Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảng TCP/IP.
10 biện pháp bảo mật DNS Nguồn : quantrimang.com Quản trị mạng - Hệ thống tên miền (DNS) sử dụng để xác định từ tên máy chủ đến địa IP Internet mạng cá nhân tảng TCP/IP Máy chủ DNS thường mục tiêu mà tin tặc khai thác công, nhiên bạn bảo mật cho máy chủ số phương pháp sau: Sử dụng DNS Forwarder DNS Forwarder (Trình chuyển tiếp) máy chủ DNS thực truy vấn DNS thay cho nhiều máy chủ DNS khác DNS Forwarder sử dụng để gỡ bỏ tác vụ xử lý khỏi máy chủ DNS thực chuyển tiếp truy vấn sang Forwarder, tăng lưu lượng nhớ đệm DNS DNS Forwarder Một chức khác DNS Forwarder ngăn cản máy chủ DNS chuyển tiếp yêu cầu tương tác với máy chủ DNS Internet Đây chức đặc biệt quan trọng máy chủ DNS chứa tài ngun bên miền DNS Thay cho phép máy chủ DNS nội tự thực gọi lại lệnh liên lạc với máy chủ DNS khác, cấu hình cho máy chủ DNS nội sử dụng Forwader cho tất miền không phân quyền Sử dụng máy chủ DNS lưu trữ Máy chủ DNS lưu trữ máy chủ DNS phân quyền cho miền DNS Nó cấu hình thực gọi lại lệnh hay sử dụng Forwarder Khi máy chủ nhận phản hồi, lưu kết chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ Sau đó, máy chủ tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian phản hồi cho máy trạm DNS máy chủ DNS lưu trữ Những máy chủ DNS lưu trữ cải thiện bảo mật cho cơng ty sử dụng Forwarder nhóm cơng cụ quản trị bạn Những máy chủ DNS nội cài đặt để sử dụng máy chủ DNS lưu trữ trình chuyển đổi chúng, máy chủ DNS lưu trữ thực gọi lại lệnh thay cho máy chủ DNS nội Việc sử dụng máy chủ DNS lưu trữ Forwarder cải thiện bảo mật bạn phụ thuộc vào máy chủ DNS nhà cung cấp sử dụng Forwarder bạn không tin tưởng vào cài đặt bảo mật máy chủ DNS họ Sử dụng DNS Advertiser DNS Advertiser (Trình quảng cáo) máy chủ DNS thực truy vấn cho miền mà DNS Advertiser phân quyền Ví dụ, bạn lưu trữ tài nguyên cho domain.com corp.com, máy chủ DNS công cộng cấu hình với vùng file DNS cho miền domain.com corp.com Sự khác biệt DNS Advertiser với máy chủ DNS chứa vùng file DNS DNS Advertiser trả lời truy vấn từ tên miền mà phân quyền Máy chủ DNS không gọi lại truy vấn gửi tới máy chủ khác Điều ngăn cản người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau, làm tăng khả bảo mật cách giảm bớt nguy chạy DNS Resolver công cộng (gây tổn hại nhớ đệm) Sử dụng DNS Resolver DNS Resolver (trình xử lý) máy chủ DNS gọi lại lệnh để xử lý tên cho miền khơng máy chủ DNS phân quyền Ví dụ, bạn sử dụng máy chủ DNS phân quyền mạng nội cho miền mạng nội internalcorp.com Khi máy trạm mạng sử dụng máy chủ DNS để đặt tên quantrimang.com, máy chủ DNS gọi lại lệnh cách truy lục kết máy chủ DNS khác Sự khác biệt máy chủ DNS DNS resolver DNS Resolver dùng để đặt tên cho máy chủ Internet Resolver máy chủ DNS lưu trữ khơng phân quyền cho miền DNS Admin cho phép người dùng nội sử dụng DNS Resolver, hay cho phép người dùng sử dụng để cung cấp bảo mật sử dụng máy chủ DNS bên ngoài tầm kiểm sốt admin, cho phép cá người dùng nội người dùng truy cập vào DNS Resolver Bảo vệ nhớ đệm DNS “Ô nhiễm” nhớ đệm DNS vấn đề phát sinh chung Hầu hết máy chủ DNS lưu trữ kết truy vấn DNS trước chuyển tiếp phản hồi tới máy chủ gửi truy vấn Bộ nhớ đệm DNS cải thiện đáng kể khả thực truy vấn DNS Nếu nhớ đệm máy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng bị chuyển tiếp tới website độc hại thay website dự định truy cập Hầu hết máy chủ DNS cấu hình chống “ơ nhiễm” nhớ đệm Ví dụ máy chủ DNS Windows Server 2003 cấu hình mặc định chống “ô nhiễm bộ” nhớ đệm Nếu sử dụng máy chủ DNS Windows 2000, bạn cài đặt chống ô nhiễm cách mở hộp thoại Properties máy chủ DNS, chọn tab Advanced, sau đánh dấu hộp chọn Prevent Cache Pollution khởi động lại máy chủ DNS Bảo mật kết nối DDNS Nhiều máy chủ DNS cho phép cập nhật động Tính cập nhật động giúp máy chủ DNS đăng ký tên máy chủ DNS địa IP cho máy chủ DHCP chứa địa IP DDNS cơng cụ hỗ trợ quản trị hiệu cấu hình thủ cơng mẫu tài nguyên DNS cho máy chủ Tuy nhiên, việc không kiểm tra cập nhật DDNS gây vấn đề bảo mật Người dùng xấu cấu hình máy chủ cập nhật động tài nguyên máy chủ DNS (như máy chủ liệu, máy chủ web hay máy chủ sở liệu) định hướng kết nối tới máy chủ đích sang PC họ Bạn giảm nguy gặp phải cập nhập DNS độc hai cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động Điều dễ dàng thực cách cài đặt máy chủ DNS sử dụng vùng tương hợp Active Directory yêu cầu bảo mật cập nhật động Tất miền thành viên cập nhật động thơng tin DNS cách bảo mật sau thực cài đặt Ngừng chạy Zone Transfer Zone Transfer (vùng chuyển đổi) nằm máy chủ DNS máy chủ DNS phụ Những máy chủ DNS phân quyền cho miền cụ thể chứa vùng file DNS ghi cập nhật cần thiết Máy chủ DNS phụ nhận đọc vùng file từ máy chủ DNS Máy chủ DNS phụ sử dụng để tăng khă thực thi truy vấn DNS tổ chức hay Internet Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ Bất chạy truy vấn DNS cấu hình máy chủ DNS phép Zone Transfer kết xuất toàn vùng file sở liệu Người dùng xấu sử dụng thơng tin để thăm dị giản đồ tên công ty công dịch vụ cấu trúc hạ tầng chủ chốt Bạn ngăn chặn điều cách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS cho phép Zone Transfer từ chối yêu cầu số máy chủ định Sử dụng Firewall kiểm sốt truy cập DNS Firewall sử dụng để chiếm quyền kiểm soát người dùng kết nối máy chủ DNS Với máy chủ DNS sử dụng cho truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kết nối từ máy chủ vào máy chủ DNS Với máy chủ DNS sử dụng Forwarder lưu trữ, firewall cần cấu hình cho phép nhận truy vấn DNS từ máy chủ DNS sử dụng Forwarder lưu trữ Một cài đặt firewall policy quan trọng chặn người dùng nội sử dụng giao tiếp DNS kết nối vào máy chủ DNS ngồi Cài đặt kiểm sốt truy cập vào Registry DNS Trên máy chủ DNS tảng Windows, kiểm sốt truy cập cần cấu hình cài đặt Registry liên quan tới máy chủ DNS phép tài khoản yêu cầu truy cập đọc thay đổi cài đặt Registry Key DNS HKLM\CurrentControlSet\Services cần cấu hình cho phép Admin tài khoản hệ thống truy cập, tài khoản cần cấp quyền Full Control 10 Cài đặt kiểm soát truy cập vào file hệ thống DNS Trên máy chủ DNS tảng Windows, bạn nên cấu hình kiểm sốt truy cập file hệ thống liên quan tới máy chủ DNS tài khoản yêu cầu truy cập vào chúng cho phép đọc hay thay đổi file Thư mục %system_directory%\DNS thư mục cần cài đặt cho phép tài khoản hệ thống truy cập vào, tài khoản hệ thống cần cấp quyền Full Control ... chủ DNS nội Việc sử dụng máy chủ DNS lưu trữ Forwarder cải thiện bảo mật bạn khơng phải phụ thuộc vào máy chủ DNS nhà cung cấp sử dụng Forwarder bạn không tin tưởng vào cài đặt bảo mật máy chủ DNS. .. động lại máy chủ DNS Bảo mật kết nối DDNS Nhiều máy chủ DNS cho phép cập nhật động Tính cập nhật động giúp máy chủ DNS đăng ký tên máy chủ DNS địa IP cho máy chủ DHCP chứa địa IP DDNS công cụ hỗ... DNS công để xử lý nhiều tên miền khác nhau, làm tăng khả bảo mật cách giảm bớt nguy chạy DNS Resolver công cộng (gây tổn hại nhớ đệm) Sử dụng DNS Resolver DNS Resolver (trình xử lý) máy chủ DNS