信息安全技术安全域名系统实施指南

信息安全技术安全域名系统实施指南

国家标准 GB/T33562一2017 信息安全技术安全域名系统实施指南 lnforationseeuritytechnology一Securedomainnamesystemdeploymentguide 2017-05-12发布 2017-12-01实施 中华人民共利国国家质量监督检验检疙总局 发布 国家标准化管理委员会国家标准
GB/33562一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位;山东省标准化研究院、互联网络信息中心、,天津卓朗科技发展有限公司、青岛 以太科技股份有限公司,深圳市信息安全测评中心、深圳市坪山新区信息化管理办公室、常州富国信息 技术有限公司,辽宁省信息安全与软件测评认证中心,青岛大学,青岛科技大学、互联网域名系统北京市 工程研究中心 本标准主要起草人王曙光、王庆升、公伟、魄玉凯、姚健康,刘杰、林明贤,王伟、武刚、唐增来 邱建中、黎文辉、陶毅国、陈多思、丁锋、于佳、程相国、刘国柱、马迪
GB/T33562一2017 引 言 随着网络攻击技术的发展及DNS漏洞的频繁出现,攻击者已经大大缩短了劫持DNS查找过程的 任一步骤所需的时间,从而可以更快地取得对会话的控制以实施某种恶意操作 若要在长期内消除此 漏洞,唯一的解决方案是以端到端的形式部署DNSSec协议,即从根区到最终域名的查找过程中每一步 都部署DNSSec 目前,作为DNSSec信任链的根服务器都已经部署DNSSec服务 与此同时,随着业界对DNSSee 的努力推动,各顶级域名管理机构陆续开始部署DNsSec服务,但在顶级域名之下的二级权威域及递归 域名对DNSSec支持相对较低 虽然国内重点权威域名服务器和主要递归域名服务器对DNSSec支持 只有0.9%和2.2%,但它们对DNSsec支持相比以前有了较大改善 本标准可以为域名系统DNSSe部署过程提供权威域名系统安全指南、递归域名系统安全指南、 DNNS事务安全指南和DNS数据安全指南等DNS安全技术指南,为DNSSec部署到各级域名系统提供 技术支撑和实践指导 I
GB/33562一2017 信息安全技术安全域名系统实施指南 范围 本标准规定了域名系统安全扩展协议(DNSSec)部署过程中权威域名系统安全,递归域名系统安 全、,DNS事务安全、,DNS数据安全等DNS安全技术指南 本标准适用于运行域名系统的组织内域名系统安全管理人员 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T5271.82001信息技术词汇第8部分;安全 GB/T5271.92001信息技术词汇第9部分;数据通信 信息安全技术术语 GB/T250692010 GB/T33134一2016信息安全技术公共域名服务系统安全要求 YD/T2137一2010域名系统递归服务器运行技术要求 YD/T2138一2010域名系统权威服务器运行技术要求 YD/T2140-2010域名服务安全框架技术要求 YD/T2586一2013域名服务系统安全扩展(DNsSec)协议和实现要求 术语和定义 GB/T5271.8一2001,GB/T5271.9-2001,GB/T25069一2010界定的以及下列术语和定义适用于 本文件 3.1 域名系统domainnamesystem 种将域名映射为某些预定义类型资源记录(resourcerecord)的分布式互联网服务系统,网络中 域名服务器间通过相互协作,实现将域名最终解析到相应的资源记录 3.2 名字空间namespace -种节点与资源集合相对应的树状结构(如图1所示).
GB/T33562一2017 权威域名 递归域名 解析系统 解析系统 ROOr R0OT TD com nct edu 由cNNc负责运行和管 SLD 理的权威域名服务器， 面向递归域名服务器 bi 递归域名服务器， 面向终端用户 图1域名系统服务体系 3.3 域名domainname 域名系统名字空间中,从当前节点到根节点的路径上所有节点标记的点分顺序连接的字符串,如图 对应的域名“www.bj.cn” 3.4 域 domain 域名系统名字空间中的一个子集,也就是树形结构名字空间中的一棵子树 这个子树根节点的域 名就是该域的名字 3.5 顶级域topleveldomain 域名系统名字空间中根节点下最顶层的域 顶级域分为国家及地区代码顶级域(countrycodeTop L.evelDomain.ccTLD)和通用类别顶级域(generieTopLeveDomain，gTLD)两种不同类型 如图1 中“en”为顶级域,“com”、“net”均为通用类别顶级域 3.6 资源记录 resourerecord 在域名系统中用于存储与域名相关的属性信息,简称RR 每个域名对应的记录可能为空或者多 域名的资源记录由名字(name),类型(ype) 条 、种类class)、生存时间ttl)、记录数据长度 rdlength)、记录数据(rdata)等字段组成 3.7 域名服务器 nammeserVer 用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求的服务器 3.8 z0ne 域名系统名字空间中面向管理的基本单元
GB/33562一2017 3.9 权威域名服务器 auth0ritativedommainnameServer 对于某个或者多个区具有可信数据功能的服务器,权威域名服务器保存着其所拥有区的原始域名 资源记录信息 3.10 区文件zonefile 某个区内的域名和资源记录及相关的权威起始信息(st startofauthority,sOA)按照一定的格式进行 组合,从而构成存储这些信息的文件 其中,权威起始信息包含了区的管理员电子邮件地址(mailad )序列号(serial,更新周期(refresh),重试周期(retry)和过期时间(expire)等信息 dreSs 3.11 asterdoainnaeserver 主域名服务器 被配置成区数据发布源的权威服务器 3.12 辅域名服务器slavedomainnameserver 通过区传送协议来获取区数据的权威服务器 3.13 DS事务dnstransactions DNS事务类型包含4部分;DNS查询/响应,区传送、动态更新,DNS通知报文 3.14 DNS查询/响应dnsquery/response 解析器与缓存域名服务器之间进行资源记录的查找与响应的过程 3.15 区传送zonetransfer 将区的资源记录内容从主服务器向辅服务器传送的过程,用于实现主、辅服务期间的数据同步 3.16 动态更新dymamieupdates 实施现有域添加或删除个别的资源记录、为现有域删除一套特定的资源记录、删除现有域、新增 个域的一个操作 3.17 DNS通知报文dnsnotify 当主DNS服务器的区文件发生变化时,主DNS服务器通知辅DNS服务器数据变化的手段 3.18 递归域名服务器reeursivedomainnameserer 负责接受用户(解析器)的解析请求,并通过查询本地缓存或者执行从根域名服务器到被查询域名 所属权威服务器的递归查询过程,获得解析结果并返回给用户的域名服务器 3.19 解析器 reSolver 向域名服务器发送域名解析请求,并且从域名服务器返回的响应消息中提取所需信息的程序 解 析器软件通常集成到操作系统内核或者应用软件中 3.20 区签名密钥2omesigningkey 对权威域数据进行DNSSEC签名或验证的密钥对
GB/T33562一2017 3.21 密钥签名密钥keysigningkey 对区签名密钥对中的公钥进行数字签名或验证的密钥对 3.22 DNs公钥(DNSKEYDNspubliekey 存储权威域的公钥的资源记录 权威域使用私钥对DNS资源记录进行数字签名,并且将公钥保存 在DNSKEY资源记录中,用于稍后对数字签名的验证 3.23 reordsigna 资源记录签名(RRsIG res0urce" nature 存储DNS资源记录集的数字签名的资源记录 3.24 delegationsigner 授权签名者(Ds) 存储DNSKEY资源记录散列值的资源记录 DS资源记录用于建立解析服务器验证DNS应答报 文时所需的信任链,它可以验证与之对应的DNsKEY资源记录 3.25 信任锚trustanchor -个预先配置的DNSKEY资源记录或者DNSKEY资源记录的散列值(DS资源记录),可以作为 信任链的起始点 3.26 信任链authentieationchain" 个由DSKEY和DS资源记录交替组成的序列 缩略语 下列缩略语适用于本文件 ACL访问控制列表(AccessControlList) BIND伯克利互联网域名软件(BerkeleylnternetNameDomain) DNs域名系统(DomainNameSystenm) DNSKEY域名系统密钥(DomainNanmeSystemKey DNSSecDNS安全扩展(DomainNameSystenmSecurityExtensions) Ds授权签名者(DelegationSigner) EDN SG 使用DNS的扩展名机制(ExtensionMechanismsforDNS) HMAC散列消息认证码(Hash-basedMessageAuthenticationCode) KSK密钥签名密钥(KeySigningkey) 3 NSEC3下一个安全记录第三版(NextSecureversion NetworkTimeProtocol S NTP网络时间协议(Net RR资源记录(ResourceRecord setofResourceRecord RRs 资源记录集(The set RRsIG资源记录签名(ResoureeReordsignature SOA起始授权(St startOfAthority Ts1IG事务签名(Tansaction.Signature) TTL生存时间(TimeToLive) `ransmissionControlProtocol TCP传输控制协议(Tr
GB/33562一2017 ZSK 区签名密钥(ZoneSignmgKey) DNS安全技术指南 5.1概述 本标准中DNS安全指南主要是进行DNSSec部署过程中权威域名系统安全指南、递归域名系统安 全指南、DNS事务安全指南和DNS数据安全指南 本标准中权威域名系统包括权威域名的服务器、软件,递归域名服务系统包括递归域名的服务器、 软件和客户端 本标准主要用于使用BIND'DNs域名软件的环境,部分具体BIND配置命令清单参见附录A 5.2权威域名系统安全指南 5.2.1权威域名服务器安全指南 宜对权威域名服务器进行安全检测,并对服务器操作系统进行安全加固 宜保证权威域名服务器: 符合GB/T33134一2016中5.1的要求 a b 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序 操作系统已通过安全方式安装最新的操作系统补丁; 已安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库， 不提供其他服务,仅配置用来响应递归域名服务器DNNS流量; 配置拒绝递归服务,降低遭受D0S攻击的风险; 配置时间服务器,通过NTP进行时间同步; 仅提供具有权威信息的区域名解析 h 网络和地理位置分散;网络分散确保全部权威域名服务器不在单一路由或交换设备、单一子网 或单一租用线路下;地理位置分散确保全部权威域名服务器不在同一地理位置,至少在外部部 -台备份服务器,即保证权威域名服务器有冗余配置 署 5.2.2权威域名系统的软件安全指南 保护权威域名系统的软件安全包含如下 运行最新版本的权威域名系统软件 a 对配置参数进行必要的变更,关注并定期检测版本的安全性,避免业已发现的漏洞造成域名劫持或 域名更改等安全事件 配置拒绝版本应答功能,以防止泄漏权威域名系统软件版本信息 b)安装补丁 关注软件运行版本的漏洞和补丁,并及时进行补丁安装和安全修复 限制其他应用程序 c 保证权威域名系统的软件运行的平台中不包含除了必要的操作系统和网络支持软件以外的程序 控制安装软件的主机设置 d 软件运行于指定为权威城名服务器的主机中 1 BIND是使用最广泛的域名服务软件,目前BIND有两个版本在同时发展;BIND8,x和BIND9,x
GB/T33562一2017 5.3递归域名系统安全指南 5.3.1递归域名服务器安全指南 宜对递归域名服务器进行安全检测,并对服务器操作系统进行安全加固 宜保证递归域名服务器 符合GB/T33134一2016中5.2的要求; a b 操作系统遵循最小安装的原则,仅安装需要的组件和应用程序; 操作系统已通过安全方式安装最新的操作系统补丁; d 已安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库 不提供其他服务,仅配置用来响应DNS流量; 配置时间服务器,通过网络时间协议进行时间同步; g 仅为客户端提供域名查询解析服务; 增强对大数据包(超过512字节)的支持; h 提高端口随机性,降低受到缓存中毒攻击的威胁 5.3.2递归域名系统的软件安全指南 保护递归域名系统的软件安全包含如下 运行最新版本的递归域名系统软件 a 对配置参数进行必要的变更,关注并定期检测版本的安全性,避免业已发现的漏洞造成域名劫持或 域名更改等安全事件 配置拒绝版本应答功能,以防止泄漏递归域名系统软件版本信息 b)安装补丁 关注软件运行版本的漏洞和补丁,并及时进行补丁安装和安全修复 以受限权限运行递归域名服务器软件 c 以非特权用户的身份运行递归域名系统的解析软件,限制对目录的访问,防止因文件损坏带来破坏 性结果 d)在运行环境中限制其他应用程序 保证递归域名系统的软件运行的平台中不包含除了必要的操作系统和网络支持软件以外的程序 控制安装软件的主机设置 e 软件运行于指定为递归域名服务器的主机中 5.3.3递归域名系统的客户端安全指南 宜对递归域名系统的客户端操作系统进行安全加固 宜保证递归域名系统的客户端 操作系统已安装最新的操作系统补丁 a 运行在安全工具如防火墙防护范围内 b) 仅用于查询域名信息: c d 对服务器的访问权限受到控制 软件是最新版本,且已安装补丁,进行安全修复 e 5.4DNs事务安全指南 5.4.1概述 DNS事务主要包括DNS查询/响应、区传送、动态更新和DNS通知报文 DNS事务安全保护方法 如表1所示
GB/33562一2017 表1DNS事务安全保护方法 Ns事务 安全目标 安全规范 数据源鉴别 a DNS查询/响应 DNNSSec规范 数据完整性验证 相互验证 a 区传送 TsIG规范 b 数据完整性验证 相互验证 a b 动态更新 数据完整性验证 TSIG规范 时间戳签名 指定可以接收消息的主机 DNS通知报文 通过增加工作量防止拒绝服务 TSIG规范 5.4.2DNs事务安全指南 5.4.2.1概述 本节介绍DNS事务保护方法的最佳实践 内容如下 通过P地址限制保护DNS事务; a b 通过散列消息认证码保护DNS事务(即TsIG规范) 通过非对称数字签名保护DNS事务即DNSSec规范,见第6章 c 5.4.2.2通过IP地址限制保护DNS事务 5.4.2.2.1 概述 部分DNS软件提供了访问控制声明,可通过声明中的IP地址或IP子网掩码(称为IP前缀)指定 并识别参与DNS事务的主机,从而可通过创建可信主机列表保护DNS事务 5.4.2.2.2限制DNS查询/响应 ACL是限制DNs事务的关键元素,它可以替代访问控制声明中的P地址列表和P前缀列表 通过定义并创建ACLs限制DNs查询/相应 在DNs查询/响应中,ACIs中包含的主机类别包括 a)DMZ主机 b) 所有允许发起区传送的辅域名服务器 允许运行递归查询的内部主机 c 5.4.2.2.3限制区传送 在区传送事务中,权威域名服务器(特别是主域名服务器)对访问控制声明进行配置,指定参与区传 送的主机列表 其中,来自主域名服务器的区传送仅限于辅域名服务器,在辅助域名服务器中区传送被 完全禁用,访问控制声明的地址匹配列表值由辅域名服务器和隐藏辅域名服务器的IP地址组成 5.4.2.2.4限制动态更新 在动态更新事务中,通过如下声明限制动态更新
GB/T33562一2017 允许更新;基于IP地址和TSIG规范限制动态更新,基于IP地址限制动态更新通过创建IP地址 匹配列表进行,基于TsIG限制动态更新见5.4.2.3.3 5.4.2.2.5限制DNs通知报文 主辅域名服务器间启动区传送后,通过DNs通知报文告知辅助域名服务器区文件数据的变更 针对dns通知报文事务,在区声明中增加允许接收通知报文子声明,同时在子声明中将接收报文服 务器的IP地址作为参数 其中,辅域名服务器默认仅接收来自主域名服务器的通知报文,当希望接收 除主域名服务器之外的服务器发送的通知报文时,应在区声明中增加允许接收通知报文子声明,并在子 声明中指定接收的服务的IP地址 5.4.2.3通过散列消息认证码保护NS事务(IsIG规范) 5.4.2.3.1概述 通过散列消息认证码(HMAC)保护DNS事务即TsIG规范主要通过验证消息来源和完整性来保 护DNS事务;首先将DNS消息发送方生成的HAsH值放置到TSIG记录中;然后进行验证流程,即接 收者通过密钥,生成接收DNS消息的HASH值,并与接收到的HASH值进行比较 通过HIMAC使用共享密钥保护DNs事务并不是可扩展的解决方案,TsIG规范仅在区传送事务 和动态更新事务中广泛应用 为保证TsIG正常工作,实施TsIG规范的域名服务系统必须配置时间服务器,通过NTP进行时 间同步 DNS使用TsIG需如下操作 a 生成所需长度的密钥 为每一对主辅域名服务器生成单独的TsIG密钥,此密钥被用于确保区传送、动态更新等事务 安全 TsIG密钥算法、密钥长度、密钥生成相关要求符合YD/T21402010的要求 b 密钥文件访问及传递 个TsIG密钥有一个独立的密钥文件,对密钥文件访问受到限制 每 密钥文件需安全传递到与生成密钥的域名服务器进行通信的域名服务器 密钥确定及使用 c 在进行通信的域名服务器的配置文件中确定生成的密钥用于请求信息和事务信息的签名以保证 通信安全 在确定密钥后,通知域名服务器在全部事务中使用密钥 5.4.2.3.2使用IsIG保护区传送 区传送事务中通信服务器双方主域名服务器和辅域名服务器)使用生成的TsIG密钥 配置主域 名服务器仅接收与区传送请求一起的,来自辅域名服务器的区传送请求 5.4.2.3.3使用TSIG保护动态更新 设定基于TSIG动态更新限制,仅对拥有TSIG密钥的主机允许接收动态更新请求,同时,先使用 DNs公钥对动态更新消息进行验证,后再处理动态更新请求 5.5DNS数据安全指南 5.5.1概述 DNS数据安全指南包括:
GB/33562一2017 权威域名服务器数据安全符合YD/T2138一2010的要求 a b 递归域名服务器数据安全符合YD/T2137一2010的要求; DNS数据内容备份符合GB/T33134一2016中5.4的要求; c d 借助于工具对区文件内容进行验证,保证部署过程中数据内容安全 最小化DNs信息泄漏;针对DNsStec仅提供源验证和数据完整性保护,不提供保密性保护,通 过DNs数据内容控制的如下措施保护DNs信息泄漏 1sOA资源记录参数值的选择 避免资源记录类型中信息泄漏 2 使用RRSIG有效期最小化密钥泄漏 3 5.5.2soA资源记录参数值的选择 SOA资源记录中的数据值可以规范主域名服务器和辅域名服务器之间的通信,应保证sOA资源 记录中数据值的正确性 设置 区SOA资源记录的刷新值,其小于RRSIG有效期; a b 区sOA资源记录的重试值,其小于刷新值; 区过期时间 c 5.5.3避免资源记录类型中的信息泄漏 避免使用对攻击者有利的主机信息记录、响应者记录、位置记录或者其他可能泄漏信息的记录的 类型 在将资源记录添加到区文件前,检查记录中可能出现的信息泄漏 5.5.4使用RRsIG有效期最小化密钥泄 设置DNSKEY资源记录集的RRsIG的有效期 对于一个拥有授权的子域,设置涉及DS资源记 录的RRsIG的有效期以保护公钥信息 根据内容管理为区内容选择一个签名有效期 根据以上有效期,为整个区选择一个有效签名并设定有效期,以降低密钥泄漏导致的损失 DNS查询/响应安全指南(DNSSee规范 6.1DNSSee机制和操作 DNNSSec机制包括两个主要过程:签名和验证 签名过程主要是支持DNSSec的域名服务器利用 私钥对资源记录进行数字签名,数字签名及其相关信息保存在一个RRSIG中;验证过程是支持 DNSSec的解析服务器利用得到的域名服务器的公钥,验证资源记录的签名 支持DNssec的解析服务器通过以下两种方式获得域名服务器的公钥;一是通过预先配置在解析 服务器中的信任错,二是通过正常的DNs解析方式 在第二种方式中,公钥被保存在DNsKEY中,为 保证获得公钥的真实性,该公钥还需要由 个经过认证的,预先配置的密钥签名,即密钥签名密钥 KSK) 因此,支持DNSSee的解析服务器为了验证签名,需要形成一个从域名服务器公钥到密钥签名 密钥的信任链,同时,解析服务器至少需要配置一个信任锚 如果配置的信任锚是区签名密钥(ZSK),那么解析服务器就可以鉴别域名服务器数据的真实性和 完整性;如果配置的信任锚是密钥签名密钥(KSK),那么解析服务器就可以验证域名服务器公钥的真 实性和完整性 DNSSec协议要求符合YD/T2586一2013的要求 DNSSec过程包含域名服务器操作和解析器操 作 实施DNSSec的域名服务器应支持EDNS0扩展,并支持TCP53端口的查询请求
GB/T33562一2017 域名服务器操作如下: 密钥的生成; a 私钥的安全存储 b 公钥的发布; c d 区签名; 密钥轮转(变换密钥); e 区重签名 f 解析器操作如下 配置信任锚; a 创建信任链和签名验证 b) 6.2公私密钥对的生成 DNsSec采用非对称密钥进行数字签名的生成和验证 对密钥集(DNSKEYRRSet)签名采用密钥签名密钥(KSK),对资源记录集签名采用区签名密钥 ZSK) 生成KSK和ZSK密钥对的参数如下 a 密钥算法:符合YD/T21402010的要求,符合我国密码管理的相关规定 b密钥长度:考虑密钥安全性与执行效率,对KSK加强密钥安全性,对ZSK加强执行效率,同时 符合YD/T21402010的要求 有效期:设置密钥更新的周期,符合YD/T2140一2010的要求 6.3私钥的安全存储 当域名服务器不支持动态更新时,ZSK和KSK相对应的私钥离线保存;支持动态更新时,与ZSK 相对应的私钥单独保存在域名服务器上,并具有适当的保护措施,此时使用KSK作为权威域名服务器 的信任锚 6.4公钥的发布和建立信任锚 域名服务器通过DNS以外的方式如网站或电子邮件项解析器安全地传输公钥,解析器通过此公钥 验证获得资源记录的真实性和完整性 在得到域名服务器的公钥之后,解析器首先需要验证该公钥的真实性,建立起对公钥的信任 后解 析器可将被信任的公钥(或公钥的散列值)作为信任链的起点即信任锚,来构建一个信任链 我国境内的域名服务器,应配置我国的DNssec信任源为信任锚点,配置并及时更新该信任锚点的 公钥(KSK) 6.5区签名和区重签名 6.5.1区签名 当签名区文件时,主要采取以下操作 a) 将区文件按照域名规范的顺序进行排序 b 为区中的每个所有者名称生成一个NSEC3记录; c 使用KSK以离线方式为DNSKEY资源记录集生成签名,然后将DNSKEY资源记录集与其 RRsIG资源记录一起,加载到主域名服务器; d 使用SK为域区中的所有记录集生成签名 10
GB/33562一2017 6.5.2区重签名 在以下情况下,区文件应重签名 签名已经到期或即将到期; a b 区文件的内容已经改变; 签名密钥已经泄漏或者计划更换 c 区数据重签名有两种策略 完全重签名 删除所有现有的签名记录,重新排序区文件,重新生成所有的NSEC3资源记 a 录,最后生成新的签名记录 b 增量式重签名 区文件内容的变化自上次生成签名以后变化较小,通常在动态更新后使用增 量式重签名 6.6密钥轮转 6.6.1 常规密钥轮转 密钥在使用一段时间之后易被破解,应定期轮转ZsK和KsK,并设置新旧密钥重叠期 KsK更新 频率应小于ZSK ZSK轮转采用预发布方法,此时,安全区在密钥轮转之前的至少一个TTL时间段内预发布公钥 KsK轮转彩用双重签名方达,首先生成一个新的KsK,用新KsK和旧KsK同时对区密钥集签 名,通过验证方式联系新的KSK,在完成授权更新后,删除旧KsK,重新用新KSK对密钥集签名 6.6.2紧急密钥轮转 当区中密钥泄漏或者私钥丢失时,应执行紧急密钥轮转和重签名 当发生ZSK泄漏时,执行紧急ZSK轮转,立即轮转到新密钥,同时初始化KsK轮转 针对子域子区的紧急KsK轮转,父区应有紧急联络方式对子域子区可用,同时父区也应有获取子 区新KSK的安全方式 6.7创建信任链和签名验证 创建信任链,以一个或多个开始就被信任的公钥(或公钥的散列值)作为信任链的起点即信任错.从 而信任链中的上一个节点为下一个节点的公钥散列值进行数字签名,保证信任链中的每一个公钥都是 真实的 各域区可通过父域的新人授权来构建信任链,则信任链从父域开始,依此往前,如果根域也是安全 的,则信任链可从根域开始;若父域不安全,通过子区的KSK授权,则信任链从子区开始 对RRsIG的验证通过获得域名服务器的公钥,验证RRsIG的真实性和完整性,对DNSKEY公钥 的验证,从上一级域名服务器查询DS资源记录,获得公钥的散列值,从而验证公钥的真实性 11
GB/T33562一2017 附 录 A 资料性附录) 具体BIND配置命令 A.1概述 本附录给出了部分具体BIND配置命令清单 A.2BIND配置命令 A.2.1关闭版本查询 可以使用BIND配置文件(/etc/named.conf)如下命令,配置BIND拒绝此类型查询 options versionnone; A.2.2创建ACL 通过使用BIND9.x中的AcL声明创建访问控制列表,语法如下 aclacl-list-name address_match_list A.2.3替代IP地址/IP前缀列表实例 internalL_hosts”替代参数设置和区声明中的IP地址/IP前缀列表的实例如下: options allow-queryinternal_hosts;; zone“example,com. pemaster; file“zonedb.example.com”; allow-query interna_hosts;}; A.2.4ACL创建命令实例 三个辅助域名服务器IP地址的ACL创建命令“validsecondary_NS”如下; acl“alideondary_Ns" 12
GB/33562一2017 224.10.229.5 224.10.235.6; 239.10.245.25 A.2.5创建地址匹配列表 使用允许更新创建地址匹配列表,实例如下 acl“DU_AllowedList” 192.249.12,21; ACLDU_AIlowed_Iist(包括主机IP地址允许发送example. 区内容更新的动态更新请求)用 cOm 于区声明的允许更新子声明中,实例如下 zone“example.com typemmaster; file“zonedb.example.com”; allow-update“DU_Allowed_IList”;}; A.2.6安全区传送配置实例 通过区声明中的allow-transfer子声明完成配置 实例如下 zone“example.com” typemaster; file“zonedb,.example.conm"” alow-transferkeynsl-ns2.example.com.};}; 动态更新实例 A.2.7 -旦输人密钥声明,后续子声明可以追加到区声明中,以使用私密密钥进行动态更新 2one“example.com" E typemaster;fle“zoned lw.example.com" ; alowupdatekeydhepserver.example.com. 13
GB/T33562一2017 参 考文献 [1]YD/T2052一2009域名系统安全防护技术要求 2 YD/T2135一2010域名系统运行总体技术要求 [时 ETFRFC1305网络时间协议NTP C ETFRFC2845TSIG协议 [ ETFRFC4033DNSSec的介绍和需求 [的 IETFRFC4034 资源记录支持DNSSec的扩展 [ ETFRFC4035支持DNSSec的协议修改 [8]NIsTSpecialPubieation800-8Inl SeeureDomainNameSystemDNNSDeployment Guide [[9]域名服务安全状况与态势[EB/OL].2014 http://www.cnnic.com.cen/gywm/xwzx/rdxw/2015/201503/w020150304502213408463.pdf 14

了解信息安全技术安全域名系统实施指南GB/T33562-2017

随着互联网的快速发展，网络安全问题变得越来越重要。在众多安全技术中，安全域名系统是保障互联网通信安全的重要手段之一。为了规范安全域名系统的实施，我国制定了《信息安全技术安全域名系统实施指南GB/T33562-2017》（以下简称“指南”）。

一、指南概述

指南是由国家密码管理局制定的行业标准，于2017年12月1日正式实施。该指南规定了安全域名系统的定义、基本原理、实施流程、安全防护措施等方面的要求，旨在规范安全域名系统的实施过程和提高其可靠性。

二、应用场景

安全域名系统主要应用于以下场景：

• 企业内部网络：通过安全域名系统，可以对企业内部网络进行可控的隔离和访问控制。
• 数据中心：安全域名系统可以保障数据中心的网络和应用安全。
• 云计算：安全域名系统可以提高云计算的安全性和可靠性。

三、实施要求

指南对安全域名系统的实施过程做出了具体要求：

1. 规划设计：根据实际需求，规划安全域名系统的网络拓扑和结构。
2. 设备选择：选用符合标准要求的设备，并进行配置和测试。
3. 接入管理：对接入终端进行识别和认证，并限制非法访问。
4. 安全防护：采取多层次的安全防护措施，包括但不限于防火墙、入侵检测系统等。
5. 运维管理：建立完善的运维管理机制，及时发现和处理异常情况。

四、常见问题

在实施安全域名系统的过程中，常见的问题包括：

• 网络拓扑设计不合理，导致系统运行出现问题。
• 设备选型不当，导致系统性能不足或无法满足需求。
• 接入终端认证不严格，导致非法用户进入系统。
• 安全防护措施不到位，导致系统面临攻击风险。
• 缺乏有效的运维管理机制，导致故障处理不及时。

总结

信息安全技术安全域名系统实施指南GB/T33562-2017规范了安全域名系统的实施过程和要求，旨在提高安全域名系统的可靠性和安全性。在实际应用中，各行业应根据自身的实际情况，严格按照指南的要求进行安全域名系统的规划、设计、设备选型、接入管理、安全防护和运维管理等工作，以保障系统的正常运行和数据的安全性。

信息安全技术安全域名系统实施指南的相关资料

和信息安全技术安全域名系统实施指南类似的标准