Bảo mật DNS – Những vấn đề trong bảo mật DNS

Bảo mật DNS –Những vấn đề trong bảo mật DNS Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề trong bảo mật DNS và cách bảo mật các máy chủ DNS đã bị thỏa hiệp. Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt động mạng thông thường cho mạng nội bộ và Internet, do đó việc phát hiện các vấn đề và tìm ra cách khắc phục là một điều cần thiết. Sau đây chúng ta sẽ cùng nhau đi xem xét một số vấn đề nói chung...
Nội dung trích xuất từ tài liệu:
Bảo mật DNS – Những vấn đề trong bảo mật DNS Bảo mật DNS –Những vấn đề trong bảo mật DNS Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề trong bảo mật DNS và cách bảo mật các máy chủ DNS đã bị thỏa hiệp. Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt động mạng thông thường cho mạng nội bộ và Internet, do đó việc phát hiện các vấn đề và tìm ra cách khắc phục là một điều cần thiết. Sau đây chúng ta sẽ c ùng nhau đi xem xét một số vấn đề nói chung đối với các máy chủ DNS: Thỏa hiệp file vùng DNS  Lỗ hổng thông tin vùng DNS  Nâng cấp động bị thỏa hiệp  Gây lụt máy khách DNS (từ chối dịch vụ)  Giả mạo Cache  Thỏa hiệp file vùng DNS Máy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trị viên DNS có thể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh hoặc giao diện DNS mmc. Một trong những cách hay gặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở hạ tầng DNS là chỉnh sửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trên máy chủ DNS hay từ một máy tính ở xa. Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có một chút kiến thức về DNS và có thể truy cập máy chủ. Kẻ tấn công có thể ngồi trực tiếp trước màn hình máy chủ, kết nối thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở đây có thể là người bên trong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức bảo mật ở đây là khóa chặn máy chủ DNS, chỉ những người có trách nhiệm mới được truy cập vào cấu hình DNS, bất cứ phương pháp truy cập từ xa nào đến máy chủ DNS cần được hạn chế cho những người thực sự cần thiết. Lỗ hổng thông tin vùng DNS Các file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tên máy tính này sẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng cấp động. Các máy chủ DNS trong mạng nội bộ thường chứa tên của tất cả các máy chủ trên mạng (hoặc tối thiểu cũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máy chủ Internet, thông thường chúng ta chỉ nhập vào các tên máy chủ muốn truy cập – tuy nhiên một số có thể tồn tại trong một location được cấu hình bởi ISP và một trong số có thể nằm trong mạng nội bộ. Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác được các thông tin quan trọng về các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu bạn có một máy chủ có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá trị đối với kẻ tấn công. Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”. Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằng nhiều phương pháp khác nhau. Cho ví dụ, nếu cho phép tất cả các máy có khả năng chuyển vùng, kẻ đột nhập có thể download toàn bộ cơ sở dữ liệu vùng đến máy tính của anh ta thông qua cơ chế chuyển vùng. Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công cũng có thể lợi dụng các truy vấn DNS ngược để dò tìm ra tên máy tính trong mạng. Từ đó chúng có thể tạo một sơ đồ toàn diện về mạng từ dữ liệu DNS này. Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các địa chỉ không được sử dụng trong mạng. Sau đó sử dụng các địa chỉ không đ ược sử dụng này để thiết lập máy chủ DNS giả mạo, điều này là vì trong một số trường hợp, điều khiển truy cập mạng được thiết lập cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ IP riêng biệt. Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghiệp nhỏ (nơi đang hosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trên cùng một máy chủ DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong trường hợp này, bạn sẽ để lộ cả tên bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn công dễ dàng tìm ra không gian địa chỉ bên trong và các thỏa thuận đặt tên. Thông thường, chúng sẽ phải đột nhập vào bên trong mạng để khám phá thông tin vùng bên trong, tuy nhiên khi cùng một máy chủ hosting cả thông tin chung và riêng trên cùng máy chủ DNS thì kẻ tấn công lúc này sẽ có cơ hội lớn để tấn công bạn. Nâng cấp động bị thỏa hiệp Các nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì phải tự tạo các bản ghi cho tất cả máy khách và máy chủ, tất cả những gì bạn cần thực hiện lúc này là kích hoạt các nâng cấp DNS động trên cả máy chủ và máy khách. Khi sử dụng máy khách và máy chủ DNS Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng cấp DNS động. Với nâng cấp động này, chỉ cần bật chức năng và để cho các máy tính tự đăng ký trong DNS; bạn không cần phải tự tạo bản ghi DNS. Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng vậy, sự thuận tiện này cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS động. Có rất nhiều cách có thể thực hiện các nâng cấp DNS động này, có thể phân loại chúng thành hai mảng: nâng cấp an toàn và không an toàn. Với các nâng cấp an toàn, hệ thống khách cần phải được thẩm định (cho ví dụ, sử dụng tài khoản máy tính chứa trong Active Directory) trước khi có thể tự nâng cấp. Các nâng cấp không an toàn xuất hiện khi bạn cho phép bất cứ host nào cũng có thể đăng ký địa chỉ của nó trong DNS mà không yêu cầu thẩm định. Tuy nhiên các nâng cấp động an toàn không phải tất cả đều giống nhau. Cho ví dụ, nếu bạn hạn chế chỉ những quản trị viên miền hay quản trị viên bảo mật mới có thể gia nhập miền, khi đó các nâng cấp DNS động tỏ ra khá an toàn trong môi trường Windows. Tuy nhiên nếu cho phép bất cứ ai cũng có thể join máy tính của họ vào miền, bạn vấn đề bảo mật ở đây sẽ bị giảm đi đáng kể. Khi nâng cấp động bị thỏa hiệp, kẻ tấn công có thể thay đổi các thông tin trong bản ghi để các tên máy tính sẽ được redirect đến các máy chủ mà kẻ tấn công thiết lập nhằm đạt được các mục đích của chúng (chẳng hạn như load phần mềm mã độc vào máy tính để biến nó trở thành một phần trong botnet mà kẻ tấn công đang điều khiển). Một vấn đề khác kẻ tấn công có thể thực hiện trong t ...