BÀI TẬP LỚN MÔN AN TOÀN MẠNG MÁY TÍNH
Đề tài: Tìm hiểu về biện pháp bảo mật DNS
Nhóm 9 gồm : Nguyễn Đăng Định
Huỳnh Thị Mai Duyên
Nguyễn Văn Hiển
Giáo viên hướng dẫn: Hoàng Sỹ Tương

Mục lục:
Chương I: Tổng quan về DNS
1. DNS là gì? …………………………………………………………..4
2. Chức năng của DNS…………………………………………………5
3. Nguyên tắc làm việc của DNS………………………………………5
4. Cách sử dụng DNS …………………………………………………5
5. Cấu trúc gói tin DNS ……………………………………………….5
Chương II: Bảo mật DNS
1. Những vấn đề trong bảo mật DNS
1.1 Thỏa hiệp file vùng DNS ..…………………………………………..7
1.2 Lỗ hổng thông tin vùng DNS…………………………………………7
1.3 Nâng cấp động bị thỏa hiệp ………………………………………….8
1.4 Gây lụt máy khách DNS ………….………………………………….9
1.5 Giả mạo cache ……………………….……………………………….9
2. Bảo vệ DNS cho windows
2.1 Di chuyển vùng ………………………………………………………10
2.2 Bảo mật di chuyển vùng ……………………………………………..11
2.3 Chuyển tiếp …………………………….…………………………….12

Chương III: Giải pháp bảo mật DNS
1.
2.
3.
4.

5.
6.
7.
8.

Sử dụng DNS Forwarder ………………….…………………………..15
Sử dụng máy chủ DNS lưu trữ ………………………………………..15
Sử dụng DNS Advertiser …………………………………...…………16
Sử dụng DNS Resolver ………………………..………………………16
Bảo vệ bộ nhớ đệm DNS ………………………………………………16
Bảo mật kết nối bằng DDNS …………………………………..………17
Ngừng chạy Zone Transfer …………………………………….………17
Sử dụng Firewall kiểm soát truy cập DNS …………………….………17
Page 1


9. Cài đặt kiểm soát truy cập vào Registry của DNS …………….……….18
10. Cài đặt kiểm soát truy cập vào file hệ thống DNS …………….………18

10.1

Page 2


Lời nói đầu
Mỗi máy tính trên mạng muốn liên lạc với nhau cần biết địa chỉ IP của nhau. Địa chỉ
IP là một chuỗi gồm bốn phần, phân tách nhau dấu chấm. Vì số máy trên mạng ngày một
nhiều, thế nên việc nhớ địa chỉ IP là một việc vô cùng khó khăn, vì lý do DNS đã được ra
đời. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia.
Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị

phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết
bị khắp thế giới. Vì thế việc bảo mật DNS là một nhiệm vụ vô cùng quan trọng, đây cũng là
mục đích của bài nghiên cứu này.

Page 3


Chương I
Tổng quan về DNS
1. DNS là gì?

DNS là từ viết tắt trong tiếng Anh của Domain Name System, là hệ thống tên miền
được phát minh vào năm 1984 cho Internet, là hệ thống cho phép thiết lập tương ứng giữa
địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho
máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông
tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nó
chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các
trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.
Nó phục vụ như một “Danh bạ điện thoại” để tìm trên Internet bằng cách dịch tên
máy chủ máy tính thành địa chỉ IP Ví dụ, www.google.com dịch thành 74.125.128.100.
Hệ thống tên miền giúp chỉ định tên miền cho các nhóm người sử dụng Internet một
cách có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng. Bởi vì điều này, World-Wide
Web (WWW) có thể duy trì ổn định và cố định ngay cả khi định tuyến dòng Internet thay
đổi hoặc những người tham gia sử dụng một thiết bị di động. Tên miền internet dễ nhớ hơn
các địa chỉ IP như là 208.77.188.166 (IPv4) hoặc 2001: db8: 1f70:: 999: de8: 7648:6 e8
(IPv6).
Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ tên tới địa chỉ
IP bằng cách định rõ những máy chủ có thẩm quyền cho mỗi tên miền. Những máy chủ có
tên thẩm quyền được phân công chịu trách nhiệm đối với tên miền riêng của họ, và lần lượt
có thể chỉ định tên máy chủ khác độc quyền của họ cho các tên miền phụ. Kỹ thuật này đã

thực hiện các cơ chế phân phối DNS, chịu đựng lỗi, và giúp tránh sự cần thiết cho một
trung tâm đơn lẻ để đăng kí được tư vấn và liên tục cập nhật.
Nhìn chung, Hệ thống tên miền cũng lưu trữ các loại thông tin khác, chẳng hạn như
danh sách các máy chủ email mà chấp nhận thư điện tử cho một tên miền Internet. Bằng
cách cung cấp cho một thế giới rộng lớn, phân phối từ khóa – cơ sở của dịch vụ đổi
hướng , Hệ thống tên miền là một thành phần thiết yếu cho các chức năng của Internet. Các
định dạng khác như các thẻ RFID, mã số UPC, kí tự Quốc tế trong địa chỉ email và tên
máy chủ, và một loạt các định dạng khác có thể có khả năng sử dụng DNS

Page 4


2. Chức năng của DNS:

Mỗi Website có một tên (là tên miền hay đường dẫn URL (Uniform Resource Locator)
và một địa chỉ IP. Địa chỉ IP gồm 4 nhóm số cách nhau bằng dấu chấm (IPv4). Khi mở một
trình duyệt Web và nhập tên website, trình duyệt sẽ đến thẳng website mà không cần phải
thông qua việc nhập địa chỉ IP của trang web. Quá trình "dịch" tên miền thành địa chỉ IP để
cho trình duyệt hiểu và truy cập được vào website là công việc của một DNS server. Các
DNS trợ giúp qua lại với nhau để dịch địa chỉ "IP" thành "tên" và ngược lại. Người sử dụng
chỉ cần nhớ "tên", không cần phải nhớ địa chỉ IP (địa chỉ IP là những con số rất khó nhớ).
3. Nguyên tắc làm việc của DNS:

- Mỗi nhà cung cấp dịch vụ vận hành và duy trì DNS server riêng của mình, gồm các
máy bên trong phần riêng của mỗi nhà cung cấp dịch vụ đó trong Internet. Tức là, nếu một
trình duyệt tìm kiếm địa chỉ của một website thì DNS server phân giải tên website này phải
là DNS server của chính tổ chức quản lý website đó chứ không phải là của một tổ chức (nhà
cung cấp dịch vụ) nào khác.
- INTERNIC (Internet Network Information Center) chịu trách nhiệm theo dõi các tên
miền và các DNS server tương ứng. INTERNIC là một tổ chức được thành lập bởi NFS

(National Science Foundation), AT&T và Network Solution, chịu trách nhiệm đăng ký các
tên miền của Internet. INTERNIC chỉ có nhiệm vụ quản lý tất cả các DNS server trên
Internet chứ không có nhiệm vụ phân giải tên cho từng địa chỉ.
- DNS có khả năng tra vấn các DNS server khác để có được 1 cái tên đã được phân
giải. DNS server của mỗi tên miền thường có hai việc khác biệt. Thứ nhất, chịu trách nhiệm
phân giải tên từ các máy bên trong miền về các địa chỉ Internet, cả bên trong lẫn bên ngoài
miền nó quản lí. Thứ hai, chúng trả lời các DNS server bên ngoài đang cố gắng phân giải
những cái tên bên trong miền nó quản lí. - DNS server có khả năng ghi nhớ lại những tên
vừa phân giải. Để dùng cho những yêu cầu phân giải lần sau. Số lượng những tên phân giải
được lưu lại tùy thuộc vào quy mô của từng DNS.
4. Cách sử dụng DNS:
Do các DNS có tốc độ biên dịch khác nhau, có thể nhanh hoặc có thể chậm, do đó
người sử dụng có thể chọn DNS server để sử dụng cho riêng mình. Có các cách chọn lựa cho
người sử dụng. Sử dụng DNS mặc định của nhà cung cấp dịch vụ (internet), trường hợp này
người sử dụng không cần điền địa chỉ DNS vào network connections trong máy của mình.
Sử dụng DNS server khác (miễn phí hoặc trả phí) thì phải điền địa chỉ DNS server vào
network connections. Địa chỉ DNS server cũng là 4 nhóm số cách nhau bởi các dấu chấm.

Page 5


5. Cấu trúc gói tin DNS:

•

•
•
•
•
•

•
•
•
•
•
•
•
•
•
•
•
•
•

ID: Là một trường 16 bits, chứa mã nhận dạng, nó được tạo ra bởi một chương trình để
thay cho truy vấn. Gói tin hồi đáp sẽ dựa vào mã nhận dạng này để hồi đáp lại. Chính
vì vậy mà truy vấn và hồi đáp có thể phù hợp với nhau.
QR: Là một trường 1 bit. Bít này sẽ được thiết lập là 0 nếu là gói tin truy vấn, được
thiết lập là một nếu là gói tin hồi đáp.
Opcode: Là một trường 4 bits, được thiết lập là 0 cho cờ hiệu truy vấn, được thiết lập
là 1 cho truy vấn ngược, và được thiết lập là 2 cho tình trạng truy vấn.
AA: Là trường 1 bit, nếu gói tin hồi đáp được thiết lập là 1, sau đó nó sẽ đi đến một
server có thẫm quyền giải quyết truy vấn.
TC: Là trường 1 bit, trường này sẽ cho biết là gói tin có bị cắt khúc ra do kích thước
gói tin vượt quá băng thông cho phép hay không.
RD: Là trường 1 bit, trường này sẽ cho biết là truy vấn muốn server tiếp tục truy vấn
một cách đệ qui.
RA: Trường 1 bit này sẽ cho biết truy vấn đệ qui có được thực thi trên server không .
Z: Là trường 1 bit. Đây là một trường dự trữ, và được thiết lập là 0.
Rcode: Là trường 4 bits, gói tin hồi đáp sẽ có thể nhận các giá trị sau :

0: Cho biết là không có lỗi trong quá trình truy vấn.
1: Cho biết định dạng gói tin bị lỗi, server không hiểu được truy vấn.
2: Server bị trục trặc, không thực hiện hồi đáp được.
3: Tên bị lỗi. Chỉ có server có đủ thẩm quyền mới có thể thiết lập giá trị náy.
4: Không thi hành. Server không thể thực hiện chức năng này .
5: Server từ chối thực thi truy vấn.
QDcount: Số lần truy vấn của gói tin trong một vấn đề.
ANcount: Số lượng tài nguyên tham gia trong phần trả lời.
NScount: Chỉ ra số lượng tài nguyên được ghi lại trong các phần có thẩm quyền của
gói tin.
ARcount: Chỉ ra số lượng tài nguyên ghi lại trong phần thêm vào của gói tin.

Page 6


Chương II:
Bảo mật DNS
1. Những vấn đề trong bảo mật DNS:

1.1 Thỏa hiệp file vùng DNS:
Máy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trị
viên DNS có thể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh hoặc giao diện
DNS mmc. Một trong những cách hay gặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở
hạ tầng DNS là chỉnh sửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trên
máy chủ DNS hay từ một máy tính ở xa.
Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có một chút kiến
thức về DNS và có thể truy cập máy chủ. Kẻ tấn công có thể ngồi trực tiếp trước màn
hình máy chủ, kết nối thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở
đây có thể là người bên trong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức bảo
mật ở đây là khóa chặn máy chủ DNS, chỉ những người có trách nhiệm mới được truy

cập vào cấu hình DNS, bất cứ phương pháp truy cập từ xa nào đến máy chủ DNS cần
được hạn chế cho những người thực sự cần thiết.
1.2 Lỗ hổng thông tin vùng DNS:
Các file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tên
máy tính này sẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng cấp
động. Các máy chủ DNS trong mạng nội bộ thường chứa tên của tất cả các máy chủ trên
mạng (hoặc tối thiểu cũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máy
chủ Internet, thông thường chúng ta chỉ nhập vào các tên máy chủ muốn truy cập – tuy
nhiên một số có thể tồn tại trong một location được cấu hình bởi ISP và một trong số có
thể nằm trong mạng nội bộ.
Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác được các thông tin
quan trọng về các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu
bạn có một máy chủ có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá trị
đối với kẻ tấn công. Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”.
Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằng nhiều
phương pháp khác nhau. Cho ví dụ, nếu cho phép tất cả các máy có khả năng chuyển
vùng, kẻ đột nhập có thể download toàn bộ cơ sở dữ liệu vùng đến máy tính của anh ta
thông qua cơ chế chuyển vùng. Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công
cũng có thể lợi dụng các truy vấn DNS ngược để dò tìm ra tên máy tính trong mạng. Từ
đó chúng có thể tạo một sơ đồ toàn diện về mạng từ dữ liệu DNS này.
Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các địa chỉ
không được sử dụng trong mạng. Sau đó sử dụng các địa chỉ không được sử dụng này để
thiết lập máy chủ DNS giả mạo, điều này là vì trong một số trường hợp, điều khiển truy
cập mạng được thiết lập cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ
IP riêng biệt.

Page 7


Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghiệp nhỏ

(nơi đang hosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trên
cùng một máy chủ DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong trường hợp
này, bạn sẽ để lộ cả tên bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ
tấn công dễ dàng tìm ra không gian địa chỉ bên trong và các thỏa thuận đặt tên. Thông
thường, chúng sẽ phải đột nhập vào bên trong mạng để khám phá thông tin vùng bên
trong, tuy nhiên khi cùng một máy chủ hosting cả thông tin chung và riêng trên cùng máy
chủ DNS thì kẻ tấn công lúc này sẽ có cơ hội lớn để tấn công bạn.
1.3 Nâng cấp động bị thỏa hiệp:
Các nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì phải tự tạo
các bản ghi cho tất cả máy khách và máy chủ, tất cả những gì bạn cần thực hiện lúc này
là kích hoạt các nâng cấp DNS động trên cả máy chủ và máy khách. Khi sử dụng máy
khách và máy chủ DNS Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng
cấp DNS động. Với nâng cấp động này, chỉ cần bật chức năng và để cho các máy tính tự
đăng ký trong DNS; bạn không cần phải tự tạo bản ghi DNS.
Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng vậy, sự
thuận tiện này cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS động. Có rất nhiều
cách có thể thực hiện các nâng cấp DNS động này, có thể phân loại chúng thành hai
mảng: nâng cấp an toàn và không an toàn. Với các nâng cấp an toàn, hệ thống khách cần
phải được thẩm định (cho ví dụ, sử dụng tài khoản máy tính chứa trong Active Directory)
trước khi có thể tự nâng cấp. Các nâng cấp không an toàn xuất hiện khi bạn cho phép bất
cứ host nào cũng có thể đăng ký địa chỉ của nó trong DNS mà không yêu cầu thẩm định.
Tuy nhiên các nâng cấp động an toàn không phải tất cả đều giống nhau. Cho ví dụ,
nếu bạn hạn chế chỉ những quản trị viên miền hay quản trị viên bảo mật mới có thể gia
nhập miền, khi đó các nâng cấp DNS động tỏ ra khá an toàn trong môi trường Windows.
Tuy nhiên nếu cho phép bất cứ ai cũng có thể join máy tính của họ vào miền, bạn vấn đề
bảo mật ở đây sẽ bị giảm đi đáng kể.
Khi nâng cấp động bị thỏa hiệp, kẻ tấn công có thể thay đổi các thông tin trong bản
ghi để các tên máy tính sẽ được redirect đến các máy chủ mà kẻ tấn công thiết lập nhằm
đạt được các mục đích của chúng (chẳng hạn như load phần mềm mã độc vào máy tính
để biến nó trở thành một phần trong botnet mà kẻ tấn công đang điều khiển). Một vấn đề

khác kẻ tấn công có thể thực hiện trong tình huống này là thực hiện tấn công từ chối dịch
vụ mức đơn giản bằng cách xóa bản ghi chính, chẳng hạn như các bản ghi cho máy chủ
DNS hay bộ điều khiển miền.
1.4 Từ chối dịch vụ DNS bằng cách gây lụt máy khách:
Nói đến DoS, nếu chưa bao giờ gặp phải kiểu tấn công này thì hãy xem đó như một
may mắn đối với bạn. Do các truy vấn DNS không được thẩm định nên máy chủ DNS
luôn cố gắng trả lời các truy vấn mà nó nhận được. Điều này có nghĩa rất dễ có thể thực
hiện một tấn công từ chối dịch vụ đối với một máy chủ DNS. Có khá nhiều botnet có thể

Page 8


tạo các kiểu tấn công DDoS để vô hiệu hóa máy chủ DNS đủ lâu cho kẻ tấn công thiết
lập máy chủ DNS giả mạo để trả lời các truy vấn.
Người dùng không có cách nào biết được máy chủ DNS mới là máy chủ giả mạo,
họ sẽ bị redirect đến máy chủ của kẻ tấn công. Các site này thường được thiết kế để giống
các site thật và sử dụng sự tin tưởng của người dùng vào các site thực ể tăng sự truy cập
vào thông tin nhận dạng cá nhân, sau đó là thực hiện các tấn công kiểu này.
1.5 Giả mạo cache:
Máy chủ DNS này sẽ truy vấn máy chủ DNS khác để lấy thông tin. Để cải thiện
hiệu suất cho toàn bộ cơ sở hạ tầng DNS, các máy chủ DNS sẽ lưu các kết quả truy vấn
trong một khoảng thời gian trước đó vào các bản ghi để cung cấp sự phân giải tên. Nếu
truy vấn thứ hai có cùng tên trước khi timeout, máy chủ DNS sẽ đáp trả các thông tin mà
nó đã lưu trong DNS cache thay vì truy vấn sang máy chủ DNS khác.
Tuy có thể cải thiện đáng kể được hiệu suất tổng thể nhưng cách thực hiện này gây
ra một lỗ hổng bảo mật. Lỗ hổng bảo mật bị khai thác ở đây được gọi là “DNS cache
poisoning” có nghĩa là giả mạo DNS. Việc giả mạo DNS diễn ra khi máy chủ DNS gửi
một truy vấn đến máy chủ DNS khác và máy chủ DNS đó trả về các thông tin không
đúng. Trong hầu hết các trường hợp, máy chủ DNS trả về các thông tin sai là các máy
chủ đã bị thỏa hiệp.

Việc giả mạo cache có thể diễn ra vì các máy chủ DNS không kiểm tra sự hợp lệ
của các đáp trả, cũng như không thực hiện thẩm định các đáp trả mà chúng nhận được từ
máy chủ DNS khác. Máy chủ DNS “khách” sẽ nhận được thông tin trong đáp trả và lưu
thông tin đó, sau đó cung cấp thông tin sai đến các máy được cấu hình là máy khách DNS
của máy chủ này.

Page 9


2. Bảo vệ DNS cho window:
2.1

Di chuyển vùng:

Khi nói đến vùng DNS, phải hiểu là có nhiều loại vùng khác nhau có thể thiết lập
bên trong môi trường DNS. Mặc dù chúng ta cần tập trung vào một số vùng có thể,
nhưng ở đây vẫn đưa ra một danh sách tất cả các vùng mà có thể thiết lập trong DNS.
Active Directory integrated Zone
Primary Zone
Secondary Zone
Stub Zone
Vùng tích hợp Active Directory là vùng thực hiện viết cơ sở dữ liệu DNS. Các
vùng thứ yếu không thực hiện công việc này mà chúng chỉ nhận các bản nâng cấp từ
vùng DNS chủ yếu. Các nâng cấp từ vùng chủ yếu vào vùng thứ yếu được gọi là di
chuyển vùng.
Giao diện sự di chuyển vùng khá rõ ràng thông qua các tùy chọn, có thể thấy được
điều này qua hình 1. Chúng ta có thể cho phép bất kỳ máy chủ DNS nào nhận các nội
dung của vùng chủ yếu hoặc hạn chế nó để chỉ có thể chọn một số DNS nhất định. Rõ
ràng, với các mục đích bảo mật, chúng ta sẽ muốn hạn chế phạm vi của các máy chủ
DNS được phép nhận địa chỉ IP và tên miền của tất cả máy tính trong tổ chức.


Page 10


Hình 1: Giao diện di chuyển vùng cho Windows DNS
2.2 Bảo mật di chuyển vùng:
Có một số tùy chọn để bảo vệ DNS và sự di chuyển vùng. Tuy nhiên chìa khóa của
vấn đề vẫn là cách thiết lập môi trường DNS như thế nào.
Page 11


Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS để cho
phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửi xuyên qua toàn bộ
mạng. IPSec là cách truyền thông rất chung giữa các máy chủ DNS trên cùng một mạng.
Nếu việc truyền thông giữa các máy chủ DNS của bạn phải đi qua một mạng không an
toàn thì một VPN sẽ được sử dụng. Nếu bạn sử dụng một VPN để bảo vệ dữ liệu xuyên
qua một mạng không được bảo vệ thì cách mà người ta vẫn thường dùng đó là sử dụng
L2TP. L2TP sử dụng một thuật toán mã hóa an toàn dữ liệu khi nó được gửi đi trên mạng.
Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mạng từ một máy chủ DNS
này sang một máy chủ DNS khác là sử dụng sự tích hợp Active Directory. Phương pháp
này yêu cầu các máy chủ DNS phải hoạt động trong cùng một miền Active Directory. Nó
cũng yêu cầu DNS chạy trên một điều khiển miền. Các lợi ích mang lại khá đáng kể bởi
vì dữ liệu được lưu và tái tạo thông qua sự tái tạo Active Directory, bên cạnh đó dữ liệu
được mã hóa khi được gửi đi trên mạng từ máy chủ DNS này sang máy chủ DNS khác.
Lợi ích khác từ chức năng DNS và di chuyển sử dụng Active Directory là tất cả các
truyền thông đều được xác thực ngay ban đầu. Điều này giúp chúng bảo vệ được sự di
chuyển vùng, bắt buộc máy chủ DNS phải xác thực cơ sở dữ liệu Active Directory trước
khi các thông tin này được tái tạo.

2.3 Chuyển tiếp (4 kiểu):


Có một cách khác để bảo vệ môi trường DNS của bạn là sử dụng nhiều tùy chọn cho
việc chuyển tiếp. Điều này có thể giúp bạn duy trì được sự ổn định cơ sở hạ tầng DNS,
trong khi vẫn bảo đảm được các máy tính và ứng dụng có thể truy cập được đúng máy
chủ trên mạng. Có một cặp tùy chọn cho việc chuyển tiếp bên trong môi trường
Microsoft DNS.
Đầu tiên giống như việc chuyển tiếp chuẩn, được thể hiện trong hình 2, tất cả các yêu
cầu không có ý nghĩa cho máy chủ DNS mà đang tồn tại sẽ được gửi đi cùng đến các
máy chủ DNS khác. Đây là một điều lý tưởng khi bạn có một máy chủ DNS bên trong
được sử dụng cho tất cả các tên, Active Directory,… Máy chủ DNS này được cấu hình
Page 12


trên tất cả các máy khách. Mặc dù vậy, máy chủ DNS này không quan tâm đến các tên
trong Internet, vì vậy khi máy chủ DNS nhận được một yêu cầu có ý nghĩa với Internet
thì sự truy vấn được chuyển tiếp đến một máy chủ DNS khác có thể giải quyết được yêu
cầu này. Điều này sẽ bảo vệ được máy chủ DNS bên trong của bạn tránh phải nhiều bất
cập không cần thiết trong mạng bên ngoài.

Page 13


Hình 2: Chuyển tiếp cho một máy chủ Windows DNS
Một tùy chọn khác là việc chuyển tiếp có hướng. Điều này có thể bảo đảm được tất
cả các yêu cầu đều được chuyển hướng đến đúng máy chủ DNS, điều này làm giảm đáng
kể các thông tin sai và sự sửa đổi nhỏ nhất. Tùy chọn này được gọi là chuyển tiếp điều
kiện, được hiển thị trong phần trên của hình 2. Chúng có thể được sử dụng trong môi
trường có nhiều không gian tên DNS bên trong và bạn không muốn dựa vào Internet hoặc
một số cơ sở hạ tầng DNS cộng tác khác để giải quyết về các tên. Ở đây, bạn đơn giản có
một máy chủ DNS chuyển tiếp các yêu cầu đến một không gian tên khác cho các máy

khách.
 Như vậy, DNS có thể là phức tạp, nhưng khi chia nhỏ nó thành từng phần nhỏ thì nó

không phức tạp chút nào, và có thể bảo vệ một cách thích đáng. Ở đây, bạn đã thấy được
DNS có thể bảo vệ cơ sở dữ liệu bằng cách cấu hình với các máy chủ DSN nhận sự di
chuyển vùng. Trong tình huống này, vùng Active Directory và vùng chính của bạn sẽ có
Page 14


các máy chủ DNS thứ yếu để chúng có thể truyền thông với nhau. Không có cấu hình
này thì các máy chủ DNS giả mạo có thể lấy cắp tất cả các thông tin quan trọng trên
mạng của bạn. Một bước khác là làm cho sự di chuyển DNS an toàn. Các máy chủ DNS
an toàn có thể thông qua sự tích hợp Active Directory, hoặc các công nghệ tinh vi hơn
như IPSec hoặc đường hầm VPN. Cuối cùng, kiểm soát việc chuyển tiếp DNS của bạn
có thể bảo đảm giải pháp tên trở nên tỉ mỉ hơn, an toàn hơn, và điều đó bảo vệ được các
máy chủ DNS bên trong khỏi bị sai với các thông tin không chính xác.

Page 15


Chương III:
Giải pháp bảo mật DNS
Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉ IP
trên Internet và trên mạng cá nhân nền tảng TCP/IP. Máy chủ DNS thường là mục tiêu mà tin
tặc khai thác và tấn công, tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng
một số phương pháp sau:
1. Sử dụng DNS Forwarder
DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay cho
nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý
khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder,

và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder.

Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu cầu
trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng đặc biệt quan
trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS. Thay vì cho phép những
máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ DNS khác, nó
cấu hình cho máy chủ DNS nội bộ sử dụng một Forwader cho tất cả các miền không được
phân quyền.
2. Sử dụng máy chủ DNS lưu trữ
Máy chủ DNS lưu trữ là một máy chủ DNS không thể phân quyền cho bất kì miền DNS nào.
Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một Forwarder. Khi máy chủ này nhận
một phản hồi, nó sẽ lưu kết quả và chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy
chủ DNS lưu trữ. Sau đó, máy chủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng
kể thời gian phản hồi cho những máy trạm DNS của máy chủ DNS lưu trữ.
Page 16


Những máy chủ DNS lưu trữ có thể cải thiện bảo mật cho công ty khi được sử dụng như một
Forwarder trong nhóm công cụ quản trị của bạn. Những máy chủ DNS nội bộ có thể được
cài đặt để sử dụng máy chủ DNS lưu trữ như trình chuyển đổi của chúng, và máy chủ DNS
lưu trữ thực hiện gọi lại lệnh thay cho những máy chủ DNS nội bộ. Việc sử dụng những máy
chủ DNS lưu trữ như những Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ
thuộc vào những máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạn
không tin tưởng vào cài đặt bảo mật trên máy chủ DNS của họ.
3. Sử dụng DNS Advertiser
DNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện truy vấn cho những miền
mà DNS Advertiser được phân quyền. Ví dụ, nếu bạn lưu trữ tài nguyên cho domain.com và
corp.com, máy chủ DNS công cộng sẽ được cấu hình với vùng file DNS cho miền
domain.com và corp.com.
Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó là DNS

Advertiser trả lời những truy vấn từ tên miền mà nó phân quyền. Máy chủ DNS sẽ không gọi
lại truy vấn được gửi tới những máy chủ khác. Điều này ngăn cản người dùng sử dụng máy
chủ DNS công để xử lý nhiều tên miền khác nhau, và làm tăng khả năng bảo mật bằng cách
giảm bớt những nguy cơ khi chạy DNS Resolver công cộng (gây tổn hại bộ nhớ đệm).
4. Sử dụng DNS Resolver
DNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để xử lý tên cho những
miền không được máy chủ DNS phân quyền. Ví dụ, bạn có thể sử dụng một máy chủ DNS
được phân quyền trong mạng nội bộ cho miền mạng nội bộ internalcorp.com. Khi một máy
trạm trong mạng sử dụng máy chủ DNS này để đặt tên quantrimang.com, máy chủ DNS đó
sẽ gọi lại lệnh bằng cách truy lục kết quả trên những máy chủ DNS khác.
Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS Resolver được dùng để đặt
tên cho máy chủ Internet. Resolver có thể là một máy chủ DNS lưu trữ không được phân
quyền cho bất kì miền DNS nào. Admin có thể chỉ cho phép người dùng nội bộ sử dụng
DNS Resolver, hay chỉ cho phép người dùng ngoài sử dụng để cung cấp bảo mật khi sử dụng
một máy chủ DNS bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cá người
dùng nội bộ và người dùng ngoài truy cập vào DNS Resolver.
5. Bảo vệ bộ nhớ đệm DNS
“Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết máy chủ DNS có thể
lưu trữ kết quả truy vấn DNS trước khi chuyển tiếp phản hồi tới máy chủ gửi truy vấn. Bộ
nhớ đệm DNS có thể cải thiện đáng kể khả năng thực hiện truy vấn DNS. Nếu bộ nhớ đệm
máy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng có thể bị chuyển tiếp
Page 17


tới những website độc hại thay vì những website dự định truy cập.
Hầu hết máy chủ DNS có thể được cấu hình chống “ô nhiễm” bộ nhớ đệm. Ví dụ. máy chủ
DNS Windows Server 2003 được cấu hình mặc định chống “ô nhiễm bộ” nhớ đệm. Nếu
đang sử dụng máy chủ DNS Windows 2000, bạn có thể cài đặt chống ô nhiễm bằng cách mở
hộp thoại Properties trong máy chủ DNS, chọn tab Advanced, sau đó đánh dấu hộp chọn
Prevent Cache Pollution và khởi động lại máy chủ DNS.

6. Bảo mật kết nối bằng DDNS
Nhiều máy chủ DNS cho phép cập nhật động. Tính năng cập nhật động giúp những máy chủ
DNS này đăng ký tên máy chủ DNS và địa chỉ IP cho những máy chủ DHCP chứa địa chỉ IP.
DDNS có thể là một công cụ hỗ trợ quản trị hiệu quả trong khi cấu hình thủ công những mẫu
tài nguyên DNS cho những máy chủ này.
Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây ra một vấn đề về bảo
mật. Người dùng xấu có thể cấu hình máy chủ cập nhật động những tài nguyên trên máy chủ
DNS (như máy chủ dữ liệu, máy chủ web hay máy chủ cơ sở dữ liệu) và định hướng kết nối
tới máy chủ đích sang PC của họ.
Bạn có thể giảm nguy cơ gặp phải những bản cập nhập DNS độc hai bằng cách yêu cầu bảo
mật kết nối tới máy chủ DNS để cập nhật động. Điều này có thể dễ dàng thực hiện bằng cách
cài đặt máy chủ DNS sử dụng những vùng tương hợp Active Directory và yêu cầu bảo mật
cập nhật động. Tất cả miền thành viên có thể cập nhật động thông tin DNS một cách bảo mật
sau khi thực hiện cài đặt.
7. Ngừng chạy Zone Transfer
Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS chính và máy chủ DNS phụ.
Những máy chủ DNS chính được phân quyền cho những miền cụ thể chứa vùng file DNS có
thể ghi và cập nhật khi cần thiết. Máy chủ DNS phụ nhận một bản sao chỉ đọc của những
vùng file này từ máy chủ DNS chính. Máy chủ DNS phụ được sử dụng để tăng khă năng
thực thi truy vấn DNS trong một tổ chức hay trên Internet.
Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ. Bất cứ ai cũng có thể chạy một
truy vấn DNS cấu hình máy chủ DNS để cho phép Zone Transfer kết xuất toàn bộ vùng file
cơ sở dữ liệu. Người dùng xấu có thể sử dụng thông tin này để thăm dò giản đồ tên trong
công ty và tấn công dịch vụ cấu trúc hạ tầng chủ chốt. Bạn có thể ngăn chặn điều này bằng
cách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ
DNS cho phép Zone Transfer chỉ từ chối yêu cầu của một số máy chủ nhất định.
8. Sử dụng Firewall kiểm soát truy cập DNS
Page 18



Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với những người dùng kết nối
máy chủ DNS. Với những máy chủ DNS chỉ sử dụng cho những truy vấn từ máy trạm nội
bộ, admin cần phải cấu hình firewall để chặn kết nối từ những máy chủ ngoài vào những
máy chủ DNS này. Với những máy chủ DNS được sử dụng như Forwarder lưu trữ, firewall
cần được cấu hình chỉ cho phép nhận những truy vấn DNS từ máy chủ DNS được sử dụng
như Forwarder lưu trữ. Một cài đặt firewall policy rất quan trọng đó là chặn những người
dùng nội bộ sử dụng giao tiếp DNS kết nối vào những máy chủ DNS ngoài.
9. Cài đặt kiểm soát truy cập vào Registry của DNS
Trên những máy chủ DNS nền tảng Windows, kiểm soát truy cập cần được cấu hình trong
những cài đặt Registry liên quan tới máy chủ DNS để cho phép những tài khoản được yêu
cầu truy cập đọc và thay đổi cài đặt của Registry.
Key DNS trong HKLM\CurrentControlSet\Services cần được cấu hình chỉ cho phép Admin
và tài khoản hệ thống truy cập, ngoài ra những tài khoản này cần được cấp quyền Full
Control.
10. Cài đặt kiểm soát truy cập vào file hệ thống DNS
Trên những máy chủ DNS nền tảng Windows, bạn nên cấu hình kiểm soát truy cập trên file
hệ thống liên quan tới máy chủ DNS vì vậy chỉ những tài khoản yêu cầu truy cập vào chúng
được cho phép đọc hay thay đổi những file này.
Thư mục %system_directory%\DNS và những thư mục con cần được cài đặt chỉ cho phép
tài khoản hệ thống truy cập vào, và tài khoản hệ thống cần được cấp quyền Full Control

Page 19


Kết luận:
Qua bài nghiên cứu này, chúng ta có thể hiểu được DNS là gì, cách thức hoạt động của nó,
các lỗ hổng bảo mật liên quan tới DNS và có thể triển khai các biện pháp để bảo vệ DNS
trước những nguy cơ, lỗ hổng đó.
Tài liệu tham khảo: wikipedia, internet.


Page 20


Page 21