Bảo vệ DNS cho Windows (Phần 2)
Ngu
ồn : quantrimang.com 
Derek Melbe
r
Trong phần trước của bài này chúng tôi đã giới thiệu cho bạn một số khái
niệm bảo mật cơ bản về DNS. Một trong những các khái niệm bảo mật gồm
DNS Active Directory được tích hợp và thiết lập môi trường DNS an toàn
hơn với truyền thông DHCP. Ngoài ra còn có một số cấu hình mạnh và cho
phép bạn dễ dàng tạo môi trường DNS. Không nên dừng ở đây! bởi vì đó mới
chỉ là bề mặt củ
a vấn đề bảo mật môi trường DNS. Trong mỗi phần của bài này
chúng ta sẽ đi sâu hơn vào DNS và cơ sở dữ liệu DNS được bảo mật như thế
nào, đặt biệt là việc truyền thông với các máy chủ DNS. Các máy chủ DNS phải
truyền thông để nâng cấp cơ sở dữ liệu lên máy chủ DNS khác. Sự truyền thông
này có thể là một giải pháp tốt cho một kẻ tấn công tấn xâm nhập vào các yếu
điểm bị lộ này. Nếu bạn đề phòng trước và thiết lập các cấu hình DNS bảo mật
thì sự phô bày lỗ hổng có thể sẽ giảm.

Di chuyển vùng

Khi nói đến vùng DNS, bạn phải hiểu là có nhiều loại vùng khác nhau có thể thiết
lập bên trong môi trường DNS. Mặc dù chúng ta cần tập trung vào một số vùng
có thể, nhưng tôi vẫn đưa ra một danh sách tất cả các vùng mà bạn có thể thiết
lập trong DNS.
•
Active Directory integrated Zone
•
Primary Zone
•
Secondary Zone

Đầu tiên là sử dụng IPSec hoặc một đường hầm VPN giữa các máy chủ DNS để
cho phép truyền thông mã hóa cơ sở dữ liệu DNS trong khi nó được gửi xuyên
qua toàn bộ mạng. IPSec là cách truyền thông rất chung giữa các máy chủ DNS
trên cùng một mạng. Nếu việc truy
ền thông giữa các máy chủ DNS của bạn phải
đi qua một mạng không an toàn thì một VPN sẽ được sử dụng. Nếu bạn sử dụng
một VPN để bảo vệ dữ liệu xuyên qua một mạng không được bảo vệ thì cách
mà người ta vẫn thường dùng đó là sử dụng L2TP. L2TP sử dụng một thuật
toán mã hóa an toàn dữ liệu khi nó được gửi đi trên mạng.

Tùy chọn khác để bảo vệ dữ liệu khi nó được gửi đi trên mạng từ một máy chủ
DNS này sang một máy chủ DNS khác là sử dụng sự tích hợp Active Directory.
Phương pháp này yêu cầu các máy chủ DNS phải hoạt động trong cùng một
miền Active Directory. Nó cũng yêu cầu DNS chạy trên một đ
iều khiển miền. Các
lợi ích mang lại khá đáng kể bởi vì dữ liệu được lưu và tái tạo thông qua sự tái
tạo Active Directory, bên cạnh đó dữ liệu được mã hóa khi được gửi đi trên
mạng từ máy chủ DNS này sang máy chủ DNS khác. Lợi ích khác từ chức năng
DNS và di chuyển sử dụng Active Directory là tất cả các truyền thông đều được
xác thực ngay ban đầu. Điều này giúp chúng bảo vệ được sự di chuyể
n vùng,
bắt buộc máy chủ DNS phải xác thực cơ sở dữ liệu Active Directory trước khi
các thông tin này được tái tạo.

Chuyển tiếp (4 kiểu)

Có một cách khác để bảo vệ môi trường DNS của bạn là sử dụng nhiều tùy chọn
cho việc chuyển tiếp. Điều này có thể giúp bạn duy trì được sự ổn định cơ sở hạ
tầng DNS, trong khi vẫn bảo đảm được các máy tính và ứng d
ụng có thể truy

không phứ
c tạp chút nào, và có thể bảo vệ một cách thích đáng. Ở đây, bạn đã
thấy được DNS có thể bảo vệ cơ sở dữ liệu bằng cách cấu hình với các máy chủ
DSN nhận sự di chuyển vùng. Trong tình huống này, vùng Active Directory và
vùng chính của bạn sẽ có các máy chủ DNS thứ yếu để chúng có thể truyền
thông với nhau. Không có cấu hình này thì các máy chủ DNS giả mạo có thể lấy
cắp tất cả các thông tin quan trọng trên mạ
ng của bạn. Một bước khác là làm
cho sự di chuyển DNS an toàn. Các máy chủ DNS an toàn có thể thông qua sự
tích hợp Active Directory, hoặc các công nghệ tinh vi hơn như IPSec hoặc
đường hầm VPN. Cuối cùng, kiểm soát việc chuyển tiếp DNS của bạn có thể
bảo đảm giải pháp tên trở nên tỉ mỉ hơn, an toàn hơn, và điều đó bảo vệ được
các máy chủ DNS bên trong khỏi bị sai với các thông tin không chính xác.