Hầu hết các ứng dụng internet chạy trên cơ sở DNS sau đó có thể là email, trình duyệt web, trình nhắn tin, v.v. Nhưng dạo gần đây rất nhiều vụ “bê bối” trong việc làm lộ thông tin người dùng và gần đây nhất chính là vụ lộ thông tin khách hàng của thế giới di động, điện máy xanh.
Theo các chuyên gia thì thông tin bị tin tặc khai thác là do trên lỗ hổng trong các dịch vụ DNS bị các quản trị viên máy chủ bỏ qua dẫn đến việc tin tặc khai thác dễ dàng.
Thông thường, bảo mật máy chủ liên quan đến phần mềm máy chủ cộng với bảo mật phần mềm ứng dụng, bảo mật hệ thống tệp, bảo mật mạng. Dưới đây là một số các bước để bảo mật máy chủ DNS của bạn –
1. Bảo mật thông tin máy chủ của bạn
Mỗi phần mềm máy chủ có một số phiên bản được xác định. Kẻ tấn công khá dễ dàng xác định phiên bản máy chủ DNS từ thông tin tra cứu DNS đơn giản, phát hiện các lỗ hổng và tấn công máy chủ.
Nếu thông tin phiên bản phần mềm bị ẩn, tin tặc sẽ phải vật lộn để tìm và tấn công máy chủ DNS. Điều này chắc chắn sẽ làm cho cuộc tấn công là không thể và giúp ngăn chặn được các cuộc tấn công vào máy chủ DNS.
2. Hạn chế giới hạn đối với các truy vấn đệ quy
Một máy chủ DNS xử lý các truy vấn đệ quy chuyển tiếp các truy vấn DNS đến một máy chủ DNS khác trong trường hợp không có bất kỳ bản ghi nào khả dụng. Truy vấn đệ quy quá mức có thể cản trở bộ nhớ của máy chủ của bạn.
Các truy vấn được chấp nhận từ tất cả bởi một máy chủ DNS mở và những truy vấn thậm chí có thể chứa những người dùng độc hại truy vấn máy chủ. Các cuộc tấn công DOS Cache là kết quả của việc chấp nhận các truy vấn đó.
Lưu lượng truy cập mạng có thể bị hạn chế nếu có quá nhiều yêu cầu được gửi đến máy chủ DNS, hơn nữa khiến nó không phản hồi.
Khi máy chủ DNS được định cấu hình, các truy vấn đệ quy có thể bị giới hạn do máy chủ chỉ chấp nhận truy vấn từ các máy khách đáng tin cậy. Việc hạn chế số lượng máy khách được phục vụ đồng thời bởi máy chủ DN hoặc tắt các truy vấn đệ quy cũng có thể được thực hiện.
3. Chạy máy chủ với quyền là người dùng
Nếu máy chủ DNS được chạy như một người dùng đặc quyền như root, những kẻ tấn công có quyền truy cập vào nó cũng có thể dễ dàng theo dõi các quá trình khác bằng cách lạm dụng các đặc quyền của tài khoản siêu người dùng.
Để tránh việc lạm dụng như vậy, máy chủ DNS cần phân quyền cụ thể. Ngay cả khi máy chủ DNS bị hack, tin tặc sẽ chỉ có quyền truy cập vào các quy trình DNS và sẽ không thể truy cập vào các dịch vụ khác.
4. Chuyển vùng giới hạn
Theo mặc định, có thể chuyển các vùng DNS từ máy chủ DNS sang các máy chủ khác. Nhưng thực tế này được coi là rất không an toàn vì nó làm cho các khu vực công cộng cũng như dễ bị tấn công bởi tin tặc.
Do đó, cần có một giới hạn đối với việc chuyển vùng DNS đối với chỉ một số máy chủ DNS nô lệ đáng tin cậy và tất cả các máy chủ khác cần được ngăn chặn để thực hiện chuyển số lượng lớn.
5. Phần mở rộng bảo mật DNS (DNSSEC) cần được sử dụng
Nếu kẻ tấn công chiếm lấy quy trình tra cứu DNS, lưu lượng người dùng có thể được chuyển hướng đến trang web độc hại và có thể lưu thông tin người dùng. Để tránh các cuộc tấn công như vậy, công nghệ DNSSEC được sử dụng.
Tính hợp lệ của dữ liệu DNS được đảm bảo bằng cách ký điện tử vào công nghệ DNSSEC. Các vùng DNS chỉ có thể được xác thực bởi các cơ quan ký kết của bên thứ ba, như ICANN để người dùng xác nhận tính hợp lệ của nó.
6. Luôn cập nhật máy chủ của bạn
Nếu bất kỳ phần mềm lỗi thời nào đang chạy trên máy chủ của bạn, nó dễ bị tấn công. Ví dụ: phiên bản 4 và 8 của phần mềm BIND DNS không an toàn và dễ bị tấn công. Điều này chỉ ra rằng bạn phải luôn cập nhật phần mềm của mình.
Các phiên bản phần mềm mới cung cấp bảo mật tốt hơn so với các phiên bản trước cần được tìm thấy và cài đặt trên máy chủ để quét sạch những kẻ tấn công.
7. Phần kết luận
Mỗi tháng, hàng ngàn máy chủ bị tấn công hoặc tấn công do lỗ hổng phần mềm. Nhưng nếu bạn bảo vệ máy chủ DNS của mình bằng sáu bước đã được đề cập ở trênđây, máy chủ sẽ đủ mạnh để ngăn chặn mọi cuộc tấn công.
Leave a Reply
You must be logged in to post a comment.