Cài đặt và cấu hình DNS Server với chức năng Caching - Only trên Perimeter Network Segment

Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 6) Tác giả: www.nis.com.vn Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network Segment DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể connect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP (và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao tiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùng Internet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so với IP address), ví dụ http:// www.nis.com.vn (dễ nhớ) http:// 207.46.225.60/     (khó nhớ) cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết Hostname ra IP address.  Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền hoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là một caching-only DNS server không nhất thiết phải chứa bất cứ name records của một hay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truy vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả vừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản, các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạo ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal Domain DNS server (được cài trên Domain controller- 10.0.0.2)  Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triển khai ISA Server 2004 Firewall, lên kế hoạch tạo một perimeter Network segment (hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau Mô tả về Perimeter Network: Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến Nam, Bắc Triều Tiên). Trong hệ thống Network của một Tổ chức, ví dụ như các ISP (Internet Servies Provider). Khi triển khai cung cấp các Service cho khách hàng, như Web Hosting, Mail..thường đặt các Servers cung cấp các Service này tại DMZ Network, phân vùng Network này tách biệt với Internal Network (Network làm việc của các nhân viên và chứa các tài nguyên nội bộ). Mô hình Network trong Lab này, ISA Server 2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network Interface Cards) Network Interface 1 (WAN): Tạo kết nối ra Internet Network Interface 2 (DMZ): Tạo kết nối đến DMZ Network Network Interface 3: (LAN)Tạo kết nối đến Internal Network Như vậy thông thường các Tổ chức triển khai DMZ Network (nằm phía sau Firewall), nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối tác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish resourses…). Nếu DMZ Network bị tấn công, attackers cũng chưa thể xâm nhập ngay vào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủng Firewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ Network.  Các DNS servers được sử dụng trong DMZ Network có hai mục đích chính: • Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát và ủy quyền của Domain • Caching-only DNS services phục vụ cho các Internal Network clients, hoặc nếu không giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đến các DNS servers khác của Internal Network  Một DNS server tại DMZ Network, có thể chứa những thông tin phục vụ cho publish domain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miền Internet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyên trả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho Internal DNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNS server còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụ các Internet Clients) có thể được đặt trên DMZ Network Khi các Internet Clients này cần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụ Internet thông qua ISA Server 2004 Firewall .), các DNS server trên DMZ Network sẽ phục vụ cho những yêu cầu này. DNS server trên DMZ Network cũng có thể hoạt động như một caching-only DNS server. Trong vai trò này, DNS server sẽ không chứa thông tin về name record. Thay vào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host names và chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lời các yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứ Internet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này (Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khi nhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS Clients  Trong phần này, chúng ta sẽ thực hiện • Cài đặt DNS server service • Cấu hình DNS server trở thành một caching-only DNS server an toàn (secure caching-only DNS server)  Cài đặt DNS Server Service trên DMZ Network DNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyển các yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP server  Tiến hành các bước sau để cài một DNS server service trên DMZ Network (trên server TRIHOMELAN1) 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, keo xuống danh sách Components, chọn Networking Services. Click Details. 4. Trong Networking Services dialog box, check vào Domain Name System (DNS) check box và click OK. 5. Click Next trên Windows Components page. 6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến Folder i386 trong Copy files from text box và click OK. 7. Click Finish trên Completing the Windows Components Wizard page.  Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNS server. DNS server trên DMZ Network sẽ tiếp xúc trực tiếp với các Internet hosts. Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tài nguyên của chúng ta (Web, Mail, FTP server..),nằm trong DMZ Network, như vậy Internet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ Network. Hoặc trường hợp ngược lại là DNS server trên DMZ Network của chúng ta sẽ tiếp xúc DNS servers của các Tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giải quyết hostname cho các Internal Network clients có nhu cầu truy cập ra ngoài Internet. Trong ví dụ này, DNS server của DMZ Network, sẽ đóng vai trò một caching-only DNS server và không quản lý các name records của các Publish Server trong Internal Domain  Tiến hành các bước sau trên DNS server thuộc DMZ Network, để trở thành một secure caching-only DNS server: 1. Click Start, Administrative Tools. Click DNS. 2. Trong DNS management console, right click trên server name, click Properties. 3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện các DNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tại Root Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyết các truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sách các Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giải quyết hostname của các Computer trên Internet.  4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽ không dùng được các Internet DNS Servers trong danh sách của Root Hints cho việc giải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năng Forwarder. Trong trường hợp này, chúng ta không dùng Forwarder.  5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollution check box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc các Internet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể được ADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNS Clients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNS Clients type   (IP address A.B.C.D) sẽ bị dẫn đến một Host giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịch với Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khi còn được gọi là “co-coordinated DNS attack”  6. Click Monitoring tab. Check vào A simple query against this DNS server và A recursive query to other DNS servers check boxes, để thực hiện kiểm tra DNS server. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy Simple Query chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kết quả này là vì chưa tạo Access Rule trên ISA Server 2004 Firewall để cho phép caching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISA Server 2004 Firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu (outbound access) đến các DNS servers trên Internet. 7. Click Apply và click OK trong DNS server’s Properties dialog box. 8. Đóng DNS management console. Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyết Internet host names. Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules để cho phép các Internal Network Clients dùng DNS Server này để giải quyết các Internet host names. Các Admin xem xét kĩ ý này, để tránh nhầm lẫn.  Kết luận: Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZ Network, cách thức cài đặt và cấu hình Microsoft DNS server service. Trong các phần sau, chúng ta sẽ sử dụng Access Policies trên ISA Server 2004 để cho phép các Internal Network Clients dùng DNS server này và cho phép caching-only DNS server kết nối đến Internet.