中国移动bind域名解析软件安全配置规范202423033

上传人:命****币 文档编号:110037051 上传时间:2019-10-28 格式:DOC 页数:15 大小:336KB
返回 下载 相关 举报
中国移动bind域名解析软件安全配置规范202423033_第1页
第1页 / 共15页
中国移动bind域名解析软件安全配置规范202423033_第2页
第2页 / 共15页
中国移动bind域名解析软件安全配置规范202423033_第3页
第3页 / 共15页
中国移动bind域名解析软件安全配置规范202423033_第4页
第4页 / 共15页
中国移动bind域名解析软件安全配置规范202423033_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《中国移动bind域名解析软件安全配置规范202423033》由会员分享,可在线阅读,更多相关《中国移动bind域名解析软件安全配置规范202423033(15页珍藏版)》请在金锄头文库上搜索。

1、中中 国国 移移 动动B I N D 域域 名名 解解 析析 软软 件件 安安 全全 配配 置置 规规 范范 安安 全全 配配 置置 规规 范范 S S p p e e c c i i f f i i c c a a t t i i o o n n f f o o r r B B I I N N D D S S o o f f t t w w a a r r e e C C o o n n f f i i g g u u r r a a t t i i o o n n U U s s e e d d i i n n C C h h i i n n a a M M o o b b i i l l

2、 e e 版版 本本 号号 : . . 中国移动通信集团公司中国移动通信集团公司 发布发布 目录 1 概述概述1 1.1 适用范围.1 1.2 内部适用性说明.1 1.3 外部引用说明.2 1.4 术语和定义.2 1.5 符号和缩略语.2 2 BIND 域名解析软件安全配置要求域名解析软件安全配置要求.3 2.1记录安全事件到文件3 2.2隐藏BIND版本信息.4 2.3禁止DNS域名递归查询.4 2.4增加查询ID的随机性5 2.5限制域名查询5 2.6限制域名递归查询6 2.7指定动态DNS更新主机.6 2.8指定动态DNS更新主机.7 2.9指定不接受区域请求7 2.10指定不接受区域请

3、求8 2.11定义ACL地址名.9 2.12控制管理接口10 2.13防止DNS欺骗.10 2.14设置重试查询次数11 2.15防止污染高速缓存(Cache)12 前言 本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准提出并归口部门负责解释。 本标准起草单位:中国移动通信有限公司网络部。 本标准解释单位:同提出单位。 本标准主要起草人:中国移动集团北京公司 王 悦 13911924072 中国移动通信集团公司 陈敏时 13911773802 1 概述概述 1.1 适用范围适用范围 本规范适用于中国移动互联网使用 BIND 软件进行域名解析的 DNS 系统。本规范明确 了 BIND

4、 域名解析软件安全配置方面的基本要求。 BIND:全称是 Berkeley Internet Name Domain(伯克利因特网名字系统) 。官方网址: http:/www.isc.org/。它主要有 3 个版本:BIND 4,BIND 8,BIND9。BIND 没有 5,6,7 这几个版本,一下就跳到 8 了,在 BIND8 以后的版本里融合了许多提高效率,稳定性和安 全性的技术。 BIND 安全选项非常多,应针对 BIND 服务软件进行安全配置,充分利用 BIND 自身已 经实现的保护功能加强 BIND 安全性,从而能抵御目前已知的 BIND 安全漏洞,并尽可能 使潜在的安全漏洞对 DN

5、S 服务造成最小的影响。 BIND 安全配置可完成针对限制域传输、限制查询、防止 DNS 欺骗、设置重试查询次 数、修改 BIND 的版本信息等 Bind 系统安全配置。本规范基于 BIND9.x.x 以上的版本提供 了安全配置操作方法。 1.2 内部适用性说明内部适用性说明 本规范是在中国移动设备通用设备安全功能和配置规范 (以下简称通用规范 )各项设备配置要求的基础上,提出的 BIND 域名解析软件安全配置规范。本规范新 增的安全配置要求,如下: 安全要求安全要求-设备设备-通用通用-BIND-配置配置-1 安全要求安全要求-设备设备-通用通用-BIND-配置配置-2 安全要求安全要求-设

6、备设备-通用通用-BIND-配置配置-3 安全要求安全要求-设备设备-通用通用-BIND-配置配置-4 安全要求安全要求-设备设备-通用通用-BIND-配置配置-5 安全要求安全要求-设备设备-通用通用-BIND-配置配置-6 安全要求安全要求-设备设备-通用通用-BIND-配置配置-7 安全要求安全要求-设备设备-通用通用-BIND-配置配置-8 安全要求安全要求-设备设备-通用通用-BIND-配置配置-9 安全要求安全要求-设备设备-通用通用-BIND-配置配置-10 安全要求安全要求-设备设备-通用通用-BIND-配置配置-11 安全要求安全要求-设备设备-通用通用-BIND-配置配置-

7、12 安全要求安全要求-设备设备-通用通用-BIND-配置配置-13 安全要求安全要求-设备设备-通用通用-BIND-配置配置-14 安全要求安全要求-设备设备-通用通用-BIND-配置配置-15 1.3 外部引用说明外部引用说明 中国移动设备通用安全功能和配置规范 1.4 术语和定义术语和定义 1、 域名系统 DNS(Domain Name System)是域名解析服务的意思,它在互联网的作用是:把域 名转换成为网络可以识别的 ip 地址。 2、 名字服务器和区:存储关于域名空间信息的程序叫做名字服务器(name server) 。名字服务器 通常含有域名空间中某一部分的完整信息,这一部分成

8、为区(zone) ,区的内容是从文件或其 他名字服务器中加载而来的。 3、 递归或递归解析(recursive resolution):名字服务器在收到递归查询时所采用的解析过程。 4、 反复(iteration)或反复解析(iteration resolution):名字服务器在收到反复查询时所使用的解 析过程。 5、 DNS 通知(DNS NOTIFY):允许一个区(zone)的主名字服务器在序列号增加的时候通知该 区(zone)的辅名字服务器。 1.5 符号和缩略语符号和缩略语 缩写英文描述中文描述 BINDBerkeley Internet Name Domain伯克利因特网名字域系统

9、 DNSDomain Name System域名系统 ISCInternet Systems Consortium互联网(系统)协会 Recursiverecursive递归方式 Iterativeiterative反复方式 Nonrecursiveonrecursive非递归方式 Resolutionresolution解析 queryquery查询 2 BIND 域名解析软件安全配置要求域名解析软件安全配置要求 本规范所指的 BIND 为域名解析软件。本规范提出的安全配置要求,在未特别说 明的情况下,均适用于 BIND9.x.x 以上版本的域名解析软件。 本规范只基于 BIND9.x.x

10、域名解析软件自身提供的安全特性进行描述,不包括承 载 BIND 软件的操作系统的安全性以及外部网络设备、安全设备所提供的域名解析安 全配置。 2.1 记录安全事件到文件记录安全事件到文件 编号编号:安全要求安全要求-设备设备-通用通用-BIND-配置配置-1 要求内容要求内容解决遇到的各种的异常问题,记录日志和认真地读取日志文件是 系统管理员的一项非常重要的任务,所以要记录安全事件到文件 中,同时还要保持原有的日志模式。 检测方法检测方法检测 /etc/bind/named.conf 文件中是否有如下内容: logging 操作指南操作指南在 /etc/bind/named.conf 文件中增

11、加如下内容: logging channel my_security_channel file “my_security_file.log“ versions 3 size 20m; severity info; ; category security my_security_channel; default_syslog; default_debug; ; 其中 my_security_channel 是用户自定义的 channel 名字, my_security_file.log 是安全事件日志文件,可包含全路径(否 则是以 named 进程工作目录为当前目录) 。安全事件日志文件名为 m

12、y_security_file.log,保存三个最近的备份 (my_security_file.log0、my_security_file.log1、my_securi ty_file.log2) ,日志文件的最大容量为 20MB(如果达到或超这一 数值,直到该文件被再次打开前,将不再记录任何日志消息。缺 省(省略)时是没有大小限制。 ) 操作结果日志记录完整,所有异常问题都会在日志文件记录。 2.2 隐藏隐藏 BIND 版本信息版本信息 编号:安全要求编号:安全要求-设备设备-通用通用-配置配置-2 要求内容要求内容通过 DNS 服务查询 BIND 版本号时,返回的信息 BIND 版本信息。

13、 检测方法检测方法检测 /etc/bind/named.conf 文件中是否有如下内容: version “Who knows?“; 操作指南操作指南在 /etc/bind/named.conf 文件中增加如下内容: version “Who knows?“; 操作结果操作结果如果通过 DNS 服务查询 BIND 版本号时,返回的信息就是“Who knows?“。 2.3 禁止禁止 DNS 域名递归查询域名递归查询 编号:安全要求编号:安全要求-设备设备-通用通用-配置配置-3 要求内容要求内容针对非递归服务器,要禁止 DNS 域名递归查询,在 options(或特 定 zone 区域)中增加

14、。 检测方法检测方法检测 /etc/bind/named.conf 文件中是否有如下内容: recursion no; fetch-glue no; 操作指南操作指南在/etc/bind/named.conf 文件中的 options(或特定的 zone 区 域)节中增加: recursion no; fetch-glue no; 操作结果操作结果防止了 DNS 域名递归查询。 2.4 增加查询增加查询 ID 的随机性的随机性 编号:安全要求编号:安全要求-设备设备-通用通用-BIND-配置配置-4 要求内容要求内容服务器将跟踪其出站查询 ID 值以避免出现重复,并增加随机性。 检测方法检测方

15、法 检测 /etc/bind/named.conf 文件的 options 节中是否有如下内 容:use-id-pool no 操作指南操作指南在/etc/bind/named.conf 文件中的 options 节中增加如下内容: use-id-pool yes 操作结果操作结果这将会使服务器多占用超过 128KB 内存。 (缺省值为 no) 2.5 限制域名查询限制域名查询 编号:安全要求编号:安全要求-设备设备-通用通用-BIND-配置配置-5 要求内容要求内容要限制对 DNS 服务器进行域名查询的主机 检测方法检测方法检测 /etc/bind/named.conf 文件的 option

16、s 节中是否有如下内 容: allow-query ; address_match_list 是允许进行域名查询的主机 IP 列表,如 “1.2.3.4; 5.6.7/24;“。 操作指南操作指南在/etc/bind/named.conf 文件的 options(或特定的 zone 区域) 节中增加: allow-query ; address_match_list 是允许进行域名查询的主机 IP 列表,如 “1.2.3.4; 5.6.7/24;“。 操作结果操作结果不会对系统造成任何不良的影响。 2.6 限制域名递归查询限制域名递归查询 编号:安全要求编号:安全要求-设备设备-通用通用-BIND-配置配置-6 要求内容要求内容要限制对 DNS 服务器进行域名递归查询的主机 检测方法检测方法检测 /etc/bind/named.conf 文件的 options 节中是否有如下内 容: allow-recursion ; address_match_list 是允许进行域名递归查询的主机

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 初中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号