Tìm hiểu về biện pháp bảo mật DNS
BÀI TẬP LỚN MÔN AN TOÀN MẠNG MÁY TÍNH Đề tài: Tìm hiểu biện pháp bảo mật DNS Nhóm gồm : Nguyễn Đăng Định Huỳnh Thị Mai Duyên Nguyễn Văn Hiển Giáo viên hướng dẫn: Hoàng Sỹ Tương Mục lục: Chương I: Tổng quan DNS DNS gì? ………………………………………………………… Chức DNS…………………………………………………5 Nguyên tắc làm việc DNS………………………………………5 Cách sử dụng DNS …………………………………………………5 Cấu trúc gói tin DNS ……………………………………………….5 Chương II: Bảo mật DNS Những vấn đề bảo mật DNS 1.1 Thỏa hiệp file vùng DNS ………………………………………… 1.2 Lỗ hổng thông tin vùng DNS…………………………………………7 1.3 Nâng cấp động bị thỏa hiệp ………………………………………….8 1.4 Gây lụt máy khách DNS ………….………………………………….9 1.5 Giả mạo cache ……………………….……………………………….9 Bảo vệ DNS cho windows 2.1 Di chuyển vùng ………………………………………………………10 2.2 Bảo mật di chuyển vùng …………………………………………… 11 2.3 Chuyển tiếp …………………………….…………………………….12 Chương III: Giải pháp bảo mật DNS Sử dụng DNS Forwarder ………………….………………………… 15 Sử dụng máy chủ DNS lưu trữ ……………………………………… 15 Sử dụng DNS Advertiser ………………………………… …………16 Sử dụng DNS Resolver ……………………… ………………………16 Bảo vệ nhớ đệm DNS ………………………………………………16 Bảo mật kết nối DDNS ………………………………… ………17 Ngừng chạy Zone Transfer …………………………………….………17 Sử dụng Firewall kiểm soát truy cập DNS …………………….………17 Page Cài đặt kiểm soát truy cập vào Registry DNS …………….……….18 10 Cài đặt kiểm soát truy cập vào file hệ thống DNS …………….………18 10.1 Page Lời nói đầu Mỗi máy tính mạng muốn liên lạc với cần biết địa IP Địa IP chuỗi gồm bốn phần, phân tách dấu chấm Vì số máy mạng ngày nhiều, nên việc nhớ địa IP việc vô khó khăn, lý DNS đời Nó liên kết nhiều thông tin đa dạng với tên miền gán cho người tham gia Quan trọng là, chuyển tên miền có ý nghĩa cho người vào số định danh (nhị phân), liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị khắp giới Vì việc bảo mật DNS nhiệm vụ vô quan trọng, mục đích nghiên cứu Page Chương I Tổng quan DNS DNS gì? DNS từ viết tắt tiếng Anh Domain Name System, hệ thống tên miền phát minh vào năm 1984 cho Internet, hệ thống cho phép thiết lập tương ứng địa IP tên miền Hệ thống tên miền (DNS) hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, nguồn lực tham gia vào Internet Nó liên kết nhiều thông tin đa dạng với tên miền gán cho người tham gia Quan trọng là, chuyển tên miền có ý nghĩa cho người vào số định danh (nhị phân), liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị khắp giới Nó phục vụ “Danh bạ điện thoại” để tìm Internet cách dịch tên máy chủ máy tính thành địa IP Ví dụ, www.google.com dịch thành 74.125.128.100 Hệ thống tên miền giúp định tên miền cho nhóm người sử dụng Internet cách có ý nghĩa, độc lập với địa điểm người sử dụng Bởi điều này, World-Wide Web (WWW) trì ổn định cố định định tuyến dòng Internet thay đổi người tham gia sử dụng thiết bị di động Tên miền internet dễ nhớ địa IP 208.77.188.166 (IPv4) 2001: db8: 1f70:: 999: de8: 7648:6 e8 (IPv6) Hệ thống tên miền phân phối trách nhiệm gán tên miền lập đồ tên tới địa IP cách định rõ máy chủ có thẩm quyền cho tên miền Những máy chủ có tên thẩm quyền phân công chịu trách nhiệm tên miền riêng họ, định tên máy chủ khác độc quyền họ cho tên miền phụ Kỹ thuật thực chế phân phối DNS, chịu đựng lỗi, giúp tránh cần thiết cho trung tâm đơn lẻ để đăng kí tư vấn liên tục cập nhật Nhìn chung, Hệ thống tên miền lưu trữ loại thông tin khác, chẳng hạn danh sách máy chủ email mà chấp nhận thư điện tử cho tên miền Internet Bằng cách cung cấp cho giới rộng lớn, phân phối từ khóa – sở dịch vụ đổi hướng , Hệ thống tên miền thành phần thiết yếu cho chức Internet Các định dạng khác thẻ RFID, mã số UPC, kí tự Quốc tế địa email tên máy chủ, loạt định dạng khác có khả sử dụng DNS Page Chức DNS: Mỗi Website có tên (là tên miền hay đường dẫn URL (Uniform Resource Locator) địa IP Địa IP gồm nhóm số cách dấu chấm (IPv4) Khi mở trình duyệt Web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Quá trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) Nguyên tắc làm việc DNS: - Mỗi nhà cung cấp dịch vụ vận hành trì DNS server riêng mình, gồm máy bên phần riêng nhà cung cấp dịch vụ Internet Tức là, trình duyệt tìm kiếm địa website DNS server phân giải tên website phải DNS server tổ chức quản lý website tổ chức (nhà cung cấp dịch vụ) khác - INTERNIC (Internet Network Information Center) chịu trách nhiệm theo dõi tên miền DNS server tương ứng INTERNIC tổ chức thành lập NFS (National Science Foundation), AT&T Network Solution, chịu trách nhiệm đăng ký tên miền Internet INTERNIC có nhiệm vụ quản lý tất DNS server Internet nhiệm vụ phân giải tên cho địa - DNS có khả tra vấn DNS server khác để có tên phân giải DNS server tên miền thường có hai việc khác biệt Thứ nhất, chịu trách nhiệm phân giải tên từ máy bên miền địa Internet, bên lẫn bên miền quản lí Thứ hai, chúng trả lời DNS server bên cố gắng phân giải tên bên miền quản lí - DNS server có khả ghi nhớ lại tên vừa phân giải Để dùng cho yêu cầu phân giải lần sau Số lượng tên phân giải lưu lại tùy thuộc vào quy mô DNS Cách sử dụng DNS: Do DNS có tốc độ biên dịch khác nhau, nhanh chậm, người sử dụng chọn DNS server để sử dụng cho riêng Có cách chọn lựa cho người sử dụng Sử dụng DNS mặc định nhà cung cấp dịch vụ (internet), trường hợp người sử dụng không cần điền địa DNS vào network connections máy Sử dụng DNS server khác (miễn phí trả phí) phải điền địa DNS server vào network connections Địa DNS server nhóm số cách dấu chấm Page 5 Cấu trúc gói tin DNS: • • • • • • • • • • • • • • • • • • • ID: Là trường 16 bits, chứa mã nhận dạng, tạo chương trình để thay cho truy vấn Gói tin hồi đáp dựa vào mã nhận dạng để hồi đáp lại Chính mà truy vấn hồi đáp phù hợp với QR: Là trường bit Bít thiết lập gói tin truy vấn, thiết lập gói tin hồi đáp Opcode: Là trường bits, thiết lập cho cờ hiệu truy vấn, thiết lập cho truy vấn ngược, thiết lập cho tình trạng truy vấn AA: Là trường bit, gói tin hồi đáp thiết lập 1, sau đến server có thẫm quyền giải truy vấn TC: Là trường bit, trường cho biết gói tin có bị cắt khúc kích thước gói tin vượt băng thông cho phép hay không RD: Là trường bit, trường cho biết truy vấn muốn server tiếp tục truy vấn cách đệ qui RA: Trường bit cho biết truy vấn đệ qui có thực thi server không Z: Là trường bit Đây trường dự trữ, thiết lập Rcode: Là trường bits, gói tin hồi đáp nhận giá trị sau : 0: Cho biết lỗi trình truy vấn 1: Cho biết định dạng gói tin bị lỗi, server không hiểu truy vấn 2: Server bị trục trặc, không thực hồi đáp 3: Tên bị lỗi Chỉ có server có đủ thẩm quyền thiết lập giá trị náy 4: Không thi hành Server thực chức 5: Server từ chối thực thi truy vấn QDcount: Số lần truy vấn gói tin vấn đề ANcount: Số lượng tài nguyên tham gia phần trả lời NScount: Chỉ số lượng tài nguyên ghi lại phần có thẩm quyền gói tin ARcount: Chỉ số lượng tài nguyên ghi lại phần thêm vào gói tin Page Chương II: Bảo mật DNS Những vấn đề bảo mật DNS: 1.1 Thỏa hiệp file vùng DNS: Máy chủ DNS cấu hình số phiên Windows Server Quản trị viên DNS thiết lập cấu hình vùng ghi dòng lệnh giao diện DNS mmc Một cách hay gặp phải dễ dàng để thỏa hiệp sở hạ tầng DNS chỉnh sửa trực tiếp cấu hình máy chủ DNS thân ghi máy chủ DNS hay từ máy tính xa Kiểu công thực người có chút kiến thức DNS truy cập máy chủ Kẻ công ngồi trực tiếp trước hình máy chủ, kết nối thông qua RDP hay chí đăng nhập qua Telnet Thủ phạm người bên tổ chức quản trị viên mắc lỗi Cách thức bảo mật khóa chặn máy chủ DNS, người có trách nhiệm truy cập vào cấu hình DNS, phương pháp truy cập từ xa đến máy chủ DNS cần hạn chế cho người thực cần thiết 1.2 Lỗ hổng thông tin vùng DNS: Các file vùng DNS máy chủ DNS chứa tên máy tính vùng đó, tên máy tính cấu hình cách thủ công hay cấu hình thông qua nâng cấp động Các máy chủ DNS mạng nội thường chứa tên tất máy chủ mạng (hoặc tối thiểu máy chủ bạn muốn truy cập thông qua tên) Trên máy chủ Internet, thông thường nhập vào tên máy chủ muốn truy cập – nhiên số tồn location cấu hình ISP số nằm mạng nội Lỗ hổng thông tin vùng xảy kẻ đột nhập khai thác thông tin quan trọng vai trò máy chủ mạng qua tên máy chủ Cho ví dụ, bạn có máy chủ truy cập thông qua tên PAYROLL, thông tin giá trị kẻ công Đây thứ mà tạm gọi “dấu vết” Kẻ công khai thác tên máy tính khác mạng nhiều phương pháp khác Cho ví dụ, cho phép tất máy có khả chuyển vùng, kẻ đột nhập download toàn sở liệu vùng đến máy tính thông qua chế chuyển vùng Thậm chí không cho phép chuyển vùng, kẻ công lợi dụng truy vấn DNS ngược để dò tìm tên máy tính mạng Từ chúng tạo sơ đồ toàn diện mạng từ liệu DNS Ngoài kẻ xâm nhập lượm lặt thông tin xác định đâu địa không sử dụng mạng Sau sử dụng địa không sử dụng để thiết lập máy chủ DNS giả mạo, điều số trường hợp, điều khiển truy cập mạng thiết lập cho toàn ID mạng tập ID thay địa IP riêng biệt Page Cuối cùng, thực tế chung cách hosting DNS doanh nghiệp nhỏ (nơi hosting dịch vụ DNS riêng) việc kết hợp vùng chung riêng máy chủ DNS sở hạ tầng DNS lại chia tách Trong trường hợp này, bạn để lộ tên bên bên vùng, điều cho phép kẻ công dễ dàng tìm không gian địa bên thỏa thuận đặt tên Thông thường, chúng phải đột nhập vào bên mạng để khám phá thông tin vùng bên trong, nhiên máy chủ hosting thông tin chung riêng máy chủ DNS kẻ công lúc có hội lớn để công bạn 1.3 Nâng cấp động bị thỏa hiệp: Các nâng cấp động DNS thuận tiện cho quản trị viên DNS Thay phải tự tạo ghi cho tất máy khách máy chủ, tất bạn cần thực lúc kích hoạt nâng cấp DNS động máy chủ máy khách Khi sử dụng máy khách máy chủ DNS Windows, bạn cấu hình DHCP để hỗ trợ chức nâng cấp DNS động Với nâng cấp động này, cần bật chức máy tính tự đăng ký DNS; bạn không cần phải tự tạo ghi DNS Rõ ràng tất thứ có giá trường hợp vậy, thuận tiện kéo theo nguy bảo mật tiền ẩn DNS động Có nhiều cách thực nâng cấp DNS động này, phân loại chúng thành hai mảng: nâng cấp an toàn không an toàn Với nâng cấp an toàn, hệ thống khách cần phải thẩm định (cho ví dụ, sử dụng tài khoản máy tính chứa Active Directory) trước tự nâng cấp Các nâng cấp không an toàn xuất bạn cho phép host đăng ký địa DNS mà không yêu cầu thẩm định Tuy nhiên nâng cấp động an toàn tất giống Cho ví dụ, bạn hạn chế quản trị viên miền hay quản trị viên bảo mật gia nhập miền, nâng cấp DNS động tỏ an toàn môi trường Windows Tuy nhiên cho phép join máy tính họ vào miền, bạn vấn đề bảo mật bị giảm đáng kể Khi nâng cấp động bị thỏa hiệp, kẻ công thay đổi thông tin ghi để tên máy tính redirect đến máy chủ mà kẻ công thiết lập nhằm đạt mục đích chúng (chẳng hạn load phần mềm mã độc vào máy tính để biến trở thành phần botnet mà kẻ công điều khiển) Một vấn đề khác kẻ công thực tình thực công từ chối dịch vụ mức đơn giản cách xóa ghi chính, chẳng hạn ghi cho máy chủ DNS hay điều khiển miền 1.4 Từ chối dịch vụ DNS cách gây lụt máy khách: Nói đến DoS, chưa gặp phải kiểu công xem may mắn bạn Do truy vấn DNS không thẩm định nên máy chủ DNS cố gắng trả lời truy vấn mà nhận Điều có nghĩa dễ thực công từ chối dịch vụ máy chủ DNS Có nhiều botnet Page tạo kiểu công DDoS để vô hiệu hóa máy chủ DNS đủ lâu cho kẻ công thiết lập máy chủ DNS giả mạo để trả lời truy vấn Người dùng cách biết máy chủ DNS máy chủ giả mạo, họ bị redirect đến máy chủ kẻ công Các site thường thiết kế để giống site thật sử dụng tin tưởng người dùng vào site thực ể tăng truy cập vào thông tin nhận dạng cá nhân, sau thực công kiểu 1.5 Giả mạo cache: Máy chủ DNS truy vấn máy chủ DNS khác để lấy thông tin Để cải thiện hiệu suất cho toàn sở hạ tầng DNS, máy chủ DNS lưu kết truy vấn khoảng thời gian trước vào ghi để cung cấp phân giải tên Nếu truy vấn thứ hai có tên trước timeout, máy chủ DNS đáp trả thông tin mà lưu DNS cache thay truy vấn sang máy chủ DNS khác Tuy cải thiện đáng kể hiệu suất tổng thể cách thực gây lỗ hổng bảo mật Lỗ hổng bảo mật bị khai thác gọi “DNS cache poisoning” có nghĩa giả mạo DNS Việc giả mạo DNS diễn máy chủ DNS gửi truy vấn đến máy chủ DNS khác máy chủ DNS trả thông tin không Trong hầu hết trường hợp, máy chủ DNS trả thông tin sai máy chủ bị thỏa hiệp Việc giả mạo cache diễn máy chủ DNS không kiểm tra hợp lệ đáp trả, không thực thẩm định đáp trả mà chúng nhận từ máy chủ DNS khác Máy chủ DNS “khách” nhận thông tin đáp trả lưu thông tin đó, sau cung cấp thông tin sai đến máy cấu hình máy khách DNS máy chủ Page Bảo vệ DNS cho window: 2.1 Di chuyển vùng: Khi nói đến vùng DNS, phải hiểu có nhiều loại vùng khác thiết lập bên môi trường DNS Mặc dù cần tập trung vào số vùng có thể, đưa danh sách tất vùng mà thiết lập DNS Active Directory integrated Zone Primary Zone Secondary Zone Stub Zone Vùng tích hợp Active Directory vùng thực viết sở liệu DNS Các vùng thứ yếu không thực công việc mà chúng nhận nâng cấp từ vùng DNS chủ yếu Các nâng cấp từ vùng chủ yếu vào vùng thứ yếu gọi di chuyển vùng Giao diện di chuyển vùng rõ ràng thông qua tùy chọn, thấy điều qua hình Chúng ta cho phép máy chủ DNS nhận nội dung vùng chủ yếu hạn chế để chọn số DNS định Rõ ràng, với mục đích bảo mật, muốn hạn chế phạm vi máy chủ DNS phép nhận địa IP tên miền tất máy tính tổ chức Page 10 Hình 1: Giao diện di chuyển vùng cho Windows DNS 2.2 Bảo mật di chuyển vùng: Có số tùy chọn để bảo vệ DNS di chuyển vùng Tuy nhiên chìa khóa vấn đề cách thiết lập môi trường DNS Page 11 Đầu tiên sử dụng IPSec đường hầm VPN máy chủ DNS phép truyền thông mã hóa sở liệu DNS gửi xuyên qua toàn mạng IPSec cách truyền thông chung máy chủ DNS mạng Nếu việc truyền thông máy chủ DNS bạn phải qua mạng không an toàn VPN sử dụng Nếu bạn sử dụng VPN để bảo vệ liệu xuyên qua mạng không bảo vệ cách mà người ta thường dùng sử dụng L2TP L2TP sử dụng thuật toán mã hóa an toàn liệu gửi mạng Tùy chọn khác để bảo vệ liệu gửi mạng từ máy chủ DNS sang máy chủ DNS khác sử dụng tích hợp Active Directory Phương pháp yêu cầu máy chủ DNS phải hoạt động miền Active Directory Nó yêu cầu DNS chạy điều khiển miền Các lợi ích mang lại đáng kể liệu lưu tái tạo thông qua tái tạo Active Directory, bên cạnh liệu mã hóa gửi mạng từ máy chủ DNS sang máy chủ DNS khác Lợi ích khác từ chức DNS di chuyển sử dụng Active Directory tất truyền thông xác thực ban đầu Điều giúp chúng bảo vệ di chuyển vùng, bắt buộc máy chủ DNS phải xác thực sở liệu Active Directory trước thông tin tái tạo 2.3 Chuyển tiếp (4 kiểu): Có cách khác để bảo vệ môi trường DNS bạn sử dụng nhiều tùy chọn cho việc chuyển tiếp Điều giúp bạn trì ổn định sở hạ tầng DNS, bảo đảm máy tính ứng dụng truy cập máy chủ mạng Có cặp tùy chọn cho việc chuyển tiếp bên môi trường Microsoft DNS Đầu tiên giống việc chuyển tiếp chuẩn, thể hình 2, tất yêu cầu ý nghĩa cho máy chủ DNS mà tồn gửi đến máy chủ DNS khác Đây điều lý tưởng bạn có máy chủ DNS bên sử dụng cho tất tên, Active Directory,… Máy chủ DNS cấu hình Page 12 tất máy khách Mặc dù vậy, máy chủ DNS không quan tâm đến tên Internet, máy chủ DNS nhận yêu cầu có ý nghĩa với Internet truy vấn chuyển tiếp đến máy chủ DNS khác giải yêu cầu Điều bảo vệ máy chủ DNS bên bạn tránh phải nhiều bất cập không cần thiết mạng bên Page 13 Hình 2: Chuyển tiếp cho máy chủ Windows DNS Một tùy chọn khác việc chuyển tiếp có hướng Điều bảo đảm tất yêu cầu chuyển hướng đến máy chủ DNS, điều làm giảm đáng kể thông tin sai sửa đổi nhỏ Tùy chọn gọi chuyển tiếp điều kiện, hiển thị phần hình Chúng sử dụng môi trường có nhiều không gian tên DNS bên bạn không muốn dựa vào Internet số sở hạ tầng DNS cộng tác khác để giải tên Ở đây, bạn đơn giản có máy chủ DNS chuyển tiếp yêu cầu đến không gian tên khác cho máy khách Như vậy, DNS phức tạp, chia nhỏ thành phần nhỏ không phức tạp chút nào, bảo vệ cách thích đáng Ở đây, bạn thấy DNS bảo vệ sở liệu cách cấu hình với máy chủ DSN nhận di chuyển vùng Trong tình này, vùng Active Directory vùng bạn có Page 14 máy chủ DNS thứ yếu để chúng truyền thông với Không có cấu hình máy chủ DNS giả mạo lấy cắp tất thông tin quan trọng mạng bạn Một bước khác làm cho di chuyển DNS an toàn Các máy chủ DNS an toàn thông qua tích hợp Active Directory, công nghệ tinh vi IPSec đường hầm VPN Cuối cùng, kiểm soát việc chuyển tiếp DNS bạn bảo đảm giải pháp tên trở nên tỉ mỉ hơn, an toàn hơn, điều bảo vệ máy chủ DNS bên khỏi bị sai với thông tin không xác Page 15 Chương III: Giải pháp bảo mật DNS Hệ thống tên miền (DNS) sử dụng để xác định từ tên máy chủ đến địa IP Internet mạng cá nhân tảng TCP/IP Máy chủ DNS thường mục tiêu mà tin tặc khai thác công, nhiên bạn bảo mật cho máy chủ số phương pháp sau: Sử dụng DNS Forwarder DNS Forwarder (Trình chuyển tiếp) máy chủ DNS thực truy vấn DNS thay cho nhiều máy chủ DNS khác DNS Forwarder sử dụng để gỡ bỏ tác vụ xử lý khỏi máy chủ DNS thực chuyển tiếp truy vấn sang Forwarder, tăng lưu lượng nhớ đệm DNS DNS Forwarder Một chức khác DNS Forwarder ngăn cản máy chủ DNS chuyển tiếp yêu cầu tương tác với máy chủ DNS Internet Đây chức đặc biệt quan trọng máy chủ DNS chứa tài nguyên bên miền DNS Thay cho phép máy chủ DNS nội tự thực gọi lại lệnh liên lạc với máy chủ DNS khác, cấu hình cho máy chủ DNS nội sử dụng Forwader cho tất miền không phân quyền Sử dụng máy chủ DNS lưu trữ Máy chủ DNS lưu trữ máy chủ DNS phân quyền cho miền DNS Nó cấu hình thực gọi lại lệnh hay sử dụng Forwarder Khi máy chủ nhận phản hồi, lưu kết chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ Sau đó, máy chủ tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian phản hồi cho máy trạm DNS máy chủ DNS lưu trữ Page 16 Những máy chủ DNS lưu trữ cải thiện bảo mật cho công ty sử dụng Forwarder nhóm công cụ quản trị bạn Những máy chủ DNS nội cài đặt để sử dụng máy chủ DNS lưu trữ trình chuyển đổi chúng, máy chủ DNS lưu trữ thực gọi lại lệnh thay cho máy chủ DNS nội Việc sử dụng máy chủ DNS lưu trữ Forwarder cải thiện bảo mật bạn phụ thuộc vào máy chủ DNS nhà cung cấp sử dụng Forwarder bạn không tin tưởng vào cài đặt bảo mật máy chủ DNS họ Sử dụng DNS Advertiser DNS Advertiser (Trình quảng cáo) máy chủ DNS thực truy vấn cho miền mà DNS Advertiser phân quyền Ví dụ, bạn lưu trữ tài nguyên cho domain.com corp.com, máy chủ DNS công cộng cấu hình với vùng file DNS cho miền domain.com corp.com Sự khác biệt DNS Advertiser với máy chủ DNS chứa vùng file DNS DNS Advertiser trả lời truy vấn từ tên miền mà phân quyền Máy chủ DNS không gọi lại truy vấn gửi tới máy chủ khác Điều ngăn cản người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau, làm tăng khả bảo mật cách giảm bớt nguy chạy DNS Resolver công cộng (gây tổn hại nhớ đệm) Sử dụng DNS Resolver DNS Resolver (trình xử lý) máy chủ DNS gọi lại lệnh để xử lý tên cho miền không máy chủ DNS phân quyền Ví dụ, bạn sử dụng máy chủ DNS phân quyền mạng nội cho miền mạng nội internalcorp.com Khi máy trạm mạng sử dụng máy chủ DNS để đặt tên quantrimang.com, máy chủ DNS gọi lại lệnh cách truy lục kết máy chủ DNS khác Sự khác biệt máy chủ DNS DNS resolver DNS Resolver dùng để đặt tên cho máy chủ Internet Resolver máy chủ DNS lưu trữ không phân quyền cho miền DNS Admin cho phép người dùng nội sử dụng DNS Resolver, hay cho phép người dùng sử dụng để cung cấp bảo mật sử dụng máy chủ DNS bên ngoài tầm kiểm soát admin, cho phép cá người dùng nội người dùng truy cập vào DNS Resolver Bảo vệ nhớ đệm DNS “Ô nhiễm” nhớ đệm DNS vấn đề phát sinh chung Hầu hết máy chủ DNS lưu trữ kết truy vấn DNS trước chuyển tiếp phản hồi tới máy chủ gửi truy vấn Bộ nhớ đệm DNS cải thiện đáng kể khả thực truy vấn DNS Nếu nhớ đệm máy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng bị chuyển tiếp Page 17 tới website độc hại thay website dự định truy cập Hầu hết máy chủ DNS cấu hình chống “ô nhiễm” nhớ đệm Ví dụ máy chủ DNS Windows Server 2003 cấu hình mặc định chống “ô nhiễm bộ” nhớ đệm Nếu sử dụng máy chủ DNS Windows 2000, bạn cài đặt chống ô nhiễm cách mở hộp thoại Properties máy chủ DNS, chọn tab Advanced, sau đánh dấu hộp chọn Prevent Cache Pollution khởi động lại máy chủ DNS Bảo mật kết nối DDNS Nhiều máy chủ DNS cho phép cập nhật động Tính cập nhật động giúp máy chủ DNS đăng ký tên máy chủ DNS địa IP cho máy chủ DHCP chứa địa IP DDNS công cụ hỗ trợ quản trị hiệu cấu hình thủ công mẫu tài nguyên DNS cho máy chủ Tuy nhiên, việc không kiểm tra cập nhật DDNS gây vấn đề bảo mật Người dùng xấu cấu hình máy chủ cập nhật động tài nguyên máy chủ DNS (như máy chủ liệu, máy chủ web hay máy chủ sở liệu) định hướng kết nối tới máy chủ đích sang PC họ Bạn giảm nguy gặp phải cập nhập DNS độc hai cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động Điều dễ dàng thực cách cài đặt máy chủ DNS sử dụng vùng tương hợp Active Directory yêu cầu bảo mật cập nhật động Tất miền thành viên cập nhật động thông tin DNS cách bảo mật sau thực cài đặt Ngừng chạy Zone Transfer Zone Transfer (vùng chuyển đổi) nằm máy chủ DNS máy chủ DNS phụ Những máy chủ DNS phân quyền cho miền cụ thể chứa vùng file DNS ghi cập nhật cần thiết Máy chủ DNS phụ nhận đọc vùng file từ máy chủ DNS Máy chủ DNS phụ sử dụng để tăng khă thực thi truy vấn DNS tổ chức hay Internet Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ Bất chạy truy vấn DNS cấu hình máy chủ DNS phép Zone Transfer kết xuất toàn vùng file sở liệu Người dùng xấu sử dụng thông tin để thăm dò giản đồ tên công ty công dịch vụ cấu trúc hạ tầng chủ chốt Bạn ngăn chặn điều cách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS cho phép Zone Transfer từ chối yêu cầu số máy chủ định Sử dụng Firewall kiểm soát truy cập DNS Page 18 Firewall sử dụng để chiếm quyền kiểm soát người dùng kết nối máy chủ DNS Với máy chủ DNS sử dụng cho truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kết nối từ máy chủ vào máy chủ DNS Với máy chủ DNS sử dụng Forwarder lưu trữ, firewall cần cấu hình cho phép nhận truy vấn DNS từ máy chủ DNS sử dụng Forwarder lưu trữ Một cài đặt firewall policy quan trọng chặn người dùng nội sử dụng giao tiếp DNS kết nối vào máy chủ DNS Cài đặt kiểm soát truy cập vào Registry DNS Trên máy chủ DNS tảng Windows, kiểm soát truy cập cần cấu hình cài đặt Registry liên quan tới máy chủ DNS phép tài khoản yêu cầu truy cập đọc thay đổi cài đặt Registry Key DNS HKLM\CurrentControlSet\Services cần cấu hình cho phép Admin tài khoản hệ thống truy cập, tài khoản cần cấp quyền Full Control 10 Cài đặt kiểm soát truy cập vào file hệ thống DNS Trên máy chủ DNS tảng Windows, bạn nên cấu hình kiểm soát truy cập file hệ thống liên quan tới máy chủ DNS tài khoản yêu cầu truy cập vào chúng cho phép đọc hay thay đổi file Thư mục %system_directory%\DNS thư mục cần cài đặt cho phép tài khoản hệ thống truy cập vào, tài khoản hệ thống cần cấp quyền Full Control Page 19 Kết luận: Qua nghiên cứu này, hiểu DNS gì, cách thức hoạt động nó, lỗ hổng bảo mật liên quan tới DNS triển khai biện pháp để bảo vệ DNS trước nguy cơ, lỗ hổng Tài liệu tham khảo: wikipedia, internet Page 20 Page 21 [...]... chủ DNS bên trong khỏi bị sai với các thông tin không chính xác Page 15 Chương III: Giải pháp bảo mật DNS Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảng TCP/IP Máy chủ DNS thường là mục tiêu mà tin tặc khai thác và tấn công, tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng một số phương pháp sau: 1 Sử dụng DNS. .. trên máy chủ DNS của họ 3 Sử dụng DNS Advertiser DNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện truy vấn cho những miền mà DNS Advertiser được phân quyền Ví dụ, nếu bạn lưu trữ tài nguyên cho domain.com và corp.com, máy chủ DNS công cộng sẽ được cấu hình với vùng file DNS cho miền domain.com và corp.com Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó là DNS Advertiser... nhập DNS độc hai bằng cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động Điều này có thể dễ dàng thực hiện bằng cách cài đặt máy chủ DNS sử dụng những vùng tương hợp Active Directory và yêu cầu bảo mật cập nhật động Tất cả miền thành viên có thể cập nhật động thông tin DNS một cách bảo mật sau khi thực hiện cài đặt 7 Ngừng chạy Zone Transfer Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS. .. dụng DNS Forwarder DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay cho nhiều máy chủ DNS khác DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu... máy chủ DNS lưu trữ không được phân quyền cho bất kì miền DNS nào Admin có thể chỉ cho phép người dùng nội bộ sử dụng DNS Resolver, hay chỉ cho phép người dùng ngoài sử dụng để cung cấp bảo mật khi sử dụng một máy chủ DNS bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cá người dùng nội bộ và người dùng ngoài truy cập vào DNS Resolver 5 Bảo vệ bộ nhớ đệm DNS “Ô nhiễm” bộ nhớ đệm DNS là một... chủ DNS nội bộ có thể được cài đặt để sử dụng máy chủ DNS lưu trữ như trình chuyển đổi của chúng, và máy chủ DNS lưu trữ thực hiện gọi lại lệnh thay cho những máy chủ DNS nội bộ Việc sử dụng những máy chủ DNS lưu trữ như những Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ thuộc vào những máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạn không tin tưởng vào cài đặt bảo mật. .. file này Thư mục %system_directory% \DNS và những thư mục con cần được cài đặt chỉ cho phép tài khoản hệ thống truy cập vào, và tài khoản hệ thống cần được cấp quyền Full Control Page 19 Kết luận: Qua bài nghiên cứu này, chúng ta có thể hiểu được DNS là gì, cách thức hoạt động của nó, các lỗ hổng bảo mật liên quan tới DNS và có thể triển khai các biện pháp để bảo vệ DNS trước những nguy cơ, lỗ hổng đó... miền DNS nào Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một Forwarder Khi máy chủ này nhận một phản hồi, nó sẽ lưu kết quả và chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ Sau đó, máy chủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian phản hồi cho những máy trạm DNS của máy chủ DNS lưu trữ Page 16 Những máy chủ DNS lưu trữ có thể cải thiện bảo mật. .. máy chủ DNS này đăng ký tên máy chủ DNS và địa chỉ IP cho những máy chủ DHCP chứa địa chỉ IP DDNS có thể là một công cụ hỗ trợ quản trị hiệu quả trong khi cấu hình thủ công những mẫu tài nguyên DNS cho những máy chủ này Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây ra một vấn đề về bảo mật Người dùng xấu có thể cấu hình máy chủ cập nhật động những tài nguyên trên máy chủ DNS (như... Windows DNS 2.2 Bảo mật di chuyển vùng: Có một số tùy chọn để bảo vệ DNS và sự di chuyển vùng Tuy nhiên chìa khóa của vấn đề vẫn là cách thiết lập môi trường DNS như thế nào Page 11 Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS để cho phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửi xuyên qua toàn bộ mạng IPSec là cách truyền thông rất chung giữa các máy chủ DNS ... Chương II: Bảo mật DNS Những vấn đề bảo mật DNS: 1.1 Thỏa hiệp file vùng DNS: Máy chủ DNS cấu hình số phiên Windows Server Quản trị viên DNS thiết lập cấu hình vùng ghi dòng lệnh giao diện DNS mmc... tiếp DNS bạn bảo đảm giải pháp tên trở nên tỉ mỉ hơn, an toàn hơn, điều bảo vệ máy chủ DNS bên khỏi bị sai với thông tin không xác Page 15 Chương III: Giải pháp bảo mật DNS Hệ thống tên miền (DNS) ... máy chủ DNS đáp trả thông tin mà lưu DNS cache thay truy vấn sang máy chủ DNS khác Tuy cải thiện đáng kể hiệu suất tổng thể cách thực gây lỗ hổng bảo mật Lỗ hổng bảo mật bị khai thác gọi DNS cache