- KE: Khoá trao đổi dữ liệu cho trao đổi khoá DifferHelman
Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo
5.1.3. Các xem xét liên quan đến DNS
Hệ thống tên miền(Domain Name System - DNS) là một thư mục phân tán toàn cục được sử dụng cho việc chuyểnđổi các địa chỉ dựa vào tên, Chẳng hạn như
www.yahoo.com tương ứng với một địa chỉ IP là 64.58.76.223. Ta sẽ cân DNS trong mạng riêng ảo cho chức năng tương tự - ánh xạ các địa chỉ dựa vào tên của host để tương ứng chúng với các địa chỉ IP.
Trong mạng riêng ảo Intranet, chỉ cho phép truy cập tới các tài nguyên đặt trong mạng Intranet của tổ chức, ta sẽ cần tạo một Domain riêng biệt cho mạng chính và nhiều Domain riêng lẻ cho mỗi nhánh mạng từ xa. Ví dụ, ta có thể tạo một Domain là “MyIntranet.com” và tạo các Domain trong như là “RemoteBranch1.MyIntranet.com”, “RemoteBranch2.MyIntranet.com” v.v. Dễ dàng cấu hình máy chủ DSN để hỗ trợ kiến trúc Domain này. Hơn nữa, cũng sẽ cần thiết lập ít nhất một máy chủ Domain trong như là một máy chủ Domain thứ cấp cho mỗi Domain trong mà ta tạo ra. Điều này sẽ mang lại thuận lợi trong việc chia sẻ các các cập nhật và thông tin liên quan đến DNS khác giữa nhiều Domain trong.
Cấu hình trước đây quan tâm đển việc truy cập mạng riêng ảo dựa trên Intranet, các host bên trong sẽ không còn khả năng truy cập Intrernet. Nếu muốn các host bên trong có khả năng truy cập Internet hoặc các tài nguyên trong mạng Internet, ta cần thiết lập bổ sung một máy chủ DNS bên ngoài, nó sẽ nhận tất cả truy vấn tới các host bên ngoài từ các DNS bên trong và anh xạ các địa chỉ theo tên bên ngoài tương ứng với các địa chỉ dạng số.
Trong trường hợp những người dùng di động sử dụng một mạng riêng ảo để truy cập Intrnanet, có một vấn đề cố hữ với các thiết lập DNS. Nếu những người
dùng từ xa này phụ thuộc vào một kết nốiđường quay số, các Client VPN kết nối tới Intranet sử dụng một địa chỉ IP mới mỗi lần. Và như vậy, ta không thể mã cứng DSN của ta để cung cấp cho các Client này.
Để giải quyết vấn đề này, ta sẽ cần thiết lập các máy Client cá nhân để sử dụng các máy chủ DNS bên trong. Nếu những người dùng từ xa yêu cầu một kết nối Internet đồng thời, ta phải cấu hình những đầu cuối từ xa này để tìm kiếm các máy chủ DNS bên ngoài thêm vào các máy chủ bên trong
Chú ý Khi kết nối tới Internet, ta có thểđối mặt với độ trễ rất lớn, hoặc thập chí ngừng ứng dụng trong khi phân giải tên/địa chỉ nếu ta thiết lập các host VPN trước hết tìm kiếm một máy chủ DNS bên trong và sau đó tìm kiếm một máy chủ DNS bên ngoài (trong cả
hai kịch bản intranet và remote access). Điều này là bởi vì các host se tìm một máy chủ DNS bên ngoài sau khi đã tình kiếm qua tất cả các máy chủ DNS bên trong mà chúng được đăng ký. Và như vậy, host VPN nên tìm kiếm một máy chủ DSN bên trong có khả năng chuyển tiếp yêu cầu tới DNS của ISP. Kết quả là nhanh hơn nhiều vì nó cho phép lưu cache các tên được tìm kiếm.
Hơn nữa, để xem xét những điều mới được đề cập, ta cũng cần cảnh giác với các tính chất dễ bị tổn thương máy chủ DSN sau đây:
- Nếu xẩy ra lỗi bảo mật các máy chủ DNS, một kẻ xâm nhập có thể chiếm quyền điều khiển Server của ta và giành được toàn quyền kiểm soát qua các Domain đã đăng ký với chúng. Kiểu tấn công này được xem như là cướp Domain.
- Một kẻ xâm nhập có thể sử dụng các tấn công từ chối dịch vụ trên các máy chủ DNS của ta. Trong trường hợp này, các Domain bị tấn công sẽ không có khả đăng định vị các Host trong các Domain khác và Internet. Vì tất cả các máy chủ DNS dựa trên Internet liên lạc với mỗi máy chủ khác, kiểu tấn công này có thể dẫn đến sự chậm trễ toàn cục lan rộng trong tiến trình xử lý ánh xạ tên/ip.
- Nếu một kẻ xâm nhập giành được quyền truy cập vào máy chủ DNS của ta và sửa đổi các thông tin được lưu trong máy chủ để chuyển hướng bất kỳ lưu lượng nào giành cho các địa chỉ hợp pháp tới một vị trí giả mạo, các Domain bị tấn công sẽ không nhậnđược bất kỳ lưu lượng dữ liệu nào giành cho chúng.
Để tránh các vấn đề này, cần phải bảo mật cho các máy chủ DNS trong cũng như ngoài