Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (93.11 KB, 2 trang )
7 vấn đề cần tránh khi triển khai DNS
1. Sử dụng các phiên bản cũ của BIND - Tất cả, trừ phiên bản hiện hành là
BIND 9 (9.3.4-P1 và 9.4.1-P1), đều có nhiều lỗ hổng nghiêm trọng. Các
hacker có thể khai thác lỗ hổng này để phá hoại các máy chủ của bạn, xâm
nhập vào các host đang sử dụng chúng và còn nhiều hơn thế nữa…
2. Đặt tất cả máy chủ tên chứng thực cùng một subnet - thất bại của một thiết
bị đơn lẻ - như một switch hay router - hoặc người dùng không thể kết nối
Internet khi họ muốn truy cập vào website hoặc gửi mail.
3. Cho phép đệ quy các truy vấn không chứng thực – việc xử lý các truy vấn
đệ quy cho máy khách để trưng bày máy chủ của bạn, từ đó đưa đến các
hành động xâm nhập và các tấn công từ chối dịch vụ.
4. Cho phép vùng di chuyển đến các máy chủ thứ cấp không chứng thực -
một phần nhỏ vùng di chuyển đến các requestor tùy tiện có thể làm hại cho
máy chủ của bạn cũng như các tấn công có thể khai thác được nó.
5. Nhược điểm sử dụng forwarder - nhiều kiểu máy chủ, như Microsoft DNS
Servers hay các máy chủ BIND cũ hơn không thỏa đáng để chống lại những
hành vi xâm nhập và có các lỗ hổng có thể bị khai thác bởi nhiều hình thức
khác. Một số quản trị viên còn cho phép máy chủ này truy vấn các máy chủ
trên Internet một cách trực tiếp mà không sử dụng forwarder.
6. Thiết lập sai các giá trị Start of Authority (SOA) - Nhiều quản trị viên
thiết lập số lần hết hạn vùng của họ quá thấp, điều đó có thể dẫn đến ngừng
hoạt động của hệ thống nếu refresh các truy vấn hoặc các di chuyển vùng bắt
đầu có lỗi. Ngoài ra không thiết lập lại negative-caching TTL của vùng khi
RFC 2308 đã định nghĩa lại nó, hay đặt giá trị quá cao.
7. Sai kiểu các bản ghi NS trong dữ liệu vùng và dữ liệu ủy thác của bạn -