Bảo vệ DNS cho Windows Phần 2

Ngoài ra còn có một số cấu hình mạnh và cho phép bạn dễ dàng tạo môi trường DNS. Không nên dừng ở đây! bởi vì đó mới chỉ là bề mặt của vấn đề bảo mật môi trường DNS
Nội dung trích xuất từ tài liệu:
Bảo vệ DNS cho Windows Phần 2Bảo vệ DNS cho Windows (Phần 2)Nguồn:quantrimang.com Derek MelberTrong phần trước của bài này chúng tôi đã giới thiệu cho bạn một số kháiniệm bảo mật cơ bản về DNS. Một trong những các khái niệm bảo mật gồmDNS Active Directory được tích hợp và thiết lập môi trường DNS an toànhơn với truyền thông DHCP. Ngoài ra còn có một số cấu hình mạnh và chophép bạn dễ dàng tạo môi trường DNS. Không nên dừng ở đây! bởi vì đó mớichỉ là bề mặt của vấn đề bảo mật môi trường DNS. Trong mỗi phần của bài nàychúng ta sẽ đi sâu hơn vào DNS và cơ sở dữ liệu DNS được bảo mật như thếnào, đặt biệt là việc truyền thông với các máy chủ DNS. Các máy chủ DNS phảitruyền thông để nâng cấp cơ sở dữ liệu lên máy chủ DNS khác. Sự truyền thôngnày có thể là một giải pháp tốt cho một kẻ tấn công tấn xâm nhập vào các yếuđiểm bị lộ này. Nếu bạn đề phòng trước và thiết lập các cấu hình DNS bảo mậtthì sự phô bày lỗ hổng có thể sẽ giảm.Di chuyển vùngKhi nói đến vùng DNS, bạn phải hiểu là có nhiều loại vùng khác nhau có thể thiếtlập bên trong môi trường DNS. Mặc dù chúng ta cần tập trung vào một số vùngcó thể, nhưng tôi vẫn đưa ra một danh sách tất cả các vùng mà bạn có thể thiếtlập trong DNS. Active Directory integrated Zone • Primary Zone • Secondary Zone • Stub Zone •Trong phần trước chúng ta đã được giới thiệu về vùng tích hợp Active Directory.Trong phần này, chúng ta sẽ thảo luận quanh các chức năng vùng tích hợpActive Directory như một vùng chủ yếu. Lý do cho vấn đề này: mục chủ yếu(vùng tích hợp Active Directory) là vùng thực hiện viết cơ sở dữ liệu DNS. Cácvùng thứ yếu không thực hiện công việc này mà chúng chỉ nhận các bản nângcấp từ vùng DNS chủ yếu. Các nâng cấp từ vùng chủ yếu vào vùng thứ yếuđược gọi là di chuyển vùng.Giao diện sự di chuyển vùng khá rõ ràng thông qua các tùy chọn của bạn, có thểthấy được điều này qua hình 1. Bạn có thể cho phép bất kỳ máy chủ DNS nàonhận các nội dung của vùng chủ yếu hoặc hạn chế nó để chỉ có thể chọn một sốDNS nhất định. Rõ ràng, với các mục đích bảo mật, bạn sẽ muốn hạn chế phạmvi của các máy chủ DNS được phép nhận địa chỉ IP và tên miền của tất cả máytính trong tổ chức của bạn. Hình 1: Giao diện di chuyển vùng cho Windows DNSBảo mật di chuyển vùngBạn cũng có thể thay đổi khái niệm bảo mật các di chuyển vùng DNS sang mộtmức khác. Việc làm cho DNS an toàn hơn không phải là khái niệm triệt để, hầuhết các công ty ngày nay đều thực hiện các cấu hình bổ sung để bảo vệ sự dichuyển vùng DNS của họ. Có một số tùy chọn để bảo vệ DNS và sự di chuyểnvùng. Tuy nhiên chìa khóa của vấn đề vẫn là cách thiết lập môi trường DNS nhưthế nào.Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS đểcho phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửi xuyênqua toàn bộ mạng. IPSec là cách truyền thông rất chung giữa các máy chủ DNStrên cùng một mạng. Nếu việc truyền thông giữa các máy chủ DNS của bạn phảiđi qua một mạng không an toàn thì một VPN sẽ được sử dụng. Nếu bạn sử dụngmột VPN để bảo vệ dữ liệu xuyên qua một mạng không được bảo vệ thì cáchmà người ta vẫn thường dùng đó là sử dụng L2TP. L2TP sử dụng một thuậttoán mã hóa an toàn dữ liệu khi nó được gửi đi trên mạng.Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mạng từ một máy chủDNS này sang một máy chủ DNS khác là sử dụng sự tích hợp Active Directory.Phương pháp này yêu cầu các máy chủ DNS phải hoạt động trong cùng mộtmiền Active Directory. Nó cũng yêu cầu DNS chạy trên một điều khiển miền. Cáclợi ích mang lại khá đáng kể bởi vì dữ liệu được lưu và tái tạo thông qua sự táitạo Active Directory, bên cạnh đó dữ liệu được mã hóa khi được gửi đi trênmạng từ máy chủ DNS này sang máy chủ DNS khác. Lợi ích khác từ chức năngDNS và di chuyển sử dụng Active Directory là tất cả các truyền thông đều đượcxác thực ngay ban đầu. Điều này giúp chúng bảo vệ được sự di chuyển vùng,bắt buộc máy chủ DNS phải xác thực cơ sở dữ liệu Active Directory trước khicác thông tin này được tái tạo.Chuyển tiếp (4 kiểu)Có một cách khác để bảo vệ môi trường DNS của bạn là sử dụng nhiều tùy chọncho việc chuyển tiếp. Điều này có thể giúp bạn duy trì được sự ổn định cơ sở hạtầng DNS, trong khi vẫn bảo đảm được các máy tính và ứng dụng có thể truycập được đúng máy chủ trên mạng. Có một cặp tùy chọn cho việc chuyển tiếpbên trong môi trường Microsoft DNS.Đầu tiên giống như việc chuyển tiếp chuẩn, được thể hiện trong hình 2, tất cảcác yêu cầu không có ý nghĩa cho máy chủ DNS mà đang tồn tại sẽ được gửi đicùng đến các máy chủ DNS khác. Đây là một điều lý tưởng khi bạn có một máychủ DNS bên trong được sử dụng cho tất cả các tên, Active Directory,… Máychủ DNS này được cấu hình trên tất cả các máy khách. Mặc dù vậy, máy chủDNS này không quan tâm đến các tên trong Internet, vì vậy khi máy chủ DNSnhậ ...