DNSSEC (DNS Security Extensions) là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.
1. Giới thiệu DNSSEC
Khi giao thức DNS thông thường không có công cụ để xác thực nguồn dữ liệu, dữ liệu DNS đứng trước nguy cơ bị giả mạo và bị làm sai lệch trong các tương tác giữa máy chủ DNS với các máy trạm (resolver) hoặc máy chủ chuyển tiếp (forwarder).
Công nghệ bảo mật mới DNSSEC đã được nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo vệ chống lại các nguy cơ giả mạo làm sai lệch nguồn dữ liệu. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.
2. Tại sao DNS dễ bị tấn công
Do DNS sử dụng cơ chế truyền tải UDP, vì vậy khi truy vấn, bất kỳ gói tin UDP trả về cũng có thể là câu trả lời. Mặt khác gói tin UDP trả về chỉ cần đúng Source IP, Source port, Destination IP, Destination port, DNS query ID từ đó có thể vượt qua kiểm tra (bailiwick checking).
Các dạng tấn công DNS phổ biến:
- Giả mạo master trong việc đồng bộ dữ liệu giữa các máy chủ DNS.
- Spoofing master, spoofing update,…
- Chuyển hướng phân giải DNS người dùng sang DNS giả mạo: Man in middle attack.
- Đầu độc bộ nhớ Cache DNS: DNS Cache Poisoning hay DNS Pharming
- Giả mạo hoặc thay đổi các bản ghi trong DNS.
Để giải quyết các nguy cơ ở trên, ngay từ năm 1990, các giải pháp khắc phục đã được nghiên cứu. Năm 1995, giải pháp DNSSEC được công bố, năm 2001 được xây dựng thành các tiêu chuẩn RFC dự thảo và cuối cùng được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.
3. Các bản ghi của DNSSEC
DNSSEC là công nghệ an toàn mở rộng của DNS, về bản chất DNSSEC cung cấp các cơ chế có khả năng chứng thực và đảm bảo toàn vẹn dữ liệu cho hệ thống DNS, theo đó DNSSEC đưa ra 4 loại bản ghi mới:
- Bản ghi khóa công cộng DNS (DNSKEY - DNS Public Key): sử dụng để chứng thực zone dữ liệu.
- Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature): sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.
- Bản ghi bảo mật kế tiếp (NSEC - Next Secure): sử dụng trong quá trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi tài nguyên hoặc bản ghi CNAME. Kết hợp với bản ghi RRSIG để xác thực cho zone dữ liệu.
- Bản ghi ký ủy quyền (DS - Delegation Signer): thiết lập chứng thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong quá trình chuyển giao DNS.
Mục tiêu đặt ra là DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ các DNS cấp cao xuống các DNS cấp thấp hơn, mặt khác đối với các máy trạm (resolver) cần yêu cầu đáp ứng hỗ trợ các cơ chế mở rộng này. Một zone dữ liệu được ký xác thực sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và DS.
4. Lợi ích của DNSSEC
Sử dụng DNSSEC để chứng thực và toàn vẹn dữ liệu cho DNS giảm thiểu các mối đe dọa như DNS giả mạo, đầu độc bộ nhớ cache, các phân giải chứa mã độc hại, sửa đổi làm sai lệch dữ liệu DNS. Do vậy việc triển khai DNSSEC sẽ mang lại một số lợi ích khác như:
- Phòng tránh, hạn chế các rủi ro về bảo mật như DNS giả mạo, đầu độc bộ nhớ cache, tệp chứa mã nguy hiểm...
- Tăng độ uy tín từ khách hàng dành cho doanh nghiệp.
- Đảm bảo an toàn thông tin và dữ liệu nhờ vào bảo mật Internet.
- Phát triển dịch vụ an toàn cho người tiêu dùng trên nền tảng công nghệ số.
Nguồn: Tổng hợp
Phần 2: Hướng dẫn kích hoạt DNSSEC cho tên miền đăng ký tại Nhân Hòa
————————————————————
CÔNG TY TNHH PHẦN MỀM NHÂN HÒA
https://nhanhoa.com
Hotline: 1900 6680
Trụ sở chính: Tầng 4 - Tòa nhà 97-99 Láng Hạ, Đống Đa, Hà Nội
Tel: (024) 7308 6680 – Email: sales@nhanhoa.com
Chi nhánh: 270 Cao Thắng (nối dài), Phường 12, Quận 10, Tp.HCM
Tel: (028) 7308 6680 – Email: hcmsales@nhanhoa.com