1. Quá trình nghiên cứu, triển khai DNSSEC tại Việt Nam
a) Đề án triển khai DNSSEC
Trước tình hình an ninh mạng có nhiều biến động phức tạp, tiềm ẩn nhiều nguy cơ cùng với lộ trình, xu thế triển khai DNSSEC trên thế giới thì việc áp dụng tiêu chuẩn an toàn bảo mật DNSSEC cho hệ thống máy chủ tên miền quốc gia “.VN” là rất cần thiết.
Trên thực tế, từ năm 2001 Việt Nam đã bắt đầu tìm hiểu về DNSSEC. Việc nghiên cứu, thử nghiệm tiêu chuẩn an toàn bảo mật này được tiến hành từ năm 2008. Bộ Thông Tin và Truyền Thông đã ban hành thông tư số 22/2013/TT-BTTTT về “Danh mục tiêu chuẩn kỹ thuật về ứng dụng công nghệ thông tin trong cơ qua nhà nước” ngày 23/12/2013 quy định về danh mục các tiêu chuẩn bắt buộc áp dụng hoặc khuyến nghị áp dụng cho hệ thống thông tin của các cơ quan nhà nước để bảo đảm kết nối thông suốt, đồng bộ và khả năng chia sẻ, trao đổi thông tin an toàn, thuận tiện giữa các cơ quan nhà nước và giữa cơ quan nhà nước với tổ chức, cá nhân. Cụ thể, tại mục 4.6 quy định áp dụng đối với các tiêu chuẩn về DNSSEC là “Khuyến nghị áp dụng”.
Ngày 23/10/2014, Bộ Thông tin và Truyền thông ban hành Quyết định số 1524/QĐ-BTTTT phê duyệt Đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN”. Việc áp dụng thống nhất tiêu chuẩn DNSSEC đối với các hệ thống DNS “.VN” tại Việt Nam giúp đảm bảo chính xác và tin cậy trong việc sử dụng, truy vấn tên miền “.VN” trên Internet. Đây là cơ sở tất yếu cho việc phát triển hạ tầng Internet tại Việt Nam bền vững, an toàn nhằm xây dựng kết cấu hạ tầng đồng bộ, đưa nước ta trở thành nước công nghiệp theo hướng hiện đại trong thời gian tới.
b) Triển khai trên hệ thống DNS quốc gia
- Cung cấp hệ thống thử nghiệm: Để hỗ trợ các ISP, các nhà đăng ký có thể kết nối thử nghiệm, Trung Tâm Internet Việt Nam (VNNIC) đã xây dựng hệ thống thử nghiệm giả lập hệ thống DNS quốc gia, hệ thống đăng ký tên miền, sẵn sàng cho các ISP, các nhà đăng ký kết nối thử nghiệm vào đầu Quý 2 năm 2015.
- Triển khai chính thức trên hệ thống DNS quốc gia: Trong năm 2015, VNNIC đã tiến hành các công việc cần thiết để chính thức triển khai DNSSEC trên hệ thống DNS quốc gia vào năm 2016 theo đúng lộ trình thực hiện.
Hình 1. Triển khai DNSSEC tại Việt Nam
Hình 1. Triển khai DNSSEC tại Việt Nam
Quá trình triển khai DNSSEC bao gồm: ký chuyển giao tên miền .VN từ DNS Root về máy chủ DNS quốc gia quản lý và ký chuyền giao tên miền từ máy chủ DNS quốc gia cho các đơn vị khác quản lý.
2. Lộ trình triển khai DNSSEC tại Việt Nam
Theo Quyết định số 1524/QĐ-BTTTT, lộ trình triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) ".vn"gồm 3 giai đoạn:
- Giai đoạn chuẩn bị (2015): Xây dựng kế hoạch, chuẩn bị các điều kiện cần thiết về truyền thông, nhân lực, kỹ thuật, tài chính để triển khai tiêu chuẩn DNSSEC đối với hệ thống DNS tại các cơ quan, tổ chức, doanh nghiệp.
- Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC trên hệ thống DNS quốc gia, đồng thời xây dựng nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền ".vn", các cơ quan Đảng, Nhà nước để kết nối thử nghiệm với hệ thống DNS quốc gia theo tiêu chuẩn DNSSEC.
- Giai đoạn triển khai (2017): Hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển của Internet Việt Nam trong các giai đoạn tiếp theo; các doanh nghiệp cung cấp dịch vụ Internet, các nhà đăng ký tên miền ".vn", các cơ quan Đảng, Nhà nước chính thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC và cung cấp dịch vụ sử dụng, truy vấn tên miền ".vn" theo tiêu chuẩn DNSSEC cho người sử dụng Internet tại Việt Nam.
Hình 2. Lộ trình triển khai DNSSEC tại Việt Nam
Hình 2. Lộ trình triển khai DNSSEC tại Việt Nam
Quá trình triển khai DNSSEC tại Việt Nam được thực hiện từng bước, không làm thay đổi hoạt động thông thường của hệ thống DNS, DNSSEC là phần tích hợp thêm vào hệ thống DNS, cung cấp khả năng xác thực, toàn vẹn dữ liệu bản ghi tên miền trên DNS. Trước hết cần triển khai DNSSEC trên hệ thống máy chủ tên miền DNS quốc gia ".vn", trên cơ sở đó sẽ triển khai DNSSEC ở các máy chủ tên miền cấp dưới như tên miền cấp 2 dùng chung (.gov.vn, .net.vn,...); hệ thống DNS của các ISP, các Nhà đăng ký tên miền, doanh nghiệp cung cấp dịch vụ DNS Hosting, cơ quan Đảng, Nhà nước, khách hàng/chủ sở hữu tên miền ".vn".; trong đó chủ yếu được phân loại thành 2 nhóm như sau:
- Nhóm ký số dữ liệu tên miền (Signing): Các Registry, Registrar, DNS Hosting Provider, các chủ sở hữu tên miền (có hoặc không có hệ thống DNS): triển khai trên hệ thống Authotitative DNS.
- Nhóm kiểm tra tính xác thực, toàn vẹn của dữ liệu tên miền (Validation): Các ISP, nhà cung cấp dịch vụ truy cập Internet trên di động (Mobile Operator), tổ chức, doanh nghiệp: triển khai trên hệ thống DNS Caching.
Đối với người dùng Internet: việc triển khai DNSSEC là hoàn toàn trong suốt, xác thực thông qua hệ thống DNS Caching của các ISP.
Hình 3. Các nhóm đối tượng tham gia triển khai DNSSEC
Hình 3. Các nhóm đối tượng tham gia triển khai DNSSEC
Việc triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) ".vn" giúp đảm bảo chính xác, tin cậy việc sử dụng, truy vấn tên miền ".vn" trên Internet thông qua việc áp dụng thống nhất tiêu chuẩn DNSSEC đối với các hệ thống DNS ".vn" tại Việt Nam. Đảm bảo kết nối liên thông theo tiêu chuẩn DNSSEC giữa hệ thống DNS quốc gia ".vn" với hệ thống máy chủ tên miền gốc (DNS ROOT) và các hệ thống DNS quốc tế. Đánh dấu bước chuyển biến quan trọng trong việc phát triển hạ tầng Internet tại Việt Nam, sẵn sàng đẩy mạnh phát triển các dịch vụ thương mại điện tử, chính phủ điện tử tại Việt Nam một cách an toàn nhất.
3. Tình hình tiêu chuẩn hóa DNSSEC tại Việt Nam
Dựa trên đề án triển khai DNSSEC của Quyết định 1524/QĐ-BTTTT, Bộ Thông tin và Truyền thông đã có những bước đầu trong việc xây dựng và ban hành các tiêu chuẩn về DNSSEC. Các tiêu chuẩn về DNSSEC đã và đang được xây dựng trên cơ sở các tiêu chuẩn quốc tế do tổ chức IETF ban hành được mô tả ở Bảng 1.
Bảng 1. Một số TCVN về DNSSEC
Yêu cầu chung của một bộ Tiêu chuẩn quốc gia là cần đảm bảo các yêu cầu thiết yếu và phải có tính khả thi. Hiện nay, dự thảo “Tiêu chuẩn quốc gia về mở rộng an toàn thống tên miền (DNSSEC) – Phần xx: Các bản ghi tài nguyên cho các phần mở rộng bảo mật DNS” đã dược xây dựng dựa trên cơ sở chấp thuận tài liệu tiêu chuẩn quốc tế RFC 4034 (2005) "Resource Records for DNS Security Extensions" theo hình thức biên dịch có hiệu chỉnh, bố cục lại các đề mục và lựa chọn nội dung phù hợp với quy định xây dựng Tiêu chuẩn quốc gia của Việt Nam.
Nội dung của tiêu chuẩn quốc tế được chuyển thành nội dung của Tiêu chuẩn theo hình thức biên soạn lại, phù hợp với thông tư 03/2011/TT-BTTTT ngày 04/01/2011 của BTTTT, tạo điều kiện thuận lợi cho việc phục vụ công tác triển khai Đề án DNSSEC tại Việt Nam và công tác quản lý về an toàn và bảo mật cho hệ thống máy chủ tên miền quốc gia “.VN”.
Tài liệu tham khảo
[1]. Nghiên cứu xây dựng tiêu chuẩn về các bản ghi tài nguyên cho các phần mở rộng bảo mật DNS, đề tài cấp Bộ TTTT, mã số: 29-16-KHKT-TC.
[2] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for DNS Security Extensions", RFC 4034, March 2005.