Tiêu chuẩn quốc gia TCVN 11237-3:2015 về Giao thức cấu hình động Internet phiên bản 6 - tùy chọn cấu hình DNS

5. Tùy chọn danh sách tìm kiếm miền

Tùy chọn danh sách tìm kiếm miền xác định danh sách tìm kiếm miền mà máy khách sử dụng khi phân giải tên máy chủ (hostname) với DNS. Tùy chọn này không áp dụng đối với các cơ chế phân giải tên khác.

Định dạng của Tùy chọn danh sách tìm kiếm miền như sau:

Mã tùy chọn: OPTION_DOMAIN_LIST (mã 24)

option-len: Độ dài của trường “searchlist" tính bằng octet

searchlist: Bản danh sách tên miền trong danh sách tìm kiếm miền

Danh sách tên miền trong “searchlist” PHẢI được mã hóa như quy định trong Điều 8 - Biểu diễn và sử dụng các tên miền trong TCVN 11237-1:2015.

6. Sự xuất hiện của các tùy chọn

...

...

...

Tùy chọn danh sách tìm kiếm miền KHÔNG ĐƯỢC xuất hiện trong các bản tin trừ các bản tin sau đây: Solicit, Advertise, Request, Renew, Rebind, Information-Request và Reply.

7. Vấn đề bảo mật

Tùy chọn máy chủ tên miền DNS đệ quy có thể được sử dụng bởi một máy chủ DHCP xâm nhập làm cho các máy khách DHCP gửi các yêu cầu DNS đến máy chủ tên miền DNS đệ quy xâm nhập. Kết quả là các yêu cầu DNS sai hướng có thể được sử dụng để giả mạo các tên DNS.

Để tránh các cuộc tấn công bằng Tùy chọn máy chủ tên miền DNS đệ quy, máy khách DHCP NÊN yêu cầu xác thực DHCP (xem Điều 21 - Xác thực các bản tin DHCP trong TCVN 11237-1:2015) trước khi cài đặt danh sách các máy chủ tên miền DNS đệ quy có được thông qua DHCP đã xác thực.

Tùy chọn danh sách tìm kiếm miền có thể được sử dụng bởi một máy chủ DHCP thâm nhập làm cho các máy khách DHCP tìm kiếm thông qua các miền không hợp lệ với các tên miền được xác định một cách chưa hoàn chỉnh. Kết quả là các quá trình tìm kiếm sai hướng này có thể được sử dụng để giả mạo máy chủ DNS. Chú ý rằng việc hỗ trợ cho DNSSEC sẽ không ngăn chặn việc tấn công này, bởi vì các bản ghi tài nguyên trong các miền không chính xác có thể được xác định là hợp pháp.

Mức độ mà máy chủ dễ bị tấn công thông qua tùy chọn tìm kiếm miền không chính xác được xác định một phần bởi bộ phân giải DNS. RFC 1535 chứa thông tin về các điểm yếu bảo mật liên quan đến ẩn hoặc hiện các danh sách tìm kiếm miền và cung cấp các khuyến nghị liên quan đến việc xử lý danh sách tìm kiếm của bộ phân giải. Điều 6 của RFC 1536 cũng chỉ ra phần dễ bị tấn công này và khuyến nghị đối với các bộ phân giải:

- Sử dụng các danh sách tìm kiếm chỉ khi đã hiện rõ; không cần sử dụng các danh sách tìm kiếm ẩn.

- Phân giải tên chứa các chấm (.) bất kỳ bằng việc đầu tiên thử tên miền đó như một FQDN và nếu không thành công thì thêm các tên trong danh sách tìm kiếm.

- Phân giải tên không chứa các dấu chấm (.) bằng cách thêm danh sách tên hợp lý, nhưng một lần nữa không cần sử dụng các danh sách tìm kiếm ẩn.

...

...

...

- Các máy chủ triển khai tùy chọn tìm kiếm tên cũng NÊN triển khai các khuyến nghị danh sách tìm kiếm trong Điều 6 của RFC 1536;

- Nếu các tham số DNS như là danh sách miền hoặc các máy chủ DNS được cấu hình nhân công, thì các tham số này KHÔNG NÊN bị kiểm soát bởi DHCP;

- Máy chủ NÊN yêu cầu sử dụng xác thực DHCP (xem Điều 21 - Xác thực các bản tin DHCP trong TCVN 11237-1:2015) trước khi chấp nhận tùy chọn tìm kiếm miền.

8. Vấn đề liên quan đến IANA

IANA ấn định một mã tùy chọn cho Tùy chọn máy chủ tên miền DNS đệ quy (mã 23) và Tùy chọn danh sách tìm kiếm miền (mã 24) từ không gian mã tùy chọn DHCP quy định trong Điều 24 - Các vấn đề về IA_NA trong TCVN 11237-1:2015.

THƯ MỤC TÀI LIỆU THAM KHẢO

1. IETF RFC 1034, Domain names - concepts and facilities, 1987 (Tên miền - các khái niệm và thiết bị);

2. IETF RFC 1535, A Security Problem and Proposed Correction With Widely Deployed DNS Software, 1993 (Vấn đề an ninh và hiệu chỉnh được đề xuất đối với phần mềm DNS triển khai diện rộng);

...

...

...

MỤC LỤC

1. Phạm vi áp dụng

2. Tài liệu viện dẫn

3. Thuật ngữ và định nghĩa

4. Tùy chọn máy chủ tên miền DNS đệ quy

5. Tùy chọn danh sách tìm kiếm miền

6. Sự xuất hiện của các tùy chọn

7. Vấn đề bảo mật

...

...

...

Thư mục tài liệu tham khảo