Bảo mật cơ bản về DNS

Bảo mật cơ bản về DNS.Trong phần trước của bài này chúng tôi đã giới thiệu cho bạn một số khái niệm bảo mật cơ bản về DNS. Một trong những các khái niệm bảo mật gồm DNS Active Directory được tích hợp và thiết lập môi trường DNS an toàn hơn với truyền thông DHCP. Ngoài ra còn có một số cấu hình mạnh và cho phép bạn dễ dàng tạo môi trường DNS. Không nên dừng ở đây! bởi vì đó mới chỉ là bề mặt của vấn đề bảo mật môi trường DNS. Trong mỗi phần của...
Nội dung trích xuất từ tài liệu:
Bảo mật cơ bản về DNSBảo mật cơ bản về DNSTrong phần trước của bài này chúng tôi đã giới thiệu cho bạn một sốkhái niệm bảo mật cơ bản về DNS. Một trong những các khái niệm bảomật gồm DNS Active Directory được tích hợp và thiết lập môi trườngDNS an toàn hơn với truyền thông DHCP. Ngoài ra còn có một số cấuhình mạnh và cho phép bạn dễ dàng tạo môi trường DNS. Không nên dừng ởđây! bởi vì đó mới chỉ là bề mặt của vấn đề bảo mật môi trường DNS. Trongmỗi phần của bài này chúng ta sẽ đi sâu hơn vào DNS và cơ sở dữ liệu DNSđược bảo mật như thế nào, đặt biệt là việc truyền thông với các máy chủDNS. Các máy chủ DNS phải truyền thông để nâng cấp cơ sở dữ liệu lên máychủ DNS khác. Sự truyền thông này có thể là một giải pháp tốt cho một kẻtấn công tấn xâm nhập vào các yếu điểm bị lộ này. Nếu bạn đề phòng trướcvà thiết lập các cấu hình DNS bảo mật thì sự phô bày lỗ hổng có thể sẽ giảm.Di chuyển vùngKhi nói đến vùng DNS, bạn phải hiểu là có nhiều loại vùng khác nhau có thểthiết lập bên trong môi trường DNS. Mặc dù chúng ta cần tập trung vào mộtsố vùng có thể, nhưng tôi vẫn đưa ra một danh sách tất cả các vùng mà bạncó thể thiết lập trong DNS. Active Directory integrated Zone  Primary Zone  Secondary Zone  Stub Zone Trong phần trước chúng ta đã được giới thiệu về vùng tích hợp ActiveDirectory. Trong phần này, chúng ta sẽ thảo luận quanh các chức năng vùngtích hợp Active Directory như một vùng chủ yếu. Lý do cho vấn đề này: mụcchủ yếu (vùng tích hợp Active Directory) là vùng thực hiện viết cơ sở dữ liệuDNS. Các vùng thứ yếu không thực hiện công việc này mà chúng chỉ nhậncác bản nâng cấp từ vùng DNS chủ yếu. Các nâng cấp từ vùng chủ yếu vàovùng thứ yếu được gọi là di chuyển vùng.Giao diện sự di chuyển vùng khá rõ ràng thông qua các tùy chọn của bạn, cóthể thấy được điều này qua hình 1. Bạn có thể cho phép bất kỳ máy chủ DNSnào nhận các nội dung của vùng chủ yếu hoặc hạn chế nó để chỉ có thể chọnmột số DNS nhất định. Rõ ràng, với các mục đích bảo mật, bạn sẽ muốn hạnchế phạm vi của các máy chủ DNS được phép nhận địa chỉ IP và tên miềncủa tất cả máy tính trong tổ chức của bạn. Hình 1: Giao diện di chuyển vùng cho Windows DNSBảo mật di chuyển vùngBạn cũng có thể thay đổi khái niệm bảo mật các di chuyển vùng DNS sangmột mức khác. Việc làm cho DNS an toàn hơn không phải là khái niệm triệtđể, hầu hết các công ty ngày nay đều thực hiện các cấu hình bổ sung để bảovệ sự di chuyển vùng DNS của họ. Có một số tùy chọn để bảo vệ DNS và sựdi chuyển vùng. Tuy nhiên chìa khóa của vấn đề vẫn là cách thiết lập môitrường DNS như thế nào.Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNSđể cho phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửixuyên qua toàn bộ mạng. IPSec là cách truyền thông rất chung giữa các máychủ DNS trên cùng một mạng. Nếu việc truyền thông giữa các máy chủ DNScủa bạn phải đi qua một mạng không an toàn thì một VPN sẽ được sử dụng.Nếu bạn sử dụng một VPN để bảo vệ dữ liệu xuyên qua một mạng khôngđược bảo vệ thì cách mà người ta vẫn thường dùng đó là sử dụng L2TP.L2TP sử dụng một thuật toán mã hóa an toàn dữ liệu khi nó được gửi đi trênmạng.Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mạng từ một máychủ DNS này sang một máy chủ DNS khác là sử dụng sự tích hợp ActiveDirectory. Phương pháp này yêu cầu các máy chủ DNS phải hoạt động trongcùng một miền Active Directory. Nó cũng yêu cầu DNS chạy trên một điềukhiển miền. Các lợi ích mang lại khá đáng kể bởi vì dữ liệu được lưu và táitạo thông qua sự tái tạo Active Directory, bên cạnh đó dữ liệu được mã hóakhi được gửi đi trên mạng từ máy chủ DNS này sang máy chủ DNS khác. Lợiích khác từ chức năng DNS và di chuyển sử dụng Active Directory là tất cảcác truyền thông đều được xác thực ngay ban đầu. Điều này giúp chúng bảovệ được sự di chuyển vùng, bắt buộc máy chủ DNS phải xác thực cơ sở dữliệu Active Directory trước khi các thông tin này được tái tạo.Chuyển tiếp (4 kiểu)Có một cách khác để bảo vệ môi trường DNS của bạn là sử dụng nhiều tùychọn cho việc chuyển tiếp. Điều này có thể giúp bạn duy trì được sự ổn địnhcơ sở hạ tầng DNS, trong khi vẫn bảo đảm được các máy tính và ứng dụng cóthể truy cập được đúng máy chủ trên mạng. Có một cặp tùy chọn cho việcchuyển tiếp bên trong môi trường Microsoft DNS.Đầu tiên giống như việc chuyển tiếp chuẩn, được thể hiện trong hình 2, tất cảcác yêu cầu không có ý nghĩa cho máy chủ DNS mà đang tồn tại sẽ được gửiđi cùng đến các máy chủ DNS khác. Đây là một điều lý tưởng khi bạn có mộtmáy chủ DNS bên trong được sử dụng cho tất cả các tên, Active Directory,…Máy chủ DNS này được cấu hình trên tất cả các máy khách. Mặc dù vậy,máy chủ DNS này không quan tâm đến các tên trong Internet, vì vậy khi máychủ DNS nhận được một yêu cầu có ý nghĩa với Internet thì sự ...