Những vấn đề trong bảo mật

Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt động mạng thôngthường cho mạng nội bộ và Internet, do đó việc phát hiện các vấn đề và tìm ra cách khắcphục là một điều cần thiết. Sau đây chúng ta sẽ cùng nhau đi xem xét một số vấn đề nóichung đối với các máy chủ DNS:
Nội dung trích xuất từ tài liệu:
Những vấn đề trong bảo mậttrị mạng – Trong loạt bài này chúng tôi sẽ giới thiệu cho các b ạn một s ố v ấn đ ề trongbảo mật DNS và cách bảo mật các máy chủ DNS đã bị thỏa hiệp.Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt đ ộng m ạng thôngthường cho mạng nội bộ và Internet, do đó việc phát hiện các v ấn đ ề và tìm ra cách kh ắcphục là một điều cần thiết. Sau đây chúng ta sẽ cùng nhau đi xem xét m ột s ố v ấn đ ề nóichung đối với các máy chủ DNS: • Thỏa hiệp file vùng DNS • Lỗ hổng thông tin vùng DNS • Nâng cấp động bị thỏa hiệp • Gây lụt máy khách DNS (từ chối dịch vụ) • Giả mạo CacheThỏa hiệp file vùng DNSMáy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trị viên DNS cóthể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh ho ặc giao di ện DNS mmc. M ộttrong những cách hay gặp phải và cũng dễ dàng nh ất đ ể th ỏa hi ệp c ơ s ở h ạ t ầng DNS làchỉnh sửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trên máy ch ủ DNS haytừ một máy tính ở xa.Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có m ột chút ki ến th ức v ềDNS và có thể truy cập máy chủ. Kẻ tấn công có thể ngồi tr ực ti ếp tr ước màn hình máy ch ủ,kết nối thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở đây có th ể là ng ườibên trong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức b ảo m ật ở đây là khóa ch ặnmáy chủ DNS, chỉ những người có trách nhiệm mới được truy cập vào cấu hình DNS, b ất c ứphương pháp truy cập từ xa nào đến máy chủ DNS cần được hạn chế cho những người th ựcsự cần thiết.Lỗ hổng thông tin vùng DNSCác file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tên máy tính nàysẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng c ấp đ ộng. Các máy ch ủDNS trong mạng nội bộ thường chứa tên của tất c ả các máy ch ủ trên m ạng (ho ặc t ối thi ểucũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máy ch ủ Internet, thông th ườngchúng ta chỉ nhập vào các tên máy chủ muốn truy cập – tuy nhiên m ột s ố có th ể tồn t ại trongmột location được cấu hình bởi ISP và một trong số có thể nằm trong mạng nội bộ.Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác đ ược các thông tin quan tr ọngvề các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu bạn có một máychủ có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá tr ị đ ối v ới k ẻ t ấn công.Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”.Kẻ tấn công có thể khai thác tên của các máy tính khác trên m ạng b ằng nhi ều ph ương phápkhác nhau. Cho ví dụ, nếu cho phép tất cả các máy có kh ả năng chuy ển vùng, k ẻ đ ột nh ập cóthể download toàn bộ cơ sở dữ liệu vùng đến máy tính c ủa anh ta thông qua c ơ ch ế chuy ểnvùng. Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công cũng có th ể lợi d ụng các truyvấn DNS ngược để dò tìm ra tên máy tính trong mạng. Từ đó chúng có thể tạo một sơ đồ toàndiện về mạng từ dữ liệu DNS này.Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các đ ịa ch ỉ khôngđược sử dụng trong mạng. Sau đó sử dụng các địa chỉ không đ ược sử d ụng này đ ể thi ết l ậpmáy chủ DNS giả mạo, điều này là vì trong một số trường hợp, điều khi ển truy c ập m ạngđược thiết lập cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ IP riêng biệt.Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghi ệp nh ỏ (n ơi đanghosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trên cùng m ột máychủ DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong tr ường h ợp này, b ạn s ẽ đ ể l ộcả tên bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn công dễ dàng tìm rakhông gian địa chỉ bên trong và các thỏa thuận đặt tên. Thông thường, chúng sẽ ph ải đ ột nh ậpvào bên trong mạng để khám phá thông tin vùng bên trong, tuy nhiên khi cùng m ột máy ch ủhosting cả thông tin chung và riêng trên cùng máy ch ủ DNS thì k ẻ t ấn công lúc này s ẽ có c ơhội lớn để tấn công bạn.Nâng cấp động bị thỏa hiệpCác nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì ph ải t ự t ạo các b ảnghi cho tất cả máy khách và máy chủ, tất cả những gì bạn c ần th ực hi ện lúc này là kích ho ạtcác nâng cấp DNS động trên cả máy chủ và máy khách. Khi s ử d ụng máy khách và máy ch ủDNS Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng c ấp DNS đ ộng. V ớinâng cấp động này, chỉ cần bật chức năng và để cho các máy tính t ự đăng ký trong DNS; b ạnkhông cần phải tự tạo bản ghi DNS.Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng v ậy, s ự thu ận ti ệnnày cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS đ ộng. Có rất nhi ều cách có th ể th ựchiện các nâng cấp DNS động này, có thể phân loại chúng thành hai mảng: nâng c ấp an toàn vàkhông an toàn. Với các nâng cấp an toàn, hệ thống khách cần phải được thẩm định (cho ví d ụ,sử dụng tài khoản máy tính chứa ...