第五章集成的安全模式案例——域名解析系統DNS集成安全示例

本章將以某運營商域名解析系統（DomainNameSystem，DNS）集成整個安全生命周期為案例，對集成的整個環節進行介紹內容包括：符合性評估、風險評估、設計、實施、評測、監視、評審等。幫助更好的理解什么是集成的安全，以及實際環境中的運用。2摘要目錄符合性評估風險評估集成與安全設計 集成安全的實施 安全運行監視安全評審 安全提升某企業是一家電信運營商，在網絡管理中心設立網絡與信息安全領導小組，由網絡管理中心領導層和各業務部門主管組成任務：構建一個域名解析DNS系統為該運營商管轄范圍內用戶提供域名解析服務，包括：小區寬帶用戶、專線用戶、GPRS用戶等處理能力需求為20萬QPS（每秒查詢率），并且要符合相關安全標準。案例介紹5.2符合性評估根據《信息系統安全等級保護定級指南》將DNS系統安全保護等級定義為3.1需按照《中華人民共和國通信行業標準》第3.1級要求，包括：業務及應用安全，業務及應用系統安全，設備安全，物理環境安全，災難備份及恢復等內容。具體評測內容參考：中華人民共和國通信行業標準YD/T2245—2011《域名注冊系統安全防護要求》。其他安全規范《通用安全設備配置規范》；《安全域劃分和邊界整合技術要求》；《XX域名解析軟件安全配置規范》；工信部保〔2010〕53號《關于加強互聯網域名系統安全保障工作的通知》；YD/T2052—2009《域名系統安全防護要求》；

運營商集團《關于加強互聯網域名系統安全防護與維護工作的通知》。5.3風險評估DNS面臨的安全風險分析：拒絕服務類數據篡改類隱私類其他類資產信息確定評估階段風險處理建議5.3.1拒絕服務類攻擊DNS面臨的安全風險分析：拒絕服務類攻擊針對DNS的拒絕服務類攻擊利用DNS的拒絕服務類攻擊流量異常類拒絕服務類攻擊緩沖區溢出類拒絕服務攻擊數據篡改類攻擊緩存中毒域名劫持中間人攻擊（ManintheMiddleAttack）隱私類攻擊域名安全事件百度域名被劫持新浪DNS服務器出現域名無法解析故障某知名CDN服務商DNS故障CN域名遭攻擊致大面積癱瘓境內所有通用頂級域遭DNS劫持5.3.5資產信息確定1. 環境與邊界類別內容電源1)設備電源采用，獨立專線電源，由機房總配電盤直接引入，與動力、照明器材或終端、復印機等機器分離；2)配置了不間斷電源（UPS）以避免使用中停電造成數據丟失，或設備損壞；3)照明/動力（包括冷氣/除塵/除濕機等）電源開頭獨立，不受電設備總電源開關控制；4)總電纜線路上配備空氣保護開頭和無熔絲開關等，以防止瞬間故障損壞設備；5)配電箱置于機房內；6)配置了專門的地線。機房1)環境溫度18℃～24℃；相對濕度30%～70%

2)機房保持整潔，進入機房應更換拖鞋，定期進行全機房衛生清潔

3)主機房地板采用高架防靜電地板

4)主機房天花板使用玻璃纖維。

5)機房配置了專門的門禁系統，有專人進行值守維護空調、消防、照明1）機房配備了防靜電手鐲等防靜電措施；

2）機房配備充足的消防器材，并定期維護；

3）機房安置監控攝像頭、溫感和煙感探測試器；

4……DNS系統邏輯邊界2. 數據存儲在管理服務器上的域名黑名單，用于對指定的域名進行封堵。域名黑名單數據以文本方式存在在數據庫中，字段包括：IP段、域名類型、域名、請求類型、解析結果等。3. 載體該DNS系統涉及的數據載體主要包括如下幾類。（1）網絡設備：路由器、交換機等，用于網絡數據轉發、路由等（2）傳輸載體：百兆網線、千兆光纖，用于數據傳輸、送達。（3）存儲載體：服務器、數據庫，用于數據的處理、存儲、備份。5.3.6評估階段在進行評估階段時，以評估系統的環境與邊界防護、數據安全、載體安全、管理辦法等方面可能存在的風險點。評估項滿足不滿足可能存在的風險網絡可靠性√

因網絡中斷導致業務異常網絡可發展性√

業務發展收到網絡瓶頸限制安全區域間防護

√未授權訪問網絡入侵防御

√來自網絡的攻擊入侵事性能監控√

網絡設備運行達到負荷表5-5環境與邊界安全評估結果評估項滿足不滿足可能存在的風險重要數據存儲

√重要數據泄露重要數據防護

√網絡攻擊入侵表5-6數據安全評估結果評估項滿足不滿足可能存在的風險系統版本及補丁√

存在缺陷或漏洞身份鑒別信息傳輸方式

√偽造源攻擊，信息泄露訪問控制

√未授權訪問口令策略

√暴力破解攻擊系統提供的服務

√惡意代碼攻擊表5-7載體安全評估結果5.3.7風險處理建議環境與邊界處理建議1) 安全區域防護2) 邊界防護數據安全處理建議數據存儲安全訪問控制載體安全處理建議身份鑒別信息傳輸方式訪問控制口令策略系統提供的服務5.4集成與安全設計5.4.1設計原則高可靠性原則高擴展性原則安全性原則符合性原則5.4.2DNS系統安全目標第一，保障DNS系統自身的安全；第二，DNS服務的高可靠性、可用性、連續性；第三，為其他相關業務系統提供支持。“業務可用性、解析正確性、狀態可視化”5.4.3DNS安全體系模型5.4.4網絡架構5.4.5系統部署1、業務系統部署在新建的接入交換機下部署緩存、遞歸、授權子系統實現DNS業務需求。部署2臺服務器，加載通過該運營商測試的軟件來滿足新建節點的緩存功能、安全防護、智能解析需求；部署2臺服務器，加載通過該運營商測試的軟件的來滿足新建節點的授權功能需求；部署2臺服務器，加載通過該運營商測試軟件來滿足新建節點的授權功能需求。2、網管、日志采集、第三方接口部署部署2臺服務器作為采集服務器，1臺服務器作為系統管理服務器，加載通過該運營商測試與DNS軟件版本配套的管理軟件來滿足運營商DNS系統的維護管理、數據采集分析需求。整合DNS網管監測統計系統，實時對域名請求、域名解析、解析成功率、解析時延、cache命中率等業務數據指標進行監控該DNS系統全面支持數據上報、網絡管控、域名備案、流量鏡像等系統對接。5.4.5系統部署3、安全防護策略部署部署4臺防火墻設備，用于滿足邊界防護功能；部署2臺流量清洗設備，用于清理來自互聯網側的異常流量；部署1臺入侵檢測設備，用于檢測網絡攻擊入侵事件；部署1套進程監控系統，用于對服務器進程服務進行監控；部署1套防病毒系統，用與惡意代碼防護。4、智能解析策略部署在管理服務器上部署智能軟件，能夠提供可配置的完善的域名解析結果定制策略，滿足DNS系統的智能解析要求。5.4.6系統能力系統緩存功能安全防護功能網管統計接口擴展備份方案系統可靠性系統擴展性1. 系統緩存功能滿足系統的緩存需求，功能描述如下。單個設備License配置的緩存處理能力為20萬QPS，整系統40萬QPS的處理能力；遞歸和緩存物理分離，將超過95%的域名解析請求后直接響應返回，大大降低后臺DNS遞歸服務器的系統壓力；降低用戶的域名解析平均響應時延，優化后的時延小于2ms；域名管控能力大幅提升：可以調整域名TTL值，可以控制特定域名的解析模式；緩存管控能力大幅提升：實現對緩存的控制管理，包括查詢、刪除、備份緩存內容、修改緩存節點資源的TTL值；提供緩存主動更新功能，優化了解析流程，減小了網外因素的影響，減少了ServFail量，較少了用戶等待時間，提升了用戶體驗；……2. 安全防護功能通過部署在管理服務器上的安全模塊，實現系統的安全防護需求。實現的功能描述如下。能夠對異常包進行過濾，并能夠對IP非法、DNS非法查詢包（長度異常、格式異常、內容異常）進行丟棄處理；監測防御各類常見的DNSDDoS攻擊：DDoS反射攻擊（入侵者偽造大量的源地址為“被攻擊方”的DNS請求報文，DNS回復大量報文給“被攻擊方”，導致“被攻擊方”帶寬、系統資源耗盡）；偽造源IPDDoS攻擊（入侵者利用“僵尸網絡”，向目標地址發起訪問，導致“被攻擊方”帶寬、系統資源耗盡）；DNS畸形包DDoS攻擊；DNSQueryFlood攻擊；UDPFlood攻擊；SYNFlood攻擊；ICMPFlood攻擊。可監測防御DNS緩存投毒攻擊（入侵者修改DNS緩存中的數據，將域名指向不正確的IP地址，引導用戶訪問惡意站點）；……3. 網管統計功能通過部署在管理服務器上的管理模塊，實現的功能描述如下。實現對服務器以及其他設備（如：流量清洗、入侵檢測設備等）的維護管理；通過WEBGUI界面，提供數據配置管理功能；通過WEBGUI界面，可實現對各網元的監控，包括：CPU利用率、內存利用率、端口流量、關鍵業務進程等；能夠按照用戶IP地址/目標域名進行查詢量統計；……4. 接口擴展功能綜合網管系統支持SYSLOG、FTP、SNMP等方式對接綜合網管系統，并將DNS業務指標、DNS告警信息、DNS設備狀態燈信息送到綜合網管。單點登錄支持網絡管控系統接入，通過該系統實現單點登錄。重點數據上報系統支持基于SYSLOG、FTP方式與集團重點數據上報系統的對接要求。域名備案系統支持基于FTP主動、FTP被動的方式與域名備案系統的對接要求。流量鏡像系統支持針對DNS請求和DNS應答的流量鏡像功能，以對接第三方流量監測系統。5. 備份方案節點間的備份節點內的備份系統內的備份6. 系統可靠性單節點內部署2臺服務器，可保證1:1冗余備份；所有設備提供雙電源，避免單電源故障引起系統宕機。7. 系統擴展性網元易擴展。改造優化方案采用透明串接方式，對現網結構無影響，對后續三層交換交換機下設備的擴展無影響；功能易擴展。所有系統功能均由軟件模塊實現，系統功能擴展只需直接升級軟件模塊即可，無需替換或者增加硬件設備。5.4.7安全功能設計根據信息系統安全集成模型，進行四個方面考慮。數據安全設計載體安全設計環境安全設計邊界安全設計1.數據安全設計1) 業務可用性集成DNS網管監測統計系統，實時對域名請求、域名解析、解析成功率、解析時延、cache命中率等業務數據指標進行監控。2) 數據備份每月對域名解析系統關鍵數據和重要信息進行備份，建立恢復的管理和控制機制。3) 賬號管理使用集中賬號管控平臺進行賬號管理，管理、維護人員通過短信認證方式申請、使用賬號，每90天平臺自動修改賬號口令。4) 性能監控對域名解析系統所有網絡設備、安全設備及主機通過SNMP和自動巡檢；腳本進行性能和運行狀態監控，基于閥值進行告警；5) 重點域名監控保障設定一個（或多個）域名對應的預期解析結果列表，當一個域名的解析結果和預期的不相符，會產生告警。2、接入層接入層設計是一種載體安全設計。針對DNS系統承載網絡的維護，按照集團規范遠程接入方式，嚴格限制遠程維護通道，只允許通過網絡安全管控平臺登錄維護系統。3. 防護層1) DDoS防護在省干和國干之間部署抗DDoS設備，清洗流量可以達到10G。DNS系統設置源IP、域名限速功能、超過源IP和域名限速閥值的請求進行過濾、有效的防護異常攻擊請求。2) 防域名篡改與緩存投毒對于1秒內返回的遞歸應答數大于100QPS（默認），緩存投毒告警會發出告警并丟棄；DNS系統NAP設備對報文進行合法性檢查，若出現非法IP、非法UDP或非法DNS報文的情況，直接丟棄，并且在MS網管界面上有相關信息的統計DNS系統對請求ID和應答ID進行效驗、以增大DNS應答報文的合法性、防止域名緩存投毒、篡改。3) 入侵檢測在DNS內部核心交換機處，部署入侵檢測系統，實施檢測網絡流量，定期對日志進行分析。4) 防病毒網關在DNS防火墻至DNS內部核心交換機間，以串聯的方式部署防病毒網關，對病毒、木馬進行有效過濾。5) 配置合規嚴格按照《某運營商設備安全功能和配置系列規范》，定期對DNS系統每臺主機進行配置加固和弱口令加固。6) 漏洞評估加固定期監測DNS解析軟件的版本安全性，避免業已發現的漏洞造成域名劫持或域名更改等安全事件。每季度使用漏洞掃描器對DNS進行漏洞評估，針對評估結果進行加固。7) 安全審計對登錄、維護操作日志進行監控、記錄，每周安排專門的審計人員進行審計，對不符合項，定期通報。4. 建立安全管理制度在以下幾個方面加強制度的建立：人員管理制度機房管理制度系統的安全測評制度系統配置與補丁管理制度用戶授權與口令管理制度備份與災難恢復要求應急響應制度安全事件上報及處置制度5.5集成安全的實施建設目標本期工程計劃在樞紐大樓新建一套DNS系統，處理能力需求為20萬QPS，系統需實現智能DNS、關鍵指標采集上報集團要求功能，該系統建成后，與原DNS系統間實現基于Anycast技術的負荷分擔。網絡架構1. 業務系統部署基于IPAnycast架構，通過在新建的匯聚交換機下部署緩存、遞歸、授權子系統實現新增節點的DNS需求。部署2臺緩存功能服務器，來滿足新建節點的緩存功能、安全防護、智能解析需求；部署2臺授權功能服務器，來滿足新建節點的授權功能需求；部署2臺遞歸功能服務器，來滿足新建節點的遞歸功能需求。2. 網管、日志采集、第三方接口部署2. 網管、日志采集、第三方接口部署部署2臺通過測試的日志采集服務器，1臺作為系統網管服務器，來滿足甲方DNS系統的維護管理、數據采集分析需求。1) 節點內路由方式2) 節點間路由方式5.5.3設備配置清單序號設備名稱用途主要性能指標單位數量備注1.1緩存功能設備基礎設備2U高度，標配雙路冗余電源（另行配置，可選配冗余直流電源）。三個網絡擴展槽，可選配4*GE光口、8*GE光口、8*1000M電口、2*10GE光口等多種模塊，標配2*1000M電口，1*帶外網管口臺2緩存子系統1.2冗余交流電源模塊電源模塊雙路輸入AC220V冗余交流電源模塊，500W塊21.3CachePro功能模塊緩存模塊乙方緩存模塊，Licence：QPS=20萬QPS

21.4功能模塊安全防護模塊安全防護模塊套21.5功能模塊智能解析模塊智能解析模塊套2表5-8設備配置清單5.5.4項目進度安排準備階段實施階段系統聯合測試階段試運行以及維護階段1、提交技術文件（乙方）2、工前準備（甲方）3、安裝現場驗收（乙方）4、開箱驗收（甲方，乙方）1.簽署開工文件（甲方，乙方）2.設備上架（甲方，乙方）3.連接所有纜線至設備（甲方，乙方）4.簽署設備硬件移交文件（甲方，乙方）5.安裝調試單臺設備（乙方）6.對所有設備進行聯調（甲方，乙方）7.驗收（甲方，乙方）8.簽署初驗報告（甲方，乙方）1、試運行觀察（甲方）2、討論修改策略（甲方，乙方）1、有關部門,人員討論終驗方案：（乙方、甲方）2、提供試運行報告（乙方）3、簽署終驗報告（甲方，乙方）4、進入售后服務期完成標志是《現場驗收報告》和開箱驗貨報告（合格）完成標志是簽署《開工報告》《測試驗收報告》《系統初驗報告》完成標志是正常運行1周后完成標志簽署《系統終驗報告》2周內2周內1周6個月試運行后表5-9項目進度安排表5.5.5工程分工界面1. 甲方職責（1） 設備到貨前，完成機房、機架、電源和線路準備工作；（2） 設備到貨后，與賣方工程師共同進行設備的開箱查驗，并簽署驗貨證明；（3） 指定專門的工程管理和協調單位，提供聯系人名單；負責同各節點負責人聯絡協調；并指定專門的技術機房人員以及技術工程師配合工程實施；……2. 乙方職責（1） 指定專門的項目經理和技術負責人，分別負責本項目中賣方的工程協調和技術方案制定和實施；（2） 按照合同設備清單按時提供設備和驗貨清單；（3） 提前提供施工計劃、工程實施方案供買方討論和審批；（4） 設備到貨后，協助買方工程師完成設備的開箱檢驗；（5） 安排工程師到現場負責對DNS系統設備的安裝調測，并對買方工程師進行必要的現場培訓；……5.6安全運行監視DNS系統安全監控、安全事件處理、應急響應、事件追溯；對DNS系統進行定期的安全狀態巡查。運行監視階段，實施人員需利用專用工具或人工方式，對DNS系統設計完成后的效果進行驗證和監測。并獲取監視數據，為安全評審提供數據支撐。測試目的驗證DNS設備的緩存功能：對于Cache中命中的請求，Cache直接返回；沒命中的請求，才到后端DNS進行遞歸查詢，遞歸查詢成功后返回應答報文，并在DNS的Cache中進行緩存。測試環境：新建環境測試步驟：使用測試終端的dig程序發送對某個域名的DNS請求查詢；使用測試終端再次發送對同一個域名的DNS請求；對比DNS設備現網收到DNS請求流量與發到上層bind做遞歸的流量，可以看出DNS設備緩存功能的效果表5-10DNS系統緩存功能測試表預期結果：DNS系統能夠緩存域名解析記錄；對于已緩存的記錄，DNS系統直接返回，不到后端DNS服務器進行遞歸；DNS設備可以使到外部做遞歸的流量減少大約一個數量級的規模測試目的驗證設備具有基于源IP的查詢限速功能：系統可以設置同一個源IP地址的最大DNS請求速率，用來防止單一用戶的DNS攻擊流量測試環境：新建環境測試步驟：配置限速策略；如設置測試設備的IP地址限速為500QPS；測試設備以5000QPS的速度發送DNS請求；在測試設備上查看成功查詢的QPS數據；登陸管理界面，查看統計的QPS數據

預期結果：成功QPS值不超過500條每秒，證明限速功能生效。管理界面可以監控到500QPS的速率表5-11基于源IP的地址限速測試測試目的驗證設備具有訪問控制白名單功能（ACL），這樣能夠確保DNS系統只針對設定的用戶進行服務測試環境：新建環境測試步驟：DNS系統設置白名單訪問策略，設置測試設備的IP為白名單，并開啟ACL；測試設備執行dig程序作DNS查詢，查看結果；使用另外的測試設備，該設備IP不在白名單內，執行dig作DNS查詢，查看結果預期結果：白名單地址的查詢能正常返回結果，其他無法返回結果表5-12DNS系統訪問控制白名單功能測試測試目的驗證設備具有域名本地強制解析的功能：能夠指定某些域名的解析結果，該域名的請求直接返回，不進行后端遞歸查詢，從而在特定的情況下對某些重要的域名進行保護測試環境：新建環境測試步驟：配置一個強制域名解析策略，如為與，TTL為999；測試設備對域名做一個請求；查看域名的解析結果預期結果：解析結果在與之間輪詢，且TTL值為999表5-13DNS系統強制域名解析功能測試測試目的驗證設備具有防護DNS投毒的功能測試環境：新建環境測試步驟：開啟DNS系統的安全防護功能；測試設備執行投毒程序，發送投毒流量；查詢緩存污染告警，是否有告警信息預期結果：有緩存污染告警表5-14DNS系統防投毒功能測試測試目的驗證設備具重點域名監控解析的功能，即可以針對某些域名的解析結果進行監控，如果解析結果不是設定的預期值，將產生告警信息測試環境：新建環境測試步驟：配置一個監控的域名，如，配置預期的IP為；測試設備對進行撥測；查看域名監控告警，是否有該域名的告警信息預期結果：對域名的解析結果進行告警表5-15DNS系統域名監控功能測試測試目的驗證設備具有特定域名監控分析的功能，即對于某些特定域名的訪問量進行實時監控測試環境：新建環境測試步驟：配置一個策略域名，如；測試設備針對，發100個請求；查看策略域名分析中，有無對有針對性的分析統計預期結果：策略域名分析中，對有特定的分析統計表5-16DNS系統策略域名統計分析功能測試測試目的

驗證DNS系統的針對DNS流量進行各項統計功能，各項數據統計值，都可以通過Web界面進行呈現測試環境：新建環境測試步驟：在用戶現網流量的情況下，DNS系統管理系統上查看如下統計信息：流量分析：匯總流量分析；按查詢類型統計分析；

按解析結果統計分析；解析成功率分析；Cache命中率分析；過濾包統計；策略域名統計；

策略IP統計預期結果：各個統計信息都可以在Web頁面上進行呈現，并且統計數據正確測試結果：各個統計信息都可以在Web頁面上進行呈現，并且統計數據正確表5-17DNS系統流量統計功能測試測試目的

驗證DNS網管能夠對DNS的各個節點、設備進行統一管理與監控測試環境：新建環境測試步驟：DNS網管能夠新增或者刪除管理節點；節點中能根據實際情況增加與刪除設備，并進行DNS系統的管理配置功能；DNS網管能夠對每臺設備的狀態進行監控，如果設備狀態不正常時將進行特殊顏色顯示；DNS網管能夠對設備的歷史信息進行記錄并顯示預期結果：DNS網管系統能夠對設備進行管理與監控，并且以圖形化的方式進行呈現表5-18DNS系統設備管理監控功能測試目的驗證DNS系統的監控、異常告警功能測試環境：新建環境測試步驟：設置各種告警狀態閾值，并使用發包機模擬各種觸發告警的狀態，測試如下告警：節點QPS量告警；IP限速、域名限速告警；解析成功率告警；遞歸查詢量告警；解析延時告警；設備負載告警；關鍵進程告警；投毒告警檢查告警記錄預期結果：系統達到告警閾值時，觸發告警表[1-6]-[1-9][0-9]DNS系統異常告警測試測試目的驗證DNS網管能夠對進行用戶與日志管理測試環境：新建環境測試步驟：DNS網管能夠新增或者刪除用戶組，每個組對于每個功能，都可以設置不同的權限；DNS網管能夠新增或者刪除用戶，增加用戶的時候需要指定屬于哪個用戶組，用戶自動繼承該用戶組的權限；DNS網管能夠對管理界面的操作進行記錄；DNS網管能夠對用戶密碼的復雜度進行檢查，并定期提醒用戶更新密碼預期結果：DNS網管系統能夠對用戶與權限進行管理，并且能夠記錄操作日志表[1-6]-[1-9][0-9]DNS網管系統用戶與日志管理類別監視內容監視方式監視周期監視結果集成產品運行防火墻人工檢測及驗證1月符合要求流量清洗設備人工檢測及驗證1月符合要求進程監控系統工具檢測及驗證1月符合要求防病毒系統人工檢測及驗證1月符合要求入侵檢測設備人工檢測及驗證1月符合要求系統業務功能系統遞歸功能人工檢測及驗證1月符合要求系統緩存功能人工檢測及驗證1月符合要求網管統計功能人工檢測及驗證1月符合要求系統備份功能工具檢測1月符合要求人工分析1月符合要求安全防火功能數據存儲加密驗證人工檢測及驗證1次已加密數據傳輸加密驗證工具嗅探1周已加密異常包進行過濾人工檢測及驗證1周符合要求緩存投毒攻擊防護工具監視1周符合要求異常進程工具監視1周符合要求安全應急措施人工檢測及驗證1周不符合要求安全配置及漏洞驗證工具監視1次安全配置不符合要求表[1-6]-[1-9][0-9]參考運行監測實施計劃5.7安全評審安全運行監視完成后，安全設計項目團隊，需依據安全監視數據，對集成安全成的效果進行評審，以確認信息系統是否滿足安全符合性要求。在本案例中，集成項目團隊，成立了安全評審小組，組織運營商負責人，項目實施公司技術團隊、第三方專業信息安全人員對DNS系統設計的效果進行評審。參考ISMS手冊，對本項目所見系統進行安全評審的相關表格見教材示例。5.8安全提升建立應急響應機制，制訂應急響應預案。5.8.1事件監測事件檢測主要通過部署的抗拒絕服務系統、流量監控系統、DNS系統自身的監控系統、安全管理系統（SOC）、執行日常安全維護作業計劃檢查、日常安全工單、安全預警公告、用戶投訴等