intTypePromotion=1

Những vấn đề trong bảo mật

Chia sẻ: Tran Le | Ngày: | Loại File: DOCX | Số trang:3

0
77
lượt xem
19
download

Những vấn đề trong bảo mật

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt động mạng thông thường cho mạng nội bộ và Internet, do đó việc phát hiện các vấn đề và tìm ra cách khắc phục là một điều cần thiết. Sau đây chúng ta sẽ cùng nhau đi xem xét một số vấn đề nói chung đối với các máy chủ DNS:

Chủ đề:
Lưu

Nội dung Text: Những vấn đề trong bảo mật

  1. trị mạng – Trong loạt bài này chúng tôi sẽ giới thiệu cho các b ạn một s ố v ấn đ ề trong bảo mật DNS và cách bảo mật các máy chủ DNS đã bị thỏa hiệp. Không thể phủ nhận được tầm quan trọng của DNS đối với các hoạt đ ộng m ạng thông thường cho mạng nội bộ và Internet, do đó việc phát hiện các v ấn đ ề và tìm ra cách kh ắc phục là một điều cần thiết. Sau đây chúng ta sẽ cùng nhau đi xem xét m ột s ố v ấn đ ề nói chung đối với các máy chủ DNS: • Thỏa hiệp file vùng DNS • Lỗ hổng thông tin vùng DNS • Nâng cấp động bị thỏa hiệp • Gây lụt máy khách DNS (từ chối dịch vụ) • Giả mạo Cache Thỏa hiệp file vùng DNS Máy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trị viên DNS có thể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh ho ặc giao di ện DNS mmc. M ột trong những cách hay gặp phải và cũng dễ dàng nh ất đ ể th ỏa hi ệp c ơ s ở h ạ t ầng DNS là chỉnh sửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trên máy ch ủ DNS hay từ một máy tính ở xa. Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có m ột chút ki ến th ức v ề DNS và có thể truy cập máy chủ. Kẻ tấn công có thể ngồi tr ực ti ếp tr ước màn hình máy ch ủ, kết nối thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở đây có th ể là ng ười bên trong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức b ảo m ật ở đây là khóa ch ặn máy chủ DNS, chỉ những người có trách nhiệm mới được truy cập vào cấu hình DNS, b ất c ứ phương pháp truy cập từ xa nào đến máy chủ DNS cần được hạn chế cho những người th ực sự cần thiết. Lỗ hổng thông tin vùng DNS Các file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tên máy tính này sẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng c ấp đ ộng. Các máy ch ủ DNS trong mạng nội bộ thường chứa tên của tất c ả các máy ch ủ trên m ạng (ho ặc t ối thi ểu cũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máy ch ủ Internet, thông th ường
  2. chúng ta chỉ nhập vào các tên máy chủ muốn truy cập – tuy nhiên m ột s ố có th ể tồn t ại trong một location được cấu hình bởi ISP và một trong số có thể nằm trong mạng nội bộ. Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác đ ược các thông tin quan tr ọng về các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu bạn có một máy chủ có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá tr ị đ ối v ới k ẻ t ấn công. Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”. Kẻ tấn công có thể khai thác tên của các máy tính khác trên m ạng b ằng nhi ều ph ương pháp khác nhau. Cho ví dụ, nếu cho phép tất cả các máy có kh ả năng chuy ển vùng, k ẻ đ ột nh ập có thể download toàn bộ cơ sở dữ liệu vùng đến máy tính c ủa anh ta thông qua c ơ ch ế chuy ển vùng. Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công cũng có th ể lợi d ụng các truy vấn DNS ngược để dò tìm ra tên máy tính trong mạng. Từ đó chúng có thể tạo một sơ đồ toàn diện về mạng từ dữ liệu DNS này. Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các đ ịa ch ỉ không được sử dụng trong mạng. Sau đó sử dụng các địa chỉ không đ ược sử d ụng này đ ể thi ết l ập máy chủ DNS giả mạo, điều này là vì trong một số trường hợp, điều khi ển truy c ập m ạng được thiết lập cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ IP riêng biệt. Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghi ệp nh ỏ (n ơi đang hosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trên cùng m ột máy chủ DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong tr ường h ợp này, b ạn s ẽ đ ể l ộ cả tên bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn công dễ dàng tìm ra không gian địa chỉ bên trong và các thỏa thuận đặt tên. Thông thường, chúng sẽ ph ải đ ột nh ập vào bên trong mạng để khám phá thông tin vùng bên trong, tuy nhiên khi cùng m ột máy ch ủ hosting cả thông tin chung và riêng trên cùng máy ch ủ DNS thì k ẻ t ấn công lúc này s ẽ có c ơ hội lớn để tấn công bạn. Nâng cấp động bị thỏa hiệp Các nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì ph ải t ự t ạo các b ản ghi cho tất cả máy khách và máy chủ, tất cả những gì bạn c ần th ực hi ện lúc này là kích ho ạt các nâng cấp DNS động trên cả máy chủ và máy khách. Khi s ử d ụng máy khách và máy ch ủ DNS Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng c ấp DNS đ ộng. V ới nâng cấp động này, chỉ cần bật chức năng và để cho các máy tính t ự đăng ký trong DNS; b ạn không cần phải tự tạo bản ghi DNS. Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng v ậy, s ự thu ận ti ện này cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS đ ộng. Có rất nhi ều cách có th ể th ực hiện các nâng cấp DNS động này, có thể phân loại chúng thành hai mảng: nâng c ấp an toàn và không an toàn. Với các nâng cấp an toàn, hệ thống khách cần phải được thẩm định (cho ví d ụ, sử dụng tài khoản máy tính chứa trong Active Directory) trước khi có th ể t ự nâng c ấp. Các nâng cấp không an toàn xuất hiện khi bạn cho phép b ất c ứ host nào cũng có th ể đăng ký đ ịa chỉ của nó trong DNS mà không yêu cầu thẩm định. Tuy nhiên các nâng cấp động an toàn không phải tất cả đ ều gi ống nhau. Cho ví d ụ, n ếu b ạn hạn chế chỉ những quản trị viên miền hay quản trị viên bảo m ật m ới có th ể gia nh ập mi ền, khi đó các nâng cấp DNS động tỏ ra khá an toàn trong môi trường Windows. Tuy nhiên n ếu cho phép bất cứ ai cũng có thể join máy tính của họ vào miền, bạn vấn đ ề bảo m ật ở đây s ẽ bị giảm đi đáng kể. Khi nâng cấp động bị thỏa hiệp, kẻ tấn công có thể thay đổi các thông tin trong b ản ghi đ ể các tên máy tính sẽ được redirect đến các máy chủ mà k ẻ t ấn công thi ết l ập nh ằm đ ạt đ ược
  3. các mục đích của chúng (chẳng hạn như load phần mềm mã đ ộc vào máy tính đ ể bi ến nó tr ở thành một phần trong botnet mà kẻ tấn công đang đi ều khiển). M ột vấn đ ề khác k ẻ t ấn công có thể thực hiện trong tình huống này là thực hiện tấn công từ chối dịch v ụ m ức đ ơn gi ản bằng cách xóa bản ghi chính, chẳng hạn như các bản ghi cho máy ch ủ DNS hay b ộ đi ều khiển miền. Từ chối dịch vụ DNS bằng cách gây lụt máy khách Nói đến DoS, nếu chưa bao giờ gặp phải kiểu tấn công này thì hãy xem đó như một may mắn đối với bạn. Do các truy vấn DNS không được thẩm định nên máy ch ủ DNS luôn c ố g ắng tr ả lời các truy vấn mà nó nhận được. Điều này có nghĩa rất dễ có thể thực hi ện m ột t ấn công t ừ chối dịch vụ đối với một máy chủ DNS. Có khá nhiều botnet có thể tạo các ki ểu t ấn công DDoS để vô hiệu hóa máy chủ DNS đủ lâu cho kẻ tấn công thiết lập máy ch ủ DNS gi ả m ạo để trả lời các truy vấn. Người dùng không có cách nào bi ết đ ược máy ch ủ DNS m ới là máy chủ giả mạo, họ sẽ bị redirect đến máy chủ của kẻ tấn công. Các site này th ường đ ược thi ết kế để giống các site thật và sử dụng sự tin tưởng c ủa người dùng vào các site th ực ể tăng s ự truy cập vào thông tin nhận dạng cá nhân, sau đó là thực hiện các tấn công kiểu này. Giả mạo cache Máy chủ DNS này sẽ truy vấn máy chủ DNS khác để lấy thông tin. Đ ể c ải thi ện hi ệu su ất cho toàn bộ cơ sở hạ tầng DNS, các máy chủ DNS sẽ lưu các k ết qu ả truy v ấn trong m ột khoảng thời gian trước đó vào các bản ghi để cung cấp sự phân giải tên. Nếu truy vấn th ứ hai có cùng tên trước khi timeout, máy chủ DNS sẽ đáp trả các thông tin mà nó đã l ưu trong DNS cache thay vì truy vấn sang máy chủ DNS khác. Tuy có thể cải thiện đáng kể được hiệu suất tổng thể nhưng cách th ực hi ện này gây ra m ột lỗ hổng bảo mật. Lỗ hổng bảo mật bị khai thác ở đây được gọi là “DNS cache poisoning” có nghĩa là giả mạo DNS. Việc giả mạo DNS diễn ra khi máy ch ủ DNS g ửi m ột truy v ấn đ ến máy chủ DNS khác và máy chủ DNS đó trả về các thông tin không đúng. Trong h ầu h ết các trường hợp, máy chủ DNS trả về các thông tin sai là các máy chủ đã bị thỏa hiệp. Việc giả mạo cache có thể diễn ra vì các máy chủ DNS không ki ểm tra sự hợp lệ c ủa các đáp trả, cũng như không thực hiện thẩm định các đáp trả mà chúng nh ận đ ược t ừ máy ch ủ DNS khác. Máy chủ DNS “khách” sẽ nhận được thông tin trong đáp trả và lưu thông tin đó, sau đó cung cấp thông tin sai đến các máy được cấu hình là máy khách DNS của máy chủ này. Kết luận Trong phần này chúng tôi đã gi ới thiệu cho các bạn m ột số vấn đề trong b ảo m ật DNS và cách bảo mật các máy chủ DNS bị thỏa hiệp như thế nào. Trong phần hai, chúng tôi s ẽ gi ới thiệu kỹ hơn về một số mẹo giúp cải thiện bảo mật DNS và xem xét k ỹ tính năng b ảo m ật trong Windows Server 2008, DNSSEC. Bên cạnh đó chúng ta cũng sẽ đi c ấu hình m ột vùng an toàn bằng DNSSEC và xem xét cách sử dụng DNSSEC để c ải thi ện bảo m ật DNS cho t ổ chức. Văn Linh (Theo Windowsecurity) Xem thêm: bảo mật, dns, domain name system, cache poisoning, máy chủ, máy trạm, dhcp
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2