10 biện pháp bảo mật DNS
Ngu
ồ
n:quantrimang.com
Quản trị mạng - Hệ thống tên miền (DNS) được sử dụng để xác định từ tên
máy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảng
TCP/IP. Máy chủ DNS thường là mục tiêu mà tin tặc khai thác và tấn công,
tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng một số
phương pháp sau:

1. Sử dụng DNS Forwarder

DNS Forwarder (Trình chuyển tiếp) là một máy chủ
DNS thực hiện truy vấn DNS
thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ
những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp
những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên
DNS Forwarder.

Một chức năng khác của DNS Forwarder đó
là ngăn cản máy chủ DNS chuyển tiếp yêu
cầu trong khi tương tác với những máy chủ
DNS trên Internet. Đ
ây là chức năng đặc
biệt quan trọng vì khi đó máy chủ DNS chứa
tài nguyên bên trong miền DNS. Thay vì cho
phép những máy chủ DNS nội bộ tự thực
hiện gọi lại lệnh và liên lạc với những máy
chủ DNS khác, nó cấu hình cho máy chủ
DNS nội bộ sử dụng một Forwader cho tất
cả các miền không được phân quyền.

Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó là
DNS Advertiser trả lời những truy vấn từ tên miền mà nó phân quyền. Máy chủ
DNS sẽ không gọi lại truy vấn được gửi tới những máy chủ khác. Điều này ngăn
cả
n người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau,
và làm tăng khả năng bảo mật bằng cách giảm bớt những nguy cơ khi chạy DNS
Resolver công cộng (gây tổn hại bộ nhớ đệm).

4. Sử dụng DNS Resolver

DNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để xử lý tên
cho những miền không được máy chủ DNS phân quyền. Ví dụ, bạn có thể sử
dụng m
ột máy chủ DNS được phân quyền trong mạng nội bộ cho miền mạng nội
bộ internalcorp.com. Khi một máy trạm trong mạng sử dụng máy chủ DNS này
để đặt tên quantrimang.com, máy chủ DNS đó sẽ gọi lại lệnh bằng cách truy lục
kết quả trên những máy chủ DNS khác.

Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS Resolver được
dùng để đặt tên cho máy chủ Internet. Resolver có thể là một máy chủ DNS lưu
trữ không được phân quyền cho bất kì mi
ền DNS nào. Admin có thể chỉ cho
phép người dùng nội bộ sử dụng DNS Resolver, hay chỉ cho phép người dùng
ngoài sử dụng để cung cấp bảo mật khi sử dụng một máy chủ DNS bên ngoài
ngoài tầm kiểm soát của admin, và có thể cho phép cá người dùng nội bộ và
người dùng ngoài truy cập vào DNS Resolver.

5. Bảo vệ bộ nhớ đệm DNS

“Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết máy chủ

yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động. Điều này có thể dễ
dàng thực hiện bằng cách cài đặt máy chủ DNS sử dụng những vùng tương hợp
Active Directory và yêu cầu bảo mật cập nhật động. Tất cả miền thành viên có
thể cập nhật động thông tin DNS một cách bảo mật sau khi thực hiệ
n cài đặt.

7. Ngừng chạy Zone Transfer

Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS chính và máy chủ DNS
phụ. Những máy chủ DNS chính được phân quyền cho những miền cụ thể chứa
vùng file DNS có thể ghi và cập nhật khi cần thiết. Máy chủ DNS phụ nhận một
bản sao chỉ đọc của những vùng file này từ máy chủ DNS chính. Máy chủ DNS
phụ được sử dụng để tăng khă năng thực thi truy vấ
n DNS trong một tổ chức
hay trên Internet.

Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ. Bất cứ ai cũng có
thể chạy một truy vấn DNS cấu hình máy chủ DNS để cho phép Zone Transfer
kết xuất toàn bộ vùng file cơ sở dữ liệu. Người dùng xấu có thể sử dụng thông
tin này để thăm dò giản đồ tên trong công ty và tấn công dịch vụ cấu trúc hạ tầng
chủ chốt. Bạn có thể ngăn chặn điều này b
ằng cách cấu hình máy chủ DNS từ
chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS cho phép
Zone Transfer chỉ từ chối yêu cầu của một số máy chủ nhất định.

8. Sử dụng Firewall kiểm soát truy cập DNS

Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với những người
dùng kết nối máy chủ DNS. Với những máy chủ DNS chỉ sử dụng cho những
truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kế