Bảo mật kết nối DNS bằng Windows Server 2008 R2
DNSSEC
Trong hướng dẫn này chúng tôi sgiới thiệu các kiến thức tổng quan về
DNSSEC và các lý do tại sao việc bảo mật cơ sở hạ tầng DNS lại quan trọng
đối với tổ chức của bạn.
Với sự nổi dậy của IPv6, việc truy cập vào c máy tính thông qua tên min DNS
sẽ trở nên quan trng hơn bao giờ hết. Một số người đã đang m việc với IPv4
nhiều năm thy rằng họ có thể dễ dàng nhđược số địa chỉ IPv4 bằng hệ thống bốn
chữ số cách nhau bởi du chấm, trong khi đó không gian địa chỉ IPv6 quá lớn và
định dạng hexa là quá phức tạp, do đó chỉ có ít người có thể nh được các địa chỉ
IP phức tạp này trên mng của họ. Mỗi địa chỉ IPv6 đều có 128 bit có chiu dài
gấp 4 lần chiều dài ca địa chỉ IPv4. Đây là cách cung cấp một không gian đa chỉ
ln hơn cho số lượng các host trên Internet ngày càng tăng, tuy nhiên nó cũng làm
cho việc nhớ các địa chỉ trở nên khó khăn hơn.
Vn đề: Bản tính không an toàn của cơ sở dữ liệu DNS
Do sự phụ thuộc ngày càng ng vào DNS n
chúng ta sẽ cần một cách để bảo đảm rằng toàn b
các entry trong cơ sở dữ liệu DNS luôn chính xác
và tin cy – và một trong những cách hiệu quả nhất
cho chúng ta thực hiện điều đó là bảo đảm rằng các sở dữ liu DNS ca chúng
ta được an toàn. Tuy nhiên cho ti gần đây, DNS vẫn được biết đến là một hệ
thống không an toàn, vi hàng loạt các giả định được đưa ra để cung cấp một mức
an toàn bản.
Do bn tính không an toàn này nên đã có nhiu trường hợp mà đó sự tin tưởng đã
b vi phạm và các máy chủ DNS bị chiếm quyền điều khiển (redirect sự phân giải
tên DNS đến các máy chủ DNS giả mạo), các bản ghi DNS và DNS cache bị giả
mạo, làm cho ngưi dùng tin rng họ đang kết nối đến các website hợp l nhưng
thực tế là họ đang kết nối đến các website có chứa nội dung mã độc hoặc có thể thu
thập các thông tin của họ bằng cách pharming (redirect lưu ng của một website
đến một website khác). Pharming cũng tương tự như phishing, tuy nhiên thay vì s
dụng theo một liên kết trong email, người dùng truy cập sitte bằng cách sử dụng
URL đúng ca site hợp lệ và họ nghĩ là đang an toàn. Tuy nhiên thực tế bản ghi
DNS đã bị thay đổi và được redirect đến URL giả mạo, site bị pharming.
Giải pháp: Windows Server 2008 R2 DNSSEC
Một giải pháp bạn có thể sử dụng tn mạng nội bộ để bảo đảm an toàn cho môi
trường DNS của mình là sdụng Windows Server 2008 R2 DNSSEC. DNSSEC là
một bộ sưu tập các extension có khả năng cải thiện độ bảo mật của các giao thức
DNS. Các extension này s bổ sung thêm stin cậy, tính niêm trực của dữ liệu và
khả năng từ chối DNS đã được nhn thực. Giải pháp cũng bổ sung thêm số bản ghi
mới vào DNS, chng hạn như DNSKEY, RRSIGN, NSEC và DS.
DNSSEC làm việc như thế nào
Những gì DNSSEC thực hiện là cho phép tất cảc bản ghi trong cơ sở dữ liệu
DNS đều được ký giống như phương pháp được sử dụng để truyền thông email.
Khi một y khách DNS phát hành một truy vn đến máy chủ DNS, nó sẽ trả về
các ch ký số của bản ghi. Máy khách sẽ có khóa công của CA đã các ký bn ghi
DNS, sau đó có thể giải mã các giá trị đã được hash (chữ ký) và hợp lệ hóa các đáp
trả. Để thực hin điều này, máy khách DNSmáy chủ được cấu hình để sử dụng
trust anchor. Trust anchor là một khóa công được cấu hình từ trước kết hợp với
vùng DNS nào đó.
sở dữ liệu DNS có sẵn cho cả hai vùng dựa trên file (không được tích hợp
Active Directory) vàc cùng được tích hợp, việc tạo bản sao cũng có sẵn cho các
máy chủ DNS khác có thẩm quyền cho các vùng đang đượci đến.
Windows 2008 R2 và các máy khách Windows 7 DNS đều được cu hình, mặc
định, không hợp lệ. Khi i vào trường hợp này, máy khách DNS s cho phép máy
chủ DNS thực hiện sự hợp lệ hóa dựa trên hành vi của nó và máy khách DNS có
khả năng chấp nhận các đáp trả DNSSEC được gửi trở lại từ máy chủ DNS
DNSSEC. Bn thân máy khách DNS cũng được cấu hình để sử dụng Name
Resolution Policy Table (NRPT) nhằm phân định cách tương tác với máy chủ DNS
như thế nào. Cho ví dụ, nếu NRPT chỉ thị rằng máy khách DNS cần bảo mt kết
nối giữa máy khách và máy chủ DNS, khi đó sự chứng thực bng chứng chỉ sẽ
được thực thi trên truy vn. Nếu sự điu đình bảo mật tht bại, chắc chắn đã xuất
hiện một vấn đề nào đó trong quá trình phân giải tên, và cgắng truy vấn tên s
thất bại. Mặc định, khi máy khách trả v đáp trả truy vấn DNS cho ứng dụng tạo
yêu cu, nó sẽ chỉ trả về các thông tin này nếu máy chủ DNS đã hợp lệ hóa các
thông tin.
Bảo đảm các kết quả hợp lệ
Có hai pơng pháp được sử dụng để bảo đm rằng các kết quả của truy vấn DNS
là hợp l. Đầu tiên, bạn cần bảo đảm rằng các máy chủ DNScác máy khách
DNS ca bạn kết nối đến thực sự là các máy chủ DNS mà bn muốn các máy
khách DNS kết nối đến – chúng không phải là các máy chủ DNS tấn công hay gi
mạo đang gửi đi các đáp trả giả mo. IPsec là một cách hiệu quả để bảo đảm sự
nhận dạng của máy chủ DNS. DNSSEC sử dụng SSL để xác nhận rằng kết nối là
an toàn. Máy chủ DNS sẽ tự thẩm định nó thông qua mt chứng chỉ được ký bởi
nhà phát hành tin cy (chẳng hạn như PKI riêng của bạn).
Cần lưu ý rng nếu có máy chủ IPsec và thực thi cách ly miền thì bn phải loại bỏ
TCP và UDP ports 53 trong chính sách. Nếu không, chính sách IPsec sẽ được sử
dụng thay vì sự chứng thực dựa trên chứng chỉ. Điều này s làm cho máy khách
thất bại trong việc hợp l hóa chứng chỉ từ máy chủ DNS và kết nối an toàn s
không được thiết lập.
Vùng được
DNSSEC s ký các vùng, sdụng hành động ký offline với công c dnscmd.exe.
Cách thc này cho kết quả trong file vùng được ký. File vùng được ký có chứa
RRSIG, DNSKEY, DNS và các bn ghi tài nguyên NSEC cho vùng đó. Sau khi
một vùng nào đó được ký, nó cần được reload bằng công cụ dnscmd.exe hoặc DNS
manager console.
Một hạn chế trong việc ký vùng làc nâng cp động sẽ bị vô hiệu hóa. Windows
Server 2008 R2 chỉ cho phép DNSSEC với các vùng tĩnh. Vùng này phải được ký
li mỗi khi có thay đổi diễn ra đối với vùng, điều này có thlàm hn chế sự tiện ích
của DNSSEC trong nhiu môi trường.