Bảo mật cơ bản về DNS

Trong phần trước của bài này chúng tôi đã giới thiệu cho bạn một số
khái niệm bảo mật cơ bản về DNS. Một trong những các khái niệm bảo
mật gồm DNS Active Directory được tích hợp và thiết lập môi trường
DNS an toàn hơn với truyền thông DHCP. Ngoài ra còn có một số cấu
hình mạnh và cho phép bạn dễ dàng tạo môi trường DNS. Không nên dừng ở
đây! bởi vì đó mới chỉ là bề mặt của vấn đề bảo mật môi trường DNS. Trong
mỗi phần của bài này chúng ta sẽ đi sâu hơn vào DNS và cơ sở dữ liệu DNS
được bảo mật như thế nào, đặt biệt là việc truyền thông với các máy chủ
DNS. Các máy chủ DNS phải truyền thông để nâng cấp cơ sở dữ liệu lên máy
chủ DNS khác. Sự truyền thông này có thể là một giải pháp tốt cho một kẻ
tấn công tấn xâm nhập vào các yếu điểm bị lộ này. Nếu bạn đề phòng trước
và thiết lập các cấu hình DNS bảo mật thì sự phô bày lỗ hổng có thể sẽ giảm.

Di chuyển vùng

Khi nói đến vùng DNS, bạn phải hiểu là có nhiều loại vùng khác nhau có thể
thiết lập bên trong môi trường DNS. Mặc dù chúng ta cần tập trung vào một
số vùng có thể, nhưng tôi vẫn đưa ra một danh sách tất cả các vùng mà bạn
có thể thiết lập trong DNS.
 Active Directory integrated Zone
 Primary Zone
 Secondary Zone
 Stub Zone

Trong phần trước chúng ta đã được giới thiệu về vùng tích hợp Active
Directory. Trong phần này, chúng ta sẽ thảo luận quanh các chức năng vùng
tích hợp Active Directory như một vùng chủ yếu. Lý do cho vấn đề này: mục
chủ yếu (vùng tích hợp Active Directory) là vùng thực hiện viết cơ sở dữ liệu
DNS. Các vùng thứ yếu không thực hiện công việc này mà chúng chỉ nhận
các bản nâng cấp từ vùng DNS chủ yếu. Các nâng cấp từ vùng chủ yếu vào
vùng thứ yếu được gọi là di chuyển vùng.

Giao diện sự di chuyển vùng khá rõ ràng thông qua các tùy chọn của bạn, có
thể thấy được điều này qua hình 1. Bạn có thể cho phép bất kỳ máy chủ DNS
nào nhận các nội dung của vùng chủ yếu hoặc hạn chế nó để chỉ có thể chọn
một số DNS nhất định. Rõ ràng, với các mục đích bảo mật, bạn sẽ muốn hạn
chế phạm vi của các máy chủ DNS được phép nhận địa chỉ IP và tên miền
của tất cả máy tính trong tổ chức của bạn.

Hình 1: Giao diện di chuyển vùng cho Windows DNS
Bảo mật di chuyển vùng

Bạn cũng có thể thay đổi khái niệm bảo mật các di chuyển vùng DNS sang
một mức khác. Việc làm cho DNS an toàn hơn không phải là khái niệm triệt
để, hầu hết các công ty ngày nay đều thực hiện các cấu hình bổ sung để bảo
vệ sự di chuyển vùng DNS của họ. Có một số tùy chọn để bảo vệ DNS và sự
di chuyển vùng. Tuy nhiên chìa khóa của vấn đề vẫn là cách thiết lập môi
trường DNS như thế nào.

Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS
để cho phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửi
xuyên qua toàn bộ mạng. IPSec là cách truyền thông rất chung giữa các máy
chủ DNS trên cùng một mạng. Nếu việc truyền thông giữa các máy chủ DNS
của bạn phải đi qua một mạng không an toàn thì một VPN sẽ được sử dụng.

Nếu bạn sử dụng một VPN để bảo vệ dữ liệu xuyên qua một mạng không
được bảo vệ thì cách mà người ta vẫn thường dùng đó là sử dụng L2TP.
L2TP sử dụng một thuật toán mã hóa an toàn dữ liệu khi nó được gửi đi trên
mạng.

Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mạng từ một máy
chủ DNS này sang một máy chủ DNS khác là sử dụng sự tích hợp Active
Directory. Phương pháp này yêu cầu các máy chủ DNS phải hoạt động trong
cùng một miền Active Directory. Nó cũng yêu cầu DNS chạy trên một điều
khiển miền. Các lợi ích mang lại khá đáng kể bởi vì dữ liệu được lưu và tái
tạo thông qua sự tái tạo Active Directory, bên cạnh đó dữ liệu được mã hóa
khi được gửi đi trên mạng từ máy chủ DNS này sang máy chủ DNS khác. Lợi
ích khác từ chức năng DNS và di chuyển sử dụng Active Directory là tất cả
các truyền thông đều được xác thực ngay ban đầu. Điều này giúp chúng bảo
vệ được sự di chuyển vùng, bắt buộc máy chủ DNS phải xác thực cơ sở dữ
liệu Active Directory trước khi các thông tin này được tái tạo.

Chuyển tiếp (4 kiểu)

Có một cách khác để bảo vệ môi trường DNS của bạn là sử dụng nhiều tùy
chọn cho việc chuyển tiếp. Điều này có thể giúp bạn duy trì được sự ổn định
cơ sở hạ tầng DNS, trong khi vẫn bảo đảm được các máy tính và ứng dụng có
thể truy cập được đúng máy chủ trên mạng. Có một cặp tùy chọn cho việc
chuyển tiếp bên trong môi trường Microsoft DNS.

Đầu tiên giống như việc chuyển tiếp chuẩn, được thể hiện trong hình 2, tất cả
các yêu cầu không có ý nghĩa cho máy chủ DNS mà đang tồn tại sẽ được gửi
đi cùng đến các máy chủ DNS khác. Đây là một điều lý tưởng khi bạn có một
máy chủ DNS bên trong được sử dụng cho tất cả các tên, Active Directory,…
Máy chủ DNS này được cấu hình trên tất cả các máy khách. Mặc dù vậy,

máy chủ DNS này không quan tâm đến các tên trong Internet, vì vậy khi máy
chủ DNS nhận được một yêu cầu có ý nghĩa với Internet thì sự truy vấn được
chuyển tiếp đến một máy chủ DNS khác có thể giải quyết được yêu cầu này.
Điều này sẽ bảo vệ được máy chủ DNS bên trong của bạn tránh phải nhiều
bất cập không cần thiết trong mạng bên ngoài.

Hình 2: Chuyển tiếp cho một máy chủ Windows DNS
Một tùy chọn khác là việc chuyển tiếp có hướng. Điều này có thể bảo đảm
được tất cả các yêu cầu đều được chuyển hướng đến đúng máy chủ DNS,
điều này làm giảm đáng kể các thông tin sai và sự sửa đổi nhỏ nhất. Tùy chọn
này được gọi là chuyển tiếp điều kiện, được hiển thị trong phần trên của hình
2. Chúng có thể được sử dụng trong môi trường có nhiều không gian tên
DNS bên trong và bạn không muốn dựa vào Internet hoặc một số cơ sở hạ
tầng DNS cộng tác khác để giải quyết về các tên. Ở đây, bạn đơn giản có một
máy chủ DNS chuyển tiếp các yêu cầu đến một không gian tên khác cho các
máy khách.

Kết luận

DNS có thể là phức tạp, nhưng khi chia nhỏ nó thành từng phần nhỏ thì nó
không phức tạp chút nào, và có thể bảo vệ một cách thích đáng. Ở đây, bạn
đã thấy được DNS có thể bảo vệ cơ sở dữ liệu bằng cách cấu hình với các
máy chủ DSN nhận sự di chuyển vùng. Trong tình huống này, vùng Active
Directory và vùng chính của bạn sẽ có các máy chủ DNS thứ yếu để chúng có
thể truyền thông với nhau. Không có cấu hình này thì các máy chủ DNS giả
mạo có thể lấy cắp tất cả các thông tin quan trọng trên mạng của bạn. Một
bước khác là làm cho sự di chuyển DNS an toàn. Các máy chủ DNS an toàn
có thể thông qua sự tích hợp Active Directory, hoặc các công nghệ tinh vi
hơn như IPSec hoặc đường hầm VPN. Cuối cùng, kiểm soát việc chuyển tiếp
DNS của bạn có thể bảo đảm giải pháp tên trở nên tỉ mỉ hơn, an toàn hơn, và

điều đó bảo vệ được các máy chủ DNS bên trong khỏi bị sai với các thông tin
không chính xác.