Bảo mật kết nối DNS bằng Windows Server 2008 R2 DNSSEC

Trong hướng dẫn này chúng tôi sẽ giới thiệu các kiến thức tổng quan về DNSSEC và các lý do tại sao việc bảo mật cơ sở hạ tầng DNS lại quan trọng đối với tổ chức của bạn. Với sự nổi dậy của IPv6, việc truy cập vào các máy tính thông qua tên miền DNS sẽ trở nên quan trọng hơn bao giờ hết. Một số người đã và đang làm việc với IPv4 nhiều năm thấy rằng họ có thể dễ dàng nhớ được số địa chỉ IPv4 bằng hệ thống bốn chữ số cách nhau bởi...
Nội dung trích xuất từ tài liệu:
Bảo mật kết nối DNS bằng Windows Server 2008 R2 DNSSEC Bảo mật kết nối DNS bằng Windows Server 2008 R2 DNSSECTrong hướng dẫn này chúng tôi sẽ giới thiệu các kiến thức tổng quan vềDNSSEC và các lý do tại sao việc bảo mật cơ sở hạ tầng DNS lại quan trọngđối với tổ chức của bạn.Với sự nổi dậy của IPv6, việc truy cập vào các máy tính thông qua tên miền DNSsẽ trở nên quan trọng hơn bao giờ hết. Một số người đã và đang làm việc với IPv4nhiều năm thấy rằng họ có thể dễ dàng nhớ được số địa chỉ IPv4 bằng hệ thống bốnchữ số cách nhau bởi dấu chấm, trong khi đó không gian địa chỉ IPv6 quá lớn vàđịnh dạng hexa là quá phức tạp, do đó chỉ có ít người có thể nhớ được các địa chỉIP phức tạp này trên mạng của họ. Mỗi địa chỉ IPv6 đều có 128 bit – có chiều dàigấp 4 lần chiều dài của địa chỉ IPv4. Đây là cách cung cấp một không gian địa chỉlớn hơn cho số lượng các host trên Internet ngày càng tăng, tuy nhiên nó cũng làmcho việc nhớ các địa chỉ trở nên khó khăn hơn.Vấn đề: Bản tính không an toàn của cơ sở dữ liệu DNS Do sự phụ thuộc ngày càng tăng vào DNS nên chúng ta sẽ cần một cách để bảo đảm rằng toàn bộ các entry trong cơ sở dữ liệu DNS luôn chính xác và tin cậy – và một trong những cách hiệu quả nhấtcho chúng ta thực hiện điều đó là bảo đảm rằng các cơ sở dữ liệu DNS của chúngta được an toàn. Tuy nhiên cho tới gần đây, DNS vẫn được biết đến là một hệthống không an toàn, với hàng loạt các giả định được đưa ra để cung cấp một mứcan toàn cơ bản.Do bản tính không an toàn này nên đã có nhiều trường hợp mà ở đó sự tin tưởng đãbị vi phạm và các máy chủ DNS bị chiếm quyền điều khiển (redirect sự phân giảitên DNS đến các máy chủ DNS giả mạo), các bản ghi DNS và DNS cache bị giảmạo, làm cho người dùng tin rằng họ đang kết nối đến các website hợp lệ nhưngthực tế là họ đang kết nối đến các website có chứa nội dung mã độc hoặc có thể thuthập các thông tin của họ bằng cách pharming (redirect lưu lượng của một websiteđến một website khác). Pharming cũng tương tự như phishing, tuy nhiên thay vì sửdụng theo một liên kết trong email, người dùng truy cập sitte bằng cách sử dụngURL đúng của site hợp lệ và họ nghĩ là đang an toàn. Tuy nhiên thực tế bản ghiDNS đã bị thay đổi và được redirect đến URL giả mạo, site bị pharming.Giải pháp: Windows Server 2008 R2 DNSSECMột giải pháp bạn có thể sử dụng trên mạng nội bộ để bảo đảm an toàn cho môitrường DNS của mình là sử dụng Windows Server 2008 R2 DNSSEC. DNSSEC làmột bộ sưu tập các extension có khả năng cải thiện độ bảo mật của các giao thứcDNS. Các extension này sẽ bổ sung thêm sự tin cậy, tính niêm trực của dữ liệu vàkhả năng từ chối DNS đã được nhận thực. Giải pháp cũng bổ sung thêm số bản ghimới vào DNS, chẳng hạn như DNSKEY, RRSIGN, NSEC và DS.DNSSEC làm việc như thế nàoNhững gì DNSSEC thực hiện là cho phép tất cả các bản ghi trong cơ sở dữ liệuDNS đều được ký giống như phương pháp được sử dụng để truyền thông email.Khi một máy khách DNS phát hành một truy vấn đến máy chủ DNS, nó sẽ trả vềcác chữ ký số của bản ghi. Máy khách sẽ có khóa công của CA đã các ký bản ghiDNS, sau đó có thể giải mã các giá trị đã được hash (chữ ký) và hợp lệ hóa các đáptrả. Để thực hiện điều này, máy khách DNS và máy chủ được cấu hình để sử dụngtrust anchor. Trust anchor là một khóa công được cấu hình từ trước kết hợp vớivùng DNS nào đó.Cơ sở dữ liệu DNS có sẵn cho cả hai vùng dựa trên file (không được tích hợpActive Directory) và các cùng được tích hợp, việc tạo bản sao cũng có sẵn cho cácmáy chủ DNS khác có thẩm quyền cho các vùng đang được nói đến.Windows 2008 R2 và các máy khách Windows 7 DNS đều được cấu hình, mặcđịnh, không hợp lệ. Khi rơi vào trường hợp này, máy khách DNS sẽ cho phép máychủ DNS thực hiện sự hợp lệ hóa dựa trên hành vi của nó và máy khách DNS cókhả năng chấp nhận các đáp trả DNSSEC được gửi trở lại từ máy chủ DNSDNSSEC. Bản thân máy khách DNS cũng được cấu hình để sử dụng NameResolution Policy Table (NRPT) nhằm phân định cách tương tác với máy chủ DNSnhư thế nào. Cho ví dụ, nếu NRPT chỉ thị rằng máy khách DNS cần bảo mật kếtnối giữa máy khách và máy chủ DNS, khi đó sự chứng thực bằng chứng chỉ sẽđược thực thi trên truy vấn. Nếu sự điều đình bảo mật thất bại, chắc chắn đã xuấthiện một vấn đề nào đó trong quá trình phân giải tên, và cố gắng truy vấn tên sẽthất bại. Mặc định, khi máy khách trả về đáp trả truy vấn DNS cho ứng dụng tạoyêu cầu, nó sẽ chỉ trả về các thông tin này nếu máy chủ DNS đã hợp lệ hóa cácthông tin.Bảo đảm các kết quả hợp lệCó hai phương pháp được sử dụng để bảo đảm rằng các kết quả của truy vấn DNSlà hợp lệ. Đầu tiên, bạn cần bảo đảm rằng các máy chủ DNS có các máy kháchDNS của bạn kết nối đến thực sự là các máy chủ DNS mà bạn muốn các máykhách DNS kết nối đến – chúng không phải là các máy chủ DNS tấn công hay giảmạo đang gửi đi các đáp trả giả mạo. IPsec là một cách hiệu quả để bảo đảm sựnhận dạng của máy chủ DNS. DNSSEC sử dụng SSL để xác nhận rằng kết nối làan toàn. Máy chủ DNS sẽ tự thẩm định nó thông qua một chứng chỉ được ký bởinhà phát hành tin cậy (chẳng hạn như PKI riêng của bạn).Cần lưu ý rằng nếu có máy chủ IPsec và thực thi cách ly miền thì bạn phải loại bỏTCP và UDP ports 53 trong chính sách. Nếu không, chính sách IPsec sẽ được sửdụng thay vì sự chứng thực dựa trên chứng chỉ. Điều này sẽ làm cho máy kháchthất bại trong việc hợp lệ hóa chứng chỉ từ máy chủ DNS và kết nối an toàn sẽkhông được thiết lập.Vùng được kýDNSSEC sẽ ký các vùng, sử dụng hành động ký offline với công cụ dnscmd.exe.Cách thức này cho kết quả trong file vùng được ký. File vùng được ký có chứaRRSIG, DNSKEY, DNS và các bản ghi tài nguyên NSEC cho vùng đó. Sau khimột vùng nào đó được ký, nó cần được reload bằng công cụ ...