DNSSEC Là Gì? Ứng Dụng Của DNS Trong Việc Bảo Mật Hệ Thống DNS

Thịnh Văn Hạnh 13/03/2023 1235 Lượt xem Chia sẻ bài viết

Có thể bạn đã nghe nhiều về DNS – hệ thống phân giải tên miền, nhưng còn DNSSEC thì có liên quan gì ở đây? Cùng tìm hiểu DNSSEC là gì, ứng dụng của DNS và cách triển khai DNSSEC cho các máy chủ DNS trong bài viết dưới đây.

Tóm Tắt Bài Viết

1 DNSSEC Là Gì?
- 1.1 DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ DNS cấp cao xuống DNS cấp thấp hơn.
2 Ứng dụng DNSSEC để bảo mật cho hệ thống DNS
3 Cách thức triển khai DNSSEC là gì?
4 Kết luận

DNSSEC Là Gì?

DNSSEC là công nghệ an toàn mở rộng của DNS, về bản chất nó cung cấp các cơ chế có khả năng chứng thực và đảm bảo toàn vẹn dữ liệu cho hệ thống DNS. DNSSEC đưa ra 4 loại bản ghi mới:

Bản ghi khóa công cộng DNS (DNSKEY – DNS Public Key): sử dụng để chứng thực zone dữ liệu.
Bản ghi chữ ký tài nguyên (RRSIG – Resource Record Signature): sử dụng để chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.
Bản ghi bảo mật kế tiếp (NSEC – Next Secure): sử dụng trong quá trình xác thực đối với các bản ghi có cùng sở hữu tập các bản ghi tài nguyên hoặc bản ghi CNAME. Kết hợp với bản ghi RRSIG để xác thực cho zone dữ liệu.
Bản ghi ký ủy quyền (DS – Delegation Signer): thiết lập chứng thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong quá trình chuyển giao DNS.

DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ DNS cấp cao xuống DNS cấp thấp hơn.

Bằng cách tổ chức thêm những bản ghi mới và những giao thức đã được chỉnh sửa nhằm chứng thực nguồn gốc và tính toàn vẹn dữ liệu cho hệ thống. DNSSEC, hệ thống DNS đã được mở rộng thêm các tính năng bảo mật và được tăng cường độ an toàn, tin cậy, khắc phục được những nhược điểm của thiết kế sơ khai ban đầu. Nó vừa đáp ứng được các yêu cầu thông tin định tuyến về tên miền, giao thức làm việc giữa các máy chủ DNS với nhau. Đồng thời đáp ứng được các yêu cầu bảo mật, tăng cường khả năng dự phòng cho hệ thống.

Ứng dụng DNSSEC để bảo mật cho hệ thống DNS

DNSSEC giúp bảo mật an toàn cho hệ thống DNS

Các bản ghi trong DNSSEC được khai báo trong các zone dữ liệu để chứng thực thông tin trong zone dữ liệu đó, đảm bảo độ tin cậy trong quá trình trao đổi thông tin cũng như truy vấn tìm kiếm DNS. Trong khi đảm bảo hoạt động bình thường của các bản ghi tài nguyên DNS thông thường, các bản ghi DNSSEC cần khai báo chính xác và thông tin xác thực phải đồng bộ.

DNSSEC đưa ra khái niệm vùng ký (Zone Signing): vùng được ký bao gồm khóa công cộng DNS (DNS Public Key), chữ ký bản ghi tài nguyên (RRSIG), bảo mật tiếp theo (NSEC), và ký chuyển giao (Delegation Signer).

Một zone mà không thêm những bản ghi này vào là một zone chưa được ký. Đồng thời DNSSEC đòi hỏi thay đổi định nghĩa của bản ghi tài nguyên CNAME bằng 2 bản ghi chứng thực là bản ghi RRSIG và bản ghi NSEC.

Thêm bản ghi DNSKEY vào một zone

Để ký một zone, người quản trị zone sẽ tạo một hay nhiều cặp khóa công cộng/ dành riêng (public/private). Trong đó cặp khóa công cộng dùng cho zone chính và khóa riêng để ký cho những bản ghi cần xác thực trong zone. Mỗi zone phải thêm một bản ghi DNSKEY (zone DNSKEY RR) chứa đựng khóa công cộng tương ứng, và mỗi khóa riêng được dùng để tạo bản ghi RRSIG trong zone.

Bản ghi chứng thực DNSKEY cho zone phải có bit Zone Key của trường dữ liệu cờ đặt giá trị là 1. Nếu quản trị zone có ý định ký một zone để chứng thực thì zone chính phải chứa đựng ít nhất một bản ghi DNSKEY để hoạt động như một điểm bảo mật ở trong zone. Điểm bảo mật được dùng cùng với bản ghi DS tương ứng ở zone cha trong hoạt động chuyển giao DNS.

Thêm các bản ghi RRSIG vào một zone

Với một zone đã được ký bởi bản ghi DNSKEY, thì các bản ghi tài nguyên trong zone đó cần có một bản ghi RRSIG ký xác thực. Một bản ghi tài nguyên có thể có nhiều bản ghi RRSIG kết hợp với nó. Các bản ghi RRSIG chứa chữ ký điện tử kết hợp chặt chẽ với các bản ghi tài nguyên để xác thực cho các bản ghi tài nguyên đó. Đặc biệt, giá trị TTL trong các bản ghi RRSIG với một tên miền sở hữu không giống với giá trị TTL của bản ghi tài nguyên.

Trong trường hợp các bản ghi tài nguyên cùng sở hữu một tên miền thì cần kết hợp bản ghi RRSIG với bản ghi NSEC để xác thực, trường hợp này cũng tương tự đối với bản ghi CNAME.

Tập bản ghi tài nguyên NS trong zone phải được ký xác thực, khi bản ghi NS là bản ghi chuyển giao từ máy chủ tên miền cha xuống máy chủ tên miền con thì cần kết hợp bản ghi RRSIG với bản ghi xác thực DS. Bản ghi glue cũng cần xác thực bằng RRSIG.

Thêm bản ghi NSEC vào một zone

Trong một zone hoặc một tập bản ghi NS chuyển giao, mỗi tên miền sở hữu nhiều hơn 1 bản ghi tài nguyên cùng loại phải có một bản ghi NSEC để xác thực và giá trị TTL nhỏ nhất cho nó phải bằng giá trị TTL trong bản ghi SOA của zone đó.

Qui trình ký không đảm bảo tạo bất cứ bản ghi RRSIG hoặc NSEC nào cho các tên miền sở hữu bản ghi mà không sở hữu bất cứ tập bản ghi nào trước khi vùng được ký. Lý do chính là muốn ổn định giữa không gian đã ký và không gian chưa ký của một zone và giảm rủi ro đối với các mâu thuẫn trong phản hồi từ các máy chủ truy vấn đệ qui không được cấu hình bảo mật.

Bản ghi RRSIG và bản ghi NSEC không nhất thiết phải là bản ghi duy nhất cho bất kỳ tên miền sở hữu bản ghi bảo mật nào. Các bản ghi RRSIG hiện diện tại các tập bản ghi mà nó nắm giữ và các bản ghi NSEC hiện diện tại tên miền sở hữu và điểm chuyển giao của các tên miền con của chúng. Vì vậy, bất cứ tên miền nào có một tập bản ghi NSEC sẽ có các bản ghi RRSIG trong vùng được ký.

Thêm bản ghi DS vào trong một zone

Việc khai báo bản ghi DS phải được thực hiện trước khi khai báo bản ghi RRSIG, giống như khi xác thực bản ghi tài nguyên thông thường. Bản ghi DS thiết lập chứng thực giữa các zone DNS và được biểu diễn cho bản ghi chuyển giao khi ký một vùng con. Bản ghi DS được kết hợp với bản ghi RRSIG để chứng thực cho zone được chuyển giao tại máy chủ tên miền cha.

Trường TTL của tập bản ghi DS phải phù hợp với trường TTL của tập bản ghi NS ủy quyền, tức là tập bản ghi NS trong cùng vùng chứa tập bản ghi DS. Để xây dựng một bản ghi DS, cần phải có kiến thức về bản ghi DNSKEY tương ứng trong vùng con để đảm bảo giao tiếp giữa vùng con và vùng cha.

Những thay đổi đối với bản ghi CNAME

Định nghĩa CNAME của hệ thống DNS đã được sửa để cho phép nó cùng tồn tại với bản ghi NSEC và RRSIG trong trường hợp tên miền được ký.

Các bản ghi DNSKEY, RRSIG, NSEC và DS được sử dụng để xác thực quyền sở hữu tên miền và các bản ghi tài nguyên SOA, A, MX, NS khi chuyển giao từ DNS cha xuống các máy chủ tên miền DNS con.

Cách thức triển khai DNSSEC là gì?

Quá trình triển khai DNSSEC bao gồm: ký chuyển giao tên miền .VN từ DNS Root về máy chủ DNS quốc gia quản lý và ký chuyền giao tên miền từ máy chủ DNS quốc gia cho các đơn vị khác quản lý. Việc triển khai DNSSEC trên hệ thống DNS quốc gia gồm các bước như sau:

Trên máy chủ DNS:

BƯỚC 1: Tạo cặp khóa riêng và khóa công khai
BƯỚC 2: Lưu trữ bảo mật khóa riêng
BƯỚC 3: Phân phối khóa công khai
BƯỚC 4: Ký zone
BƯỚC 5: Thay đổi khóa
BƯỚC 6: Ký lại zone

Trên resolver:

BƯỚC 7: Cấu hình Trust Anchors
BƯỚC 8: Thiết lập chuỗi tin cậy và xác thực chữ ký

Kết luận

Trên đây là những kiến thức về DNSSEC là gì, và những ứng dụng của DNSSEC với hệ thống DNS mà BKNS muốn gửi tới bạn. Đồng thời, thông qua bài này, BKNS cũng mong rằng bạn có thể triển khai hệ thống DNSSEC thành công. Nếu còn bất cứ vấn đề nào trong quá trình thực hiện, hãy liên hệ BKNS để được hỗ trợ nhanh hơn.

Để lại email để chúng tôi liên lạc với bạn thông qua các bài viết hữu ích khác.

[mautic type=”form” id=”6″]