10 biện pháp bảo mật DNS

Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảng TCP/IP.
Nội dung trích xuất từ tài liệu:
10 biện pháp bảo mật DNS10 biện pháp bảo mật DNSNguồn:quantrimang.comQuản trị mạng - Hệ thống tên miền (DNS) được sử dụng để xác định từ tênmáy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảngTCP/IP. Máy chủ DNS thường là mục tiêu mà tin tặc khai thác và tấn công,tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng một sốphương pháp sau:1. Sử dụng DNS ForwarderDNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNSthay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏnhững tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếpnhững truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trênDNS Forwarder.Một chức năng khác của DNS Forwarder đólà ngăn cản máy chủ DNS chuyển tiếp yêucầu trong khi tương tác với những máy chủDNS trên Internet. Đây là chức năng đặcbiệt quan trọng vì khi đó máy chủ DNS chứatài nguyên bên trong miền DNS. Thay vì chophép những máy chủ DNS nội bộ tự thựchiện gọi lại lệnh và liên lạc với những máychủ DNS khác, nó cấu hình cho máy chủDNS nội bộ sử dụng một Forwader cho tấtcả các miền không được phân quyền.2. Sử dụng máy chủ DNS lưu trữMáy chủ DNS lưu trữ là một máy chủ DNS không thể phân quyền cho bất kìmiền DNS nào. Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng mộtForwarder. Khi máy chủ này nhận một phản hồi, nó sẽ lưu kết quả và chuyểncâu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ. Sau đó, máychủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian phảnhồi cho những máy trạm DNS của máy chủ DNS lưu trữ.Những máy chủ DNS lưu trữ có thể cải thiện bảo mật cho công ty khi được sửdụng như một Forwarder trong nhóm công cụ quản trị của bạn. Những máy chủDNS nội bộ có thể được cài đặt để sử dụng máy chủ DNS lưu trữ như trìnhchuyển đổi của chúng, và máy chủ DNS lưu trữ thực hiện gọi lại lệnh thay chonhững máy chủ DNS nội bộ. Việc sử dụng những máy chủ DNS lưu trữ nhưnhững Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ thuộc vàonhững máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạnkhông tin tưởng vào cài đặt bảo mật trên máy chủ DNS của họ.3. Sử dụng DNS AdvertiserDNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện truy vấn chonhững miền mà DNS Advertiser được phân quyền. Ví dụ, nếu bạn lưu trữ tàinguyên cho domain.com và corp.com, máy chủ DNS công cộng sẽ được cấuhình với vùng file DNS cho miền domain.com và corp.com.Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó làDNS Advertiser trả lời những truy vấn từ tên miền mà nó phân quyền. Máy chủDNS sẽ không gọi lại truy vấn được gửi tới những máy chủ khác. Điều này ngăncản người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau,và làm tăng khả năng bảo mật bằng cách giảm bớt những nguy cơ khi chạy DNSResolver công cộng (gây tổn hại bộ nhớ đệm).4. Sử dụng DNS ResolverDNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để xử lý têncho những miền không được máy chủ DNS phân quyền. Ví dụ, bạn có thể sửdụng một máy chủ DNS được phân quyền trong mạng nội bộ cho miền mạng nộibộ internalcorp.com. Khi một máy trạm trong mạng sử dụng máy chủ DNS nàyđể đặt tên quantrimang.com, máy chủ DNS đó sẽ gọi lại lệnh bằng cách truy lụckết quả trên những máy chủ DNS khác.Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS Resolver đượcdùng để đặt tên cho máy chủ Internet. Resolver có thể là một máy chủ DNS lưutrữ không được phân quyền cho bất kì miền DNS nào. Admin có thể chỉ chophép người dùng nội bộ sử dụng DNS Resolver, hay chỉ cho phép người dùngngoài sử dụng để cung cấp bảo mật khi sử dụng một máy chủ DNS bên ngoàingoài tầm kiểm soát của admin, và có thể cho phép cá người dùng nội bộ vàngười dùng ngoài truy cập vào DNS Resolver.5. Bảo vệ bộ nhớ đệm DNS“Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết máy chủDNS có thể lưu trữ kết quả truy vấn DNS trước khi chuyển tiếp phản hồi tới máychủ gửi truy vấn. Bộ nhớ đệm DNS có thể cải thiện đáng kể khả năng thực hiệntruy vấn DNS. Nếu bộ nhớ đệm máy chủ DNS bị “ô nhiễm” với nhiều mục nhậpDNS ảo, người dùng có thể bị chuyển tiếp tới những website độc hại thay vìnhững website dự định truy cập.Hầu hết máy chủ DNS có thể được cấu hình chống “ô nhiễm” bộ nhớ đệm. Vídụ. máy chủ DNS Windows Server 2003 được cấu hình mặc định chống “ônhiễm bộ” nhớ đệm. Nếu đang sử dụng máy chủ DNS Windows 2000, bạn cóthể cài đặt chống ô nhiễm bằng cách mở hộp thoại Properties trong máy chủDNS, chọn tab Advanced, sau đó đánh dấu hộp chọn Prevent Cache Pollutionvà khởi động lại máy chủ DNS.6. Bảo mật kết nối bằng DDNSNhiều máy chủ DNS cho phép cập nhật động. Tính năng cập nhật động giúpnhững máy chủ DNS này đăng ký tên máy chủ DNS và địa chỉ IP cho nhữngmáy chủ DHCP chứa địa chỉ IP. DDNS có thể là một công cụ hỗ trợ quản trị hiệuquả trong khi cấu hình thủ công những mẫu tài nguyên ...