DNSSEC – Giải pháp đảm bảo an toàn cho hệ thống tên miền

03/11/2015 22:33
Theo dõi ICTVietnam trên

Hiện nay các cuộc tấn công, khai thác lỗ hổng của hệ thống DNS ngày càng được tiến hành một cách tinh vi, với quy mô ngày càng lớn. Mục đích của những kẻ tấn công là làm tê liệt hệ thống hoặc chuyển hướng tên miền đến một địa chỉ IP khác, từ đó có thể đánh cắp dữ liệu cá nhân của người dùng. Tiêu chuẩn DNSSEC là giải pháp hiệu quả để đảm bảo an toàn cho hệ thống DNS

Hoạt động của hệ thống DNS và nguy cơ mất an toàn thông tin

Hệ thống tên miền DNS (Domain Name System) được xem là hạ tầng lõi trọng yếu của mạng Internet, đóng vai trò hết sức quan trọng, là hệ thống dẫn đường hay còn được ví như trái tim của mạng Internet. Nguyên tắc hoạt động của hệ thống DNS được mô tả như trong Hình 1.

Hình 1: Sử dụng DNS để truy cập các dịch vụ Internet

Do tính chất quan trọng của hệ thống này, hiện nay các cuộc tấn công, khai thác lỗ hổng của hệ thống DNS ngày càng được tiến hành một cách tinh vi, với quy mô ngày càng lớn. Mục đích của những kẻ tấn công là làm tê liệt hệ thống hoặc chuyển hướng tên miền đến một địa chỉ IP khác, từ đó có thể đánh cắp dữ liệu cá nhân của người dùng.

Bên cạnh đó, giao thức DNS được ra đời từ rất lâu, bản thân giao thức còn tồn tại một số lỗ hổng bảo mật vốn có. Khi các doanh nghiệp và chính phủ ngày càng phụ thuộc vào Internet, tất cả mọi thứ từ thông tin liên lạc đến các dịch vụ thương mại quan trọng ứng dụng CNTT, các lỗ hổng bảo mật hệ thống DNS ngày càng gây ra mối đe dọa đáng kể.

Hình 2: Các dạng tấn công DNS phổ biến

Các trường hợp tấn công DNS phổ biến có thể gặp như chuyển hướng phân giải DNS của người dùng sang một DNS giả mạo, đầu độc bộ nhớ đệm (cache) DNS, hoặc giả mạo thay đổi các bản ghi trong DNS. Tất cả đều mục đích làm cho người dùng tin tưởng họ đang truy xuất vào một website hoặc máy tính hợp lệ trong khi thực chất họ đã được dẫn đến một trang web có chứa nội dung độc hại.

DNSSEC là gì?

Để giải quyết các nguy cơ ở trên, ngay từ năm 1990, các giải pháp khắc phục đã được nghiên cứu. Năm 1995, giải pháp DNSSEC được công bố, năm 2001 được xây dựng thành các tiêu chuẩn RFC dự thảo và cuối cùng được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.

DNSSEC (Domain Name System Security Extensions) là tiêu chuẩn an toàn mở rộng cho hệ thống DNS, được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.

Hình 3: Cơ chế truyền và lưu dữ liệu trong DNSSEC

DNSSEC và SSL đều sử dụng nền tảng hạ tầng mã hóa công khai (PKI). DNSSEC không sử dụng để thay thế SSL mà ngược lại DNSSEC là tiêu chuẩn chung đảm bảo an toàn cho hạ tầng DNS, sử dụng bởi nhiều ứng dụng khác nhau, hỗ trợ cho SSL nhằm đảm bảo ngăn chặn tình huống người sử dụng kết nối đến một máy chủ không đúng trước khi kết nối được bảo vệ bởi SSL.

Truy vấn tên miền với hệ thống DNSSEC sẽ có bước xác thực (validation), thiết lập kết nối an toàn, tin cậy với người sử dụng.

Hình 4: DNSSEC và hoạt động của hệ thống DNS

Mô hình triển khai DNSSEC

DNSSEC cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau (chain of trust) theo cấu trúc hình cây của hệ thống DNS, bắt đầu từ máy chủ ROOT DNS.

Hình 5: Mô hình triển khai DNSSEC

Việc xây dựng được chuỗi tin cậy trong DNSSEC là bắt buộc, là cơ sở đảm bảo xác thực nguồn gốc và toàn vẹn dữ liệu trong DNSSEC. Chuỗi tin cậy được thực hiện từng bước, bắt đầu từ hệ thống máy chủ tên miền gốc (DNS ROOT) đến các máy chủ TLD, cho tới các hệ thống DNS cấp dưới. Sau khi được triển khai đầy đủ, việc hacker tấn công hệ thống DNS, chuyển hướng tên miền sẽ bị phát hiện và ngăn chặn.

Từ đó việc truy cập vào các dịch vụ trên tên miền được đảm bảo an toàn, xác thực, các nguy cơ đã trình bày ở trên được giải quyết.

Nguyên tắc chung khi triển khai DNSSEC

Hệ thống DNSSEC được triển khai với nhiều đối tượng tham gia, đồng bộ từ Cơ quan quản lý (Registry), Nhà đăng ký tên miền (Registrar), các nhà cung cấp dịch vụ DNS Hosting, các doanh nghiệp ISP, các doanh nghiệp cung cấp dịch vụ CNTT, trong đó chủ yếu được phân loại thành 2 nhóm như sau:

-Nhóm ký số dữ liệu tên miền (Signing) bao gồm: Registry, Registrar, DNS Hosting Provider.

-Nhóm kiểm tra tính xác thực của dữ liệu tên miền (Validation): ISP, DNS của tổ chức, doanh nghiệp, …

Hình 6: Các nhóm đối tượng tham gia triển khai DNSSEC

Lộ trình triển khai DNSSEC tại Việt Nam

Ngày 23/10/2014 Bộ trưởng Bộ Thông tin và Truyền thông đã ký quyết định phê duyệt đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN”.

Trong đó xác định mục tiêu, phạm vi, nội dung, lộ trình và việc tổ chức thực hiện với 03 giai đoạn triển khai.

-Giai đoạn chuẩn bị (2015): Xây dựng kế hoạch, chuẩn bị các điều kiện cần thiết về truyền thông, nhân lực, kỹ thuật, tài chính để triển khai tiêu chuẩn DNSSEC đối với hệ thống DNS tại các cơ quan, tổ chức, doanh nghiệp.

-Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC trên hệ thống DNS quốc gia, đồng thời xây dựng nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước để kết nối thử nghiệm với hệ thống DNS quốc gia theo tiêu chuẩn DNSSEC.

-Giai đoạn triển khai (2017): Hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển của Internet Việt Nam trong các giai đoạn tiếp theo; các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước chính thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC và cung cấp dịch vụ sử dụng, truy vấn tên miền “.VN” theo tiêu chuẩn DNSSEC cho người sử dụng Internet tại Việt Nam

Việc triển khai DNSSEC tại Việt Nam được thực hiện từng bước. Trước hết cần triển khai DNSSEC trên hệ thống máy chủ tên miền DNS quốc gia .VN, trên cơ sở đó sẽ triển khai DNSSEC ở các máy chủ tên miền cấp dưới như tên miền cấp 2 dùng chung (.gov.vn, .net.vn …); hệ thống DNS của các ISP, các Nhà đăng ký tên miền, doanh nghiệp cung cấp dịch vụ DNS Hosting, cơ quan Đảng, Nhà nước, khách hàng/chủ sở hữu tên miền .VN.

Việc triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” giúp đảm bảo chính xác, tin cậy việc sử dụng, truy vấn tên miền “.VN” trên Internet thông qua việc áp dụng thống nhất tiêu chuẩn DNSSEC đối với các hệ thống DNS “.VN” tại Việt Nam. Đảm bảo kết nối liên thông theo tiêu chuẩn DNSSEC giữa hệ thống DNS quốc gia “.VN” với hệ thống máy chủ tên miền gốc (DNS ROOT) và các hệ thống DNS quốc tế. Đánh dấu bước chuyển biến quan trọng trong việc phát triển hạ tầng Internet tại Việt Nam, sẵn sàng đẩy mạnh phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam một cách an toàn nhất.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Sản phẩm, dịch vụ của VinaPhone được công nhận là Thương hiệu Quốc gia
    Tại lễ công bố sản phẩm đạt Thương hiệu Quốc gia Việt Nam năm 2024 do Bộ Công Thương tổ chức, sản phẩm, dịch vụ VinaPhone 5G, Truyền hình MyTV, chứng thực ký số công cộng (VNPT CA)... của VNPT VinaPhone đã được công nhận là Thương hiệu Quốc gia 2024.
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
DNSSEC – Giải pháp đảm bảo an toàn cho hệ thống tên miền
POWERED BY ONECMS - A PRODUCT OF NEKO