DNS nguy cơ tiềm ẩn và phương thức bảo mật - AdminTalk

hieuapt

DNS luôn là điểm yếu nhưng nhiều nhà quản trị lại thường không để ý đến nó, cứ nghĩ rằng không có khả năng phá hoại. Bạn thử tưởng tượng nếu thông tin trong DNS bị thay đổi thì sẽ thế nào, kẻ tấn công sẽ toàn quyền quyết định việc dịch từ Tên ví như [Chỉ có thành viên mới thấy links này. ] sang một địa chỉ IP nào đó.

Tấn công DNS là một trong những tấn công cực kỳ nguy hiểm và là niềm khao khát của các hacker.

Chúng ta thường nghĩ rằng DNS không phải là mục tiêu của các kẻ tấn công, nhưng các bạn đâu biết rằng DNS là một trong những bước để phân tích cấu tạo logic của một hệ thống mạng, là bước phân tích đầu tiên để đưa ra các phương thức tấn công một cách hợp lý của kẻ phá hoại. Nếu bạn cho rằng DNS khi đã ở trong Firewall và các hệ thống bảo mật thì hệ thống tên của bạn hoàn toàn bảo mật, nhưng bạn thử tưởng tượng nhé. Mặc định trên Primary DNS Server cho phép zone tranfer đến tất cả các máy chủ DNS nào có yêu cầu, vậy tôi có thể lấy được thông tin về DNS đó không, đó là hoàn toàn hợp lệ. Vậy nguy cơ là ở chỗ nào, dưới đây tôi sẽ trình bày các nguy cơ tiềm ẩn cũng như những cách bảo vệ hệ thống của bạn.

Tách biệt giữa hai hệ thống tên miền Private DNS và Public DNS.

Khi Microsoft dùng DNS làm phương pháp xác định tên cho windows thay vì sử dụng WINS trước đây thì DNS đã trở thành một bước quan trọng giúp các hệ thống phối hợp hoạt động tốt và dễ sử dụng hơn. Tuy nhiên việc sử dụng cùng một phương pháp xác định tên cho tất cả các hệ thống mạng có sử dụng internet của công ty dẫn tới tình trạng nhầm lấn việc xác định tên nội và ngoại mạng .

Người sử dụng mạng internet truy cập vào trang web: kythuatvien.com của công ty bạn. Máy tính của công ty bạn cũng có một tên DNS gần giống như yourcomputer.company.com hoặc một tên khác giống như vậy hoặc ít nhất ở trong cùng một miền. Điều này có thể dẫn tới việc bạn có thể truy cập vào tên của máy tính bên trong và các địa chỉ bên ngoài qua DNS server xác định tên trên internet. Có một kinh nghiệm cho chế độ an toàn là bạn nên tách tên nội bộ và tên trên mạng. Phương pháp này được biết đến như một thiết kế tách tách rời DNS.

Các đây một vài năm, tôi có làm một cuộc thử nghiệm về sự xâm nhập vào hệ thống. Thử nghiệm này đã minh chứng độ nguy cơ tiềm ẩn khi hê thống không sử dụng DNS tách rời. Nhiệm vụ của tôi là tìm ra các cách một kẻ xâm nhập có thể phá hỏng một hệ thống nhỏ của công ty. Và tôi đã bắt đầu từ tên miền của công ty.

Bước đầu tiên của tôi là tìm một server DNS có thể truy cập từ bên ngoài cho công ty này và các dữ liệu thuộc miền DNS có sử dụng chức năng zone transfer. Tôi rất ngạc nhiên khi phát hiện rằng dữ liệu miền bao gồm cả địa chỉ IP của tất cả các máy tính trong công ty, thậm chí cả các bộ phận quản lý tên miền, server và máy tính của khách hàng.

Dựa vào các thông tin này, tôi có thể tạo ra một bản đồ hoàn chỉnh cho hệ thống mạng của công ty. Khi hoàn thành, tôi thông báo cho công ty đang sử dụng Firewall giữa hệ thống của họ và mạng internet. Tuy nhiên, một trong các server của họ đã có hai địa chỉ IP, và một server là địa chỉ công cộng.Điều này có nghĩa là server này đồng thời kết nối với hệ thống mạng nội bộ và intnernet mà không có bức tường lửa bảo vệ.

Tôi kết nối vào server này để đi qua bức tường lửa và để khám phá nguy cơ bị xâm nhập của server để có thể nắm quyền kiểm soát. Sau đó tôi sử dụng server đó để vào hệ thống mạng. trong vòng 15 phút tôi đã kiểm soát được hoàn toàn Doman Admin.

Với phát hiện này, tôi liên lạc với chủ doanh nghiệp và giảng giải tại sao ông ấy nên có những dự án thật khẩn trương cho việc bảo mật hệ thống của công ty. Tôi đã xâm nhập thành công vào hệ thống là do các sai sót về bảo mật. Tuy nhiên, nếu không có các thông tin ban đầu từ DNS, tôi sẽ không biết phải bắt đầu từ đâu.

Cách tốt nhất để tách các thông tin nội bộ khỏi DNS là loại trừ bất kỳ tình trạng sao lưu thông tin DNS trong mạng nội bộ và hệ thống tên được Public qua Internet. Bố trí hai hệ thống DNS hoàn toàn biệt lập. Một doanh nghiệp chỉ cần một vài máy chủ Public ra ngoài Internet như Web Server , Mail Server, VPN Server, DNS server cho VPN và một vài máy chủ đặc cách của người quản trị. Bạn nên bảo dưỡng theo cách thủ công các đầu vào của DNS cho Web và các mail server. Sau đó, bạn có thể sử dụng các đặc tính tiện lợi và ưu việt của Window hỗ trợ cho tất cả máy tính trong Firewall của mình.

Bạn nên làm thêm một bước khi thiết kế DNS nội bộ. Đừng bao giờ sử dụng tên DNS zone đối với các máy tính bên ngoài. Ví dụ, nếu domain name của bạn là internal.redmondmag.com thì hãy dùng một tên khác giống như internal.redmondmag.com cho DNS nội bộ.

Bài viết cùng chủ đề: