DNS nguy cơ tiềm ẩn và phương thức bảo mật.


DNS luôn là điểm yếu nhưng nhiều nhà quản trị lại thường không để ý đến nó, cứ nghĩ rằng không có khả năng phá hoại. Bạn thử tưởng tượng nếu thông tin trong DNS bị thay đổi thì sẽ thế nào, kẻ tấn công sẽ toàn quyền quyết định việc dịch từ Tên ví như www.vne.com sang một địa chỉ IP nào đó. Tấn công DNS là một trong những tấn công cực kỳ nguy hiểm và là niềm khao khát của các hacker.
Chúng ta thường nghĩ rằng DNS không phải là mục tiêu của các kẻ tấn công, nhưng các bạn đâu biết rằng DNS là một trong những bước để phân tích cấu tạo logic của một hệ thống mạng, là bước phân tích đầu tiên để đưa ra các phương thức tấn công một cách hợp lý của kẻ phá hoại. Nếu bạn cho rằng DNS khi đã ở trong firewall và các hệ thống bảo mật thì hệ thống tên của bạn hoàn toàn bảo mật, nhưng bạn thử tưởng tượng nhé. Mặc định trên Primary DNS Server cho phép zone tranfer đến tất cả các máy chủ DNS nào có yêu cầu, vậy tôi có thể lấy được thông tin về DNS đó không, đó là hoàn toàn hợp lệ. Vậy nguy cơ là ở chỗ nào, dưới đây tôi sẽ trình bày các nguy cơ tiềm ẩn cũng như những cách bảo vệ hệ thống của bạn.
Tách biệt giữa hai hệ thống tên miền Private DNS và Public DNS.
Khi Microsoft dùng DNS làm phương pháp xác định tên cho windows thay vì sử dụng WINS trước đây thì DNS đã trở thành một bước quan trọng giúp các hệ thống phối hợp hoạt động tốt và dễ sử dụng hơn. Tuy nhiên việc sử dụng cùng một phương pháp xác định tên cho tất cả các hệ thống mạng có sử dụng internet của công ty dẫn tới tình trạng nhầm lấn việc xác định tên nội và ngoại mạng.

Người sử dụng mạng internet truy cập vào trang web: www.companyname.com của công ty bạn. Máy tính của công ty bạn cũng có một tên DNS gần giống như yourcomputer.company.com hoặc một tên khác giống như vậy hoặc ít nhất ở trong cùng một miền. Điều này có thể dẫn tới việc bạn có thể truy cập vào tên của máy tính bên trong và các địa chỉ bên ngoài qua DNS server xác định tên trên internet. Có một kinh nghiệm cho chế độ an toàn là bạn nên tách tên nội bộ và tên trên mạng. Phương pháp này được biết đến như một thiết kế tách tách rời DNS.

Các đây một vài năm, tôi có làm một cuộc thử nghiệm về sự xâm nhập vào hệ thống. Thử nghiệm này đã minh chứng độ nguy cơ tiềm ẩn khi hê thống không sử dụng DNS tách rời. Nhiệm vụ của tôi là tìm ra các cách một kẻ xâm nhập có thể phá hỏng một hệ thống nhỏ của công ty. Và tôi đã bắt đầu từ tên miền của công ty.

Bước đầu tiên của tôi là tìm một server DNS có thể truy cập từ bên ngoài cho công ty này và các dữ liệu thuộc miền DNS có sử dụng chức năng zone transfer. Tôi rất ngạc nhiên khi phát hiện rằng dữ liệu miền bao gồm cả địa chỉ IP của tất cả các máy tính trong công ty, thậm chí cả các bộ phận quản lý tên miền, server và máy tính của khách hàng.

Dựa vào các thông tin này, tôi có thể tạo ra một bản đồ hoàn chỉnh cho hệ thống mạng của công ty. Khi hoàn thành, tôi thông báo cho công ty đang sử dụng firewall giữa hệ thống của họ và mạng internet. Tuy nhiên, một trong các server của họ đã có hai địa chỉ IP, và một server là địa chỉ công cộng.Điều này có nghĩa là server này đồng thời kết nối với hệ thống mạng nội bộ và intnernet mà không có bức tường lửa bảo vệ.

Tôi kết nối vào server này để đi qua bức tường lửa và để khám phá nguy cơ bị xâm nhập của server để có thể nắm quyền kiểm soát. Sau đó tôi sử dụng server đó để vào hệ thống mạng. trong vòng 15 phút tôi đã kiểm soát được hoàn toàn Doman Admin.

Với phát hiện này, tôi liên lạc với chủ doanh nghiệp và giảng giải tại sao ông ấy nên có những dự án thật khẩn trương cho việc bảo mật hệ thống của công ty. Tôi đã xâm nhập thành công vào hệ thống là do các sai sót về bảo mật. Tuy nhiên, nếu không có các thông tin ban đầu từ DNS, tôi sẽ không biết phải bắt đầu từ đâu.

Cách tốt nhất để tách các thông tin nội bộ khỏi DNS là loại trừ bất kỳ tình trạng sao lưu thông tin DNS trong mạng nội bộ và hệ thống tên được Public qua Internet. Bố trí hai hệ thống DNS hoàn toàn biệt lập. Một doanh nghiệp chỉ cần một vài máy chủ Public ra ngoài Internet như Web Server, Mail Server, VPN Server, DNS server cho VPN và một vài máy chủ đặc cách của người quản trị. Bạn nên bảo dưỡng theo cách thủ công các đầu vào của DNS cho Web và các mail server. Sau đó, bạn có thể sử dụng các đặc tính tiện lợi và ưu việt của Window hỗ trợ cho tất cả máy tính trong firewall của mình.

Bạn nên làm thêm một bước khi thiết kế DNS nội bộ. Đừng bao giờ sử dụng tên DNS zone đối với các máy tính bên ngoài. Ví dụ, nếu domain name của bạn là internal.redmondmag.com thì hãy dùng một tên khác giống như internal.redmondmag.com cho DNS nội bộ.

Thiết lập đường truyền riêng cho quá trình Zone Transfer

Hệ thống DNS luôn có giải pháp dự phòng khi sự cố sảy ra và giải pháp kết hợp các máy chủ Primary DNS và Secondary DNS là một phương thức rất tiện lợi và hiệu quả. Nhưng trong quá trình truyền thông tin từ Primary DNS và Secondary DNS nếu không đáp ứng được bảo mật nó sẽ là lỗ hổng lớn cho các kẻ tấn công xâm nhập và lấy được các thông tin quan trọng đó. Do vậy bạn nên thiết lập đường cho quá trình truyền dữ liệu “zone tranfer” giữa Primary DNS và Secondary DNS bằng một đường truyền riêng trong hệ thống hoặc từ site to site phải có kênh VPN riêng và đảm bảo thông tin được truyền đi phải được mã hoá. Để tối ưu bảo mật bạn có thể lựa chọn phương thức IPSec để truyền các thông tin giữa các máy chủ DNS với nhau.

Các Primary Server có thể truyền thông tin DNS cho các Secondary. Để làm được điều này bạn phải cấu hình các máy chủ DNS phải được đồng bộ dữ liệu với nhau. Một điều quan trọng nữa đó là trong cấu hình mặc định của Primary Server thì cho phép zone transfer tới tất cả các máy yêu cầu lấy dữ liệu DNS. Điều này có nghĩa tôi cũng có thể lấy dữ liệu đó, bạn cần phải cấu hình lại để đảm bảo một điều rằng chỉ các máy chủ Secondary Server mới có trong danh sách những máy chủ có khả năng được lấy dữ liệu DNS từ Primary Server.

Có một số các công cụ giúp lấy dữ liệu truyền từ DNS server, bao gồm công cụ nslookup có trong windows. Tôi đã sử dụng zone transfers một số lần và đã nhận ra rằng các thông tin đó rất hữu ích cho việc tìm ra các điểm yếu của hệ thống mạng của công ty. Trong ví dụ trên đây, tôi đã có thể vẽ hệ thống đầu vào của mạng công ty nhờ sử dụng thông tin do nslookup cung cấp.

Một lần khác, tôi áp dụng zone transfer để xác định tên và địa chỉ IP cho hàng trăm máy tính của một công ty lớn. Nghiên cứu kỹ các tên được mô tả giúp tôi xác định được một số server cuối của hệ thống nội bộ có thể truy cập trực tiếp từ mạng internet. Rõ ràng đây là một lỗ hổng trong chế độ bảo mật của công ty đó.

DNS zone không được hạn chế không thể khiến một hacker xâm nhập vào hệ thông, nhưng quá trình này có thể tạo điều kiện cho hắn tìm ra những điểm yếu trong hàng rào bảo vệ của bạn. May mắn là đối với phần lớn DNS server, bạn có thể hạn chế việc truyền dữ liệu, chỉ cho truyền tới các máy phụ phù hợp. Để kiểm tra xem DNS của bạn có được sắp xếp tốt hay không, hãy sử dụng công cụ nslookup hỗ trợ trong Windows của một máy tính, nhập địa chỉ server (địa chỉ IP hoặc tên của DNS server), tiếp đó là miền Is-d (miền của DNS) để nhận tất cả các dữ liệu.

Nếu server được cấu hình đúng thì nslookup sẽ thông báo rằng nghi vấn đã không đúng. Nếu thông báo hiển thị nội dung của vùng DNS thì bạn nên ngay lập tức thiết lập lại vùng truyền trên DNS server.

Đó là những nguy cơ cơ bản và phổ thông khác, mà thường các nguy cơ này hầu hết các nhà quản trị mạng đều biết, do vậy việc không ngừng nâng cao kiến thức bảo mật sẽ giúp bạn tạo ra một hệ thống an toàn hơn.

Nguồn từ Zensoft.vn

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s