后所要chroot()的目錄為/var/named。[root@linuxA~]#named-unamed-t/var/named2.保護DNS服務器免于Spoofing攻擊

步驟5保護DNS服務器免于Spoofing攻擊。Spoofing攻擊是指欺騙攻擊，冒名者使用提供假的網(wǎng)域名稱與網(wǎng)址的對照信息，可以將不知情用戶的網(wǎng)頁聯(lián)機，引導至錯誤的網(wǎng)站，原本屬于用戶的電子郵件也可能遺失，甚至進一步成為阻斷服務的攻擊。

若DNS服務器接受來自Internet的遞歸查詢請求，易遭受Spoofing攻擊，導致攻擊者修改DNS服務器的區(qū)域文件，使其他用戶解析域名時，得到偽造的名稱信息。

（1）關(guān)閉rescursion功能。

關(guān)閉rescursion功能后，DNS服務器只會響應非遞歸的詢問請求。

無遞歸功能的DNS服務器不易遭受Spoofing攻擊，因為它不會發(fā)送遞歸查詢請求，所以也不會顯示所管區(qū)域以外的任何數(shù)據(jù)。如果DNS服務器還需為合法的解析器提供服務，或是充當其他DNS服務器的代理查詢服務器，就不能關(guān)閉rescursion功能。增強DNS服務器的安全方法是限制查詢請求的服務對象。

可以通過修改配置文件/etc/named.conf的方法限制查詢請求的服務對象。

（2）關(guān)閉gluefetching功能。

當DNS服務器返回一個域的域名服務器記錄，并且域名服務器記錄中沒有查詢記錄時，DNS服務器會嘗試獲取一條記錄，即gluefetching，攻擊者可以利用它進行DNS欺騙。

關(guān)閉gluefetching功能，可避免DNS服務器發(fā)送出任何查詢請求，不會獲取所管區(qū)域以外的任何數(shù)據(jù)。options{…….allow-query{any;};

recursionno;…….}修改配置文件/etc/named.conf關(guān)閉gluefetching功能。options{……allow-query{any;};recursionno;

fetch-glueno;……}

（3）限制查詢請求的服務對象。

限制查詢范圍的各服務器的設置方案如下：①如果無法關(guān)閉rescursion功能，應該限制查詢請求的服務對象。a.限制詢問請求的來源（IP地址）。b.限制可以查詢的區(qū)域范圍。②DNS服務器應該拒絕來自以下網(wǎng)絡的詢問請求：a.私有網(wǎng)絡（除非本機也在使用）。b.實驗性網(wǎng)絡。c.群播網(wǎng)絡。③一般的DNS服務器。a.對所管區(qū)域的名稱信息，可以服務于來自任何IP地址的查詢請求，因為它是經(jīng)授權(quán)管理該區(qū)域的權(quán)威DNS服務器。b.對于所管區(qū)域以外的名稱信息，只服務于來自內(nèi)部或可信賴的IP地址的查詢請求。

④caching-onlyDNS服務器（DNS緩存服務器）。

由于DNS緩存服務器是用來存儲計算機網(wǎng)絡上的用戶需要的網(wǎng)頁、文件等信息的專用服務器，所以它應該只服務于來自特定IP地址的解析器。

⑤authoritative-onlyDNS服務器（權(quán)威DNS服務器）。

權(quán)威型DNS服務器只關(guān)注自己負責的區(qū)域相關(guān)請求，不理會其他區(qū)域相關(guān)的請求。這類服務器對于自己所負責的區(qū)域請求可以很快響應，不響應遞歸請求，在DNS系統(tǒng)中從來只做服務器而不做客戶端。因此，對于權(quán)威型DNS必須服務于來自任何IP地址的詢問請求，但是拒絕任何遞歸的詢問請求。

限制查詢請求的具體配置為：

設置后，所有的用戶都可以訪問的DNS服務器，但是只有192.168.159.0/24網(wǎng)段的主機用戶可以請求DNS服務器的任意服務，另外也不允許其他網(wǎng)段的主機進行遞歸詢問。[root@linuxA~]#vim/etc/named.confoptions{……allow-query{/24;};……zone""IN{typemaster;file".zone";allow-update{none;};allow-query{any;};};…….}3.保護區(qū)域傳輸?shù)陌踩?/p>

步驟6保護區(qū)域傳輸?shù)陌踩?/p>

默認情況下，BIND區(qū)域傳輸是全部開放的，如果沒有限制，DNS服務器允許對任何人都進行區(qū)域傳輸，那么網(wǎng)絡架構(gòu)中的主機名、主機IP列表、路由器名和路由IP列表，甚至包括各主機所在的位置和硬件配置等情況都很容易被入侵者獲取，因此要對區(qū)域傳輸進行必要的限制。（1）在server2上，刪除區(qū)域配置文件。[root@linuxB桌面]#cd/var/named[root@linuxBnamed]#rm-rf.zone[root@linuxBnamed]#rm-rf192.168.159.rev（2）配置DNS服務，只允許在和00之間進行區(qū)域傳輸。①在server1上，編輯DNS配置文件，限制區(qū)域傳輸。[root@linuxA~]#vim/etc/named.conf……acl"zone-transfer"{;00;};zone""IN{typemaster;file".zone";allow-update{none;};allow-transfer{"zone-transfer";};allow-query{any;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{none;};allow-transfer{"zone-transfer";};};②在server1上重啟DNS服務。③在server2上清空日志文件。④在server2上重啟DNS服務。⑤在server2上查看區(qū)域配置文件是否存在。[root@linuxA~]#systemctlrestartnamed[root@linuxB~]#echo"">/var/log/messages[root@linuxB~]#systemctlrestartnamed[root@linuxBnamed]#ls/var/nameddatanamed.canamed.localhostslavesdynamicnamed.emptynamed.loopback⑥在server2上查看日志。

由于區(qū)域傳輸被限制在和00之間，server2嘗試從server1獲取正向解析文件和反向解析文件失敗。[root@linuxBnamed]#cat/var/log/messages……Jun1315:51:19linuxBnamed[8083]:zone159.168.192./IN:Transferstarted.Jun1315:51:19linuxBnamed[8083]:transferof'159.168.192./IN'from#53:connectedusing0#60292Jun1315:51:19linuxBnamed[8083]:transferof'159.168.192./IN'from#53:failedwhilereceivingresponses:REFUSEDJun1315:51:19linuxBnamed[8083]:transferof'159.168.192./IN'from#53:Transfercompleted:0messages,0records,0bytes,0.001secs(0bytes/sec)（3）配置DNS服務，只允許在server1和server2之間進行區(qū)域傳輸。①在server1上，編輯DNS配置文件，限制區(qū)域傳輸。這樣，只有IP地址為和0兩臺主機才能與DNS服務器進行區(qū)域傳輸。[root@linuxA~]#vim/etc/named.conf……acl"zone-transfer"{;0;};zone""IN{typemaster;file".zone";allow-update{none;};allow-transfer{"zone-transfer";};allow-query{any;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{none;};allow-transfer{"zone-transfer";};};②在server1上重啟DNS服務。③在server2上清空日志文件。④在server2上重啟DNS服務。⑤在server2上查看區(qū)域配置文件是否存在。結(jié)果顯示，server2已經(jīng)重新獲得了從server1傳輸?shù)恼蚪馕鑫募头聪蚪馕鑫募root@linuxA~]#systemctlrestartnamed[root@linuxB~]#echo"">/var/log/messages[root@linuxB~]#systemctlrestartnamed[root@linuxBnamed]#ls/var/named192.168.159.revdatanamed.canamed.localhostslaves.zonedynamicnamed.emptynamed.loopback⑥在server2上查看日志。server2從server1獲取DNS正向解析文件和反向解析文件。[root@linuxBnamed]#cat/var/log/messages……Jun1315:12:38linuxBnamed[7882]:zone159.168.192./IN:Transferstarted.Jun1315:12:38linuxBnamed[7882]:transferof'159.168.192./IN'from#53:connectedusing0#59542Jun1315:12:38linuxBnamed[7882]:zone159.168.192./IN:transferredserial42Jun1315:12:38linuxBnamed[7882]:transferof'159.168.192./IN'from#53:Transfercompleted:1messages,4records,160bytes,0.001secs(160000bytes/sec)4.保護動態(tài)更新的安全

步驟7保護動態(tài)更新的安全。

通過限制動態(tài)更新，限制允許向本DNS服務器提交動態(tài)DNS更新的主機IP列表，只有經(jīng)授權(quán)的更新者才可以修改區(qū)域中的記錄。[root@linuxA~]#vim/etc/named.conf……acl"zone-transfer"{;0;};acl“updater”{1;};//dhcpserverzone""IN{typemaster;file".zone";allow-update{updater;};allow-transfer{"zone-transfer";};allow-query{any;};};zone"159.168.192."IN{typemaster;file"192.168.159.rev";allow-update{updater;};allow-transfer{"zone-transfer";};};5.使用TSIG保護DNS服務器

步驟8使用TSIG保護DNS服務器。TSIG使用數(shù)字簽名驗證DNS信息。首先在主機上產(chǎn)生加密密鑰，然后以SSH方式傳遞給從機，設定從機以密鑰簽署送往主機的區(qū)域傳送要求；反之亦然，提供服務給經(jīng)密鑰簽署過的動態(tài)更新要求。

（1）在server1上，產(chǎn)生加密密鑰。[root@linuxA桌面]#dnssec-keygen-aHMAC-MD5-b128-nHOSTserver1Kserver1.+157+30472（2）查詢server1的加密密鑰。①查詢公鑰。[root@linuxA桌面]#catKserver1.+157+30472.keyserver1.INKEY5123157U7hiTmgrJNU++r3Z80M+TA==②查詢私鑰。[root@linuxA桌面]#catKserver1.+157+30472.privatePrivate-key-format:v1.3Algorith