Bảo mật DNS ( G9)

5/14/2018 Ba ̉o mâ ̣t DNS ( G9) - slidepdf.com

http://slidepdf.com/reader/full/bao-mat-dns-g9 1/20

1

BÀI TẬP LỚ N MÔN AN TOÀN MẠNG MÁY TÍNH

Đề tài: Tìm hiể u về biệ n pháp bả o mậ t DNS

Nhóm 9 gồm : Nguyễn Đăng Định

Huỳnh Thị Mai Duyên

Nguyễn Văn Hiển

Giáo viên hướ ng dẫn: Hoàng Sỹ Tương

M ụ c l ụ c:

Chương I: Tổng quan về DNS

1. DNS là gì? …………………………………………………………..4

2. Chức năng của DNS…………………………………………………5

3. Nguyên tắc làm việc của DNS………………………………………5

4.

Cách sử dụng DNS …………………………………………………5

5. Cấu trúc gói tin DNS ……………………………………………….5

Chương II: Bảo mật DNS

1. Những vấn đề trong bảo mật DNS

1.1 Thỏa hiệp file vùng DNS ..…………………………………………..7

1.2 Lỗ hổng thông tin vùng DNS…………………………………………7

1.3 Nâng cấp động bị thỏa hiệp ………………………………………….8

1.4 Gây lụt máy khách DNS ………….………………………………….9

1.5 Giả mạo cache ……………………….……………………………….9



2

2. Bảo vệ DNS cho windows

2.1 Di chuyển vùng ………………………………………………………10

2.2 Bảo mật di chuyển vùng ……………………………………………..11

2.3 Chuyển tiếp …………………………….…………………………….12

Chương III: Giải pháp bảo mật DNS

1. Sử dụng DNS Forwarder ………………….…………………………..15

2. Sử dụng máy chủ DNS lưu trữ ………………………………………..15

3. Sử dụng DNS Advertiser …………………………………...…………16

4. Sử dụng DNS Resolver ………………………..………………………16

5. Bảo vệ bộ nhớ đệm DNS ………………………………………………16

6. Bảo mật kết nối bằng DDNS …………………………………..………17

7. Ngừng chạy Zone Transfer …………………………………….………17

8. Sử dụng Firewall kiểm soát truy cập DNS …………………….………17

9. Cài đặt kiểm soát truy cập vào Registry của DNS …………….……….18

10. Cài đặt kiểm soát truy cập vào file hệ thống DNS …………….………18



3

Lời nói đầu

Mỗi máy tính trên mạng muốn liên lạc vớ i nhau cần biết địa chỉ IP của nhau. Địa chỉ IP là một chuỗi gồm bốn phần, phân tách nhau dấu chấm. Vì số máy trên mạng ngày một

nhiều, thế nên việc nhớ địa chỉ IP là một việc vô cùng khó khăn, vì lý do DNS đã đượ c ra

đờ i. Nó liên k ết nhiều thông tin đa dạng vớ i tên miền đượ c gán cho những ngườ i tham gia.Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con ngườ i vào số định danh (nhị phân), liên k ết vớ i các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết

bị khắp thế giớ i. Vì thế việc bảo mật DNS là một nhiệm vụ vô cùng quan trọng, đây cũng là

mục đích của bài nghiên cứu này.



4

Chương I Tổng quan về DNS

1. DNS là gì?DNS là từ viết tắt trong tiếng Anh của Domain Name System, là hệ thống tên miền

được phát minh vào năm 1984 cho Internet, là hệ thống cho phép thiết lập tương ứng giữađịa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự chomáy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thôngtin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nóchuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với cáctrang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.

Nó phục vụ như một “Danh bạ điện thoại” để tìm trên Internet bằng cách dịch tênmáy chủ máy tính thành địa chỉ IP Ví dụ, www.google.com dịch thành 74.125.128.100.

Hệ thống tên miền giúp chỉ định tên miền cho các nhóm người sử dụng Internet mộtcách có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng. Bởi vì điều này, World-Wide

Web (WWW) có thể duy trì ổn định và cố định ngay cả khi định tuyến dòng Internet thayđổi hoặc những người tham gia sử dụng một thiết bị di động. Tên miền internet dễ nhớ hơncác địa chỉ IP như là 208.77.188.166 (IPv4) hoặc 2001: db8: 1f70:: 999: de8: 7648:6 e8(IPv6).

Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ tên tới địa chỉIP bằng cách định rõ những máy chủ có thẩm quyền cho mỗi tên miền. Những máy chủ cótên thẩm quyền được phân công chịu trách nhiệm đối với tên miền riêng của họ, và lần lượtcó thể chỉ định tên máy chủ khác độc quyền của họ cho các tên miền phụ. Kỹ thuật này đãthực hiện các cơ chế phân phối DNS, chịu đựng lỗi, và giúp tránh sự cần thiết cho mộttrung tâm đơn lẻ để đăng kí được tư vấn và liên tục cập nhật.

Nhìn chung, Hệ thống tên miền cũng lưu trữ các loại thông tin khác, chẳng hạn nhưdanh sách các máy chủ email mà chấp nhận thư điện tử cho một tên miền Internet. Bằngcách cung cấp cho một thế giới rộng lớn, phân phối từ khóa – cơ sở của dịch vụ đổi hướng, Hệ thống tên miền là một thành phần thiết yếu cho các chức năng của Internet. Các địnhdạng khác như các thẻ RFID, mã số UPC, kí tự Quốc tế trong địa chỉ email và tên máy chủ,và một loạt các định dạng khác có thể có khả năng sử dụng DNS



5

2. Chức năng của DNS:Mỗi Website có một tên (là tên miền hay đườ ng dẫn URL (Uniform Resource Locator)

và một địa chỉ IP. Địa chỉ IP gồm 4 nhóm số cách nhau bằng dấu chấm (IPv4). Khi mở một

trình duyệt Web và nhập tên website, trình duyệt sẽ đến thẳng website mà không cần phải

thông qua việc nhập địa chỉ IP của trang web. Quá trình "dịch" tên miền thành địa chỉ IP để

cho trình duyệt hiểu và truy cập đượ c vào website là công việc của một DNS server. CácDNS trợ giúp qua lại vớ i nhau để dịch địa chỉ "IP" thành "tên" và ngượ c lại. Ngườ i sử dụng

chỉ cần nhớ "tên", không cần phải nhớ địa chỉ IP (địa chỉ IP là những con số rất khó nhớ ).

3. Nguyên tắc làm việc của DNS:- Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình, gồm các

máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đó trong Internet. Tức là, nếu mộttrình duyệt tìm kiếm địa chỉ của một website thì DNS server phân giải tên website này phảilà DNS server của chính tổ chức quản lý website đó chứ không phải là của một tổ chức (nhàcung cấp dịch vụ) nào khác.

- INTERNIC (Internet Network Information Center) chịu trách nhiệm theo dõi các tênmiền và các DNS server tương ứng. INTERNIC là một tổ chức được thành lập bởi NFS(National Science Foundation), AT&T và Network Solution, chịu trách nhiệm đăng ký cáctên miền của Internet. INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server trênInternet chứ không có nhiệm vụ phân giải tên cho từng địa chỉ.

- DNS có khả năng tra vấn các DNS server khác để có được 1 cái tên đã được phângiải. DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu trách nhiệm

phân giải tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong lẫn bên ngoàimiền nó quản lí. Thứ hai, chúng trả lời các DNS server bên ngoài đang cố gắng phân giảinhững cái tên bên trong miền nó quản lí. - DNS server có khả năng ghi nhớ lại những tên

vừa phân giải. Để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên phân giảiđược lưu lại tùy thuộc vào quy mô của từng DNS.

4. Cách sử dụng DNS:Do các DNS có tốc độ biên dịch khác nhau, có thể nhanh hoặc có thể chậm, do đó

ngườ i sử dụng có thể chọn DNS server để sử dụng cho riêng mình. Có các cách chọn lựa cho

ngườ i sử dụng. Sử dụng DNS mặc định của nhà cung cấp dịch vụ (internet), trườ ng hợ p này

ngườ i sử dụng không cần điền địa chỉ DNS vào network connections trong máy của mình.

Sử dụng DNS server khác (miễn phí hoặc trả phí) thì phải điền địa chỉ DNS server vào

network connections. Địa chỉ DNS server cũng là 4 nhóm số cách nhau bở i các dấu chấm.



6

5. Cấu trúc gói tin DNS: ID: Là một trường 16 bits, chứa mã nhận dạng, nó được tạo ra bởi một chương trình để

thay cho truy vấn. Gói tin hồi đáp sẽ dựa vào mã nhận dạng này để hồi đáp lại. Chínhvì vậy mà truy vấn và hồi đáp có thể phù hợp với nhau.

QR: Là một trường 1 bit. Bít này sẽ được thiết lập là 0 nếu là gói tin truy vấn, được

thiết lập là một nếu là gói tin hồi đáp. Opcode: Là một trường 4 bits, được thiết lập là 0 cho cờ hiệu truy vấn, được thiết lập

là 1 cho truy vấn ngược, và được thiết lập là 2 cho tình trạng truy vấn. AA: Là trường 1 bit, nếu gói tin hồi đáp được thiết lập là 1, sau đó nó sẽ đi đến một

server có thẫm quyền giải quyết truy vấn. TC: Là trường 1 bit, trường này sẽ cho biết là gói tin có bị cắt khúc ra do kích thước

gói tin vượt quá băng thông cho phép hay không. RD: Là trường 1 bit, trường này sẽ cho biết là truy vấn muốn server tiếp tục truy vấn

một cách đệ qui. RA: Trường 1 bit này sẽ cho biết truy vấn đệ qui có được thực thi trên server không . Z: Là trường 1 bit. Đây là một trường dự trữ, và được thiết lập là 0. Rcode: Là trường 4 bits, gói tin hồi đáp sẽ có thể nhận các giá trị sau :

0: Cho biết là không có lỗi trong quá trình truy vấn. 1: Cho biết định dạng gói tin bị lỗi, server không hiểu được truy vấn. 2: Server bị trục trặc, không thực hiện hồi đáp được. 3: Tên bị lỗi. Chỉ có server có đủ thẩm quyền mới có thể thiết lập giá trị náy. 4: Không thi hành. Server không thể thực hiện chức năng này . 5: Server từ chối thực thi truy vấn. QDcount: Số lần truy vấn của gói tin trong một vấn đề.

ANcount: Số lượng tài nguyên tham gia trong phần trả lời. NScount: Chỉ ra số lượng tài nguyên được ghi lại trong các phần có thẩm quyền của

gói tin.

ARcount: Chỉ ra số lượng tài nguyên ghi lại trong phần thêm vào của gói tin.



7

Chương II: Bảo mật DNS

1. Nhữ ng vấn đề trong bảo mật DNS:1.1 Thỏa hiệp file vùng DNS:

Máy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trịviên DNS có thể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh hoặc giao diệnDNS mmc. Một trong những cách hay gặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở hạ tầng DNS là chỉnh sửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trênmáy chủ DNS hay từ một máy tính ở xa.

Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có một chút kiếnthức về DNS và có thể truy cập máy chủ. Kẻ tấn công có thể ngồi trực tiếp trước mànhình máy chủ, kết nối thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở

đây có thể là người bên trong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức bảomật ở đây là khóa chặn máy chủ DNS, chỉ những người có trách nhiệm mới được truycập vào cấu hình DNS, bất cứ phương pháp truy cập từ xa nào đến máy chủ DNS cầnđược hạn chế cho những người thực sự cần thiết.

1.2 Lỗ hổng thông tin vùng DNS:

Các file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tênmáy tính này sẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng cấpđộng. Các máy chủ DNS trong mạng nội bộ thường chứa tên của tất cả các máy chủ trên

mạng (hoặc tối thiểu cũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máychủ Internet, thông thường chúng ta chỉ nhập vào các tên máy chủ muốn truy cập – tuy

nhiên một số có thể tồn tại trong một location được cấu hình bởi ISP và một trong số cóthể nằm trong mạng nội bộ.

Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác được các thông tinquan trọng về các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu

bạn có một máy chủ có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá trịđối với kẻ tấn công. Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”.

Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằng nhiều phương pháp khác nhau. Cho ví dụ, nếu cho phép tất cả các máy có khả năng chuyểnvùng, kẻ đột nhập có thể download toàn bộ cơ sở dữ liệu vùng đến máy tính của anh tathông qua cơ chế chuyển vùng. Thậm chí nếu không cho phép chuyển vùng, kẻ tấn côngcũng có thể lợi dụng các truy vấn DNS ngược để dò tìm ra tên máy tính trong mạng. Từđó chúng có thể tạo một sơ đồ toàn diện về mạng từ dữ liệu DNS này.



8

Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các địa chỉkhông được sử dụng trong mạng. Sau đó sử dụng các địa chỉ không được sử dụng này đểthiết lập máy chủ DNS giả mạo, điều này là vì trong một số trường hợp, điều khiển truycập mạng được thiết lập cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉIP riêng biệt.

Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghiệp nhỏ(nơi đang hosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trêncùng một máy chủ DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong trường hợpnày, bạn sẽ để lộ cả tên bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻtấn công dễ dàng tìm ra không gian địa chỉ bên trong và các thỏa thuận đặt tên. Thôngthường, chúng sẽ phải đột nhập vào bên trong mạng để khám phá thông tin vùng bêntrong, tuy nhiên khi cùng một máy chủ hosting cả thông tin chung và riêng trên cùng máychủ DNS thì kẻ tấn công lúc này sẽ có cơ hội lớn để tấn công bạn.

1.3 Nâng cấp động bị thỏa hiệp:

Các nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì phải tự tạocác bản ghi cho tất cả máy khách và máy chủ, tất cả những gì bạn cần thực hiện lúc này

là kích hoạt các nâng cấp DNS động trên cả máy chủ và máy khách. Khi sử dụng máykhách và máy chủ DNS Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nângcấp DNS động. Với nâng cấp động này, chỉ cần bật chức năng và để cho các máy tính tựđăng ký trong DNS; bạn không cần phải tự tạo bản ghi DNS.

Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng vậy, sự

thuận tiện này cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS động. Có rất nhiềucách có thể thực hiện các nâng cấp DNS động này, có thể phân loại chúng thành haimảng: nâng cấp an toàn và không an toàn. Với các nâng cấp an toàn, hệ thống khách cần

phải được thẩm định (cho ví dụ, sử dụng tài khoản máy tính chứa trong Active Directory)trước khi có thể tự nâng cấp. Các nâng cấp không an toàn xuất hiện khi bạn cho phép bấtcứ host nào cũng có thể đăng ký địa chỉ của nó trong DNS mà không yêu cầu thẩm định.

Tuy nhiên các nâng cấp động an toàn không phải tất cả đều giống nhau. Cho ví dụ,nếu bạn hạn chế chỉ những quản trị viên miền hay quản trị viên bảo mật mới có thể gianhập miền, khi đó các nâng cấp DNS động tỏ ra khá an toàn trong môi trường Windows.Tuy nhiên nếu cho phép bất cứ ai cũng có thể join máy tính của họ vào miền, bạn vấn đề

bảo mật ở đây sẽ bị giảm đi đáng kể.

Khi nâng cấp động bị thỏa hiệp, kẻ tấn công có thể thay đổi các thông tin trong bảnghi để các tên máy tính sẽ được redirect đến các máy chủ mà kẻ tấn công thiết lập nhằmđạt được các mục đích của chúng (chẳng hạn như load phần mềm mã độc vào máy tínhđể biến nó trở thành một phần trong botnet mà kẻ tấn công đang điều khiển). Một vấn đềkhác kẻ tấn công có thể thực hiện trong tình huống này là thực hiện tấn công từ chối dịch



9

vụ mức đơn giản bằng cách xóa bản ghi chính, chẳng hạn như các bản ghi cho máy chủD NS hay bộ điều khiển miền.

1.4 Từ chối dịch vụ DNS bằng cách gây lụt máy khách:

Nói đến DoS, nếu chưa bao giờ gặp phải kiểu tấn công này thì hãy xem đó như mộtmay mắn đối vớ i bạn. Do các truy vấn DNS không đượ c thẩm định nên máy chủ DNS

luôn cố gắng trả lờ i các truy vấn mà nó nhận được. Điều này có nghĩa rất dễ có thể thực

hiện một tấn công từ chối dịch vụ đối vớ i một máy chủ DNS. Có khá nhiều botnet có thể

tạo các kiểu tấn công DDoS để vô hiệu hóa máy chủ DNS đủ lâu cho k ẻ tấn công thiết lập

máy chủ DNS giả mạo để trả lờ i các truy vấn.

Ngườ i dùng không có cách nào biết đượ c máy chủ DNS mớ i là máy chủ giả mạo,

họ sẽ bị redirect đến máy chủ của k ẻ tấn công. Các site này thường đượ c thiết k ế để giống

các site thật và sử dụng sự tin tưở ng của ngườ i dùng vào các site thực ể tăng sự truy cậpvào thông tin nhận dạng cá nhân, sau đó là thực hiện các tấn công kiểu này.

1.5 Giả mạo cache:

Máy chủ DNS này sẽ truy vấn máy chủ DNS khác để lấy thông tin. Để cải thiệnhiệu suất cho toàn bộ cơ sở hạ tầng DNS, các máy chủ DNS sẽ lưu các kết quả truy vấntrong một khoảng thời gian trước đó vào các bản ghi để cung cấp sự phân giải tên. Nếutruy vấn thứ hai có cùng tên trước khi timeout, máy chủ DNS sẽ đáp trả các thông tin mànó đã lưu trong DNS cache thay vì truy vấn sang máy chủ DNS khác.

Tuy có thể cải thiện đáng kể được hiệu suất tổng thể nhưng cách thực hiện này gâyra một lỗ hổng bảo mật. Lỗ hổng bảo mật bị khai thác ở đây được gọi là “DNS cache

poisoning” có nghĩa là giả mạo DNS. Việc giả mạo DNS diễn ra khi máy chủ DNS gửimột truy vấn đến máy chủ DNS khác và máy chủ DNS đó trả về các thông tin khôngđúng. Trong hầu hết các trường hợp, máy chủ DNS trả về các thông tin sai là các máychủ đã bị thỏa hiệp.

Việc giả mạo cache có thể diễn ra vì các máy chủ DNS không kiểm tra sự hợp lệcủa các đáp trả, cũng như không thực hiện thẩm định các đáp trả mà chúng nhận được từmáy chủ DNS khác. Máy chủ DNS “khách” sẽ nhận được thông tin trong đáp trả và lưu

thông tin đó, sau đó cung cấp thông tin sai đến các máy được cấu hình là máy khách DNScủa máy chủ này.



10

2. Bảo vệ DNS cho window:

2.1 Di chuyển vùng:

Khi nói đến vùng DNS, phải hiểu là có nhiều loại vùng khác nhau có thể thiết lập

bên trong môi trường DNS. Mặc dù chúng ta cần tập trung vào một số vùng có thể,nhưng ở đây vẫn đưa ra một danh sách tất cả các vùng mà có thể thiết lập trong DNS.

Active Directory integrated Zone

Primary Zone

Secondary Zone

Stub Zone

Vùng tích hợp Active Directory là vùng thực hiện viết cơ sở dữ liệu DNS. Các

vùng thứ yếu không thực hiện công việc này mà chúng chỉ nhận các bản nâng cấp từvùng DNS chủ yếu. Các nâng cấp từ vùng chủ yếu vào vùng thứ yếu được gọi là di

chuyển vùng.

Giao diện sự di chuyển vùng khá rõ ràng thông qua các tùy chọn, có thể thấy được

điều này qua hình 1. Chúng ta có thể cho phép bất kỳ máy chủ DNS nào nhận các nội

dung của vùng chủ yếu hoặc hạn chế nó để chỉ có thể chọn một số DNS nhất định. Rõ

ràng, với các mục đích bảo mật, chúng ta sẽ muốn hạn chế phạm vi của các máy chủ

DNS được phép nhận địa chỉ IP và tên miền của tất cả máy tính trong tổ chức.



11

Hình 1: Giao diện di chuyển vùng cho Windows DNS

2.2 Bảo mật di chuyển vùng:

Có một số tùy chọn để bảo vệ DNS và sự di chuyển vùng. Tuy nhiên chìa khóa của

vấn đề vẫn là cách thiết lập môi trường DNS như thế nào.

Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS để cho

phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửi xuyên qua toàn bộ

mạng. IPSec là cách truyền thông rất chung giữa các máy chủ DNS trên cùng một mạng.

Nếu việc truyền thông giữa các máy chủ DNS của bạn phải đi qua một mạng không an

toàn thì một VPN sẽ được sử dụng. Nếu bạn sử dụng một VPN để bảo vệ dữ liệu xuyên

qua một mạng không được bảo vệ thì cách mà người ta vẫn thường dùng đó là sử dụng



12

L2TP. L2TP sử dụng một thuật toán mã hóa an toàn dữ liệu khi nó được gửi đi trên

mạng.

Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mạng từ một máy chủ DNS

này sang một máy chủ DNS khác là sử dụng sự tích hợp Active Directory. Phương phápnày yêu cầu các máy chủ DNS phải hoạt động trong cùng một miền Active Directory. Nó

cũng yêu cầu DNS chạy trên một điều khiển miền. Các lợi ích mang lại khá đáng kể bởi

vì dữ liệu được lưu và tái tạo thông qua sự tái tạo Active Directory, bên cạnh đó dữ liệu

được mã hóa khi được gửi đi trên mạng từ máy chủ DNS này sang máy chủ DNS khác.

Lợi ích khác từ chức năng DNS và di chuyển sử dụng Active Directory là tất cả các

truyền thông đều được xác thực ngay ban đầu. Điều này giúp chúng bảo vệ được sự di

chuyển vùng, bắt buộc máy chủ DNS phải xác thực cơ sở dữ liệu Active Directory trướckhi các thông tin này được tái tạo.

2.3 Chuyển tiếp (4 kiểu):

Có một cách khác để bảo vệ môi trường DNS của bạn là sử dụng nhiều tùy chọn cho

việc chuyển tiếp. Điều này có thể giúp bạn duy trì được sự ổn định cơ sở hạ tầng DNS,

trong khi vẫn bảo đảm được các máy tính và ứng dụng có thể truy cập được đúng máy

chủ trên mạng. Có một cặp tùy chọn cho việc chuyển tiếp bên trong môi trường

Microsoft DNS.

Đầu tiên giống như việc chuyển tiếp chuẩn, được thể hiện trong hình 2, tất cả các yêu

cầu không có ý nghĩa cho máy chủ DNS mà đang tồn tại sẽ được gửi đi cùng đến các máy

chủ DNS khác. Đây là một điều lý tưởng khi bạn có một máy chủ DNS bên trong được

sử dụng cho tất cả các tên, Active Directory,… Máy chủ DNS này được cấu hình trên tất

cả các máy khách. Mặc dù vậy, máy chủ DNS này không quan tâm đến các tên trong

Internet, vì vậy khi máy chủ DNS nhận được một yêu cầu có ý nghĩa với Internet thì sự

truy vấn được chuyển tiếp đến một máy chủ DNS khác có thể giải quyết được yêu cầu

này. Điều này sẽ bảo vệ được máy chủ DNS bên trong của bạn tránh phải nhiều bất cập

không cần thiết trong mạng bên ngoài.



13

Hình 2: Chuyển tiếp cho một máy chủ Windows DNS

Một tùy chọn khác là việc chuyển tiếp có hướng. Điều này có thể bảo đảm được tấtcả các yêu cầu đều được chuyển hướng đến đúng máy chủ DNS, điều này làm giảm đáng

kể các thông tin sai và sự sửa đổi nhỏ nhất. Tùy chọn này được gọi là chuyển tiếp điều

kiện, được hiển thị trong phần trên của hình 2. Chúng có thể được sử dụng trong môi

trường có nhiều không gian tên DNS bên trong và bạn không muốn dựa vào Internet hoặc

một số cơ sở hạ tầng DNS cộng tác khác để giải quyết về các tên. Ở đây, bạn đơn giản có

một máy chủ DNS chuyển tiếp các yêu cầu đến một không gian tên khác cho các máy

khách.

Như vậy, DNS có thể là phức tạp, nhưng khi chia nhỏ nó thành từng phần nhỏ thì

nó không phức tạp chút nào, và có thể bảo vệ một cách thích đáng. Ở đây, bạn đã thấy

đượ c DNS có thể bảo vệ cơ sở dữ liệu bằng cách cấu hình vớ i các máy chủ DSN nhận sự

di chuyển vùng. Trong tình huống này, vùng Active Directory và vùng chính của bạn sẽ

có các máy chủ DNS thứ yếu để chúng có thể truyền thông vớ i nhau. Không có cấu hình



14

này thì các máy chủ DNS giả mạo có thể lấy cắp tất cả các thông tin quan trọng trên

mạng của bạn. Một bướ c khác là làm cho sự di chuyển DNS an toàn. Các máy chủ DNS

an toàn có thể thông qua sự tích hợ p Active Directory, hoặc các công nghệ tinh vi hơnnhư IPSec hoặc đườ ng hầm VPN. Cuối cùng, kiểm soát việc chuyển tiếp DNS của bạn

có thể bảo đảm giải pháp tên trở nên tỉ mỉ hơn, an toàn hơn, và điều đó bảo vệ đượ c cácmáy chủ DNS bên trong khỏi bị sai vớ i các thông tin không chính xác.



15

Chương III:

Giải pháp bảo mật DNS

Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉIP trên Internet và trên mạng cá nhân nền tảng TCP/IP. Máy chủ DNS thường là mục tiêu mà

tin tặc khai thác và tấn công, tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng một số phương pháp sau:

1. Sử dụng DNS Forwarder

DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay chonhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lýkhỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder,và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder.

Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu cầutrong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng đặc biệt quantrọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS. Thay vì cho phép nhữngmáy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ DNS khác, nócấu hình cho máy chủ DNS nội bộ sử dụng một Forwader cho tất cả các miền không được

phân quyền.

2. Sử dụng máy chủ DNS lưu trữ Máy chủ DNS lưu trữ là một máy chủ DNS không thể phân quyền cho bất kì miền DNS nào.

Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một Forwarder. Khi máy chủ này nhậnmột phản hồi, nó sẽ lưu kết quả và chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máychủ DNS lưu trữ. Sau đó, máy chủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng

kể thời gian phản hồi cho những máy trạm DNS của máy chủ DNS lưu trữ.



16

Những máy chủ DNS lưu trữ có thể cải thiện bảo mật cho công ty khi được sử dụng như mộtForwarder trong nhóm công cụ quản trị của bạn. Những máy chủ DNS nội bộ có thể đượccài đặt để sử dụng máy chủ DNS lưu trữ như trình chuyển đổi của chúng, và máy chủ DNSlưu trữ thực hiện gọi lại lệnh thay cho những máy chủ DNS nội bộ. Việc sử dụng những máychủ DNS lưu trữ như những Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ

thuộc vào những máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạnkhông tin tưởng vào cài đặt bảo mật trên máy chủ DNS của họ.

3. Sử dụng DNS Advertiser

DNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện truy vấn cho những miềnmà DNS Advertiser được phân quyền. Ví dụ, nếu bạn lưu trữ tài nguyên cho domain.com vàcorp.com, máy chủ DNS công cộng sẽ được cấu hình với vùng file DNS cho miềndomain.com và corp.com.

Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó là DNSAdvertiser trả lời những truy vấn từ tên miền mà nó phân quyền. Máy chủ DNS sẽ không gọilại truy vấn được gửi tới những máy chủ khác. Điều này ngăn cản người dùng sử dụng máychủ DNS công để xử lý nhiều tên miền khác nhau, và làm tăng khả năng bảo mật bằng cáchgiảm bớt những nguy cơ khi chạy DNS Resolver công cộng (gây tổn hại bộ nhớ đệm).

4. Sử dụng DNS Resolver

DNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để xử lý tên cho nhữngmiền không được máy chủ DNS phân quyền. Ví dụ, bạn có thể sử dụng một máy chủ DNS

được phân quyền trong mạng nội bộ cho miền mạng nội bộ internalcorp.com. Khi một máytrạm trong mạng sử dụng máy chủ DNS này để đặt tên quantrimang.com, máy chủ DNS đósẽ gọi lại lệnh bằng cách truy lục kết quả trên những máy chủ DNS khác.

Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS Resolver được dùng để đặttên cho máy chủ Internet. Resolver có thể là một máy chủ DNS lưu trữ không được phânquyền cho bất kì miền DNS nào. Admin có thể chỉ cho phép người dùng nội bộ sử dụngDNS Resolver, hay chỉ cho phép người dùng ngoài sử dụng để cung cấp bảo mật khi sử dụngmột máy chủ DNS bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cá ngườidùng nội bộ và người dùng ngoài truy cập vào DNS Resolver.

5. Bảo vệ bộ nhớ đệm DNS

“Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết máy chủ DNS có thểlưu trữ kết quả truy vấn DNS trước khi chuyển tiếp phản hồi tới máy chủ gửi truy vấn. Bộnhớ đệm DNS có thể cải thiện đáng kể khả năng thực hiện truy vấn DNS. Nếu bộ nhớ đệmmáy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng có thể bị chuyển tiếptới những website độc hại thay vì những website dự định truy cập.



17

Hầu hết máy chủ DNS có thể được cấu hình chống “ô nhiễm” bộ nhớ đệm. Ví dụ. máy chủD NS Windows Server 2003 được cấu hình mặc định chống “ô nhiễm bộ” nhớ đệm. Nếuđang sử dụng máy chủ DNS Windows 2000, bạn có thể cài đặt chống ô nhiễm bằng cách mở hộp thoại Properties trong máy chủ DNS, chọn tab Advanced, sau đó đánh dấu hộp chọn

Prevent Cache Pollution và khởi động lại máy chủ DNS.

6. Bảo mật kết nối bằng DDNS

Nhiều máy chủ DNS cho phép cập nhật động. Tính năng cập nhật động giúp những máy chủDNS này đăng ký tên máy chủ DNS và địa chỉ IP cho những máy chủ DHCP chứa địa chỉ IP.DDNS có thể là một công cụ hỗ trợ quản trị hiệu quả trong khi cấu hình thủ công những mẫutài nguyên DNS cho những máy chủ này.

Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây ra một vấn đề về bảo

mật. Người dùng xấu có thể cấu hình máy chủ cập nhật động những tài nguyên trên máy chủDNS (như máy chủ dữ liệu, máy chủ web hay máy chủ cơ sở dữ liệu) và định hướng kết nốitới máy chủ đích sang PC của họ.

Bạn có thể giảm nguy cơ gặp phải những bản cập nhập DNS độc hai bằng cách yêu cầu bảomật kết nối tới máy chủ DNS để cập nhật động. Điều này có thể dễ dàng thực hiện bằng cáchcài đặt máy chủ DNS sử dụng những vùng tương hợp Active Directory và yêu cầu bảo mậtcập nhật động. Tất cả miền thành viên có thể cập nhật động thông tin DNS một cách bảo mậtsau khi thực hiện cài đặt.

7. Ngừng chạy Zone Transfer

Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS chính và máy chủ DNS phụ. Những máy chủ DNS chính được phân quyền cho những miền cụ thể chứa vùng file DNS cóthể ghi và cập nhật khi cần thiết. Máy chủ DNS phụ nhận một bản sao chỉ đọc của nhữngvùng file này từ máy chủ DNS chính. Máy chủ DNS phụ được sử dụng để tăng khă năngthực thi truy vấn DNS trong một tổ chức hay trên Internet.

Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ. Bất cứ ai cũng có thể chạy mộttruy vấn DNS cấu hình máy chủ DNS để cho phép Zone Transfer kết xuất toàn bộ vùng file

cơ sở dữ liệu. Người dùng xấu có thể sử dụng thông tin này để thăm dò giản đồ tên trongcông ty và tấn công dịch vụ cấu trúc hạ tầng chủ chốt. Bạn có thể ngăn chặn điều này bằngcách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủDNS cho phép Zone Transfer chỉ từ chối yêu cầu của một số máy chủ nhất định.

8. Sử dụng Firewall kiểm soát truy cập DNS

Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với những người dùng kết nối



18

máy chủ DNS. Với những máy chủ DNS chỉ sử dụng cho những truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kết nối từ những máy chủ ngoài vào nhữngmáy chủ DNS này. Với những máy chủ DNS được sử dụng như Forwarder lưu trữ, firewallcần được cấu hình chỉ cho phép nhận những truy vấn DNS từ máy chủ DNS được sử dụngnhư Forwarder lưu trữ. Một cài đặt firewall policy rất quan trọng đó là chặn những người

dùng nội bộ sử dụng giao tiếp DNS kết nối vào những máy chủ DNS ngoài.

9. Cài đặt kiểm soát truy cập vào Registry của DNS

Trên những máy chủ DNS nền tảng Windows, kiểm soát truy cập cần được cấu hình trongnhững cài đặt Registry liên quan tới máy chủ DNS để cho phép những tài khoản được yêucầu truy cập đọc và thay đổi cài đặt của Registry.

Key DNS trong HKLM\CurrentControlSet\ Services cần được cấu hình chỉ cho phép Adminvà tài khoản hệ thống truy cập, ngoài ra những tài khoản này cần được cấp quyền Full

Control.

10. Cài đặt kiểm soát truy cập vào file hệ thống DNS

Trên những máy chủ DNS nền tảng Windows, bạn nên cấu hình kiểm soát truy cập trên filehệ thống liên quan tới máy chủ DNS vì vậy chỉ những tài khoản yêu cầu truy cập vào chúngđược cho phép đọc hay thay đổi những file này.

Thư mục %system_directory%\DNS và những thư mục con cần được cài đặt chỉ cho phéptài khoản hệ thống truy cập vào, và tài khoản hệ thống cần được cấp quyền Full Control



19

Kết luận:Qua bài nghiên cứu này, chúng ta có thể hiểu được DNS là gì, cách thức hoạt động của nó,

các lỗ hổng bảo mật liên quan tới DNS và có thể triển khai các biện pháp để bảo vệ DNStrước những nguy cơ, lỗ hổng đó.

Tài liệu tham khảo: wikipedia, internet.



20

Documents

Bảo mật DNS ( G9)