Hệ thống DNS quốc gia hoạt động ổn định và an toàn

Tại Hội nghị tổng kết công tác năm 2017 và triển khai nhiệm vụ năm 2018 của Trung tâm Internet Việt Nam (VNNIC) diễn ra mới đây, Thứ trưởng Bộ Thông tin và Truyền thông Phạm Hồng Hải đã đánh giá cao về tính ổn định và an toàn an ninh thông tin của hệ thống cung cấp và quản lý tên miền do VNNIC quản lý.

Thứ trưởng nhận xét: “Tổng truy vấn tên miền trên toàn hệ thống DNS quốc gia trong năm 2017 (từ ngày 01/1/2017 đến 20/11/2017 đạt 214.705.369.275 truy vấn, tăng 90% so với cùng kỳ năm 2016. VNNIC đã thực hiện tốt công tác quản lý, đảm bảo an toàn, an ninh hệ thống kỹ thuật, dịch vụ (hệ thống DNS quốc gia, hệ thống trạm trung chuyển Internet trong nước VNIX, hệ thống quản lý cấp phát tài nguyên Internet, …) đảm bảo hoạt động thông suốt, ổn định, an toàn và hiệu quả, không xảy ra sự cố nghiêm trọng nào”.

Thứ trưởng Bộ TT&TT Phạm Hồng Hải đánh giá cao tính an toàn an ninh thông tin của hệ thống DNS quốc gia

Trong năm 2017, hệ thống VNIX không ngừng được nâng cấp và ứng dụng các giải pháp công nghệ mới nhằm nâng cao đáp ứng các yêu cầu về chất lượng, tính ổn định, an toàn, an ninh và tăng cường khả năng dự phòng cho toàn bộ mạng Internet Việt Nam trong các sự cố đứt kết nối với các kênh quốc tế, qua đó nhằm hỗ trợ tốt cho các doanh nghiệp Internet ISP tham gia kết nối. Tổng số thành viên hiện nay là 18 doanh nghiệp ISP đang kết nối tới các điểm VNIX tại Hà Nội, Đà Nẵng và thành phố Hồ Chí Minh, tổng băng thông kết nối 201 Gbps, trong đó có nhiều doanh nghiệp kết nối dung lượng lớn như VNPTNet (50GB), Viettel (32GB), CMC Telecom (31GB), VTC (20GB).

Thứ trưởng Phạm Hồng Hải chỉ đạo: Mặc dù chúng ta vẫn đẩy mạnh kết nối pairing giữa các doanh nghiệp nhưng sự tồn tại của VNIX rất quan trọng để đảm bảo an toàn cho hệ thống trung chuyển Internet. Đề nghị các đồng chí chú ý trong thời gian tới về công tác đảm bảo an toàn an ninh thông tin trong đó có đảm bảo an toàn cho các hoạt động của các trang thiết bị hạ tầng mạng của VNNIC, công tác tổ chức, cấp phát quản lý địa chỉ tên miền. Ngoài ra, với chức năng, nhiệm vụ của mình, VNNIC cần chủ động tham gia tích cực hơn nữa vào công tác đảm bảo an toàn an ninh thông tin nói chung, trong đó có việc quản lý nội dung thông tin. Không ít cơ quan, tổ chức bị mạo danh trên mạng. Ví dụ, mới đây, Sở tư pháp Hà Nội cũng bị 1 trang mạng khác (tên miền quốc tế) mạo danh. Vì Sở sử dụng tên miền “.vn” nên chúng ta sớm phát hiện trang giả mạo và nhanh chóng có biện pháp xử lý. Một tổ chức cùng một lúc có thể sơ hữu nhiều địa chỉ tên miền khác nhau. Trung tâm nên đẩy mạnh tuyên truyền tới các cơ quan, tổ chức, doanh nghiệp trong nước lợi ích của việc sử dụng và kích hoạt tên miền “.vn” vì chúng ta có thể hỗ trợ những đơn vị này kiểm soát và chống mạo danh trên mạng dễ dàng hơn.

Đặc biệt, trong năm 2017, VNNIC đẩy mạnh triển khai hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển của Internet Việt Nam trong các giai đoạn tiếp theo.

Hệ thống máy chủ tên miền - DNS là hạ tầng trọng yếu của mạng Internet. Để tăng cường đảm bảo an toàn cho hệ thống máy chủ tên miền, từ năm 2010, ICANN đã hoàn thành triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền gốc - DNS ROOT.

Xét về mặt kỹ thuật, DNS Security Extensions (DNSSEC), tiêu chuẩn an toàn mở rộng của hệ thống DNS, được định nghĩa trong các RFC 4033, 4034, 4035. DNSSEC sử dụng cơ sở hạ tầng mã hóa công khai PKI (private/public key).

Thay đổi mô hình DNS từ mô hình mở (open) sang mô hình tin cậy (trusting) và xác thực (verifiable), DNSSEC cung cấp các khả năng: Authentication of origin (xác thực nguồn gốc); Data integrity (toàn vẹn dữ liệu); Authenticated denial of existence (xác thực từ chối tồn tại); Không cung cấp confidentiality (không mã hóa).

DNSSEC đưa ra các loại bản ghi mới gồm: Bản ghi khóa công cộng DNS (DNSKEY); Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature); Bản ghi bảo mật kế tiếp (NSEC/NSEC3); Bản ghi ký ủy quyền (DS). Các trường thông tin mới trong giao thức (flag) như: DO: DNSSEC OK; AD: Authenticated Data; CD: Checking Disable

Vì là tiêu chuẩn mở rộng, DNSSEC không làm thay đổi cấu trúc và nền tảng giao thức DNS (cùng tồn tại với hạ tầng hiện tại EDNS0) mà chỉ thêm chữ ký số vào câu trả lời truy vấn. Người dùng Internet sử dụng DNSSEC được kiểm tra xác thực, toàn vẹn dữ liệu, đảm bảo truy cập an toàn.

“Đây là tiêu chuẩn an toàn mở rộng cho hệ thống DNS, cung cấp cơ chế xác thực nguồn gốc, đảm bảo toàn vẹn dữ liệu tên miền trên máy chủ DNS cũng như các truy vấn tên miền để truy cập các dịch vụ trực tuyến trên Internet được an toàn, tránh các tấn công nhằm thay đổi dữ liệu, lừa đảo người dùng. Hiện nay trên thế giới đã có tới hơn 90% tên miền cấp cao (TLD) triển khai DNSSEC”, ông Lê Nam Trung, Phó Giám đốc VNNICcho biết.

Ông Lê Nam Trung, Phó Giám đốc VNNIC

Ngày 6/1/2017, hệ thống máy chủ tên miền (DNS) quốc gia “.vn” đã được triển khai áp dụng tiêu chuẩn DNSSEC, chính thức kết nối liên thông với hệ thống máy chủ tên miền gốc của Internet (DNS ROOT) và các hệ thống DNS quốc tế khác theo tiêu chuẩn an toàn DNSSEC. Việc kết nối liên thông theo tiêu chuẩn DNSSEC giữa hệ thống DNS quốc gia “.VN” với hệ thống máy chủ tên miền gốc (DNS ROOT) và các hệ thống DNS quốc tế đánh dấu bước chuyển biến quan trọng trong việc phát triển hạ tầng Internet tại Việt Nam, sẵn sàng đẩy mạnh phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam một cách an toàn nhất.

Theo VNNIC, kế hoạch thay đổi khóa an toàn DNSSEC KSK trên hệ thống máy chủ tên miền gốc mới được Cơ quan quản lý tên miền và địa chỉ Internet quốc tế (ICANN) thông báo, sẽ tác động trực tiếp đến các tổ chức quản lý tên miền cấp cao (TLD, ccTLD); các Nhà cung cấp dịch vụ Internet (ISP), Nhà đăng ký tên miền, các tổ chức, doanh nghiệp CNTT đang quản lý và duy trì các hệ thống DNS Cache có hỗ trợ tiêu chuẩn an toàn DNSSEC.

Kể từ sau khi hệ thống máy chủ tên miền gốc được ICANN chính thức triển khai tiêu chuẩn DNSSEC, Việt Nam là một trong những nước đi đầu trong khu vực Đông Nam Á và châu Á về triển khai áp dụng DNSSEC trên hệ thống DNS quốc gia. Ngày 23/10/2014, Bộ trưởng Bộ TT&TT đã ra quyết định phê duyệt Đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền quốc gia “.VN”.

Việc triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN”, giúp đảm bảo chính xác, tin cậy việc sử dụng, truy vấn tên miền “.VN”, đặc biệt là tên miền “.GOV.VN” trên Internet thông qua việc áp dụng thống nhất tiêu chuẩn DNSSEC đối với các hệ thống DNS “.VN” tại Việt Nam.

Mô hình triển khai DNSSEC tại Việt Nam

VNNIC đã tổ chức các buổi làm việc trực tiếp với các nhà đăng ký tên miền “.VN” để kiểm tra và hướng dẫn các nhà đăng ký xây dựng kế hoạch, chuẩn bị phương án triển khai DNSSEC; hỗ trợ các nhà đăng ký tên miền “.VN” từng bước kết nối liên thông theo tiêu chuẩn DNSSEC với hệ thống DNS quốc gia để tiến hành thử nghiệm. Hiện tại các nhà đăng ký tên miền “.VN” đang từng bước kết nối liên thông theo tiêu chuẩn DNSSEC với hệ thống DNS quốc qia và triển khai DNSSEC chính thức, một số tên miền “.VN” đã được các nhà đăng ký tên miền “.VN” ký DNSSEC và cung cấp cho khách hàng, giúp tăng cường đảm bảo an toàn, an ninh.

Bên cạnh đó, VNNIC đã triển khai cung cấp dịch vụ Registry Lock miễn phí cho các tên miền liên quan tới chủ quyền, lợi ích an ninh quốc gia được ưu tiên bảo vệ theo Khoản 1 Điều 8 Thông tư số 24/2015/TT-BTTTT cho 2.305 tên miền thuộc diện ưu tiên này nhằm hạn chế các tác động cập nhật không mong muốn đối với tên miền, bảo vệ tên miền trước các nguy cơ tấn công, thay đổi thông tin liên hệ hoặc can thiệp thay đổi máy chủ DNS chuyển giao làm ảnh hưởng tới sự hoạt động ổn định của tên miền và các dịch vụ được cung cấp cùng với tên miền.

Để mở rộng hợp tác quốc tế trong lĩnh vực an toàn thông tin mạng, tháng 10/2017, VNNIC đã phối hợp với Tổ chức Internet toàn cầu (ISOC), Hiệp hội Internet Việt Nam (VIA) tổ chức Hội nghị chuyên đề Internet (Asia Internet Symposium) với chủ đề “Nguy cơ an toàn bảo mật trên không gian mạng tại Việt Nam và các giải pháp”. Đây là lần đầu tiên hội nghị chuyên đề Internet châu Á được tổ chức tại Việt Nam, cập nhật những thông tin, kiến thức hỗ trợ cho an toàn thông tin, tạo cơ hội cho các chuyên gia trong lĩnh vực được giao lưu, chia sẻ thông tin và kinh nghiệm thực tiễn.

Lãnh đạo VNNIC khẳng định, năm 2018, VNNIC sẽ tiếp tục quản lý, vận hành hệ thống DNS quốc gia, VNIX hoạt động an toàn, ổn định. Thường xuyên nâng cấp, mở rộng hệ thống đáp ứng nhu cầu sử dụng, yêu cầu phát triển Internet tại VN. Triển khai các biện pháp, giải pháp đảm bảo an toàn an ninh, tăng cường năng lực hệ thống tại các điểm. Triển khai DNSSEC theo đúng lộ trình quốc gia đã ban hành