主要从产品和服务两个方面,来构成DNS安全解决方案,产品主要包括绿盟科技安全基线检查系统、绿盟科技DNS专项防护系统、绿盟科技流量清洗系统;服务主要包括绿盟科技的针对DNS系统的安全评估服务、渗透测试服务、安全值守服务、系统监控服务、安全事件处理、应急响应、事件追溯等。
3.4 DNS系统安全防护方案部署
构建DNS系统双层立体防护体系:运营商骨干网部署流量清洗中心,进行大流量级清洗;在DNS系统前部署DNS专项防护系统,进行有针对性的细粒度的清洗,基线检查工具;用于日常安全检查评估工作。部署示意图如下所示:
图 3.3 DNS立体防护体系示意图
3.5 DNS系统安全服务方案
3.5.1 安全评估
对运营商DNS系统进行安全评估,应该从技术和管理两个方面的评估展开。
技术评估主要包括网络安全评估、主机安全评估、业务及应用安全评估、数据安全评估,目的是从网络、主机、业务及应用、数据等层面对DNS系统进行完整的安全评估,掌握其整体安全状况。管理评估主要包括安全管理制度、安全管理组织、人员管理安全、系统建设管理、系统运维管理等方面的管理评估,目的是掌握DNS的安全管理状况。
3.5.2 安全加固
在渗透、脆弱性评估的基础上,由绿盟科技形成加固方案以及整改建议,对DNS系统的应用软件、主机、网络设备、管理制度等四个方面进行检查加固工作。
对于服务器加固而言,就是:根据服务器功能类型的不同,分别完成各自服务器在补丁更新、密码策略设置、运行策略配置、用户授权控制、日志审计等方面的分析与加固工作。
很多DNS系统使用BIND软件进行域名解析。BIND安全选项非常多,应针对BIND服务软件进行安全配置,充分利用BIND自身已经实现的保护功能加强BIND安全性,从而能抵御目前已知的BIND安全漏洞,并尽可能使潜在的安全漏洞对DNS服务造成最小的影响。
BIND安全配置可完成针对限制域传输、限制查询、防止DNS欺骗、设置重试查询次数、修改BIND的版本信息等Bind系统安全配置,具体配置项目包括:
u 隐藏BIND版本信息
u 禁止DNS域名递归查询
u 增加查询ID的随机性
u 限制域名查询
u 限制域名递归查询
u 指定动态DNS更新主机
