Bo mt cơ bản v DNS
Trong phần trước của bài này chúng tôi đã gii thiệu cho bạn một số
khái niệm bảo mật cơ bản về DNS. Một trong những các khái niệm bảo
mật gồm DNS Active Directory được tích hợp và thiết lập môi trường
DNS an toàn hơn với truyền thông DHCP. Ngoài ra còn có một số cấu
hình mnh và cho phép bạn dễ dàng tạoi trường DNS. Không nên dng ở
đây! bởi vì đó mới chỉ là bề mặt của vấn đề bảo mật môi trường DNS. Trong
mỗi phần của bài này chúng ta sẽ đi sâu hơn vào DNS vàsở dữ liệu DNS
được bảo mật như thế nào, đặt biệt là vic truyền thông với các máy chủ
DNS. Các máy chủ DNS phải truyền thông để nâng cấp cơ sở dữ liệu lên máy
chủ DNS khác. Sự truyền tng này thể là một giải pháp tốt cho một kẻ
tấn công tấn xâm nhập vào các yếu điểm bị lộ này. Nếu bạn đề phòng trước
và thiết lập các cấu hình DNS bảo mật thì sự phô bày lỗ hổng có thể sẽ giảm.
Di chuyển vùng
Khi nói đến vùng DNS, bạn phải hiểu là có nhiều loại vùng khác nhau có th
thiết lập bên trong môi trường DNS. Mc dù chúng ta cn tập trung vào mt
số vùng có thể, nhưng tôi vẫn đưa ra một danh sách tất cả các vùng mà bạn
có thể thiết lập trong DNS.
Active Directory integrated Zone
Primary Zone
Secondary Zone
Stub Zone
Trong phn trước chúng ta đã được giới thiệu về vùng tích hợp Active
Directory. Trong phn này, chúng ta sẽ thảo lun quanh các chức năng vùng
tích hợp Active Directory như một vùng ch yếu. Lý do cho vấn đề này: mục
chủ yếu (vùng tích hợp Active Directory) là vùng thực hiện viết cơ sở dữ liệu
DNS. Các vùng thứ yếu không thực hiện công việc này mà chúng chỉ nhận
các bn nâng cấp từ vùng DNS chủ yếu. Các nâng cấp từ vùng chủ yếu vào
vùng thứ yếu được gọi là di chuyển vùng.
Giao diện sự di chuyển vùng khá ràng thông qua các tùy chọn của bạn, có
thể thấy được điều này qua hình 1. Bạn có thể cho phép bất k máy chủ DNS
nào nhn các nội dung của vùng chủ yếu hoặc hạn chế nó để ch có thể chọn
một số DNS nhất định. Rõ ràng, với các mục đích bảo mật, bạn sẽ muốn hạn
chế phạm vi của các máy chủ DNS được phép nhận địa chỉ IP và tên miền
của tất cả máynh trong tổ chức của bạn.
Hình 1: Giao diện di chuyển vùng cho Windows DNS
Bảo mật di chuyển vùng
Bạn cũng thể thay đổi khái niệm bảo mật các di chuyển vùng DNS sang
một mức khác. Việc làm cho DNS an toànn không phải là khái niệm triệt
để, hầu hết các công ty ngày nay đều thực hiện các cấu hình bổ sung để bảo
vệ sự di chuyển vùng DNS của họ. Có mt số tùy chn để bảo vệ DNS và s
di chuyển vùng. Tuy nhiên chìa khóa ca vấn đề vẫn là cách thiết lập i
trường DNS như thế nào.
Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS
để cho phép truyền thông mã hóa cơ sdữ liệu DNS trong khi nó được gửi
xuyên qua toàn bộ mạng. IPSec là cách truyn thông rất chung giữa các máy
chủ DNS trên cùng một mạng. Nếu việc truyền thông giữa các máy chủ DNS
của bạn phải đi qua một mạng không an toàn thì một VPN sẽ được sử dụng.
Nếu bạn sử dụng một VPN để bảo vệ dữ liệu xuyên qua mt mạng không
được bảo vệ thì cách mà người ta vẫn thường dùng đó là sử dụng L2TP.
L2TP sử dụng một thuật toán mã hóa an toàn dữ liệu khi nó được gửi đi trên
mạng.
Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mng từ một máy
chủ DNS này sang một máy chủ DNS khác là sử dng sự tích hợp Active
Directory. Phương pháp này yêu cầu các máy chủ DNS phải hoạt động trong
cùng mt miền Active Directory. Nó cũng yêu cầu DNS chạy trên một điều
khiển miền. Các lợi ích mang lại khá đáng kể bởi vì dữ liệu được lưu và tái
tạo thông qua sự tái tạo Active Directory, bên cạnh đó dữ liệu được mã hóa
khi được gửi đi trên mạng t máy chủ DNS này sang máy chủ DNS khác. Lợi