Bảo mật DNS –Những vấn đề trong bảo mật DNS
Trong loạt bài này chúng tôi s giới thiệu cho các bạn một s vấn đề trong bảo
mật DNS và cách bo mật các máy chDNS đã bthỏa hiệp.
Không th phủ nhận được tầm quan trọng của DNS đối vi các hoạt động mạng
thông thường cho mạng nội bInternet, do đó việc phát hin các vấn đề và tìm
ra cách khắc phục là một điu cần thiết. Sau đây chúng ta scùng nhau đi xem xét
một số vấn đề nói chung đối vớic máy chủ DNS:
Thỏa hiệp file vùng DNS
Lỗ hổng thông tin vùng DNS
Nâng cấp động b thỏa hiệp
Gây lụt máy khách DNS (từ chối dch vụ)
Gimạo Cache
Thỏa hiệp file vùng DNS
Máy chDNS sđược cấu hình trên một số phiên bn Windows Server. Quản tr
viên DNS ththiết lập cấu hình vùng các bản ghi bằng dòng lnh hoặc giao
diện DNS mmc. Một trong những ch hay gặp phải và cũng dễ dàng nhất để thỏa
hiệp sở hạ tầng DNS là chỉnh sửa trực tiếp cấu hình máy chDNS hoặc bản
thân các bản ghi trên máy chủ DNS hay từ một máy tínhxa.
Kiểu tấn công này thđược thực hiện bởi bất cngười nào một chút kiến
thức về DNS và th truy cập máy chủ. Kẻ tấn công thể ngồi trực tiếp trước
màn hình máy chủ, kết nối thông qua RDP hay thậm cđăng nhập qua Telnet.
Thphạm đây thể người bên trong tchức hay có thlà quản trị viên mắc
li. Cách thức bảo mật ở đây là khóa chn máy chủ DNS, chỉ những người có trách
nhim mới được truy cập vào cấu hình DNS, bất cứ phương pháp truy cập từ xa
nào đến máy chủ DNS cần được hạn chế cho những người thực sự cần thiết.
Lỗ hổng thông tin vùng DNS
Các file vùng DNS trên máy chDNS sẽ chứa c tên máy tính trong vùng đó, n
máy tính này s được cấu hình một cách thủ công hay cu hình thông qua các ng
cấp động. Các máy chủ DNS trong mạng nội bthường chứa tên của tất ccác
máy ch trên mạng (hoặc tối thiểu cũng là các y chbạn muốn truy cập thông
qua n). Trên máy chInternet, thông thường chúng ta chỉ nhập vào các n y
chmuốn truy cập tuy nhiên mt số có thtn tại trong một location được cấu
hình bởi ISP và một trong số có thnằm trong mạng nội bộ.
Lhổng thông tin vùng thxảy ra khi k đột nhập khai thác được các thông tin
quan trọng vcác vai trò y ch trên mng qua tên của c máy chủ đó. Cho ví
dụ, nếu bạn một máy chủ thể truy cập thông qua tên PAYROLL, thông tin
này srất giá tr đi với kẻ tấn công. Đây là thứ mà chúng tathể tạm gọi là “dấu
vết”.
K tấn ng thể khai thác tên của các máy tính khác trên mạng bằng nhiều
phương pháp khác nhau. Cho dụ, nếu cho phép tất c các máy kh ng
chuyển vùng, kđột nhập thể download toàn bsở dữ liệu vùng đến máy
tính của anh ta thông qua cơ chế chuyn vùng. Thm c nếu không cho phép
chuyển vùng, ktấn ng cũng th li dụng các truy vấn DNS ngược để dò tìm
ra n máy tính trong mạng. Từ đó chúng thể tạo mt sơ đồ toàn diện về mạng
từ dữ liu DNS này.
Ngoài ra km nhập có thể lượm lặt thông tin xác định được đâu là các địa chỉ
không được sử dụng trong mạng. Sau đó sdụng c địa chỉ không được sdụng
này để thiết lập máy chủ DNS gi mạo, điu này trong một strường hợp,
điều khiển truy cập mạng được thiết lập cho toàn bID mạng hoặc tập các ID nào
đó thay vì các địa chỉ IP riêng biệt.
Cuối cùng, một thực tế chung trong ch hosting DNS của c doanh nghiệp nh
(nơi đang hosting các dịch vụ DNS riêng) việc kết hợp c vùng chung riêng
trên cùng một y chủ DNS trong khi đó sở hạ tầng DNS lại chia tách. Trong
trường hợp này, bn sđể lộ ctên n trong n ngoài trong cùng một vùng,
điều cho phép kẻ tấn ng dễ dàng tìm ra không gian địa chỉ bên trong và các thỏa
thuận đặt tên. Thông thường, chúng sphi đột nhập vào n trong mng để km
phá thông tin vùng bên trong, tuy nhiên khi cùng một máy chủ hosting cả thông tin
chung riêng trên cùng máy chủ DNS thì ktấn ng lúc này s hội lớn đ
tấn công bạn.
ng cấp động bị thỏa hiệp
Các ng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay phải tự tạo
các bản ghi cho tất cả máy khách và máy chủ, tất cả những gì bn cần thực hiện lúc
này kích hoạt các ng cấp DNS động trên cmáy chủ và y khách. Khi s
dụng y khách máy chDNS Windows, bạn thể cấu hình DHCP để hỗ trợ
chức năng ng cấp DNS động. Với ng cấp động này, chcần bật chức năng và
để cho các y tính tự đăng trong DNS; bạn kng cần phải ttạo bản ghi
DNS.
ràng tất cả mọi thứ đều giá của và trong trường hợp này cũng vy, sự
thuận tiện này cũng o theo nguy cơ bảo mật tiền ẩn đối với DNS động. rất
nhiều cách thể thực hiện các nâng cấp DNS động này, thphân loại chúng
thành hai mng: nâng cấp an toàn không an toàn. Vi các nâng cấp an toàn, h
thống khách cần phải được thẩm định (cho d, sdụng tài khon máy tính chứa
trong Active Directory) trước khi thể tnâng cấp. Các nâng cấp kng an toàn
xuất hiện khi bạn cho phép bất cứ host nào cũng thể đăng đa chỉ của
trong DNS mà không yêu cu thm định.
Tuy nhiên các ng cp động an toàn không phi tất cả đều giống nhau. Cho ví dụ,
nếu bạn hn chế chỉ những qun tr viên min hay quản trị viên bảo mật mới có thể
gia nhập miền, khi đó các nâng cấp DNS động tỏ ra kan tn trong môi trường
Windows. Tuy nhiên nếu cho phép bất cai cũng có thể join y tính của họ vào
min, bạn vấn đề bảo mật ở đây sẽ bị gim đi đáng kể.
Khi nâng cấp động b thỏa hiệp, kẻ tấn công có thể thay đổi các tng tin trong bản
ghi để các tên y tính sđược redirect đến các máy chủ mà ktấn ng thiết lập
nhm đạt được các mục đích ca chúng (chẳng hạn như load phần mm mã độc
vào máy tính để biến trở thành một phần trong botnet mà ktấn công đang điu
khiển). Một vấn đề khác kẻ tn ng thể thực hiện trong tình hung này thực