Phương pháp đảm bảo an toàn cho hệ thống DNS trên đám mây (P2)

CÁC PHƯƠNG PHÁP ĐẢM BẢO AN NINH CHO HỆ THỐNG DNS TRÊN ĐÁM MÂY

Giống như hầu hết các thách thức về bảo mật khác, những giải pháp cho hệ thống DNS trên đám mây chưa thực sự đảm bảo an toàn và còn phụ thuộc nhiều vào sự kết hợp giữa các yếu tố con người, quy trình, công nghệ. Ngoài các biện pháp bảo vệ chung cho toàn hệ thống như IDS, IPS, firewall, load balancing... khách hàng sử dụng dịch vụ đám mây cũng nên xem xét các phương pháp áp dụng riêng cho hệ thống DNS có ổn định không để lựa chọn nhà cung cấp cho phù hợp.

DNSSEC

Giao thức DNS thiếu hụt tính bảo mật do không có công cụ xác thực nguồn dữ liệu được trao đổi giữa máy chủ DNS và máy trạm (client), hoặc quá trình chuyển tiếp (forwarder) giữa máy chủ này đến máy chủ khác trong domain. Trước nguy cơ dữ liệu DNS có thể bị giả mạo và làm sai lệch, DNSSEC ra đời để giải quyết vấn đề này.
DNSSEC (Domain Name System Security Extensions) là một giao thức mở rộng trên nền DNS, cung cấp khả năng chứng thực (authentication) và đảm bảo dữ liệu được toàn vẹn (integrity) cho hệ thống DNS.

DNSSEC có 3 nhiệm vụ chính:

-Sender Authentication:

Chứng thực dữ liệu cho quá trình gửi đi.

-Data Integrity: Bảo vệ toàn vẹn dữ liệu trong quá trình truyền, giúp người nhận được đảm bảo dữ liệu không bị thay đổi.

-Authenticated denial of existence: Ngăn chặn kẻ tấn công phá hoại bằng cách tự động gửi xác nhận là không tồn tại dữ liệu mà Client truy vấn.

Để thực hiện các nhiệm vụ trên, ngoài 4 phần tử chính trong hệ thống DNS (Delegation, Zone file management, Zone file distribution, Resolving), DNSSEC sẽ có thêm một số phần tử như Zone File Signing, Verifying, Trust Anchor, Key rollover, DNS Aware, Key Master [5]. Nhờ đó DNSSEC đưa ra 4 loại bản ghi mới:

-Bản ghi khóa công cộng DNS (DNSKEY - DNS Public Key): Sử dụng để chứng thực zone dữ liệu.

-Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature): Sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.

-Bản ghi bảo mật kế tiếp (NSEC - Next Secure): Sử dụng trong quá trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi tài nguyên hoặc bản ghi CNAME.

Kết hợp với bản ghi RRSIG để xác thực cho zone dữ liệu.

-Bản ghi ký ủy quyền (DS - Delegation Signer): Thiết lập chứng thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong quá trình chuyển giao DNS.

Mục tiêu đặt ra là DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ các DNS cấp cao xuống các DNS cấp thấp hơn, mặt khác đối với các máy trạm cần đáp ứng khả năng hỗ trợ các cơ chế mở rộng này. Một zone dữ liệu được ký xác thực sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và DS.

Như vậy bằng cách tổ chức thêm những bản ghi mới và những giao thức đã được chỉnh sửa nhằm chứng thực nguồn gốc và tính toàn vẹn dữ liệu cho hệ thống, với DNSSEC, hệ thống DNS đã được mở rộng thêm các tính năng bảo mật và được tăng cường độ an toàn, tin cậy, khắc phục được những nhược điểm của thiết kế sơ khai ban đầu. Vừa đáp ứng được các yêu cầu thông tin định tuyến về tên miền, giao thức làm việc giữa các máy chủ DNS với nhau, vừa đáp ứng được các yêu cầu bảo mật, tăng cường khả năng dự phòng cho hệ thống.

Một vấn đề lớn phải đối mặt với việc áp dụng DNSSEC trên đám mây là thực tế nhiều chuyên gia bảo mật không biết tới DNSSEC hoặc chưa có nhiều kinh nghiệm để đảm bảo thực hiện tốt các tính năng của dịch vụ. Năm 2013, Uncompiled.com công bố nghiên cứu với kết quả một nửa số nhân viên IT phụ trách an ninh mạng tại các tổ chức lớn nhất thế giới chưa từng nghe đến DNSSEC hoặc có kiến thức khá khiêm tốn về nó. Đây không phải là dấu hiệu tốt cho việc áp dụng rộng rãi DNSSEC tới các nhà cung cấp dịch vụ điện toán đám mây (CSP). Hơn nữa, DNSSEC chỉ hoạt động để đảm bảo tính toàn vẹn dữ liệu, chứ không thể ngăn chặn các hình thức tấn công phổ biến như tràn bộ nhớ đệm (buffer overruns), chiếm quyền điều khiển (race conditions) hay tấn công DoS. [6]

Anycast

Anycast là kiểu truyền thông tin mà ở đó, client truyền dữ liệu một lúc đến nhiều điểm khác nhau. Khi truy xuất, các dữ liệu sẽ được lấy tại điểm gần nhất so với vị trí của client.

Nếu điểm gần nhất mất kết nối, client sẽ được tự động chuyển hướng đến các điểm khác (gần nhất có thể) để lấy các dữ liệu cần thiết mà không xảy ra tình trạng downtime trong bất kỳ trường hợp nào.

Nguyên lý hoạt động của máy chủ DNS-Anycast như sau: Trên máy chủ DNS cấu hình phần chức năng như một máy chủ DNS thông thường, tuy nhiên máy chủ DNS này được cấu hình 2 giao diện mạng, một giao diện nhận địa chỉ anycast để nhận và trả lời truy vấn tên miền, một giao diện khác nhận địa chỉ mạng thực làm chức năng quản lý. Địa chỉ dùng cho máy chủ DNS có vai trò rất quan trọng, để phục vụ công tác quản lý, đồng bộ dữ liệu giữa các máy chủ DNS yêu cầu một kết nối có định hướng và tin cậy, do đó ngoài địa chỉ IP anycast còn thêm một địa chỉ thực hoạt động khác làm địa chỉ quản lý. Các cụm DNS-Anycast này sẽ đặt tại nhiều nơi khác nhau và được định tuyến, quảng bá vào bảng định tuyến trên Internet.

Trên mạng Internet, anycast được thực hiện bằng việc sử dụng giao thức định tuyến toàn cầu BGP để đồng thời quảng bá đồng bộ một dải địa chỉ IP đích từ nhiều điểm khác nhau trên Internet. Do vậy trong  trường đích của gói tin trên mạng thì dải địa chỉ anycast này sẽ được định tuyến tới điểm gần nhất trên mạng theo thuật toán lựa chọn đường đi trong giao thức định tuyến mạng. Các host trên mạng được cấu hình cùng một địa chỉ Anycast.

Một số ưu điểm của Anycast khi ứng dụng cho hệ thống DNS: (1) Các client, server, router không cần các phần mềm đặc biệt; (2) Không ảnh hưởng xấu tới hệ thống mạng hiện tại, chỉ cần tận dụng cơ sở hạ tầng sẵn có; (3) Cân bằng tải; (4) Tăng độ linh động; (5) Giảm độ trễ; (6) Cơ chế phân tán, giảm nguy cơ DoS.

Với những ưu điểm trên, các CSP quản lý hệ thống DNS nên sử dụng anycast. Cân bằng lưu lượng truy cập anycast, cũng như DNSSEC, là thành phần bổ sung cho chiến lược tổng thể đảm bảo an toàn cho DNS. [7,8]

DNS Monitor

Công cụ giám sát hệ thống DNS (DNS Monitor) sẽ giúp nhân viên quản trị hệ thống nhanh chóng phát hiện ra các dấu hiệu đáng ngờ, từ đó đưa ra các hành động cần thiết. Việc thực hiện giám sát sẽ giúp:

-Xem hiện trạng làm việc của server DNS: DNS Monitor sẽ gửi thông báo khi DNS server hoạt động không bình thường. DNS Monitor có thể gửi truy vấn DNS tới tất cả các DNS server cũng như nhận thông tin trả lời (response) mà không làm ảnh hưởng tới các máy khác.

-Phân tích chất lượng các response từ những DNS Server được giám sát: DNS Monitor có thể ghi lại (logging) và hiển thị từng mục của từng response, cho phép người dùng có thể quyết định có nên tối ưu hóa DNS Server hay không.

-Cung cấp thông tin chi tiết để giải quyết vấn đề: Dựa vào thông tin "Success/Failure“ khi truy vấn một tên miền tới một vài DNS Server, DNS Monitor có thể cung cấp các nguyên nhân liên quan rất nhanh chóng.

Trạng thái "Failure": DNS Monitor sẽ hiển thị những nguyên nhân có thể như: timeout, Format error, Server failure, Name Error, Not Implemented, Request Refused, Send Request Failed, Get part reply...

Trạng thái "Success": DNS Monitor có thể hiển thị thông tin chi tiết từ các response như Question section, Answer section, Authority section, Additional section...

Tài liệu tham khảo

[1].http:/Mwikipedia.org/wiki/DNS#cite_note-1.
[2].http://secuntydaNy.net/phan-tich-cac-kich-ban-tan-cong- he-thong-dns/.
[3].http://technet.microsoft.com/en-us/library/jj200221.aspx
[4].http://securityaffairs.co/wordpress/3184/cyber-crime/ anonymous-dns-amplification-attacks-for-operation-global- blackout.html.
[5].http://doud365vn.com/dnssec-dns-security-extension- part-1/.
[6].DNS in the Cloud: Building a secure DNS architecture, Search Security.
[7].http://techblog.vn/domain-hosting-server/anycast-com-vn- cloud-free-dns-danh-cho-nguoi-viet-2408/.
[8].http://www.vnnic.vn/dns/congnghe/công- nghệ-dns-anycast.

Đỗ Hữu Tuyến

(TCTTTT Kỳ 1/12/2014)