Bảo mật DNS – Phần 1: Những vấn đề trong bảo mật DNS

• Thỏa hiệp file vùng DNS
• Lỗ hổng thông tin vùng DNS
• Nâng cấp động bị thỏa hiệp
• Gây lụt máy khách DNS (từ chối dịch vụ)
• Giả mạo Cache

Thỏa hiệp file vùng DNS

Máy chủ DNS sẽ được cấu hình trên một số phiên bản Windows Server. Quản trị viên DNS có thể thiết lập cấu hình vùng và các bản ghi bằng dòng lệnh hoặc giao diện DNS mmc. Một trong những cách hay gặp phải và cũng dễ dàng nhất để thỏa hiệp cơ sở hạ tầng DNS là chỉnh sửa trực tiếp cấu hình máy chủ DNS hoặc bản thân các bản ghi trên máy chủ DNS hay từ một máy tính ở xa.

Kiểu tấn công này có thể được thực hiện bởi bất cứ người nào có một chút kiến thức về DNS và có thể truy cập máy chủ. Kẻ tấn công có thể ngồi trực tiếp trước màn hình máy chủ, kết nối thông qua RDP hay thậm chí đăng nhập qua Telnet. Thủ phạm ở đây có thể là người bên trong tổ chức hay có thể là quản trị viên mắc lỗi. Cách thức bảo mật ở đây là khóa chặn máy chủ DNS, chỉ những người có trách nhiệm mới được truy cập vào cấu hình DNS, bất cứ phương pháp truy cập từ xa nào đến máy chủ DNS cần được hạn chế cho những người thực sự cần thiết.

Lỗ hổng thông tin vùng DNS

Các file vùng DNS trên máy chủ DNS sẽ chứa các tên máy tính trong vùng đó, tên máy tính này sẽ được cấu hình một cách thủ công hay cấu hình thông qua các nâng cấp động. Các máy chủ DNS trong mạng nội bộ thường chứa tên của tất cả các máy chủ trên mạng (hoặc tối thiểu cũng là các máy chủ bạn muốn truy cập thông qua tên). Trên máy chủ Internet, thông thường chúng ta chỉ nhập vào các tên máy chủ muốn truy cập – tuy nhiên một số có thể tồn tại trong một location được cấu hình bởi ISP và một trong số có thể nằm trong mạng nội bộ.

Lỗ hổng thông tin vùng có thể xảy ra khi kẻ đột nhập khai thác được các thông tin quan trọng về các vai trò máy chủ trên mạng qua tên của các máy chủ đó. Cho ví dụ, nếu bạn có một máy chủ có thể truy cập thông qua tên PAYROLL, thông tin này sẽ rất giá trị đối với kẻ tấn công. Đây là thứ mà chúng ta có thể tạm gọi là “dấu vết”.

Kẻ tấn công có thể khai thác tên của các máy tính khác trên mạng bằng nhiều phương pháp khác nhau. Cho ví dụ, nếu cho phép tất cả các máy có khả năng chuyển vùng, kẻ đột nhập có thể download toàn bộ cơ sở dữ liệu vùng đến máy tính của anh ta thông qua cơ chế chuyển vùng. Thậm chí nếu không cho phép chuyển vùng, kẻ tấn công cũng có thể lợi dụng các truy vấn DNS ngược để dò tìm ra tên máy tính trong mạng. Từ đó chúng có thể tạo một sơ đồ toàn diện về mạng từ dữ liệu DNS này.

Ngoài ra kẻ xâm nhập có thể lượm lặt thông tin và xác định được đâu là các địa chỉ không được sử dụng trong mạng. Sau đó sử dụng các địa chỉ không được sử dụng này để thiết lập máy chủ DNS giả mạo, điều này là vì trong một số trường hợp, điều khiển truy cập mạng được thiết lập cho toàn bộ ID mạng hoặc tập các ID nào đó thay vì các địa chỉ IP riêng biệt.

Cuối cùng, một thực tế chung trong cách hosting DNS của các doanh nghiệp nhỏ (nơi đang hosting các dịch vụ DNS riêng) là việc kết hợp các vùng chung và riêng trên cùng một máy chủ DNS trong khi đó cơ sở hạ tầng DNS lại chia tách. Trong trường hợp này, bạn sẽ để lộ cả tên bên trong và bên ngoài trong cùng một vùng, điều cho phép kẻ tấn công dễ dàng tìm ra không gian địa chỉ bên trong và các thỏa thuận đặt tên. Thông thường, chúng sẽ phải đột nhập vào bên trong mạng để khám phá thông tin vùng bên trong, tuy nhiên khi cùng một máy chủ hosting cả thông tin chung và riêng trên cùng máy chủ DNS thì kẻ tấn công lúc này sẽ có cơ hội lớn để tấn công bạn.

Nâng cấp động bị thỏa hiệp

Các nâng cấp động DNS rất thuận tiện cho quản trị viên DNS. Thay vì phải tự tạo các bản ghi cho tất cả máy khách và máy chủ, tất cả những gì bạn cần thực hiện lúc này là kích hoạt các nâng cấp DNS động trên cả máy chủ và máy khách. Khi sử dụng máy khách và máy chủ DNS Windows, bạn có thể cấu hình DHCP để hỗ trợ chức năng nâng cấp DNS động. Với nâng cấp động này, chỉ cần bật chức năng và để cho các máy tính tự đăng ký trong DNS; bạn không cần phải tự tạo bản ghi DNS.

Rõ ràng tất cả mọi thứ đều có giá của nó và trong trường hợp này cũng vậy, sự thuận tiện này cũng kéo theo nguy cơ bảo mật tiền ẩn đối với DNS động. Có rất nhiều cách có thể thực hiện các nâng cấp DNS động này, có thể phân loại chúng thành hai mảng: nâng cấp an toàn và không an toàn. Với các nâng cấp an toàn, hệ thống khách cần phải được thẩm định (cho ví dụ, sử dụng tài khoản máy tính chứa trong Active Directory) trước khi có thể tự nâng cấp. Các nâng cấp không an toàn xuất hiện khi bạn cho phép bất cứ host nào cũng có thể đăng ký địa chỉ của nó trong DNS mà không yêu cầu thẩm định.

Tuy nhiên các nâng cấp động an toàn không phải tất cả đều giống nhau. Cho ví dụ, nếu bạn hạn chế chỉ những quản trị viên miền hay quản trị viên bảo mật mới có thể gia nhập miền, khi đó các nâng cấp DNS động tỏ ra khá an toàn trong môi trường Windows. Tuy nhiên nếu cho phép bất cứ ai cũng có thể join máy tính của họ vào miền, bạn vấn đề bảo mật ở đây sẽ bị giảm đi đáng kể.

Khi nâng cấp động bị thỏa hiệp, kẻ tấn công có thể thay đổi các thông tin trong bản ghi để các tên máy tính sẽ được redirect đến các máy chủ mà kẻ tấn công thiết lập nhằm đạt được các mục đích của chúng (chẳng hạn như load phần mềm mã độc vào máy tính để biến nó trở thành một phần trong botnet mà kẻ tấn công đang điều khiển). Một vấn đề khác kẻ tấn công có thể thực hiện trong tình huống này là thực hiện tấn công từ chối dịch vụ mức đơn giản bằng cách xóa bản ghi chính, chẳng hạn như các bản ghi cho máy chủ DNS hay bộ điều khiển miền.

Từ chối dịch vụ DNS bằng cách gây lụt máy khách

Nói đến DoS, nếu chưa bao giờ gặp phải kiểu tấn công này thì hãy xem đó như một may mắn đối với bạn. Do các truy vấn DNS không được thẩm định nên máy chủ DNS luôn cố gắng trả lời các truy vấn mà nó nhận được. Điều này có nghĩa rất dễ có thể thực hiện một tấn công từ chối dịch vụ đối với một máy chủ DNS. Có khá nhiều botnet có thể tạo các kiểu tấn công DDoS để vô hiệu hóa máy chủ DNS đủ lâu cho kẻ tấn công thiết lập máy chủ DNS giả mạo để trả lời các truy vấn. Người dùng không có cách nào biết được máy chủ DNS mới là máy chủ giả mạo, họ sẽ bị redirect đến máy chủ của kẻ tấn công. Các site này thường được thiết kế để giống các site thật và sử dụng sự tin tưởng của người dùng vào các site thực ể tăng sự truy cập vào thông tin nhận dạng cá nhân, sau đó là thực hiện các tấn công kiểu này.

Giả mạo cache

Máy chủ DNS này sẽ truy vấn máy chủ DNS khác để lấy thông tin. Để cải thiện hiệu suất cho toàn bộ cơ sở hạ tầng DNS, các máy chủ DNS sẽ lưu các kết quả truy vấn trong một khoảng thời gian trước đó vào các bản ghi để cung cấp sự phân giải tên. Nếu truy vấn thứ hai có cùng tên trước khi timeout, máy chủ DNS sẽ đáp trả các thông tin mà nó đã lưu trong DNS cache thay vì truy vấn sang máy chủ DNS khác.

Tuy có thể cải thiện đáng kể được hiệu suất tổng thể nhưng cách thực hiện này gây ra một lỗ hổng bảo mật. Lỗ hổng bảo mật bị khai thác ở đây được gọi là “DNS cache poisoning” có nghĩa là giả mạo DNS. Việc giả mạo DNS diễn ra khi máy chủ DNS gửi một truy vấn đến máy chủ DNS khác và máy chủ DNS đó trả về các thông tin không đúng. Trong hầu hết các trường hợp, máy chủ DNS trả về các thông tin sai là các máy chủ đã bị thỏa hiệp.

Việc giả mạo cache có thể diễn ra vì các máy chủ DNS không kiểm tra sự hợp lệ của các đáp trả, cũng như không thực hiện thẩm định các đáp trả mà chúng nhận được từ máy chủ DNS khác. Máy chủ DNS “khách” sẽ nhận được thông tin trong đáp trả và lưu thông tin đó, sau đó cung cấp thông tin sai đến các máy được cấu hình là máy khách DNS của máy chủ này.

Kết luận

Trong phần này chúng tôi đã giới thiệu cho các bạn một số vấn đề trong bảo mật DNS và cách bảo mật các máy chủ DNS bị thỏa hiệp như thế nào. Trong phần hai, chúng tôi sẽ giới thiệu kỹ hơn về một số mẹo giúp cải thiện bảo mật DNS và xem xét kỹ tính năng bảo mật trong Windows Server 2008, DNSSEC. Bên cạnh đó chúng ta cũng sẽ đi cấu hình một vùng an toàn bằng DNSSEC và xem xét cách sử dụng DNSSEC để cải thiện bảo mật DNS cho tổ chức.

Theo Windowsecurity