| ||||
 1. Sử dụng các phiên bản cũ của BIND - Tất cả, trừ phiên bản hiện hành là BIND 9 (9.3.4-P1 và 9.4.1-P1), đều có nhiều lỗ hổng nghiêm trọng. Các hacker có thể khai thác lỗ hổng này để phá hoại các máy chủ của bạn, xâm nhập vào các host đang sử dụng chúng và còn nhiều hơn thế nữa… 2. Đặt tất cả máy chủ tên chứng thực cùng một subnet - thất bại của một thiết bị đơn lẻ - như một switch hay router - hoặc người dùng không thể kết nối Internet khi họ muốn truy cập vào website hoặc gửi mail. 3. Cho phép đệ quy các truy vấn không chứng thực – việc xử lý các truy vấn đệ quy cho máy khách để trưng bày máy chủ của bạn, từ đó đưa đến các hành động xâm nhập và các tấn công từ chối dịch vụ.  4. Cho phép vùng di chuyển đến các máy chủ thứ cấp không chứng thực - một phần nhỏ vùng di chuyển đến các requestor tùy tiện có thể làm hại cho máy chủ của bạn cũng như các tấn công có thể khai thác được nó. 5. Nhược điểm sử dụng forwarder - nhiều kiểu máy chủ, như Microsoft DNS Servers hay các máy chủ BIND cũ hơn không thỏa đáng để chống lại những hành vi xâm nhập và có các lỗ hổng có thể bị khai thác bởi nhiều hình thức khác. Một số quản trị viên còn cho phép máy chủ này truy vấn các máy chủ trên Internet một cách trực tiếp mà không sử dụng forwarder.  6. Thiết lập sai các giá trị Start of Authority (SOA) - Nhiều quản trị viên thiết lập số lần hết hạn vùng của họ quá thấp, điều đó có thể dẫn đến ngừng hoạt động của hệ thống nếu refresh các truy vấn hoặc các di chuyển vùng bắt đầu có lỗi. Ngoài ra không thiết lập lại negative-caching TTL của vùng khi RFC 2308 đã định nghĩa lại nó, hay đặt giá trị quá cao.  7. Sai kiểu các bản ghi NS trong dữ liệu vùng và dữ liệu ủy thác của bạn - một số quản trị viên thêm và bớt máy chủ chứng thực mà quên yêu cầu những thay đổi tương ứng đối với dữ liệu ủy nhiệm của vùng thông qua đăng ký của họ. Điều này có thể kéo dài thời gian cần để giải quyết tên miền trong các vùng này và giảm khả năng phục hồi. |
7 điều cần tránh khi triển khai DNS
0 nhận xét:
Đăng nhận xét