Việc triển khai tiêu chuẩn An toàn bảo mật mở rộng hệ thống máy chủ DNS (DNSSEC) là rất cần thiết, nhằm giảm thiểu các rủi ro về an toàn thông tin.
1. Hệ thống DNS và vấn đề an toàn thông tin
Hệ thống máy chủ tên miền DNS (Domain Name System) đóng vai trò dẫn đường trên Internet, được coi là một hạ tầng lõi trọng yếu của hệ thống Internet toàn cầu. Do tính chất quan trọng của hệ thống DNS, đã có nhiều cuộc tấn công, khai thác lỗ hổng của hệ thống này với quy mô lớn và tinh vi với mục đích làm tê liệt hệ thống này hoặc chuyển hướng một tên miền nào đó đến một địa chỉ IP khác.
Trên thế giới, đã có nhiều cuộc tấn công làm thay đổi dữ liệu tên miền, chuyển hướng website được thực hiện, gây hậu quả nghiêm trọng, điển hình như các cuộc tấn công vào tên miền .pr (2009), hệ thống DNS ở Tunisia (2010), hệ thống của công ty cung cấp chứng thư số Diginotar của Hà Lan (2011), hệ thống DNS tại Malaysia (tháng 7/2013)... Các cuộc tấn công này đã gây ra các hậu quả nghiêm trọng như nhiều công ty bị phá sản, bị thay đổi nội dung trên website, ảnh hưởng tới người dùng dịch vụ...
Một số kịch bản tấn công hệ thống DNS phổ biến gồm:
- DNS spoofing (DNS cache poisoning): Đây là một phương pháp tấn công máy tính nhờ đó mà dữ liệu được thêm vào hệ thống cache của các máy chủ DNS. Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng tư một website này sang một website khác.
Để khai thác theo hướng này, tin tặc lợi dụng lỗ hổng của phần mềm DNS, do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ các máy chủ được xác thực, các bản ghi không đúng sẽ được nhớ đệm lại và phục vụ cho các người sử dụng khác.
- Giả mạo máy chủ DNS: Đây là cách một số phần mềm quảng cáo hay trojan thường hay thực hiện. Đầu tiên, chúng dựng lên các máy chủ DNS, giống với chức năng máy chủ DNS thông thường. Tuy nhiên, các máy chủ DNS này có khả năng điều khiển được để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm…
Để thực hiện hành vi này, các phần mềm độc hại sau khi được cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS của người dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước. Qua đó, các truy vấn DNS của người dùng thay vì đi qua các máy chủ DNS của ISP hoặc do người dùng thiết lập thì lại đi qua các máy chủ DNS của kẻ tấn công.
Hình 1. Mô hình triển khai DNSSEC
Hình 1. Mô hình triển khai DNSSEC
2. Quá trình nghiên cứu và triển khai tiêu chuẩn DNSSEC trên thế giới
Để giải quyết các nguy cơ ở trên, ngay từ năm 1990, các giải pháp khắc phục đã được nghiên cứu. Năm 1995, giải pháp Tiêu chuẩn An toàn bảo mật mở rộng hệ thống máy chủ DNS (DNSSEC) được công bố, năm 2001 được xây dựng thành các tiêu chuẩn RFC dự thảo và cuối cùng được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.
DNSSEC dựa trên nền tảng mã hoá khoá công khai (PKI), thực hiện ký số trên các bản ghi DNS để đảm bảo tính xác thực, toàn vẹn của cặp ánh xạ tên miền - địa chỉ IP, tất cả các thay đổi bản ghi DNS đã được ký số sẽ được phát hiện. Kể từ khi được chuẩn hoá năm 2005, DNSSEC đã nhanh chóng được triển khai rộng rãi trên mạng Internet.
DNSSEC cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau theo cấu trúc hình cây của hệ thống DNS, bắt đầu từ máy chủ ROOT DNS.
Việc xây dựng được chuỗi tin cậy trong DNSSEC là bắt buộc, là cơ sở đảm bảo xác thực nguồn gốc và toàn vẹn dữ liệu trong DNSSEC. Chuỗi tin cậy được thực hiện từng bước, bắt đầu từ hệ thống máy chủ tên miền gốc (DNS ROOT) đến các máy chủ TLD, cho tới các hệ thống DNS cấp dưới. Sau khi được triển khai đầy đủ, việc tin tặc tấn công hệ thống DNS, chuyển hướng tên miền sẽ bị phát hiện và ngăn chặn.
Hình 2. Quá trình triển khai DNSSEC trên thế giới
Hình 2. Quá trình triển khai DNSSEC trên thế giới
Triển khai DNSSEC trên hệ thống máy chủ tên miền gốc (DNS ROOT) là một điều kiện quan trọng, tiên quyết trong việc triển khai DNSSEC trên các tên miền cấp cao dùng chung (gTLD), các tên miền mã quốc gia (ccTLD). Trên cơ sở đó, các hệ thống DNS quốc gia mới triển khai DNSSEC một cách đầy đủ, toàn diện trên hệ thống của mình. Ngày 15/10/2010, ICANN đã chính thức triển khai DNSSEC trên hệ thống DNS ROOT.
Sau khi ICANN chính thức triển khai DNSSEC trên hệ thống DNS ROOT, các TLDs (bao gồm gTLD, ccTLD) đã từng bước triển khai chính thức DNSSEC trên hệ thống DNS của mình. Tính đến hết tháng 26/9/2016, hiện đã có 1496 TLDs trên hệ thống DNS ROOT, 1348 TLD trong số đó đã được ký, 1336 TLD đã cập nhật hóa công khai (DS Record) lên hệ thống máy chủ DNS ROOT.
Theo thống kê của tổ chức ICANN, việc phát triển và vận hành DNSSEC trên thế giới tính đến 20/6/2016 đã có 76 nước triển khai và áp dụng cho hệ thống máy chủ tên miền quốc gia, gồm:
Hình 3. Triển khai và thử nghiệm DNSSEC tại các khu vực trên thế giới
Hình 3. Triển khai và thử nghiệm DNSSEC tại các khu vực trên thế giới
3. Bộ tiêu chuẩn DNSSEC
Hệ thống tiêu chuẩn DNSSEC (Domain Name System Security Extensions) – Giao thức mở rộng bảo mật hệ thống tên miền là hệ thống tiêu chuẩn do Nhóm chuyên trách kỹ thuật Internet - Internet Engineering Task Force (IETF) phát hành. Sau khi công bố phiên bản DNSSEC đầu tiên (RFC 2065) vào năm 1997 đến nay, IETF đã công bố và bổ sung nhiều tiêu chuẩn về vấn đề bảo mật DNSSEC.
Việc triển khai DNSSEC bắt buộc phải tuân thủ các tiêu chuẩn quốc tế đã được ban hành. Bao gồm:
Bộ tiêu chuẩn cơ bản nhất về DNSSEC (công bố năm 2005):
Các tiêu chuẩn DNSSEC bổ sung có thể phân loại như sau:
Ngoài ra trung tâm dữ liệu, phòng máy triển khai hệ thống quản lý khoá, ký số dữ liệu tên miền DNSSEC cũng cần được bảo vệ an toàn vật lý theo tiêu chuẩn ở mức cao.
Mỗi cơ quan quản lý đăng ký sẽ tiến hành xây dựng chính sách áp dụng trong việc quản lý, vận hành hệ thống DNSSEC và công bố cho cộng đồng được biết và thực hiện. Việc xây dựng tài liệu chính sách này thông thường sẽ tuân thủ theo tiêu chuẩn “RFC 6841: A Framework for DNSSEC Policies and DNSSEC Practice Statements”, do IETF xuất bản năm 2013.
Tài liệu tham khảo
[1]. Nghiên cứu xây dựng tiêu chuẩn về các bản ghi tài nguyên cho các phần mở rộng bảo mật DNS, đề tài cấp Bộ TTTT, mã số: 29-16-KHKT-TC.
[2] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "Resource Records for DNS Security Extensions", RFC 4034, March 2005.