Download app

Quét mã QR để tải về ứng dụng

QR code

DNSSEC: Phần 1 - Khái Niệm Và Lợi Ích Của DNSSEC

05/02/2021, 02:41 pm
3,890

DNSSEC (DNS Security Extensions) là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

1. Giới thiệu DNSSEC

Khi giao thức DNS thông thường không có công cụ để xác thực nguồn dữ liệu, dữ liệu DNS đứng trước nguy cơ bị giả mạo và bị làm sai lệch trong các tương tác giữa máy chủ DNS với các máy trạm (resolver) hoặc máy chủ chuyển tiếp (forwarder).

Công nghệ bảo mật mới DNSSEC đã được nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo vệ chống lại các nguy cơ giả mạo làm sai lệch nguồn dữ liệu. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

2. Tại sao DNS dễ bị tấn công

Do DNS sử dụng cơ chế truyền tải UDP, vì vậy khi truy vấn, bất kỳ gói tin UDP trả về cũng có thể là câu trả lời. Mặt khác gói tin UDP trả về chỉ cần đúng Source IP, Source port, Destination IP, Destination port, DNS query ID từ đó có thể vượt qua kiểm tra (bailiwick checking).

Các dạng tấn công DNS phổ biến:

- Giả mạo master trong việc đồng bộ dữ liệu giữa các máy chủ DNS.

- Spoofing master, spoofing update,…

- Chuyển hướng phân giải DNS người dùng sang DNS giả mạo: Man in middle attack.

- Đầu độc bộ nhớ Cache DNS: DNS Cache Poisoning hay DNS Pharming

- Giả mạo hoặc thay đổi các bản ghi trong DNS.

Để giải quyết các nguy cơ ở trên, ngay từ năm 1990, các giải pháp khắc phục đã được nghiên cứu. Năm 1995, giải pháp DNSSEC được công bố, năm 2001 được xây dựng thành các tiêu chuẩn RFC dự thảo và cuối cùng được IETF chính thức công bố thành tiêu chuẩn RFC vào năm 2005.

3. Các bản ghi của DNSSEC

DNSSEC là công nghệ an toàn mở rộng của DNS, về bản chất DNSSEC cung cấp các cơ chế có khả năng chứng thực và đảm bảo toàn vẹn dữ liệu cho hệ thống DNS, theo đó DNSSEC đưa ra 4 loại bản ghi mới:

- Bản ghi khóa công cộng DNS (DNSKEY - DNS Public Key): sử dụng để chứng thực zone dữ liệu.

- Bản ghi chữ ký tài nguyên (RRSIG - Resource Record Signature): sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.

- Bản ghi bảo mật kế tiếp (NSEC - Next Secure): sử dụng trong quá trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi tài nguyên hoặc bản ghi CNAME. Kết hợp với bản ghi RRSIG để xác thực cho zone dữ liệu.

- Bản ghi ký ủy quyền (DS - Delegation Signer): thiết lập chứng thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong quá trình chuyển giao DNS.

Mục tiêu đặt ra là DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ các DNS cấp cao xuống các DNS cấp thấp hơn, mặt khác đối với các máy trạm (resolver) cần yêu cầu đáp ứng hỗ trợ các cơ chế mở rộng này. Một zone dữ liệu được ký xác thực sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và DS.

4. Lợi ích của DNSSEC

Sử dụng DNSSEC để chứng thực và toàn vẹn dữ liệu cho DNS giảm thiểu các mối đe dọa như DNS giả mạo, đầu độc bộ nhớ cache, các phân giải chứa mã độc hại, sửa đổi làm sai lệch dữ liệu DNS. Do vậy việc triển khai DNSSEC sẽ mang lại một số lợi ích khác như:

- Phòng tránh, hạn chế các rủi ro về bảo mật như DNS giả mạo, đầu độc bộ nhớ cache, tệp chứa mã nguy hiểm...

- Tăng độ uy tín từ khách hàng dành cho doanh nghiệp.

- Đảm bảo an toàn thông tin và dữ liệu nhờ vào bảo mật Internet.

- Phát triển dịch vụ an toàn cho người tiêu dùng trên nền tảng công nghệ số.

Nguồn: Tổng hợp

Phần 2: Hướng dẫn kích hoạt DNSSEC cho tên miền đăng ký tại Nhân Hòa

————————————————————

CÔNG TY TNHH PHẦN MỀM NHÂN HÒA
https://nhanhoa.com
Hotline: 1900 6680

Trụ sở chính: Tầng 4 - Tòa nhà 97-99 Láng Hạ, Đống Đa, Hà Nội
Tel: (024) 7308 6680 – Email: sales@nhanhoa.com

Chi nhánh: 270 Cao Thắng (nối dài), Phường 12, Quận 10, Tp.HCM
Tel: (028) 7308 6680 – Email: hcmsales@nhanhoa.com

Bài viết liên quan
04/04/2024
   I – Tình hình hiện tại về vấn đề bảo mật và tấn công mã hóa dữ liệu tống tiền (ransomware) Trong khoảng...
12/01/2023
Sự kiện Year End Party 2022 của Hiệp hội VoIP & Viễn Thông Miền Bắc diễn ra vào ngày 30/12/2022 vừa qua. Buổi tiệc...
28/04/2021
Vào ngày 20 và 22/4 vừa qua, Nhân Hòa Group đã phối hợp cùng Trung tâm Internet Việt Nam (VNNIC) tham dự Sự kiện Thương Mại...
Chuyên nghiệp và tận tình
Hỗ Trợ Trực Tuyến 24/7
Đội ngũ chuyên gia giúp xử lý vấn đề kỹ thuật để website của bạn luôn hoạt động tốt và chạy nhanh. Bất kỳ lúc nào.
Kết nối với Nhân Hoà

Map Tầng 4 - Toà nhà 97 - 99 Láng Hạ, Quận Đống Đa, Thành Phố Hà Nội

Phone Điện thoại: 1900 6680 - (024) 7308 6680

Mail Mail: sales@nhanhoa.com

Hotline Phản ánh chất lượng dịch vụ: 091 140 8966

Map 927/1 CMT8, Phường 7, Quận Tân Bình, Thành phố Hồ Chí Minh

Phone Điện thoại: 1900 6680 - (028) 7308 6680

Mail Mail: hcmsales@nhanhoa.com

Hotline Phản ánh chất lượng dịch vụ: 091 140 8966

Map Tầng 2 Tòa nhà Sài Gòn Sky, ngõ 26 Nguyễn Thái Học, phường Đội Cung, TP. Vinh, Nghệ An

Phone Điện thoại: 1900 6680 - (024) 7308 6680 - nhánh 6

Mail Mail: contact@nhanhoa.com

Hotline Phản ánh chất lượng dịch vụ: 091 140 8966

Kết nối với Nhân Hoà
Gọi lại cho tôi
Gọi miễn phí
Gọi miễn phí
×
Thông báo

Đăng nhập thành công!