10 biện pháp bảo mật DNS - Bản có dấu.
10 bien phap bao mat DNS - Bản không dấu.

Máy chủ DNS  thường là mục tiêu mà tin tặc  khai thác và tấn công, tuy nhiên bạn cũng có thể bảo mật  cho những máy chủ  này bằng một số phương pháp sau:

1. Sử dụng DNS  Forwarder

DNS Forwarder (Trình chuyển tiếp) là một máy chủ  DNS  thực hiện truy vấn DNS  thay cho nhiều máy chủ  DNS  khác. DNS  Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ  DNS  đang thực hiện chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS  trên DNS  Forwarder.

Một chức năng khác của DNS  Forwarder đó là ngăn cản máy chủ  DNS  chuyển tiếp yêu cầu trong khi tương tác với những máy chủ  DNS  trên Internet. Đây là chức năng đặc biệt quan trọng  vì khi đó máy chủ  DNS  chứa tài nguyên  bên trong miền DNS. Thay vì cho phép những máy chủ  DNS  nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ  DNS  khác, nó cấu hình cho máy chủ  DNS  nội bộ sử dụng một Forwader cho tất cả các miền không được phân quyền.

2. Sử dụng máy chủ  DNS  lưu trữ

Máy chủ DNS  lưu trữ  là một máy chủ  DNS  không thể phân quyền cho bất kì miền DNS  nào. Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một Forwarder. Khi máy chủ  này nhận một phản hồi, nó sẽ lưu kết quả và chuyển câu trả lời đến hệ thống  gửi truy vấn DNS  tới máy chủ  DNS  lưu trữ. Sau đó, máy chủ  này có thể tập hợp nhiều phản hồi DNS  giúp giảm đáng kể thời gian  phản hồi cho những máy trạm DNS  của máy chủ  DNS  lưu trữ.

Những máy chủ  DNS  lưu trữ  có thể cải thiện bảo mật  cho công ty  khi được sử dụng như một Forwarder trong nhóm công cụ quản trị  của bạn. Những máy chủ  DNS  nội bộ có thể được cài đặt để sử dụng máy chủ  DNS  lưu trữ  như trình chuyển đổi của chúng, và máy chủ  DNS  lưu trữ  thực hiện gọi lại lệnh thay cho những máy chủ  DNS  nội bộ. Việc sử dụng những máy chủ  DNS  lưu trữ  như những Forwarder có thể cải thiện bảo mật  bởi vì bạn không phải phụ thuộc vào những máy chủ  DNS  của nhà cung cấp  được sử dụng như Forwarder khi bạn không tin tưởng vào cài đặt bảo mật  trên máy chủ  DNS  của họ.

3. Sử dụng DNS  Advertiser

DNS Advertiser (Trình quảng cáo) là một máy chủ  DNS  thực hiện truy vấncho những miền mà DNS  Advertiser được phân quyền. Ví dụ, nếu bạn lưutrữ tài nguyên  cho domain.com và corp.com, máy chủ  DNS  công cộng  sẽđược cấu hình với vùng file DNS  cho miền domain.com và corp.com.

Sự khác biệt giữa DNS  Advertiser với máy chủ  DNS  chứa vùng file DNS  đólà DNS  Advertiser trả lời những truy vấn từ tên miền  mà nó phân quyền.Máy chủ DNS  sẽ không gọi lại truy vấn được gửi tới những máy chủ  khác.Điều này ngăn cản người dùng  sử dụng máy chủ  DNS  công để xử lý nhiềutên miền khác nhau, và làm tăng khả năng bảo mật  bằng cách giảm bớtnhững nguy cơ khi chạy DNS  Resolver công cộng  (gây tổn hại bộ nhớ đệm).

4. Sử dụng DNS  Resolver

DNS Resolver (trình xử lý) là một máy chủ  DNS  có thể gọi lại lệnh để xửlý tên cho những miền không được máy chủ  DNS  phân quyền. Ví dụ, bạn cóthể sử dụng một máy chủ  DNS  được phân quyền trong mạng nội bộ cho miềnmạng nội bộ internalcorp.com. Khi một máy trạm trong mạng sử dụng máychủ DNS  này để đặt tên quantrimang.com, máy chủ  DNS  đó sẽ gọi lại lệnhbằng cách truy lục kết quả trên những máy chủ  DNS  khác.

Sự khác biệt giữa máy chủ  DNS  này và DNS  resolver đó là DNS  Resolverđược dùng để đặt tên cho máy chủ  Internet. Resolver có thể là một máychủ DNS  lưu trữ  không được phân quyền cho bất kì miền DNS  nào. Admin cóthể chỉ cho phép người dùng  nội bộ sử dụng DNS  Resolver, hay chỉ chophép người dùng  ngoài sử dụng để cung cấp bảo mật  khi sử dụng một máychủ DNS  bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cángười dùng nội bộ và người dùng  ngoài truy cập  vào DNS  Resolver.

5. Bảo vệ bộ nhớ đệm DNS

“Ô nhiễm” bộ nhớ đệm DNS  là một vấn đề phát sinh chung. Hầu hết máy chủDNS có thể lưu trữ  kết quả truy vấn DNS  trước khi chuyển tiếp phản hồitới máy chủ  gửi truy vấn. Bộ nhớ đệm DNS  có thể cải thiện đáng kể khảnăng thực hiện truy vấn DNS. Nếu bộ nhớ đệm máy chủ  DNS  bị “ô nhiễm”với nhiều mục nhập DNS  ảo, người dùng  có thể bị chuyển tiếp tới nhữngwebsite độc hại thay vì những website  dự định truy cập.

Hầu hết máy chủ  DNS  có thể được cấu hình chống “ô nhiễm” bộ nhớ đệm. Vídụ. máy chủ  DNS  Windows  Server  2003 được cấu hình mặc định chống “ônhiễm bộ” nhớ đệm. Nếu đang sử dụng máy chủ  DNS  Windows  2000, bạn cóthể cài đặt chống ô nhiễm  bằng cách mở hộp thoại Properties trong máy chủ  DNS, chọn tab Advanced, sau đó đánh dấu hộp chọn Prevent Cache  Pollution và khởi động lại máy chủ  DNS.

6. Bảo mật  kết nối bằng DDNS

Nhiều máy chủ  DNS  cho phép cập nhật động. Tính năng cập nhật động giúpnhững máy chủ  DNS  này đăng ký tên máy chủ  DNS  và địa chỉ IP  cho nhữngmáy chủ DHCP chứa địa chỉ IP. DDNS có thể là một công cụ hỗ trợ quảntrị hiệu quả trong khi cấu hình thủ công những mẫu tài nguyên  DNS  chonhững máy chủ  này.

Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây ramột vấn đề về bảo mật. Người dùng  xấu có thể cấu hình máy chủ  cập nhậtđộng những tài nguyên  trên máy chủ  DNS  (như máy chủ  dữ liệu, máy chủweb hay máy chủ  cơ sở dữ liệu) và định hướng kết nối tới máy chủ  đíchsang PC của họ.

Bạn có thể giảm nguy cơ gặp phải những bản cập nhập DNS  độc hai bằngcách yêu cầu bảo mật  kết nối tới máy chủ  DNS  để cập nhật động. Điều nàycó thể dễ dàng thực hiện bằng cách cài đặt máy chủ  DNS  sử dụng nhữngvùng tương hợp Active Directory và yêu cầu bảo mật  cập nhật động. Tấtcả miền thành viên  có thể cập nhật động thông tin  DNS  một cách bảo mậtsau khi thực hiện cài đặt.

7. Ngừng chạy Zone Transfer

Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ  DNS  chính và máy chủDNS phụ. Những máy chủ  DNS  chính được phân quyền cho những miền cụ thểchứa vùng file DNS  có thể ghi và cập nhật khi cần thiết. Máy chủ  DNSphụ nhận một bản sao chỉ đọc của những vùng file này từ máy chủ  DNSchính. Máy chủ  DNS  phụ được sử dụng để tăng khă năng thực thi truy vấnDNS trong một tổ chức hay trên Internet.

Tuy nhiên, Zone Transfer không giới hạn máy chủ  DNS  phụ. Bất cứ ai cũngcó thể chạy một truy vấn DNS  cấu hình máy chủ  DNS  để cho phép ZoneTransfer kết xuất toàn bộ vùng file cơ sở dữ liệu. Người dùng  xấu cóthể sử dụng thông tin  này để thăm dò giản đồ tên trong công ty  và tấncông dịch vụ  cấu trúc hạ tầng chủ chốt. Bạn có thể ngăn chặn điều nàybằng cách cấu hình máy chủ  DNS  từ chối Zone Transfer thực hiên yêu cầu,hay cấu hình máy chủ  DNS  cho phép Zone Transfer chỉ từ chối yêu cầu củamột số máy chủ  nhất định.

8. Sử dụng Firewall  kiểm soát truy cập  DNS

Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với nhữngngười dùng kết nối máy chủ  DNS. Với những máy chủ  DNS  chỉ sử dụng chonhững truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall  đểchặn kết nối từ những máy chủ  ngoài vào những máy chủ  DNS  này. Vớinhững máy chủ  DNS  được sử dụng như Forwarder lưu trữ, firewall  cần đượccấu hình chỉ cho phép nhận những truy vấn DNS  từ máy chủ  DNS  được sửdụng như Forwarder lưu trữ. Một cài đặt firewall  policy rất quan trọngđó là chặn những người dùng  nội bộ sử dụng giao tiếp DNS  kết nối vàonhững máy chủ  DNS  ngoài.

9. Cài đặt kiểm soát truy cập  vào Registry của DNS

Trên những máy chủ  DNS  nền tảng Windows, kiểm soát truy cập  cần đượccấu hình trong những cài đặt Registry liên quan tới máy chủ  DNS  để chophép những tài khoản được yêu cầu truy cập  đọc và thay đổi cài đặt củaRegistry.

Key DNS  trong HKLM\CurrentControlSet\Services cần được cấu hình chỉ chophép Admin và tài khoản hệ thống  truy cập, ngoài ra những tài khoản nàycần được cấp quyền Full Control.

10. Cài đặt kiểm soát truy cập  vào file hệ thống  DNS

Trên những máy chủ  DNS  nền tảng Windows, bạn nên cấu hình kiểm soáttruy cập trên file hệ thống  liên quan tới máy chủ  DNS  vì vậy chỉ nhữngtài khoản yêu cầu truy cập  vào chúng được cho phép đọc hay thay đổinhững file này.

Thư mục %system_directory%\DNS và những thư mụccon cần được cài đặt chỉ cho phép tài khoản hệ thống  truy cập  vào, vàtài khoản hệ thống  cần được cấp quyền Full Control.
Xian (Theo TechRepublic)

Hiện tại chưa có bình luận nào về bài viết 10 biện pháp bảo mật DNS!

Bạn có ý kiến gì về bài viết 10 biện pháp bảo mật DNS này? Hãy gởi suy nghĩ, bình luận, đánh giá, lời khuyên ... của bạn về bài viết 10 biện pháp bảo mật DNS bạn tại đây.