Triển khai DNSSEC đảm bảo an toàn, tin cậy hạ tầng hệ thống DNS tại Việt Nam (P1)

Diễn đàn - Ngày đăng : 20:52, 03/11/2015

DNSSEC cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau (chain of trust) theo cấu trúc hình cây của hệ thống DNS, bắt đầu từ máy chủ ROOT DNS.

HOẠT ĐỘNG CỦA HỆ THỐNG DNS VÀ NGUY CƠ MẤT AN TOÀN THÔNG TIN

Hệ thống tên miền DNS (Domain Name System) được xem là hạ tầng lõi trọng yếu của mạng Internet, đóng vai trò hết sức quan trọng, là hệ thống dẫn đường hay còn được ví như trái tim của mạng Internet. Nguyên tắc hoạt động của hệ thống DNS được mô tả như trong Hình 1.

Do tính chất quan trọng của hệ thống này, hiện nay các cuộc tấn công, khai thác lỗ hổng của hệ thống DNS ngày càng được tiến hành một cách tinh vi, với quy mô ngày càng lớn. Mục đích của những kẻ tấn công là làm tê liệt hệ thống hoặc chuyển hướng tên miền đến một địa chỉ IP khác, từ đó có thể đánh cắp dữ liệu cá nhân của người dùng.

Bên cạnh đó, giao thức DNS được ra đời từ rất lâu và bản thân giao thức còn tồn tại một số lỗ hổng bảo mật vốn có. Khi các doanh nghiệp và chính phủ ngày càng phụ thuộc vào Internet, tất cả mọi thứ từ thông tin liên lạc đến các dịch vụ thương mại quan trọng ứng dụng CNTT, các lỗ hổng bảo mật hệ thống DNS ngày càng gây ra mối đe dọa đáng kể.

Các trường hợp tấn công DNS phổ biến có thể gặp như chuyển hướng phân giải DNS của người dùng sang một DNS giả mạo, "đầu độc" bộ nhớ đệm (cache) DNS, hoặc giả mạo thay đổi các bản ghi trong DNS. Tất cả đều nhằm mục đích làm cho người dùng tin tưởng họ đang truy xuất vào một website hoặc máy tính hợp lệ trong khi thực chất họ đã được dẫn đến một trang web có chứa nội dung độc hại.

DNSSEC LÀ GÌ?

Để giải quyết các nguy cơ ở trên, ngay từ năm 1990, các giải pháp khắc phục đã được nghiên cứu. Năm 1995, giải pháp DNSSEC được công bố, năm 2001 được xây dựng thành các tiêu chuẩn RFC dự thảo và cuối cùng được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.

DNSSEC (Domain Name System Security Extensions) là tiêu chuẩn an toàn mở rộng cho hệ thống DNS. Cả DNSSEC và SSL đều sử dụng nền tảng hạ tầng mã hóa công khai (PKI). DNSSEC không sử dụng để thay thế SSL mà ngược lại DNSSEC là tiêu chuẩn chung đảm bảo an toàn cho hạ tầng DNS, sử dụng bởi nhiều ứng dụng khác nhau, hỗ trợ cho SSL nhằm đảm bảo ngăn chặn tình huống người sử dụng kết nối đến một máy chủ không đúng trước khi kết nối được bảo vệ bởi SSL.

Truy vấn tên miền với hệ thống DNSSEC có bước xác thực (validation), thiết lập kết nối an toàn, tin cậy với người sử dụng.

MÔ HÌNH TRIỂN KHAI DNSSEC

DNSSEC cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau (chain of trust) theo cấu trúc hình cây của hệ thống DNS, bắt đầu từ máy chủ ROOT DNS.

Việc xây dựng được chuỗi tin cậy trong DNSSEC là bắt buộc, là cơ sở đảm bảo xác thực nguồn gốc và toàn vẹn dữ liệu trong DNSSEC. Chuỗi tin cậy được thực hiện từng bước, bắt đầu từ hệ thống máy chủ tên miền gốc (DNS ROOT) đến các máy chủ TLD, cho tới các hệ thống DNS cấp dưới. Sau khi được triển khai đầy đủ, việc tin tặc tấn công hệ thống DNS, chuyển hướng tên miền sẽ bị phát hiện và ngăn chặn.

Từ đó việc truy cập vào các dịch vụ trên tên miền được đảm bảo an toàn, xác thực, các nguy cơ đã trình bày ở trên được giải quyết.


Nguyễn Trường Thành

(còn nữa)

(TCTTTT Kỳ 1/12/2014)