DNSSEC là gì?
DNSSEC hay DNS Security Extensions là công nghệ bảo mật mở rộng dùng để bảo vệ hệ thống DNS chống lại các nguy cơ làm sai lệch dữ liệu. Theo đó, nó cung cấp một cơ chế xác thực giữa các máy chủ với nhau và cho từng vùng dữ liệu bằng cách thêm chữ ký số được mã hóa PKI (Public/Private Key) vào câu trả lời truy vấn DNS. Đây là cách DNSSEC thiết lập kết nối an toàn và đáng tin cậy cho người sử dụng. Lý do DNS cần sử dụng DNSSEC là gì?
DNSSEC bảo vệ hệ thống DNS trước nguy cơ bị mạo danh, làm thay đổi, sai lệch dữ liệu
Giao thức DNS thường sẽ không có công cụ giúp xác thực nguồn dữ liệu. Điều này dẫn đến nguy cơ lớn trong bảo mật: dữ liệu có thể bị chỉnh sửa hoặc giả mạo trong quá trình tương tác của máy chủ với các resolver (máy trạm) hoặc forwarder (máy chủ chuyển tiếp).
Bạn đang xem: Dnssec là gì
Ngoài ra, DNSSEC cũng biến đổi hệ thống DNS từ mô hình mở (open) sang mô hình đáng tin cậy (trusting) và xác thực (verifiable).
Để tìm hiểu thêm về DNS mời bạn đọc xem bài viết sau:
Các bản ghi của DNSSEC là gì?
Theo đó, DNSSEC cung cấp 4 loại bản ghi mới là:
Bản ghi chữ ký tài nguyên (RRSIG – Resource Record Signature)
Bản ghi chữ ký tài nguyên được dùng để xác thực cho các tài nguyên có trong vùng dữ liệu.
Bản ghi khóa công cộng DNS (DNSKEY – DNS Public Key)
Bản ghi khóa công cộng DNS được dùng để xác thực vùng dữ liệu.
Bản ghi ký ủy quyền (DS – Delegation Signer)
Bản ghi ký ủy quyền được dùng để tạo ra các xác thực giữa những vùng dữ liệu khác nhau. DS có nhiệm vụ ký xác thực khi chuyển giao DNS.
Bản ghi bảo mật kế tiếp (NSEC – Next Secure)
Bản ghi bảo mật kế tiếp được dùng để chứng thực các bản ghi cùng sở hữu chung tài nguyên hoặc bản ghi CNAME. NSEC có thể kết hợp với RRSIG để chứng thực cho vùng dữ liệu.
Như vậy, bằng cách tạo ra thêm nhiều bản ghi và giao thức mới đã được điều chỉnh. DNSSEC giúp DNS mở rộng thêm các tính năng bảo mật và tăng cường mức độ tin cậy, khắc phục được những lỗ hổng của hệ thống ban đầu.
Tại sao DNS dễ bị tấn công?
DNS sử dụng giao thức truyền tải UDP nên rất dễ bị tấn công
Lý do DNS cần đến DNSSEC là gì? DNS là một hệ thống rất quan trọng giúp người dùng có thể truy cập và sử dụng dịch vụ trên internet. Cụ thể, máy chủ DNS có nhiệm vụ phân giải tên miền sang địa chỉ IP và ngược lại.
Tuy nhiên, do sử dụng giao thức truyền tải UDP (User Datagram Protocol) nên bất cứ khi nào nhận được gói tin UDP truy vấn thì hệ thống DNS cũng đều sẽ đưa ra câu trả lời. Tức là, gói tin UDP chỉ cần đúng Source IP, Source port, Destination IP, Destination port và DNS query ID thì đều có thể vượt qua các kiểm tra về bảo mật (bailiwick checking). Điều này dễ tạo ra lỗ hổng để tin tặc lợi dụng, đánh cắp dữ liệu, thông tin người dùng.
Một số dạng tấn công DNS phổ biến có thể kể đến như:
Mạo danh master khi đồng bộ dữ liệu giữa các máy chủ DNS.Chuyển hướng phân giải từ DNS người dùng sang DNS giả mạo.Spoofing master, spoofing update,…Đầu độc bộ nhớ cache của hệ thống DNS.Mạo danh hoặc cố tình chỉnh sửa, thay đổi nội dung các bản ghi trong hệ thống DNS.
Để xử lý những vấn đề ở trên, nhiều cuộc nghiên cứu đã được đưa ra từ năm 1990. Và cho đến năm 1995 thì DNSSEC đã được công bố như một giải pháp hiệu quả giúp tăng cường bảo mật cho hệ thống DNS. Năm 2001, DNSSEC được xây dựng thành các tiêu chuẩn RFC dự thảo. Đến năm 2005, IETF chính thức đưa DNSSEC trở thành tiêu chuẩn RFC.
Lợi ích của DNSSEC là gì?
Sử dụng DNSSEC giúp đảm bảo an toàn về dữ liệu, thông tin trên internet
Công nghệ bảo mật mở rộng DNSSEC đem lại rất nhiều lợi ích trong việc đảm bảo an toàn đường truyền của hệ thống DNS. Cụ thể như:
Phòng tránh, giảm thiểu được các nguy cơ về bảo mật như: DNS giả mạo, đầu độc bộ nhớ cache, các chỉnh sửa làm sai lệch dữ liệu, các tệp chứa mã độc,…Giúp tăng cường uy tín của thương hiệu đối với người dùng.Đảm bảo an toàn cho thông tin và công việc của doanh nghiệp nhờ tăng cường bảo mật internet.Tạo ra dịch vụ intean toàn hơn cho người dùng.
Ứng dụng DNSSEC để bảo mật cho hệ thống DNS
DNSSEC có thể thiết lập chữ ký vùng (zone signing)
DNSSEC thiết lập zone signing (chữ ký vùng) như sau: một vùng (zone) sẽ được thiết lập chữ ký bao gồm khóa công cộng DNS (DNSKEY), chữ ký bản ghi tài nguyên (RRSIG), bảo mật kế tiếp (NSEC) và chữ ký ủy quyền (DS). Nếu zone không được thêm bất cứ bản ghi nào thì có nghĩa là zone đó chưa được ký. Ngoài ra, DNSSEC còn yêu cầu thay đổi bản ghi CNAME bằng bản ghi RRSIG và NSEC.
Các cách thêm bản ghi DNSSEC vào một zone
Thêm bản ghi DNSKEY
Để thiết lập chữ ký vùng, người quản trị zone cần tạo ra một hoặc nhiều cặp khóa public/private. Trong đó, cặp khóa public sẽ sử dụng cho zone chính và khóa private dùng để ký cho những bản ghi cần chứng thực trong zone. Mỗi zone phải được thiết lập một bản ghi DNSKEY chứa khóa public tương ứng, các khóa private được dùng để tạo bản ghi RRSIG trong zone.
Thêm các bản ghi RRSIG
Với một zone đã được thêm bản ghi DNSKEY thì tài nguyên trong zone đó cần phải có một bản ghi RRSIG để chứng thực. Một tài nguyên có thể chứa nhiều bản ghi RRSIG. Các bản ghi RRSIG có chữ ký điện tử, được liên kết chặt chẽ với các tài nguyên trong zone. Cần lưu ý rằng giá trị TTL (time to live) trong RRSIG sẽ không giống với giá trị TTL của bản ghi tài nguyên. Nếu nhiều bản ghi tài nguyên khác nhau cùng sở hữu một tên miền thì cần kết hợp RRSIG và NSEC để chứng thực.
Thêm bản ghi NSEC
Trong một vùng dữ liệu thì mỗi tên miền sẽ có nhiều hơn một bản ghi tài nguyên cùng loại. Trong trường hợp này cần phải có một bản ghi NSEC để chứng thực dữ liệu. Giá trị TTL nhỏ nhất của NSEC phải bằng với giá trị TTL trong bản ghi SOA của zone đó.
RRSIG có mặt tại tên miền sở hữu những bản ghi mà nó nắm giữ. Còn NSEC không chỉ có trong tên miền mà còn nằm ở các điểm chuyển giao giữa tên miền chính và tên miền phụ. Do đó, bất cứ tên miền nào có NSEC thì sẽ có các bản ghi RRSIG trong zone được ký.
Thêm bản ghi DS
Bản ghi DS được tạo ra để chứng thực giữa các zone trong hệ thống DNS. DS được tạo ra khi các zone phụ được ký. Bản ghi DS kết hợp với bản ghi RRSIG có tác dụng giúp xác thực zone tại vị trí chuyển giao với máy chủ. Sau khi DS được khai báo, RRSIG sẽ được khai báo để xác thực cho một bản ghi tài nguyên thông thường.
TTL của DS phải tương ứng với TTL của bản ghi NS (name server) ủy quyền. Điều này có nghĩa là bản ghi NS và bản ghi DS nằm ở trong cùng một zone. Để thiết lập được một bản ghi DS, bạn cần phải biết về DNSKEY tương ứng trong zone phụ để tạo ra các giao thức liên hệ đúng.
Thay đổi đối với bản ghi CNAME
Nếu có một bản ghi CNAME ở trong zone đã được ký thì bản ghi này sẽ được thay thế bằng bản ghi RRSIG và NSEC tương ứng. Đây là một phiên bản mới đã được chỉnh sửa từ CNAME gốc.
Xem thêm: Kbc Là Gì – Bài Hát Viết Từ Kbc Và Những Góc Nhìn
Với bản ghi CNAME gốc, nó sẽ không cho phép bất cứ loại bản ghi nào khác cùng tồn tại. Nhưng trong một vùng được ký, cần phải có nhiều bản ghi NSEC và RRSIG. Vì vậy, để giải quyết xung đột này, bản ghi CNAME của hệ thống DNS sẽ được chỉnh sửa lại để cho phép cùng tồn tại với NSEC và RRSIG.
Cách triển khai DNSSEC
Quá trình triển khai DNSSEC được thực hiện trên máy chủ quốc gia và trên các resolver của đơn vị quản lý khác
Để triển khai DNSSEC, bạn phải ký chuyển giao tên miền từ hệ thống DNS Root về máy chủ DNS quốc gia quản lý, sau đó ký chuyển giao tên miền từ máy chủ DNS quốc gia quản lý về đơn vị quản lý khác.
Để hiểu thêm về tên miền là gì mời độc giả xem bài viết sau:
Hướng dẫn cách triển khai DNSSEC
Trên máy chủ DNS quốc giaBước 1: Tạo cặp khóa public và private (công cộng và riêng tư).Bước 2: Lưu trữ bảo mật khóa private.Bước 3: Phân phối khóa public.Bước 4: Thiết lập chữ ký vùng (zone signing).Bước 5: Thay đổi khóa.Bước 6: Ký lại zone.Trên resolverBước 1: Cấu hình Trust Anchors (neo tin cậy).Bước 2: Tạo chuỗi tin cậy, sau đó chứng thực chữ ký.
Lộ trình triển khai DNSSEC tại Việt Nam
Lộ trình triển khai DNSSEC tại Việt Nam gồm có 3 giai đoạn chính
Giai đoạn 1: Giai đoạn chuẩn bị (2015)
Đây là giai đoạn xây dựng đầy đủ các yếu tố về trang thiết bị, kỹ thuật, nguồn nhân lực, ngân sách,… để triển khai DNSSEC ở các cơ quan, tổ chức, công ty.
Giai đoạn 2: Giai đoạn khởi động (2016)
Bắt đầu chính thức triển khai DNSSEC trên hệ thống DNS quốc gia. Song song với đó là tiến hành kiểm tra, rà soát, nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ internet, đăng ký tên miền .vn và các các cơ quan, tổ chức đã được thử nghiệm DNSSEC trước đó.
Giai đoạn 3: Triển khai (2017)
Kiểm tra, hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia để đảm bảo đạt đủ độ tin cậy, an toàn theo tiêu chuẩn DNSSEC. Đồng thời, tiến hành triển khai hệ thống DNS theo tiêu chuẩn DNSSEC một cách đại trà tại các doanh nghiệp cung cấp internet, đăng ký tên miền .vn.
Bước cuối cùng là tiến hành cung cấp dịch vụ cho phép sử dụng và truy vấn tên miền theo tiêu chuẩn DNSSEC cho tất cả người dùng tại Việt Nam.
Quá trình triển khai tiêu chuẩn DNSSEC tại nước ta được thực hiện từng bước một cách khoa học, đánh dấu bước chuyển mình quan trọng trong phát triển cơ sở hạ tầng intetại Việt Nam.
Cách bật DNSSEC cho tên miền
DNSSEC có thể được kích hoạt tại Mắt Bão
Sau đây, chúng tôi sẽ hướng dẫn bạn cách bật DNSSEC tại Mắt Bão. Cần lưu ý, dịch vụ DNSSEC sẽ được sử dụng cho tên miền quốc gia việt nam (có đuôi .vn) và tên miền quốc tế (.net, .org, .com, .in, .tm). Các trường hợp có thể xảy ra khi triển khai DNSSEC là gì?
Khi bật DNSSEC cho tên miền sẽ xảy ra 3 trường hợp sau:
Tên miền và NameServer của Mắt BãoTên miền đăng ký ở Mắt Bão nhưng NameServer của nhà cung cấp khácTên miền đăng ký ở nhà cung cấp khác, NameServer của Mắt Bão
Tên miền và NameServer của Mắt Bão
click vào tên miền cần kích hoạt DNSSEC.” class=”wp-image-18169″/>
Bước 1: Truy cập vào đường link: id.matbao.net. Tiếp theo, click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.
Bước 2: Click vào mục “Quản lý DNS” -> Cuộn trang click vào nút “Bật DNSSEC”.
Cuộn trang click vào nút “Bật DNSSEC”.” class=”wp-image-18170″/>
Lúc này, hệ thống sẽ hiển thị DS Record của tên miền matbaothienmaonline.vn.com. DS Record bao gồm một chuỗi khóa công cộng duy nhất và các siêu dữ liệu về khóa đó.
Mỗi bản ghi DS sẽ chứa 4 trường: KeyTag, Algorithm, DigestType và Digest.
Tên miền đăng ký ở Mắt Bão nhưng NameServer của nhà cung cấp khác
Bước 1: Liên hệ với đơn vị cung cấp NameServer của mình để nhận được các giá trị của DNSSEC.
Bước 2: Truy cập vào link: id.matbao-> click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.
click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.” class=”wp-image-18172″/>
Bước 3: Click vào DNSSEC và copy – paste tất cả giá trị DNSSEC được cung cấp vào đó.
Tên miền đăng ký ở nhà cung cấp khác, NameServer của Mắt Bão
Bước 1: Truy cập vào link id.matbao-> click vào Quản lý DNS và bật DNSSEC lên.
Bước 2: Cung cấp các giá trị DNSSEC cho nhà đăng ký tên miền của bạn để được hướng dẫn kích hoạt.
Bước 3: Sau khi đã kích hoạt xong, bạn có thể kiểm tra xem DNSSEC của tên miền đã được bật chưa bằng cách truy cập vào trang matbao-> Gõ tên miền matbao.thienmaonline.vn-> Click vào nút “Kiểm tra”.
Xem thêm: Slate Là Gì
Lưu ý, việc kích hoạt DNSSEC cho tên miền Việt Nam (.vn) sẽ cần thao tác trực tiếp từ VNNIC. Do đó, hãy thực hiện việc bật DNSSEC cho tên miền trong giờ hành chính để kích hoạt thành công ngay và được hỗ trợ nhanh chóng.
Nếu chưa rõ về bất cứ cách kích hoạt nào, hãy tham khảo đường link sau:
Trên đây là những thông tin chi tiết về tiêu chuẩn “DNSSEC là gì?”cũng như cách sử dụng, kích hoạt DNSSEC cho tên miền Việt Nam và quốc tế. Hy vọng những chia sẻ này sẽ giúp bạn bảo vệ tên miền và các hoạt động trên intetốt hơn. Chúc các bạn thành công!
Chuyên mục: Hỏi Đáp
