HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH ********** BÁO CÁO CUỐI KỲ MƠN: CƠ SỞ AN TỒN THƠNG TIN  ĐỀ TÀI: HÌNH THỨC TẤN CƠNG DNS SPOOFING Giảng viên hướng dẫn: HUỲNH THANH TÂM Nhóm thực hiện: Nhóm Thành viên nhóm: Nguyễn Minh Thuận - N19DCAT086 Nguyễn Thế Bảo - N19DCAT007 Từ Nguyễn Quốc Huy - N19DCAT038 Lớp: D19CQAT01-N TP.HCM, ngày 13 tháng 12 năm 2021   LỜI MỞ ĐẦU PHẦN I TÌM HIỂU GIAO THỨC DNS DNS gì? 2 Chức DNS Cách thức hoạt động DNS DNS record gì? PHẦN II CÁCH THỨC TẤN CÔNG DNS SPOOFING Điểm yếu hệ thống DNS .6 Khái niệm DNS Spoofing Mực độ nguy hiểm .7 Cách thức tân công DNS Spoofing Thử nghiệm công PHẦN III CÁC GIẢI PHÁP NÂNG CAO AN TOÀN BẢO MẬT CHO DNS TRONG MẠNG DOANH NGHIỆP 12 Công nghệ bảo mật DNSSEC 12 Lọc DNS 13 Sử dụng DNS Forwarder 14 Sử dụng máy chủ DNS lưu trữ .14 Sử dụng DNS Advertiser 15 Sử dụng DNS Resolver 15 Bảo vệ nhớ đệm DNS 16 Bảo mật kết nối DDNS 16 Ngừng chạy Zone Transfer .17 10 Sử dụng Firewall kiểm soát truy cập DNS 17 11 Cài đặt kiểm soát truy cập vào Registry DNS 18 12 Cài đặt kiểm soát truy cập vào file hệ thống DNS 18 KẾT LUẬN 19 TÀI LIỆU THAM KHẢO 20   LỜI MỞ ĐẦU Hệ thống tên miền – DNS (Domain Name System) phát minh vào năm 1984 cho Internet, hệ thống cho phép thiết lập quan hệ tương ứng địa IP và tên miền Hệ thống DNS thực chất tập hợp hệ thống phần cứng công cụ phần mềm phục vụ cho nhiệm vụ phân giải tên miền Ngồi hệ thống  phần cứng cơng cụ phần mềm chạy dạng dịch vụ cần có giao thức DNS (Bao gồm định dạng gói tin, giao thức truyền, …) để tiến hành trao đổi thông tin máy client với máy chủ DNS máy chủ DNS với Chính DNS hội tụ đầy đủ yếu tố: Phần cứng, phần mềm giao thức trình bày nên hệ thống DNS luôn tiềm ẩn lỗ hổng mà hacker sử dụng để khai thác làm chủ hệ thống, từ gây ảnh hưởng tới người dùng Trong phạm vi báo cáo này, nhóm em trình bày số lỗ hổng xảy với hệ thống DNS cách thức công hệ thống DNS  phương pháp DNS Spoofing tác hại gây với người dùng Qua giúp người sử dụng internet có nhận thức tốt để phịng ngừa nguy cơ  xảy sử dụng internet hiệu   PHẦN I TÌM HIỂU GIAO THỨC DNS DNS gì? - DNS hệ thống phân giải tên miền (DNS viết tắt Domain Name System) hệ thống cho phép thiết lập tương ứng địa IP tên miền Internet - DNS phát minh vào năm 1984 cho Internet số chuẩn công nghiệp cổng bao gồm TCP/IP Hệ thống phân giải tên miền chìa khóa chủ chốt nhiều dịch vụ mạng Internet, mail server, web server… Chức DNS Mỗi Website có hostname (là tên miền) địa IP Địa IP gồm nhóm số cách dấu chấm(IPv4) Khi người dùng mở trình duyệt Web Trang nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Quá trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "hostname" ngược lại Vì người sử dụng cần nhớ tên, không cần phải nhớ địa IP Cách thức hoạt động DNS DNS Server hoạt động lắng nghe yêu cầu từ DNS Client cổng 123 Sau chấp nhận yêu cầu client, client server trao đổi thông tin port thống client server không trao đổi qua port 123 (port 123 nhầm khởi tạo kết nối) Khi muốn phân giải tên miền hay địa ip DNS Client gửi cho DNS Server chuổi kí tự cần phân giải, yêu cầu DNS Server phân giải Khi nhận chuỗi kí tự DNS Server kiểm tra chuỗi nhận địa ip hay domain, sau gọi hàm phân giải tương ứng với địa ip domain Khi gọi hàm phân giải chương trình dị tìm sở liệu có domain hay địa ip chưa , có lấy gửi kết cho   DNS Client; ngược lại, chưa có sở liệu chương trình ngồi mạng Internet nhờ DNS Server khác phân giải hộ Trường hợp phân giải địa ip hay domain cập nhật vào sở liệu, sau chương trình truy vấn sở liệu lần để lấy địa ip hay domain gửi cho DNS Client Trường hợp khơng phân giải chương trình trả mã lổi 220 230 DNS Client nhận kết mã lổi xuất thông báo tương ứng + 220 : địa ip không tồn + 230 : tên miền không tồn * máy chủ DNS liên quan đến việc tải trang web: + DNS recursor:  Người nhận coi thủ thư, người yêu cầu tìm sách cụ thể thư viện Người nhận DNS máy chủ thiết kế để nhận truy vấn từ máy khách thơng qua ứng dụng trình duyệt web Thơng thường, người nhận sau chịu trách nhiệm thực yêu cầu bổ sung để đáp ứng truy vấn DNS máy khách + Root nameserver: Root nameserver là bước việc dịch (giải quyết) tên miền thành địa IP Nó coi mục thư viện Nó kệ sách khác – thơng thường dùng tham chiếu đến vị trí cụ thể + TLD nameserver: Top Level Domain (TLD) Nameserver coi giá sách cụ thể thư viện Nameserver bước trình tìm kiếm địa IP cụ thể Nó lưu trữ phần cuối tên máy chủ (Trong ví dụ com, máy chủ TLD “com”)   +Authoritative nameserver: Authoritative nameserver coi từ điển giá sách Trong tên cụ thể dịch thành định nghĩa Authoritative nameserver điểm dừng cuối truy vấn nameserver  Nếu authoritative nameserver có quyền truy cập vào ghi yêu cầu Nó trả lại địa IP cho tên miền yêu cầu trở lại DNS recursor  (người thủ thư) thực yêu cầu ban đầu DNS record gì? - DNS record ghi nằm DNS servers cung cấp thông tin cơ  sở liệu DNS, cho biết tên miền, địa IP gắn với tên miền cách xử lý yêu cầu với tên miền đó… Tất tên miền internet phải có vài ghi DNS cần thiết để người dùng truy cập trang web nhập tên miền thực mục đích khác * loại DNS record phổ biến - A record: + A record (viết tắt Address record) DNS record quan trọng dùng để truy cập web Nó giúp trỏ tên miền (domain) website tới địa IP cụ thể A record có cú pháp sau: [Tên miền] IN A [địa IP máy] Ví dụ: google.com IN A 172.217.5.78 + Hầu hết website có ghi A, số trang web có vài ghi A khơng giống Điều có nghĩa tên miền trỏ đến nhiều địa IP khác nhau… A record dùng để chuyển tên miền sang địa IPv4, cịn với IPv6 AAAA record sử dụng Cấu trúc ghi AAAA tương tự ghi A - CNAME record: + CNAME (Canonical Name) record ghi DNS record quy định tên miền bí danh tên miền khác Một tên miền có nhiều bí danh CNAME Cú pháp DNS record sau: [Tên bí danh] IN CNAME [tên miền chính]   + Trong đó, tên miền tên miền khai báo A record đến IP máy Tên bí danh tên miền khác mà bạn cho phép trỏ đến máy tính (địa IP) Ví dụ: www.bizflycloud.com IN CNAME  bizflycloud.com, tức người dùng gõ www.bizflycloud.com thì hệ thống đưa địa IP tên miền bizflycloud.com - MX record: + MX (Mail Exchange) record DNS record giúp xác định mail server mà email gửi tới Một tên miền có nhiều MX record, điều giúp tránh việc không nhận email mail server ngưng hoạt động MX record có cấu trúc đơn giản, ví dụ như:  bizflycloud.vn IN MX 10 mx20.bizflycloud.vn  bizflycloud.vn IN MX 30 mx30.bizflycloud.vn + Trong đó, số 10, 30 giá trị ưu tiên Chúng số nguyên từ đến 255, số nhỏ độ ưu tiên cao Như ví dụ trên, mail có cấu trúc địa …@bizflycloud.vn gửi đến mail server mx20.bizflycloud.vn trước Nếu có vấn đề mail chuyển đến mail server mx30.bizflycloud.vn - TX record: TXT record loại DNS record giúp tổ chức thông tin dạng text (văn bản) tên miền Một domain (tên miền) có nhiều ghi TXT chúng chủ yếu dùng cho Sender Policy Framework (SPF) codes, giúp email server xác định thư gửi đến có phải từ nguồn đáng tin hay khơng Ngồi ra, loại ghi DNS cịn dùng để xác thực máy chủ tên miền, xác minh SSL… - NS record:  NS (Name Server) record loại DNS record giúp xác định thông tin tên miền cụ thể khai báo quản lý máy chủ Cú pháp ghi sau: [Tên miền] IN NS [tên máy chủ tên miền]   Ví dụ:  bizflycloud.com IN NS ns1.bizflycloud.vn  bizflycloud.com IN NS ns2.bizflycloud.vn Trong ví dụ trên, tên miền bizflycloud.com quản lý hai máy chủ tên miền ns1.bizflycloud.vn ns2.bizflycloud.vn Điều có nghĩa DNS record (A record, MX record…) tên miền bizflycloud.com khai báo hai máy chủ - PTR record: PTR (Pointer) record nói DNS record ngược lại với A record, cho phép chuyển đổi từ địa IP sang tên miền Bản ghi PTR giúp xác thực IP hostname gửi tới, giúp hạn chế bị spam mail…  Ngoài loại loại ghi DNS khác phổ biến SOA record, SRV record, APL record, CAA record, NAPTR record… PHẦN II CÁCH THỨC TẤN CÔNG DNS SPOOFING Điểm yếu hệ thống DNS * Có ba lỗ hổng bảo mật ᴄhính ᴄần đề phòng đối ᴠới DNS: - Máу ᴄhủ DNS nội (Internal DNS Serᴠerѕ) giữ tất ᴄả tên máу ᴄhủ ᴠà địa ᴄhỉ IP ᴄho tên miền ᴄủa ᴄhúng Nó ѕẽ ᴄhia ѕẻ ᴄhúng ᴠới уêu ᴄầu Điều nàу làm ᴄho DNS trở thành nguồn thông tin tuуệt ᴠời ᴄho kẻ ᴄông - DNS Caᴄheѕ ᴄó thể bị thao túng Nếu máу ᴄhủ DNS ᴄủa bạn bị “nhiễm độᴄ” ᴠới ᴄáᴄ ghi хấu, máу tính ᴄó thể bị lừa để đến nơi khơng an tồn - DNS ᴄhuуển tiếp thơng tin truу ᴠấn từ ᴄáᴄ máу trạm bên ѕang ᴄáᴄ máу ᴄhủ bên ngồi Những kẻ ᴄơng ᴄó thể ѕử dụng hành ᴠi nàу để tạo ᴄáᴄ kênh bí mật nhằm lấу liệu Khái niệm DNS Spoofing - DNS Spoofing (tên tiếng anh DNS cache poisoning) hình thức hack bảo mật máy tính liệu hệ thống tên miền bị hỏng   đưa vào đệm trình phân giải DNS , khiến máy chủ tên trả ghi kết khơng xác Điều dẫn đến lưu lượng truy cập chuyển hướng đến máy tính kẻ cơng (hoặc máy tính khác) - Khi đó, người dùng truy cập đến địa mong muốn gửi đến địa IP giả mạo Địa IP giả mạo kẻ cơng tạo trước với mục đích ăn cắp thông tin tài khoản ngân hàng người dùng Mực độ nguy hiểm - Nếu thành công nguy hiểm + Bằng cách đầu độc ghi tên miền, kẻ cơng chuyển người sử dụng nhà cung cấp dịch vụ Internet tới máy chủ độc hại, website giả mạo họ cố gắng truy cập vào trang web, từ thực hành vi lừa đảo, ăn cắp mật khẩu, thông tin đăng nhập,… Cách thức tân công DNS Spoofing - Đối tượng công: DNS Server - Kiểu công: Man - In - The - Middle (MITM)  Hình Kiểu cơng DNS Spoofing  - Theo hình 1, chế cơng giả mạo địa DNS sau:   + Giả sử DNS Cache Server (như hình) có lưu thơng tin địa trang example.jp, Hacker (Malicious User) lại thực thay đổi địa địa trang giả mạo khác (Bogus Website) + Khi máy tính nạn nhân (Internal User) tiến hành gửi yêu cầu đến DNS Cache Server, DNS Cache Server vơ tình gửi trả lại (response) thơng tin địa example.jp bị giả mạo cho nạn nhân + Sau nhận địa giả mạo từ DNS Cache Server, nạn nhân vơ tình truy cập vào website độc hại (Bogus Website) mà kẻ công tạo nhằm lấy cắp thông tin mật Thử nghiệm cơng * Mơ hình thử nghiệm cơng  Hình Mơ hình thử nghiệm cơng DNS Spoofing  - Mục đích cơng: Khi máy nạn nhân truy câp vào trang Web  bị máy công điều hướng sang trang Web khác cụ thể: Khi máy nạn nhân truy cập vào trang facebook.com bị máy công điều hướng sang trang web máy công (address: 192.168.2.133) - Dùng Nmap quét nhanh host hoạt động dãy mạng:    Hình Quét host hoạt động  - Thay đổi cấu hình file ettercap.dns:  Hình Cấu hình file ettercap.dns - Khởi động Web Server :  Hình Khởi động dịch vụ Web   - Khởi động Ettercap Scan host  Hình Khởi động Ettercap Scan host  - Thêm host vào Target:  Hình Thêm host vào Target  - Khởi động ARP Poisoning 10    Hình Khởi động ARP poisoning  - Thêm Plugin dns_spoof để tiến hành cơng DNS Spoofing:  Hình Thêm plugin dns_spoof  - Sang máy nạn nhân truy cập vào trang facebook.com: 11    Hình 10 Kiểm tra kết => Kết quả: Trang web facebook.com bị chuyến hướng đến trang web mà máy công định PHẦN III CÁC GIẢI PHÁP NÂNG CAO AN TOÀN BẢO MẬT CHO DNS TRONG MẠNG DOANH NGHIỆP Công nghệ bảo mật DNSSEC - Trước nguy liệu DNS bị giả mạo bị làm sai lệch tương tác máy chủ DNS với máy trạm (resolver) máy chủ chuyển tiếp (forwarder), công nghệ bảo mật DNSSEC   nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo vệ chống lại nguy giả mạo làm sai lệch nguồn liệu DNSSEC là cơng nghệ an tồn mở rộng DNS, chất DNSSEC cung cấp chế có khả chứng thực đảm bảo toàn vẹn liệu cho hệ thống DNS Trong DNSSEC sẽ cung cấp chế xác thực máy chủ DNS với xác thực cho zone liệu để đảm bảo toàn vẹn liệu - DNSSEC (Domain Name System Security Extensions) là tiêu chuẩn an toàn mở rộng cho hệ thống DNS để đảm bảo việc xác thực tồn vẹn liệu thơng tin trả lời truy vấn tên miền hệ thống DNS DNSSEC sử dụng ghi DNS có chữ ký để đảm bảo hợp lệ hóa đáp trả truy vấn 12   DNSSEC được coi “tương lai DNS”.Sử dụng DNSSEC giúp cho việc truy cập dịch vụ Internet đảm bảo xác, tránh giả mạo chúng có tính năng:    Chứng thực liệu q trình gửi (Sender authentication) Tồn vẹn liệu trình truyền (Data Integrity) Xác thực từ chối tồn (Authenticated denial of existence) Lọc DNS - Lọc DNS loại lọc web Và lọc web đề cập đến thuật ngữ rộng lớn với khái niệm khác để kiểm soát lưu lượng truy cập web hay cung cấp an toàn Ngoài lọc DNS, loại lọc web khác lọc nội dung, lọc từ khóa lọc URL - Mọi truy vấn DNS đến trình phân giải DNS Nếu trình phân giải DNS định cấu hình đặc biệt, hoạt động giống lọc web cách từ chối giải truy vấn cho miền xuất danh sách chặn Bằng cách này, hạn chế người dùng truy cập vào miền độc hại + Nếu giải pháp lọc DNS chặn danh sách theo miền, không phân giải địa IP miền + Nếu chặn theo địa IP, cố gắng giải tất loại miền Tuy nhiên, tìm thấy địa IP danh sách chặn, khơng gửi đến thiết bị truy vấn - Bộ lọc DNS hạn chế phần mềm độc hại, vi rút, công lừa đảo,… khỏi thiết bị mạng bạn để mang lại an toàn cho tổ chức + Chặn trang web lừa đảo + Hạn chế trang web độc hại + Chặn nội dung bị cấm 13   + Tạo danh sách cho phép Sử dụng DNS Forwarder - DNS Forwarder (Trình chuyển tiếp) máy chủ DNS thực truy vấn DNS thay cho nhiều máy chủ DNS khác DNS Forwarder sử dụng để gỡ bỏ tác vụ xử lý khỏi máy chủ DNS thực chuyển tiếp truy vấn sang Forwarder, tăng lưu lượng nhớ đệm DNS DNS Forwarder - Một chức khác DNS Forwarder ngăn cản máy chủ DNS chuyển tiếp yêu cầu tương tác với máy chủ DNS Internet Đây chức đặc biệt quan trọng máy chủ DNS chứa tài nguyên  bên miền DNS Thay cho phép máy chủ DNS nội tự thực gọi lại lệnh liên lạc với máy chủ DNS khác, cấu hình cho máy chủ DNS nội sử dụng Forwader cho tất miền không phân quyền Sử dụng máy chủ DNS lưu trữ  - Máy chủ DNS lưu trữ máy chủ DNS phân quyền cho  bất kì miền DNS Nó cấu hình thực gọi lại lệnh hay sử dụng Forwarder Khi máy chủ nhận phản hồi, lưu kết chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ Sau đó, máy chủ tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian  phản hồi cho máy trạm DNS máy chủ DNS lưu trữ - Những máy chủ DNS lưu trữ cải thiện bảo mật cho cơng ty sử dụng Forwarder nhóm công cụ quản trị bạn Những máy chủ DNS nội cài đặt để sử dụng máy chủ DNS lưu trữ trình chuyển đổi chúng, máy chủ DNS lưu trữ thực gọi lại lệnh thay cho máy chủ DNS nội Việc sử dụng máy chủ DNS lưu trữ Forwarder cải thiện bảo mật bạn phụ thuộc vào 14   máy chủ DNS nhà cung cấp sử dụng Forwarder bạn không tin tưởng vào cài đặt bảo mật máy chủ DNS họ Sử dụng DNS Advertiser - DNS Advertiser (Trình quảng cáo) máy chủ DNS thực truy vấn cho miền mà DNS Advertiser phân quyền Ví dụ, bạn lưu trữ tài nguyên cho domain.com corp.com, máy chủ DNS cơng cộng cấu hình với vùng file DNS cho miền domain.com và corp.com - Sự khác biệt DNS Advertiser với máy chủ DNS chứa vùng file DNS DNS Advertiser trả lời truy vấn từ tên miền mà phân quyền Máy chủ DNS không gọi lại truy vấn gửi tới máy chủ khác Điều ngăn cản người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau, làm tăng khả bảo mật cách giảm bớt nguy chạy DNS Resolver công cộng (gây tổn hại nhớ đệm) Sử dụng DNS Resolver - DNS Resolver (trình xử lý) máy chủ DNS gọi lại lệnh để xử lý tên cho miền không máy chủ DNS phân quyền Ví dụ, bạn sử dụng máy chủ DNS phân quyền mạng nội cho miền mạng nội internalcorp.com Khi máy trạm mạng sử dụng máy chủ DNS để đặt tên quantrimang.com, máy chủ DNS gọi lại lệnh cách truy lục kết máy chủ DNS khác - Sự khác biệt máy chủ DNS DNS resolver DNS Resolver dùng để đặt tên cho máy chủ Internet Resolver máy chủ DNS lưu trữ không phân quyền cho miền DNS Admin cho phép người dùng nội sử dụng DNS Resolver, hay cho phép người dùng sử dụng để cung cấp bảo mật sử dụng máy chủ DNS  bên ngồi ngồi tầm kiểm sốt admin, cho phép cá người dùng nội  bộ người dùng truy cập vào DNS Resolver 15   Bảo vệ nhớ đệm DNS - “Ô nhiễm” nhớ đệm DNS vấn đề phát sinh chung Hầu hết máy chủ DNS lưu trữ kết truy vấn DNS trước chuyển tiếp phản hồi tới máy chủ gửi truy vấn Bộ nhớ đệm DNS cải thiện đáng kể khả thực truy vấn DNS Nếu nhớ đệm máy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng bị chuyển tiếp tới website độc hại thay website dự định truy cập - Hầu hết máy chủ DNS cấu hình chống “ơ nhiễm” nhớ  đệm Ví dụ máy chủ DNS Windows Server 2003 cấu hình mặc định chống “ô nhiễm “ nhớ đệm Nếu sử dụng máy chủ DNS Windows 2000,  bạn cài đặt chống ô nhiễm cách mở hộp thoại Properties máy chủ DNS, chọn tab Advanced, sau đánh dấu hộp chọn Prevent Cache Pollution khởi động lại máy chủ DNS Bảo mật kết nối DDNS - Nhiều máy chủ DNS cho phép cập nhật động Tính cập nhật động giúp máy chủ DNS đăng ký tên máy chủ DNS địa IP cho máy chủ DHCP chứa địa IP DDNS cơng cụ hỗ trợ quản trị hiệu cấu hình thủ công mẫu tài nguyên DNS cho máy chủ - Tuy nhiên, việc không kiểm tra cập nhật DDNS gây vấn đề bảo mật Người dùng xấu cấu hình máy chủ cập nhật động tài nguyên máy chủ DNS (như máy chủ liệu, máy chủ web hay máy chủ sở liệu) định hướng kết nối tới máy chủ đích sang PC họ - Bạn giảm nguy gặp phải cập nhập DNS độc hai  bằng cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động Điều dễ dàng thực cách cài đặt máy chủ DNS sử dụng vùng 16   tương hợp Active Directory yêu cầu bảo mật cập nhật động Tất miền thành viên cập nhật động thơng tin DNS cách bảo mật sau thực cài đặt Ngừng chạy Zone Transfer - Zone Transfer (vùng chuyển đổi) nằm máy chủ DNS máy chủ DNS phụ Những máy chủ DNS phân quyền cho miền cụ thể chứa vùng file DNS ghi cập nhật cần thiết Máy chủ DNS phụ nhận đọc vùng file từ máy chủ DNS Máy chủ DNS phụ sử dụng để tăng khă thực thi truy vấn DNS tổ chức hay Internet - Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ Bất chạy truy vấn DNS cấu hình máy chủ DNS phép Zone Transfer kết xuất toàn vùng file sở liệu Người dùng xấu sử dụng thơng tin để thăm dị giản đồ tên cơng ty công dịch vụ cấu trúc hạ tầng chủ chốt Bạn ngăn chặn điều cách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS cho phép Zone Transfer từ chối yêu cầu số máy chủ định 10 Sử dụng Firewall kiểm sốt truy cập DNS - Firewall sử dụng để chiếm quyền kiểm soát người dùng kết nối máy chủ DNS Với máy chủ DNS sử dụng cho truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kết nối từ máy chủ vào máy chủ DNS Với máy chủ DNS sử dụng Forwarder lưu trữ, firewall cần cấu hình cho phép nhận truy vấn DNS từ máy chủ DNS sử dụng Forwarder lưu trữ Một cài đặt firewall policy quan trọng chặn người dùng nội sử dụng giao tiếp DNS kết nối vào máy chủ DNS 17   11 Cài đặt kiểm soát truy cập vào Registry DNS - Trên máy chủ DNS tảng Windows, kiểm sốt truy cập cần cấu hình cài đặt Registry liên quan tới máy chủ DNS  phép tài khoản yêu cầu truy cập đọc thay đổi cài đặt Registry - Key DNS HKLM\CurrentControlSet\Services  cần cấu hình cho phép Admin tài khoản hệ thống truy cập, tài khoản cần cấp quyền Full Control 12 Cài đặt kiểm soát truy cập vào file hệ thống DNS - Trên máy chủ DNS tảng Windows, bạn nên cấu hình kiểm sốt truy cập file hệ thống liên quan tới máy chủ DNS tài khoản yêu cầu truy cập vào chúng cho phép đọc hay thay đổi file - Thư mục %system_directory%\DNS và thư mục cần cài đặt cho phép tài khoản hệ thống truy cập vào, tài khoản hệ thống cần cấp quyền Full Control KẾT LUẬN 18   Giả mạo DNS hình thức cơng MITM nguy hiểm cặp với dự định ác độc Sử dụng công nghệ kẻ cơng tận dụng kỹ thuật giả mạo để đánh cắp thông tin quan trọng người dùng, hay cài đặt malware ổ đĩa bị khai thác, gây công từ chối dịch vụ Khơng vậy, hình thức khác nguy hiểm cho thiết bị cá nhân doanh nghiệp Vì giới hạn thời gian kiến thức, báo cáo nhóm em có nhiều thiếu sót, mong đánh giá góp ý thầy (cô) 19   TÀI LIỆU THAM KHẢO DNS Spoofing gì? Cách phịng chống DNS Spoofing - BKNS.VN Phân tích kịch cơng hệ thống DNS (securitydaily.net) https://vietnix.vn/dns-la-gi/?fbclid=IwAR2qd1357pIm5DhhgqdcscC47tKWe3WeE8vIKtpVxPmLimOEm4TUGIVBJ0 https://vietnetco.vn/giai-phap-bao-mat-dns-tang-cuong-an-ninh-he- thong-doanh-nghiep/6416.html 20