DNSSEC – Giải pháp đảm bảo an toàn cho hệ thống tên miền

03/11/2015 22:33
Theo dõi ICTVietnam trên

Hiện nay các cuộc tấn công, khai thác lỗ hổng của hệ thống DNS ngày càng được tiến hành một cách tinh vi, với quy mô ngày càng lớn. Mục đích của những kẻ tấn công là làm tê liệt hệ thống hoặc chuyển hướng tên miền đến một địa chỉ IP khác, từ đó có thể đánh cắp dữ liệu cá nhân của người dùng. Tiêu chuẩn DNSSEC là giải pháp hiệu quả để đảm bảo an toàn cho hệ thống DNS

Hoạt động của hệ thống DNS và nguy cơ mất an toàn thông tin

Hệ thống tên miền DNS (Domain Name System) được xem là hạ tầng lõi trọng yếu của mạng Internet, đóng vai trò hết sức quan trọng, là hệ thống dẫn đường hay còn được ví như trái tim của mạng Internet. Nguyên tắc hoạt động của hệ thống DNS được mô tả như trong Hình 1.

Hình 1: Sử dụng DNS để truy cập các dịch vụ Internet

Do tính chất quan trọng của hệ thống này, hiện nay các cuộc tấn công, khai thác lỗ hổng của hệ thống DNS ngày càng được tiến hành một cách tinh vi, với quy mô ngày càng lớn. Mục đích của những kẻ tấn công là làm tê liệt hệ thống hoặc chuyển hướng tên miền đến một địa chỉ IP khác, từ đó có thể đánh cắp dữ liệu cá nhân của người dùng.

Bên cạnh đó, giao thức DNS được ra đời từ rất lâu, bản thân giao thức còn tồn tại một số lỗ hổng bảo mật vốn có. Khi các doanh nghiệp và chính phủ ngày càng phụ thuộc vào Internet, tất cả mọi thứ từ thông tin liên lạc đến các dịch vụ thương mại quan trọng ứng dụng CNTT, các lỗ hổng bảo mật hệ thống DNS ngày càng gây ra mối đe dọa đáng kể.

Hình 2: Các dạng tấn công DNS phổ biến

Các trường hợp tấn công DNS phổ biến có thể gặp như chuyển hướng phân giải DNS của người dùng sang một DNS giả mạo, đầu độc bộ nhớ đệm (cache) DNS, hoặc giả mạo thay đổi các bản ghi trong DNS. Tất cả đều mục đích làm cho người dùng tin tưởng họ đang truy xuất vào một website hoặc máy tính hợp lệ trong khi thực chất họ đã được dẫn đến một trang web có chứa nội dung độc hại.

DNSSEC là gì?

Để giải quyết các nguy cơ ở trên, ngay từ năm 1990, các giải pháp khắc phục đã được nghiên cứu. Năm 1995, giải pháp DNSSEC được công bố, năm 2001 được xây dựng thành các tiêu chuẩn RFC dự thảo và cuối cùng được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.

DNSSEC (Domain Name System Security Extensions) là tiêu chuẩn an toàn mở rộng cho hệ thống DNS, được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.

Hình 3: Cơ chế truyền và lưu dữ liệu trong DNSSEC

DNSSEC và SSL đều sử dụng nền tảng hạ tầng mã hóa công khai (PKI). DNSSEC không sử dụng để thay thế SSL mà ngược lại DNSSEC là tiêu chuẩn chung đảm bảo an toàn cho hạ tầng DNS, sử dụng bởi nhiều ứng dụng khác nhau, hỗ trợ cho SSL nhằm đảm bảo ngăn chặn tình huống người sử dụng kết nối đến một máy chủ không đúng trước khi kết nối được bảo vệ bởi SSL.

Truy vấn tên miền với hệ thống DNSSEC sẽ có bước xác thực (validation), thiết lập kết nối an toàn, tin cậy với người sử dụng.

Hình 4: DNSSEC và hoạt động của hệ thống DNS

Mô hình triển khai DNSSEC

DNSSEC cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau (chain of trust) theo cấu trúc hình cây của hệ thống DNS, bắt đầu từ máy chủ ROOT DNS.

Hình 5: Mô hình triển khai DNSSEC

Việc xây dựng được chuỗi tin cậy trong DNSSEC là bắt buộc, là cơ sở đảm bảo xác thực nguồn gốc và toàn vẹn dữ liệu trong DNSSEC. Chuỗi tin cậy được thực hiện từng bước, bắt đầu từ hệ thống máy chủ tên miền gốc (DNS ROOT) đến các máy chủ TLD, cho tới các hệ thống DNS cấp dưới. Sau khi được triển khai đầy đủ, việc hacker tấn công hệ thống DNS, chuyển hướng tên miền sẽ bị phát hiện và ngăn chặn.

Từ đó việc truy cập vào các dịch vụ trên tên miền được đảm bảo an toàn, xác thực, các nguy cơ đã trình bày ở trên được giải quyết.

Nguyên tắc chung khi triển khai DNSSEC

Hệ thống DNSSEC được triển khai với nhiều đối tượng tham gia, đồng bộ từ Cơ quan quản lý (Registry), Nhà đăng ký tên miền (Registrar), các nhà cung cấp dịch vụ DNS Hosting, các doanh nghiệp ISP, các doanh nghiệp cung cấp dịch vụ CNTT, trong đó chủ yếu được phân loại thành 2 nhóm như sau:

-Nhóm ký số dữ liệu tên miền (Signing) bao gồm: Registry, Registrar, DNS Hosting Provider.

-Nhóm kiểm tra tính xác thực của dữ liệu tên miền (Validation): ISP, DNS của tổ chức, doanh nghiệp, …

Hình 6: Các nhóm đối tượng tham gia triển khai DNSSEC

Lộ trình triển khai DNSSEC tại Việt Nam

Ngày 23/10/2014 Bộ trưởng Bộ Thông tin và Truyền thông đã ký quyết định phê duyệt đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN”.

Trong đó xác định mục tiêu, phạm vi, nội dung, lộ trình và việc tổ chức thực hiện với 03 giai đoạn triển khai.

-Giai đoạn chuẩn bị (2015): Xây dựng kế hoạch, chuẩn bị các điều kiện cần thiết về truyền thông, nhân lực, kỹ thuật, tài chính để triển khai tiêu chuẩn DNSSEC đối với hệ thống DNS tại các cơ quan, tổ chức, doanh nghiệp.

-Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC trên hệ thống DNS quốc gia, đồng thời xây dựng nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước để kết nối thử nghiệm với hệ thống DNS quốc gia theo tiêu chuẩn DNSSEC.

-Giai đoạn triển khai (2017): Hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển của Internet Việt Nam trong các giai đoạn tiếp theo; các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền “.VN”, các cơ quan Đảng, Nhà nước chính thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC và cung cấp dịch vụ sử dụng, truy vấn tên miền “.VN” theo tiêu chuẩn DNSSEC cho người sử dụng Internet tại Việt Nam

Việc triển khai DNSSEC tại Việt Nam được thực hiện từng bước. Trước hết cần triển khai DNSSEC trên hệ thống máy chủ tên miền DNS quốc gia .VN, trên cơ sở đó sẽ triển khai DNSSEC ở các máy chủ tên miền cấp dưới như tên miền cấp 2 dùng chung (.gov.vn, .net.vn …); hệ thống DNS của các ISP, các Nhà đăng ký tên miền, doanh nghiệp cung cấp dịch vụ DNS Hosting, cơ quan Đảng, Nhà nước, khách hàng/chủ sở hữu tên miền .VN.

Việc triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” giúp đảm bảo chính xác, tin cậy việc sử dụng, truy vấn tên miền “.VN” trên Internet thông qua việc áp dụng thống nhất tiêu chuẩn DNSSEC đối với các hệ thống DNS “.VN” tại Việt Nam. Đảm bảo kết nối liên thông theo tiêu chuẩn DNSSEC giữa hệ thống DNS quốc gia “.VN” với hệ thống máy chủ tên miền gốc (DNS ROOT) và các hệ thống DNS quốc tế. Đánh dấu bước chuyển biến quan trọng trong việc phát triển hạ tầng Internet tại Việt Nam, sẵn sàng đẩy mạnh phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam một cách an toàn nhất.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
DNSSEC – Giải pháp đảm bảo an toàn cho hệ thống tên miền
POWERED BY ONECMS - A PRODUCT OF NEKO