Chuyển đến nội dung chính

NHỮNG ĐIỀU CẦN BIẾT VỀ CÔNG NGHỆ DNSSEC

Bởi

 

I.                   TỔNG QUAN VỀ DNS VÀ DNSSEC

DNS là chữ viết tắt của Domain Name Server, là hệ thống phân giải tên miền trên Internet. Khi người dùng Internet gõ một địa chỉ Web lên trình duyệt, thì nó sẽ truy cập đến một máy chủ để tìm địa chỉ IP tương ứng với địa chỉ Web.

DNSSEC là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

II.        TẠI SAO CẦN DÙNG ĐẾN DNSSEC

Trong khi giao thức DNS thông thường không có công cụ để xác thực nguồn dữ liệu. Điều đó tạo ra nguy cơ dữ liệu DNS bị giả mạo và bị làm sai lệch trong các tương tác giữa máy chủ DNS với các máy trạm (resolver) hoặc máy chủ chuyển tiếp (forwarder),

Để giải quyết vấn đề đó, công nghệ bảo mật mới DNSSEC đã được nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo vệ chống lại các nguy cơ giả mạo làm sai lệch nguồn dữ liệu. Trong đó, DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

III.            CÁC LOẠI BẢN GHI CỦA DNSSEC

  • Bản ghi khóa công cộng DNS (DNSKEY - DNS Public Key): sử dụng để chứng thực zone dữ liệu.
  • Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature): sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.
  • Bản ghi bảo mật kế tiếp (NSEC - Next Secure): sử dụng trong quá trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi tài nguyên hoặc bản ghi CNAME. Kết hợp với bản ghi RRSIG để xác thực cho zone dữ liệu.
  • Bản ghi ký ủy quyền (DS - Delegation Signer): thiết lập chứng thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong quá trình chuyển giao DNS.

Mục tiêu đặt ra là DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ các DNS cấp cao xuống các DNS cấp thấp hơn, mặt khác đối với các máy trạm (resolver) cần yêu cầu đáp ứng hỗ trợ các cơ chế mở rộng này. Một zone dữ liệu được ký xác thực sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và DS.

IV.            ỨNG DỤNG DNSSEC ĐỂ BẢO MẬT CHO HỆ THỐNG DNS

Các bản ghi trong DNSSEC được khai báo trong các zone dữ liệu để chứng thực thông tin trong zone dữ liệu đó, đảm bảo độ tin cậy trong quá trình trao đổi thông tin cũng như truy vấn tìm kiếm DNS. Trong khi vẫn đảm bảo hoạt động bình thường của các bản ghi tài nguyên DNS thông thường thì các bản ghi DNSSEC cần khai báo chính xác và thông tin xác thực phải đồng bộ.

V.                KÝ ZONE TRONG DNSSEC

Một zone được ký bao gồm khóa công cộng DNS (DNS Public Key): Chữ ký bản ghi tài nguyên (RRSIG); Bảo mật tiếp theo (NSEC); Ký chuyển giao (Delegation Signer).

Một zone mà không thêm những bản ghi này vào là một zone chưa được ký. Đồng thời DNSSEC đòi hỏi thay đổi định nghĩa của bản ghi tài nguyên CNAME bằng 2 bản ghi chứng thực là bản ghi RRSIG và bản ghi NSEC.

VI.            CÁCH THÊM BẢN GHI VÀO MỘT ZONE

    • Bản ghi DNSKEY

    Để ký một zone, người quản trị zone sẽ tạo một hay nhiều cặp khóa công cộng/dành riêng (public/private), cặp khóa công cộng dùng cho zone chính và khóa riêng để ký cho những bản ghi cần xác thực trong zone. Mỗi zone phải thêm một bản ghi DNSKEY (zone DNSKEY RR) chứa đựng khóa công cộng tương ứng, và mỗi khóa riêng được dùng để tạo bản ghi RRSIG trong zone.

    Bản ghi chứng thực DNSKEY cho zone phải có bit Zone Key của trường dữ liệu cờ đặt giá trị là 1.  Nếu quản trị zone có ý định ký một zone để chứng thực thì zone chính phải chứa đựng ít nhất một bản ghi DNSKEY để hoạt động như một điểm bảo mật ở trong zone. Điểm bảo mật được dùng cùng với bản ghi DS tương ứng ở zone cha trong hoạt động chuyển giao DNS.

    • Bản ghi RRSIG

    Với một zone đã được ký bởi bản ghi DNSKEY, thì các bản ghi tài nguyên trong zone đó cần có một bản ghi RRSIG ký xác thực. Một bản ghi tài nguyên có thể có nhiều bản ghi RRSIG kết hợp với nó. Các bản ghi RRSIG chứa chữ ký điện tử kết hợp chặt chẽ với các bản ghi tài nguyên để xác thực cho các bản ghi tài nguyên đó. Đặc biệt, giá trị TTL trong các bản ghi RRSIG với một tên miền sở hữu không giống với giá trị TTL của bản ghi tài nguyên.

    Trong trường hợp các bản ghi tài nguyên cùng sở hữu một tên miền thì cần kết hợp bản ghi RRSIG với bản ghi NSEC để xác thực, trường hợp này cũng tương tự đối với bản ghi CNAME.

    Tập bản ghi tài nguyên NS trong zone phải được ký xác thực, khi bản ghi NS là bản ghi chuyển giao từ máy chủ tên miền cha xuống máy chủ tên miền con thì cần kết hợp bản ghi RRSIG với bản ghi xác thực DS. Bản ghi glue cũng cần xác thực bằng RRSIG.

  • Bản ghi NSEC

Mỗi tên miền sở hữu nhiều hơn 1 bản ghi tài nguyên cùng loại trong một zone hoặc một tập bản ghi NS chuyển giao thì phải có một bản ghi NSEC để xác thực. Trong đó, giá trị TTL nhỏ nhất cho một bản ghi NSEC phải bằng với giá trị TTL trong bản ghi SOA của zone đó.

Một bản ghi NSEC và bản ghi RRSIG kết hợp với nó không nhất thiết là bản ghi duy nhất cho bất cứ tên miền sở hữu bản ghi bảo mật nào. Vì thế, qui trình ký không phải tạo bất cứ bản ghi RRSIG hoặc NSEC nào cho những tên miền sở hữu bản ghi mà không sở hữu bất cứ tập bản ghi nào trước khi vùng được ký. Lý do chính là muốn ổn định giữa không gian đã ký và không gian chưa ký của một zone và mong giảm rủi ro đối với những mâu thuẫn trong phản hồi những máy chủ truy vấn đệ qui không được cấu hình bảo mật.

Các bản ghi RRSIG hiện diện tại tên miền sở hữu các tập bản ghi mà nó nắm giữ. Các bản ghi NSEC hiện diện tại tên miền sở hữu và còn hiện diện tại điểm chuyển giao của các tên miền con của chúng. Vì thế, bất cứ tên miền nào có một tập bản ghi NSEC sẽ có các bản ghi RRSIG trong vùng được ký.

  • Bản ghi DS

Bản ghi DS thiết lập chứng thực giữa những zone DNS. Một bản ghi DS được biểu diễn cho bản ghi chuyển giao khi vùng con được ký. Bản ghi DS kết hợp với bản ghi RRSIG để chứng thực cho zone được chuyển giao tại máy chủ tên miền cha. Bản ghi DS được khai báo trước , và bản ghi RRSIG khai báo sau giống như khai báo để xác thực cho một bản ghi tài nguyên thông thường.

Trường TTL của tập bản ghi DS phải ứng với trường TTL của tập bản ghi NS ủy quyền (có nghĩa là tập bản ghi NS trong cùng vùng chứa tập bản ghi DS). Việc xây dựng một bản ghi DS đòi hỏi phải có hiểu biết của bản ghi DNSKEY tương ứng trong vùng con để đưa ra được các giao tiếp giữa vùng con và vùng cha.

  • Thay đổi với bản ghi CNAME

Nếu một tập bản ghi CNAME hiện diện tại một tên miền trong một vùng được ký, sẽ thay thế bằng tập bản ghi RRSIGNSEC tương ứng trong tên miền đó. Đây là một phiên bản đã được chỉnh sửa của định nghĩa CNAME nguyên gốc. Định nghĩa nguyên gốc của bản ghi CNAME không cho phép bất cứ kiểu nào khác cùng tồn tại với bản ghi CNAME, nhưng một vùng được ký đòi hỏi những bản ghi NSEC và bản ghi RRSIG cho mọi tên miền. Để giải quyết xung đột này, định nghĩa của bản ghi CNAME của hệ thống DNS đã được chỉnh sửa lại để cho phép nó cùng tồn tại với các bản ghi NSEC và bản ghi RRSIG.

DNSKEY được thiết lập để tạo khóa công cộng nhằm thực hiện xác thực với các máy chủ DNS khác có cùng khóa công cộng này. Các bản ghi chứng thực RRSIG sử dụng để ký xác thực cho các bản ghi tài nguyên SOA, A, MX… Đối với các bản ghi NS khai báo quyền sở hữu tên miền đối với tên miền gốc thì sử dụng bản ghi NSEC kết hợp với bản ghi RRSIG để xác thực. Đối với các bản ghi chuyển giao từ DNS cha xuống các máy chủ tên miền DNS con thì kết hợp với bản ghi DS với bản ghi RRSIG để xác thực.

VII.         THÔNG TIN TRIỂN KHAI DNSSEC

Quá trình triển khai DNSSEC bao gồm: ký chuyển giao tên miền .VN từ DNS Root về máy chủ DNS quốc gia quản lý. Tiếp theo, ký chuyển giao tên miền từ máy chủ DNS quốc gia cho các đơn vị khác quản lý.

Việc triển khai DNSSEC trên hệ thống DNS quốc gia gồm các bước như sau:

Trên máy chủ DNS:

  • BƯỚC 1: Tạo cặp khóa riêng và khóa công khai
  • BƯỚC 2: Lưu trữ  bảo mật khóa riêng
  • BƯỚC 3: Phân phối khóa công khai
  • BƯỚC 4: Ký zone
  • BƯỚC 5: Thay đổi khóa
  • BƯỚC 6: Ký lại zone

Trên resolver:

  • BƯỚC 7: Cấu hình Trust Anchors
  • BƯỚC 8: Thiết lập chuỗi tin cậy và xác thực chữ ký

VIII.      LỘ TRÌNH TRIỂN KHAI DNSSEC TẠI VIỆT NAM

Ngày 23/10/2014, theo Quyết định phê duyệt của Bộ Thông tin và Truyền thông về Đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN”, trong việc triển khai DNSSEC được chia làm 3 giai đoạn như sau:

Giai đoạn chuẩn bị (2015): Xây dựng kế hoạch, chuẩn bị truyền thông, nhân lực, kỹ thuật, tài chính,… để triển khai tại các cơ quan, tổ chức, doanh nghiệp.

Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC trên hệ thống DNS quốc gia. Cùng với đó là tiến hành xây dựng, nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ internet, nhà đăng ký tên miền .vn và các các cơ quan, tổ chức nhà nước để kết nối thử nghiệm DNSSEC.

Giai đoạn triển khai (2017): Hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia để đảm bảo đạt đủ độ tin cậy, an toàn theo tiêu chuẩn DNSSEC.

Đồng thời, tiến hành chính thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC tại các doanh nghiệp cung cấp internet, đăng ký tên miền .vn.

Cuối cùng, bắt đầu cung cấp dịch vụ cho phép sử dụng, truy vấn tên miền .vn theo tiêu chuẩn DNSSEC cho tất cả người dùng tại Việt Nam.

 

Nhãn:

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Hướng dẫn cấu hình tự động xóa mail trong Outlook 2016

Bởi
Dung lượng email của bạn dù nhiều hay ít nhưng luôn có giới hạn. Đặc biệt dù bạn đã thực hiện sàn lọc, xóa mail định kỳ trên outlook. Nhưng một bản sao email của bạn vẫn được lưu trữ trên máy chủ server, thử hỏi bao nhiêu spam, bao nhiêu rác mình đã đổ nhưng trên máy chủ cứ để đấy thì làm sao không mau hết dung lượng. Tôi sẽ kể bạn nghe câu chuyện "cái nhà kho của Tèo": + Ở nhà Tèo, có những vật dụng mà Tèo cần, có những vật dụng mà Tèo không cần, có những thứ chỉ là rác để vứt đi. + Tèo dọn dẹp nhà cửa, vứt đi những thứ không cần đến, cất giữ những thứ quan trọng hoặc cần đến. Đáng tiếc thay, mọi thứ đấy dù bỏ hay giữ vẫn ở trong nhà kho. + Một thời gian sau, nhà kho của Tèo đầy, Tèo không thể cất những món đồ quan trọng cũng như không thể vứt rác. Nhà kho đã bị vô hiệu hóa, cần xây thêm nhà kho mới. Nhà kho cũng giống như máy chủ của email (server) của bạn, những vật dụng kia cũng giống như đống mail của bạn. Dù bạn có cố gắng sắp xếp trên outlook nhưng máy chủ v...
Đăng nhận xét
Read more »

So sánh các loại chứng chỉ SSL: GlobalSign, Sectigo và GeoTrust

Bởi
 Trong thế giới số ngày càng phát triển, chứng chỉ SSL không còn là một tùy chọn — đó là yêu cầu bắt buộc để xây dựng lòng tin với khách hàng và bảo vệ dữ liệu. Tuy nhiên, việc lựa chọn nhà cung cấp SSL phù hợp có thể là một thách thức thực sự, khi trên thị trường có rất nhiều tên tuổi lớn như GlobalSign , Sectigo và GeoTrust . Vậy đâu là giải pháp phù hợp nhất cho doanh nghiệp của bạn? Hãy cùng tôi - người có hơn 20 năm kinh nghiệm trong ngành dịch vụ bảo mật - phân tích và so sánh chi tiết! 1. GlobalSign: Chuẩn mực doanh nghiệp toàn cầu GlobalSign là một trong những CA (Certificate Authority) lâu đời và uy tín nhất trên thế giới. Ưu điểm nổi bật: - Độ tin cậy cực cao: Được tin dùng bởi các tập đoàn lớn và chính phủ. - Tốc độ cấp phát nhanh: Thủ tục xác thực tự động, hỗ trợ mạnh mẽ API cho doanh nghiệp lớn. - Bảo mật cấp doanh nghiệp: Hỗ trợ quản lý chứng chỉ tập trung, phù hợp cho nhu cầu quy mô lớn. Các loại SSL phổ biến: - DomainSSL: Cấp phát nhanh cho website cần bảo ...
Đăng nhận xét
Read more »

CÁC ĐIỂM LƯU Ý KHI SỬ DỤNG EMAIL THEO ĐUÔI TÊN MIỀN RIÊNG.

Bởi
Email   theo đuôi tên miền riêng giúp doanh nghiệp xây dựng kho lưu trữ riêng cho hệ thống email của mình. Nó tách biệt hoàn toàn so với các dịch vụ lưu trữ email miễn phí trên thị trường. Về cơ bản, Email  là thư điện tử được bố trí trên một hệ thống máy chủ riêng hoặc các hosting của các nhà cung cấp thứ ba. Có thể hiểu, nói đến Email, chúng ta sẽ hiểu đây là hệ thống lưu trữ dành cho các email theo tên miền riêng của doanh nghiệp. So với email miễn phí (như  Gmail ), ngày nay, các tổ chức sẽ đang có xu hướng sử dụng Email theo  tên miền  riêng để tăng tỷ lệ gửi email thành công và tăng độ tin cậy đối với đối tác và khách hàng. Bởi lẽ, hệ thống gửi thư chuyên nghiệp này sẽ đi kèm theo cả thương hiệu của công ty. Nhưng để sử dụng Email đạt hiệu quả cao nhất trong công việc các Doanh nhiệp cần lưu ý như sau: Chọn nhà cung cấp uy tín Việc chọn được nhà cung cấp Email uy tín và chất lượng, có lẽ là yếu tố hàng đầu và quan trọng nhất. Bởi lẽ, một nhà cung cấp uy tí...
Đăng nhận xét
Read more »