Những vấn đề trong bảo mật DNS
Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề
trong bo mật DNS và cách bảo mật các máy ch DNS đã bị thỏa
hiệp.
Không thphủ nhận được tầm quan trọng của DNS đối với các hoạt
động mạng thông thường cho mạng nội bInternet, do đó việc phát
hiện các vấn đề và tìm ra cách khắc phục là một điều cần thiết. Sau đây
chúng ta scùng nhau đi xem xét một số vấn đề nói chung đối với các
máy chủ DNS:
Thỏa hiệp file vùng DNS
L hổng thông tin vùng DNS
Nâng cấp động bị thỏa hiệp
Gây lụt máy khách DNS (từ chối dịch vụ)
Giả mạo Cache
Thỏa hiệp file vùng DNS
Máy ch DNS sẽ được cấu hình trên mt s phiên bản Windows
Server. Quản trị viên DNS có thể thiết lập cấu hình vùng và các bản ghi
bằng dòng lnh hoặc giao diện DNS mmc. Một trong những cách hay
gặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở hạ tầng DNS là chỉnh
sửa trực tiếp cấu hình máy ch DNS hoặc bản thân các bản ghi trên
máy chủ DNS hay từ một máynh ở xa.
Kiểu tấn ng này thđược thực hiện bởi bất cứ người nào một
chút kiến thức về DNS và thtruy cập máy chủ. Kẻ tấn công thể
ngồi trực tiếp trước màn hình máy chủ, kết nối thông qua RDP hay
thậm chí đăng nhập qua Telnet. Thủ phạm đây thể là người bên
trong tchức hay thể là quản trị viên mắc lỗi. Cách thức bảo mật
đây khóa chặn máy chủ DNS, chỉ những người trách nhiệm mới
được truy cập vào cấu hình DNS, bất cứ phương pháp truy cập từ xa
nào đến máy chủ DNS cần được hạn chế cho những người thực sự cần
thiết.
Lỗ hổng thông tin vùng DNS
Các file vùng DNS trên máy ch DNS sẽ chứa các tên máy tính trong
vùng đó, tên máy tính này sđược cấu hình một cách thủ ng hay cấu
hình thông qua các nâng cấp động. Các máy chủ DNS trong mạng ni
bthường chứa tên của tất cả các máy chủ trên mạng (hoặc tối thiểu
cũng là các máy chbạn muốn truy cập thông qua tên). Trên máy ch
Internet, thông thường chúng ta chỉ nhập vào các tên máy chmuốn
truy cập tuy nhiên một số thtồn tại trong một location được cấu
hình bi ISP và mt trong số có thể nằm trong mng nội bộ.
L hổng thông tin vùng th xảy ra khi kẻ đt nhập khai thác được
các thông tin quan trọng về các vai tmáy chtrên mạng qua tên của
các máy chđó. Cho dụ, nếu bạn một máy chủ thể truy cập
thông qua tên PAYROLL, thông tin này srất giá trị đối với kẻ tấn
công. Đây là thứ mà cng ta có thtạm gọi là “dấu vết”.
Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằng
nhiều phương pháp khác nhau. Cho dụ, nếu cho phép tất ccác máy
khnăng chuyển vùng, kđột nhập thể download toàn bsở
dliệu vùng đến máy tính của anh ta thông qua cơ chế chuyn vùng.
Thậm chí nếu không cho phép chuyển vùng, ktấn công cũng thể
lợi dụng các truy vấn DNS ngược để dò tìm ra tên máy nh trong
mạng. Từ đó chúng thể tạo một sơ đồ toàn diện về mạng tdữ liệu
DNS này.
Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là
các địa ch không được sử dng trong mạng. Sau đó sử dụng các địa ch
không được sdụng này đthiết lập máy chDNS gimạo, điều này
trong một số trường hp, điều khiển truy cập mạng được thiết lập
cho toàn b ID mạng hoặc tập các ID nào đó thay các địa chỉ IP
riêng biệt.
Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh
nghiệp nhỏ (nơi đang hosting các dịch vụ DNS riêng) việc kết hợp
các vùng chung riêng trên cùng một máy chDNS trong khi đó cơ
sở hạ tầng DNS lại chia tách. Trong trường hợp này, bạn sẽ để lộ cả tên
bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn công
ddàng tìm ra không gian địa chỉ bên trong các thỏa thuận đặt tên.
Thông thường, chúng sẽ phải đột nhập vào bên trong mạng đkhám
phá thông tin vùng bên trong, tuy nhiên khi cùng một máy chủ hosting
cthông tin chung và riêng trên cùng máy ch DNS thì ktấn công lúc
này sẽ có cơ hi lớn để tấn công bạn.
Nâng cấp động bị thỏa hiệp
Các ng cấp đng DNS rất thuận tiện cho quản trị viên DNS. Thay
phải tự tạo các bản ghi cho tất cả máy khách và máy chủ, tất cả những
bạn cần thực hiện lúc này kích hoạt c nâng cấp DNS đng trên
cmáy chủ và máy khách. Khi sdụng máy khách và máy chDNS
Windows, bạn thể cấu hình DHCP để hỗ trợ chức năng nâng cấp
DNS động. Với nâng cấp động này, chcần bật chức năng để cho
các máy tính tđăng trong DNS; bạn không cần phải ttạo bản ghi
DNS.
ràng tất cả mọi thứ đều giá của trong trường hợp này cũng
vậy, sự thuận tiện này cũng kéo theo nguy bảo mật tiền ẩn đối với
DNS động. Có rất nhiều cách thể thực hiện các nâng cấp DNS động
này, có thphân loại chúng thành hai mảng: nâng cấp an toàn và không
an toàn. Với các nâng cấp an toàn, hthống khách cần phải được thẩm
định (cho ví d, sử dụng tài khon máy tính chứa trong Active
Directory) trước khi thể tự nâng cấp. Các nâng cấp không an toàn
xuất hiện khi bạn cho phép bất cứ host nào cũng thể đăng ký địa chỉ
của nó trong DNS mà không yêu cầu thẩm định.
Tuy nhiên các nâng cấp động an toàn không phải tất cả đều giống nhau.
Cho dụ, nếu bạn hạn chế chỉ những quản trị viên miền hay quản trị
viên bảo mật mới có thể gia nhập miền, khi đó các nâng cấp DNS đng
tra khá an toàn trong môi trường Windows. Tuy nhiên nếu cho phép
bất cứ ai cũng thể join máy tính của hvào miền, bạn vấn đbảo
mật ở đây sẽ bị giảm đi đáng kể.
Khi nâng cấp động bị thỏa hiệp, kẻ tấn công thể thay đổi các thông
tin trong bản ghi đcác tên máy tính sẽ được redirect đến các máy chủ
mà kẻ tấn công thiết lập nhằm đạt được các mục đích của chúng (chẳng
hạn như load phần mềm mã độc vào máy tính để biến trở thành một
phần trong botnet mà kẻ tấn công đang điều khiển). Một vấn đề khác kẻ
tấn công thể thực hiện trong tình hung này là thực hiện tấn công từ
chối dịch v mức đơn giản bằng cách xóa bản ghi chính, chẳng hạn như
các bn ghi cho máy chủ DNS hay bộ điều khiển miền.