Những vấn đề trong bảo mật DNS

Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề trong bảo mật DNS và cách bảo mật các máy chủ DNS đã bị thỏa hiệp. Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt động mạng thông thường cho mạng nội bộ và Internet, do đó việc phát hiện các vấn đề và tìm ra cách khắc phục là một điều cần thiết.
Nội dung trích xuất từ tài liệu:
Những vấn đề trong bảo mật DNS Những vấn đề trong bảo mật DNSTrong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đềtrong bảo mật DNS và cách bảo mật các máy chủ DNS đã bị thỏahiệp.Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạtđộng mạng thông thường cho mạng nội bộ và Internet, do đó việc pháthiện các vấn đề và tìm ra cách khắc phục là một điều cần thiết. Sau đâychúng ta sẽ cùng nhau đi xem xét một số vấn đề nói chung đối với cácmáy chủ DNS: Thỏa hiệp file vùng DNS Lỗ hổng thông tin vùng DNS Nâng cấp động bị thỏa hiệp Gây lụt máy khách DNS (từ chối dịch vụ) Giả mạo CacheThỏa hiệp file vùng DNSMáy chủ DNS sẽ được cấu hình trên một số phiên bản WindowsServer. Quản trị viên DNS có thể thiết lập cấu hình vùng và các bản ghibằng dòng lệnh hoặc giao diện DNS mmc. Một trong những cách haygặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở hạ tầng DNS là chỉnhsửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trênmáy chủ DNS hay từ một máy tính ở xa.Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có mộtchút kiến thức về DNS và có thể truy cập máy chủ. Kẻ tấn công có thểngồi trực tiếp trước màn hình máy chủ, kết nối thông qua RDP haythậm chí đăng nhập qua Telnet. Thủ phạm ở đây có thể là người bêntrong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức bảo mật ởđây là khóa chặn máy chủ DNS, chỉ những người có trách nhiệm mớiđược truy cập vào cấu hình DNS, bất cứ phương pháp truy cập từ xanào đến máy chủ DNS cần được hạn chế cho những người thực sự cầnthiết.Lỗ hổng thông tin vùng DNSCác file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trongvùng đó, tên máy tính này sẽ được cấu hình một cách thủ công hay cấuhình thông qua các nâng cấp động. Các máy chủ DNS trong mạng nộibộ thường chứa tên của tất cả các máy chủ trên mạng (hoặc tối thiểucũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máy chủInternet, thông thường chúng ta chỉ nhập vào các tên máy chủ muốntruy cập – tuy nhiên một số có thể tồn tại trong một location được cấuhình bởi ISP và một trong số có thể nằm trong mạng nội bộ.Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác đượccác thông tin quan trọng về các vai trò máy chủ trên mạng qua tên củacác máy chủ đó. Cho ví dụ, nếu bạn có một máy chủ có thể truy cậpthông qua tên PAYROLL, thông tin này sẽ rất giá trị đối với kẻ tấncông. Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”.Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằngnhiều phương pháp khác nhau. Cho ví dụ, nếu cho phép tất cả các máycó khả năng chuyển vùng, kẻ đột nhập có thể download toàn bộ cơ sởdữ liệu vùng đến máy tính của anh ta thông qua cơ chế chuyển vùng.Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công cũng có thểlợi dụng các truy vấn DNS ngược để dò tìm ra tên máy tính trongmạng. Từ đó chúng có thể tạo một sơ đồ toàn diện về mạng từ dữ liệuDNS này.Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu làcác địa chỉ không được sử dụng trong mạng. Sau đó sử dụng các địa chỉkhông được sử dụng này để thiết lập máy chủ DNS giả mạo, điều nàylà vì trong một số trường hợp, điều khiển truy cập mạng được thiết lậpcho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ IPriêng biệt.Cuối cùng, một thực tế chung trong cách hosting DNS của các doanhnghiệp nhỏ (nơi đang hosting các dịch vụ DNS riêng) là việc kết hợpcác vùng chung và riêng trên cùng một máy chủ DNS trong khi đó cơsở hạ tầng DNS lại chia tách. Trong trường hợp này, bạn sẽ để lộ cả tênbên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn côngdễ dàng tìm ra không gian địa chỉ bên trong và các thỏa thuận đặt tên.Thông thường, chúng sẽ phải đột nhập vào bên trong mạng để khámphá thông tin vùng bên trong, tuy nhiên khi cùng một máy chủ hostingcả thông tin chung và riêng trên cùng máy chủ DNS thì kẻ tấn công lúcnày sẽ có cơ hội lớn để tấn công bạn.Nâng cấp động bị thỏa hiệpCác nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vìphải tự tạo các bản ghi cho tất cả máy khách và máy chủ, tất cả nhữnggì bạn cần thực hiện lúc này là kích hoạt các nâng cấp DNS động trêncả máy chủ và máy khách. Khi sử dụng máy khách và máy chủ DNSWindows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng cấpDNS động. Với nâng cấp động này, chỉ cần bật chức năng và để chocác máy tính tự đăng ký trong DNS; bạn không cần phải tự tạo bản ghiDNS.Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũngvậy, sự thuận tiện này cũng kéo theo nguy cơ bảo mật tiền ẩn đối vớiDNS động. Có rất nhiều cách có thể thực hiện các nâng cấp DNS độngnày, có thể phân loại chúng thành hai mảng: nâng cấp an toàn và khôngan toàn. Với các nâng cấp an toàn, hệ thống khách cần phải được thẩmđịnh (cho ví dụ, sử dụng tài khoản máy tính chứa trong ActiveDirectory) trước khi có thể tự nâng cấp. Các nâng ...