Tìm hiểu về DHCP Server Security (phần 2)

Trong phần 1, chúng ta đã điểm qua 1 vài tình huống điển hình thường
gặp của DHCP server cùng vài phương pháp cơ bản để phòng tránh.
Trong phần 2 này, chúng ta sẽ tiếp tục với những phương pháp hiệu quả và
công cụ sử dụng để tăng cường tính bảo mật của DHCP server trong nền
tảng Windows 2000 và Windows Server 2003.
Tìm hiểu về DHCP Server Auditing
Việc kiểm soát cơ sở dữ liệu DHCP trên DHCP server sẽ giúp bạn xác định
các DHCP client đang nhận được địa chỉ trực tiếp từ server tốt hơn. Bên


cạnh đó, quá trình này cũng giúp bạn nhận biết các thành phần
BAD_ADDRESS trong cơ sở dữ liệu, và nơi xuất xứ của chúng … những
thông tin này thực sự hữu ích, khi chúng có thể gây ra những địa chỉ xung
đột khi hệ thống DHCP server giả mạo tiến hành gán địa chỉ trong khi chúng
vẫn đang được sử dụng.
Để kích hoạt tính năng kiểm soát trên toàn bộ hệ thống DHCP server, mở
bảng điều khiển DHCP console để kết nối tới DHCP server trên hệ thống
mạng. Kích chuột phải lên server node và chọn Properties, trên thẻ
General, đánh dấu vào ô Enable DHCP audit logging:

Các bản ghi kiểm soát DHCP được lưu trữ mặc định trong thư mục
%windir%\system32\dhcp, nhưng người dùng có thể thay đổi qua thẻ
Advance. Các bản ghi này được tạo ra hoặc gắn liền với các danh mục công
việc hàng ngày có tên là DhcpSrvLog-Mon.log, DhcpSrvLog-Tue.log …
Mỗi bản ghi này sẽ bắt đầu với ID của sự kiện tương ứng, và phần đầu bản
ghi lưu trữ danh sách các ID với giải thích chi tiết. Ngoài ra, các thao tác tùy
chỉnh cũng có thể được làm thông qua khóa

HKLM\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameter
s trong Registry:
- DhcpLogFilesMaxSize chỉ định dung lượng tối đa đối với tất cả file bản
ghi lưu trữ DHCP (mặc định là 7 MB)
- DhcpLogDiskSpaceCheckInterval quy định cụ thể việc kiểm tra dung
lượng đĩa sử dụng của DHCP (chế độ mặc định là 50 phút)
- DhcpLogMinSpaceOnDisk xác định mức không gian trống tối thiểu để
khóa tạm thời chức năng đăng nhập (mức mặc định là 20 MB)
DHCP Administrators Group
Trước kia, với 1 số hệ thống thì các thành viên trong nhóm Domain Admins
có toàn quyền thiết lập DHCP trên server, và bạn cũng có thể ủy quyền cho
những tài khoản người dùng với những công việc phù hợp để quản lý DHCP
của hệ thống. Để làm việc này, mở Active Directory Users and Computers
và thêm tên tài khoản người dùng vào nhóm DHCP Administrators:


Cơ chế này tạo cho người dùng khả năng quản lý trực tiếp DHCP server trên
hệ thống mà không cần phải cấp quyền, phân quyền hay xác thực cho tài
khoản quản trị đó để thực hiện các tác vụ khác. Tuy nhiên, 1 vấn đề nảy sinh
ở đây là làm thế nào để quản lý tất cả thành viên trong nhóm DHCP
Administrators để chắc chắn rằng không có tài khoản trái phép hoặc giả mạo
nào đã được thêm vào nhóm này?
Bên cạnh đó, bạn có thể theo dõi các thành viên của các nhóm quan trọng
như DHCP Administrators bằng chức năng Restricted Groups của Group
Policy. Để làm việc này, sử dụng Active Directory Users and Computers
để mở Default Domain Policy và chuyển tới Computer
Configuration\Windows Settings\Security Settings\Restricted Groups:

Kích chuột phải lên Restricted Groups và chọn Add Group, ở đây chúng
ta chỉ định DHCP Administrators là nhóm người dùng cần theo dõi:



Bấm OK, chọn tiếp nút Add trong bảng thuộc tính tiếp theo để chỉ định
riêng biệt những tài khoản nào được phép trở thành thành viên của nhóm.
Tìm hiểu về DHCP Server Security (phần 2)
Cập nhật lúc 09h20' ngày 09/07/2010
•

Bản in

•

Gửi cho bạn bè

•

Phản hồi

Xem thêm: tìm hiểu, áp dụng, hệ thống, bảo mật, dhcp, server, security
Trang: [1] [2]
Lưu ý rằng, cho dù nhóm đã có thành viên trong đó, nhưng bạn vẫn phải
thực hiện bước này và nhận dạng từng thành viên trong nhóm đó 1 lần nữa:


Nhấn OK và thành viên trong nhóm DHCP Administrators đã được giới hạn
như mong muốn (ở ví dụ này là tài khoản Bob Smith):


Những gì sẽ xảy ra khi chúng ta thực hiện bước làm phía trên, mỗi khi
Group Policy tiến hành refresh toàn bộ thành viên của domain controller

(thông thường là 5 phút 1 lần) trong nhóm DHCP Administrators được kiểm
tra, hoặc do sự cố (phần mềm độc hại) mà 1 số tài khoản (ở đây là Mary
Smith) khi được thêm vào nhóm, sau đó lại tự động bị xóa bỏ, sự kiện ID
637 sẽ được ghi lại Security log nếu bạn đã kích hoạt tính năng quản lý,
kiểm soát các tài khoản. Và, các thành viên thuộc nhóm DHCP
Administrators sẽ được theo dõi, quản lý chặt chẽ như mong muốn.
Lưu ý rằng Windows 2000 có đi kèm với 1 nhóm tài khoản khác gọi là
DHCP Users, có thể được sử dụng để gán quyền cho các tài khoản người
dùng với thuộc tính read-only bằng DHCP console, và các thành viên trong
nhóm này cũng được điều khiển theo cách tương tự sử dụng Restricted
Groups.
DNSUpdateProxy Group
Trên hệ thống mạng của Windows, DHCP và DNS có thể làm việc cùng
nhau để đơn giản hóa quá trình thiết lập, tùy chỉnh các hoạt động của hệ
thống mạng. Thông thường, những vấn đề thường xuyên xảy ra là việc
DHCP client đăng ký một bản ghi (host) trực tiếp với DNS server, trong khi
bản ghi PTR (pointer) được đăng ký thay vì client bởi DHCP server. Điều


này có nghĩa là các cuộc tấn công nhắm vào DHCP server có thể kiểm soát
thông qua các bản ghi đã đăng ký với hệ thống DNS server và tiếp tục được
sử dụng để chuyển hướng traffic tới các trang web xấu, hoặc gây ra hiện
tượng Denial Of Service – DoS. Nếu bạn “biến” DHCP server thành 1 thành
viên của nhóm DNSUpdateProxy, hệ thống DHCP server của bạn sẽ không
bị mất quyền sở hữu hoặc các bản ghi dữ liệu của client. Các làm này chủ
yếu được sử dụng khi cập nhật, nâng cấp từ Windows NT để đảm bảo rằng
các client cấp dưới không hỗ trợ DNS có thể bị mất quyển sở hữu khi đang
nâng cấp tới Windows 2000 hoặc Windows XP.
Điểm lợi của việc làm này là bạn chỉ nên thêm các tài khoản computer của
DHCP server tới nhóm DNSUpdateProxy nếu bạn có ý định nâng cấp từ các

phiên bản trước của Windows 2000 thành Windows 2000 or Windows XP. 1
điểm lưu ý nữa là không bao giờ thêm DHCP server vào nhóm
DNSUpdateProxy nếu hệ thống DHCP server đang hoạt động trên domain
controller.
Dấu hiệu phát hiện DHCP Servers giả mạo
Cuối cùng, chúng tôi sẽ giới thiệu với các bạn 1 số công cụ hữu ích để phát
hiện dấu hiệu nghi ngờ của DHCP server giả mạo trên hệ thống qua đó có
thể phòng tránh 1 cách dễ dàng và đơn giản. Chủ yếu chúng ta sẽ sử dụng
công cụ kết hợp của Microsoft và các nguồn third-party khác.
Dhcploc.exe
Dhcploc.exe là công cụ với giao diện dòng lệnh, là 1 phần của Windows
Support Tools nằm trong thư mục \Support\Tools trên đĩa cài đặt XP hoặc tại
đây, và được dùng để hiển thị danh sách tất cả các DHCP server đang được
kích hoạt trên hệ thống subnet nội bộ. Hiện tại, Dhcploc.exe vẫn được sử
dụng từ Windows NT 4.0, với cơ chế hoạt động bằng cách gửi các tin nhắn
DHCPREQUEST, đồng thời hiển thị địa chỉ IP của DHCP server phản hồi
lại cùng với DHCPACK. Các bạn có thể tìm thấy cú pháp sử dụng trong file
Help đi kèm khi tiến hành cài đặt Support Tools lên hệ thống.
dhcp_probe
1 nhóm nghiên cứu - Network Systems Group của trường đại học Princeton
đã phát triển 1 công cụ gọi là dhcp_probe, có khả năng phát hiện DHCP và
BOOTP server thông qua Ethernet. Phiên bản có sẵn trước đó được xây
dựng để hoạt động trên Solaris 8 và SPARC cùng với gcc, và 1 vài bản vá để
hoạt động trên Linux. Tùy vào nền tảng hệ điều hành đang sử dụng mà bạn
có thể tìm được công cụ phù hợp trên trang của Network Systems Group
hoặc tải dhcp_probe trực tiếp tại đây.