DNSSEC là gì? Hướng dẫn cách kích hoạt DNSSEC cho tên miền

DNSSEC là gì?

DNSSEC hay DNS Security Extensions là công nghệ bảo mật mở rộng dùng để bảo vệ hệ thống DNS chống lại các nguy cơ làm sai lệch dữ liệu. Theo đó, nó cung cấp một cơ chế xác thực giữa các máy chủ với nhau và cho từng vùng dữ liệu bằng cách thêm chữ ký số được mã hóa PKI (Public/Private Key) vào câu trả lời truy vấn DNS. Đây là cách DNSSEC thiết lập kết nối an toàn và đáng tin cậy cho người sử dụng. Lý do DNS cần sử dụng DNSSEC là gì?

DNSSEC là gì? DNSSEC bảo vệ hệ thống DNS trước nguy cơ bị mạo danh, làm thay đổi, sai lệch dữ liệu

DNSSEC bảo vệ hệ thống DNS trước nguy cơ bị mạo danh, làm thay đổi, sai lệch dữ liệu

Giao thức DNS thường sẽ không có công cụ giúp xác thực nguồn dữ liệu. Điều này dẫn đến nguy cơ lớn trong bảo mật: dữ liệu có thể bị chỉnh sửa hoặc giả mạo trong quá trình tương tác của máy chủ với các resolver (máy trạm) hoặc forwarder (máy chủ chuyển tiếp). 

Ngoài ra, DNSSEC cũng biến đổi hệ thống DNS từ mô hình mở (open) sang mô hình đáng tin cậy (trusting) và xác thực (verifiable).

Để tìm hiểu thêm về DNS mời bạn đọc xem bài viết sau:

Các bản ghi của DNSSEC là gì?

Theo đó, DNSSEC cung cấp 4 loại bản ghi mới là:

  • Bản ghi chữ ký tài nguyên (RRSIG – Resource Record Signature)

Bản ghi chữ ký tài nguyên được dùng để xác thực cho các tài nguyên có trong vùng dữ liệu.

  • Bản ghi khóa công cộng DNS (DNSKEY – DNS Public Key)

Bản ghi khóa công cộng DNS được dùng để xác thực vùng dữ liệu.

  • Bản ghi ký ủy quyền (DS – Delegation Signer)

Bản ghi ký ủy quyền được dùng để tạo ra các xác thực giữa những vùng dữ liệu khác nhau. DS có nhiệm vụ ký xác thực khi chuyển giao DNS.

  • Bản ghi bảo mật kế tiếp (NSEC – Next Secure)

Bản ghi bảo mật kế tiếp được dùng để chứng thực các bản ghi cùng sở hữu chung tài nguyên hoặc bản ghi CNAME. NSEC có thể kết hợp với RRSIG để chứng thực cho vùng dữ liệu.

Như vậy, bằng cách tạo ra thêm nhiều bản ghi và giao thức mới đã được điều chỉnh. DNSSEC giúp DNS mở rộng thêm các tính năng bảo mật và tăng cường mức độ tin cậy, khắc phục được những lỗ hổng của hệ thống ban đầu.

Tại sao DNS dễ bị tấn công?

DNSSEC là gì? DNS sử dụng giao thức truyền tải UDP nên rất dễ bị tấn công

DNS sử dụng giao thức truyền tải UDP nên rất dễ bị tấn công

Lý do DNS cần đến DNSSEC là gì? DNS là một hệ thống rất quan trọng giúp người dùng có thể truy cập và sử dụng dịch vụ trên internet. Cụ thể, máy chủ DNS có nhiệm vụ phân giải tên miền sang địa chỉ IP và ngược lại. 

Tuy nhiên, do sử dụng giao thức truyền tải UDP (User Datagram Protocol) nên bất cứ khi nào nhận được gói tin UDP truy vấn thì hệ thống DNS cũng đều sẽ đưa ra câu trả lời. Tức là, gói tin UDP chỉ cần đúng Source IP, Source port, Destination IP, Destination port và DNS query ID thì đều có thể vượt qua các kiểm tra về bảo mật (bailiwick checking). Điều này dễ tạo ra lỗ hổng để tin tặc lợi dụng, đánh cắp dữ liệu, thông tin người dùng.

Một số dạng tấn công DNS phổ biến có thể kể đến như:

  • Mạo danh master khi đồng bộ dữ liệu giữa các máy chủ DNS.
  • Chuyển hướng phân giải từ DNS người dùng sang DNS giả mạo.
  • Spoofing master, spoofing update,…
  • Đầu độc bộ nhớ cache của hệ thống DNS.
  • Mạo danh hoặc cố tình chỉnh sửa, thay đổi nội dung các bản ghi trong hệ thống DNS.

Để xử lý những vấn đề ở trên, nhiều cuộc nghiên cứu đã được đưa ra từ năm 1990. Và cho đến năm 1995 thì DNSSEC đã được công bố như một giải pháp hiệu quả giúp tăng cường bảo mật cho hệ thống DNS. Năm 2001, DNSSEC được xây dựng thành các tiêu chuẩn RFC dự thảo. Đến năm 2005, IETF chính thức đưa DNSSEC trở thành tiêu chuẩn RFC.

Lợi ích của DNSSEC là gì?

DNSSEC là gì? Sử dụng DNSSEC giúp đảm bảo an toàn về dữ liệu, thông tin trên internet

Sử dụng DNSSEC giúp đảm bảo an toàn về dữ liệu, thông tin trên internet

Công nghệ bảo mật mở rộng DNSSEC đem lại rất nhiều lợi ích trong việc đảm bảo an toàn đường truyền của hệ thống DNS. Cụ thể như:

  • Phòng tránh, giảm thiểu được các nguy cơ về bảo mật như: DNS giả mạo, đầu độc bộ nhớ cache, các chỉnh sửa làm sai lệch dữ liệu, các tệp chứa mã độc,…
  • Giúp tăng cường uy tín của thương hiệu đối với người dùng.
  • Đảm bảo an toàn cho thông tin và công việc của doanh nghiệp nhờ tăng cường bảo mật internet.
  • Tạo ra dịch vụ internet an toàn hơn cho người dùng.

Ứng dụng DNSSEC để bảo mật cho hệ thống DNS

DNSSEC là gì? DNSSEC có thể thiết lập chữ ký vùng (zone signing)

DNSSEC có thể thiết lập chữ ký vùng (zone signing)

DNSSEC thiết lập zone signing (chữ ký vùng) như sau: một vùng (zone) sẽ được thiết lập chữ ký bao gồm khóa công cộng DNS (DNSKEY), chữ ký bản ghi tài nguyên (RRSIG), bảo mật kế tiếp (NSEC) và chữ ký ủy quyền (DS). Nếu zone không được thêm bất cứ bản ghi nào thì có nghĩa là zone đó chưa được ký. Ngoài ra, DNSSEC còn yêu cầu thay đổi bản ghi CNAME bằng bản ghi RRSIGNSEC.

Các cách thêm bản ghi DNSSEC vào một zone

Thêm bản ghi DNSKEY

Để thiết lập chữ ký vùng, người quản trị zone cần tạo ra một hoặc nhiều cặp khóa public/private. Trong đó, cặp khóa public sẽ sử dụng cho zone chính và khóa private dùng để ký cho những bản ghi cần chứng thực trong zone. Mỗi zone phải được thiết lập một bản ghi DNSKEY chứa khóa public tương ứng, các khóa private được dùng để tạo bản ghi RRSIG trong zone.

Thêm các bản ghi RRSIG

Với một zone đã được thêm bản ghi DNSKEY thì tài nguyên trong zone đó cần phải có một bản ghi RRSIG để chứng thực. Một tài nguyên có thể chứa nhiều bản ghi RRSIG. Các bản ghi RRSIG có chữ ký điện tử, được liên kết chặt chẽ với các tài nguyên trong zone. Cần lưu ý rằng giá trị TTL (time to live) trong RRSIG sẽ không giống với giá trị TTL của bản ghi tài nguyên. Nếu nhiều bản ghi tài nguyên khác nhau cùng sở hữu một tên miền thì cần kết hợp RRSIGNSEC để chứng thực.

Thêm bản ghi NSEC

Trong một vùng dữ liệu thì mỗi tên miền sẽ có nhiều hơn một bản ghi tài nguyên cùng loại. Trong trường hợp này cần phải có một bản ghi NSEC để chứng thực dữ liệu. Giá trị TTL nhỏ nhất của NSEC phải bằng với giá trị TTL trong bản ghi SOA của zone đó.

RRSIG có mặt tại tên miền sở hữu những bản ghi mà nó nắm giữ. Còn NSEC không chỉ có trong tên miền mà còn nằm ở các điểm chuyển giao giữa tên miền chính và tên miền phụ. Do đó, bất cứ tên miền nào có NSEC thì sẽ có các bản ghi RRSIG trong zone được ký.

Thêm bản ghi DS

Bản ghi DS được tạo ra để chứng thực giữa các zone trong hệ thống DNS. DS được tạo ra khi các zone phụ được ký. Bản ghi DS kết hợp với bản ghi RRSIG có tác dụng giúp xác thực zone tại vị trí chuyển giao với máy chủ. Sau khi DS được khai báo, RRSIG sẽ được khai báo để xác thực cho một bản ghi tài nguyên thông thường.

TTL của DS phải tương ứng với TTL của bản ghi NS (name server) ủy quyền. Điều này có nghĩa là bản ghi NS và bản ghi DS nằm ở trong cùng một zone. Để thiết lập được một bản ghi DS, bạn cần phải biết về DNSKEY tương ứng trong zone phụ để tạo ra các giao thức liên hệ đúng.

Thay đổi đối với bản ghi CNAME

Nếu có một bản ghi CNAME ở trong zone đã được ký thì bản ghi này sẽ được thay thế bằng bản ghi RRSIG và NSEC tương ứng. Đây là một phiên bản mới đã được chỉnh sửa từ CNAME gốc. 

Với bản ghi CNAME gốc, nó sẽ không cho phép bất cứ loại bản ghi nào khác cùng tồn tại. Nhưng trong một vùng được ký, cần phải có nhiều bản ghi NSEC và RRSIG. Vì vậy, để giải quyết xung đột này, bản ghi CNAME của hệ thống DNS sẽ được chỉnh sửa lại để cho phép cùng tồn tại với NSEC và RRSIG.

Cách triển khai DNSSEC

DNSSEC là gì? Quá trình triển khai DNSSEC được thực hiện trên máy chủ quốc gia và trên các resolver của đơn vị quản lý khác

Quá trình triển khai DNSSEC được thực hiện trên máy chủ quốc gia và trên các resolver của đơn vị quản lý khác

Để triển khai DNSSEC, bạn phải ký chuyển giao tên miền .vn từ hệ thống DNS Root về máy chủ DNS quốc gia quản lý, sau đó ký chuyển giao tên miền từ máy chủ DNS quốc gia quản lý về đơn vị quản lý khác.

Để hiểu thêm về tên miền .vn là gì mời độc giả xem bài viết sau:

Hướng dẫn cách triển khai DNSSEC

Trên máy chủ DNS quốc gia

  • Bước 1: Tạo cặp khóa public và private (công cộng và riêng tư).
  • Bước 2: Lưu trữ bảo mật khóa private.
  • Bước 3: Phân phối khóa public.
  • Bước 4: Thiết lập chữ ký vùng (zone signing).
  • Bước 5: Thay đổi khóa.
  • Bước 6: Ký lại zone.

Trên resolver

  • Bước 1: Cấu hình Trust Anchors (neo tin cậy).
  • Bước 2: Tạo chuỗi tin cậy, sau đó chứng thực chữ ký.

Lộ trình triển khai DNSSEC tại Việt Nam

DNSSEC là gì? Lộ trình triển khai DNSSEC tại Việt Nam gồm có 3 giai đoạn chính

Lộ trình triển khai DNSSEC tại Việt Nam gồm có 3 giai đoạn chính

Đề án triển khai DNSSEC cho hệ thống máy chủ DNS tên miền .vn tại Việt Nam đã được Bộ Thông tin và Truyền thông ký phê duyệt vào ngày 23/10/2014. Các giai đoạn triển khai DNSSEC là gì? Lộ trình triển khai DNSSEC được thực hiện trong 3 giai đoạn chính:

Giai đoạn 1: Giai đoạn chuẩn bị (2015)

Đây là giai đoạn xây dựng đầy đủ các yếu tố về trang thiết bị, kỹ thuật, nguồn nhân lực, ngân sách,… để triển khai DNSSEC ở các cơ quan, tổ chức, công ty.

Giai đoạn 2: Giai đoạn khởi động (2016)

Bắt đầu chính thức triển khai DNSSEC trên hệ thống DNS quốc gia. Song song với đó là tiến hành kiểm tra, rà soát, nâng cấp hệ thống DNS tại các doanh nghiệp cung cấp dịch vụ internet, đăng ký tên miền .vn và các các cơ quan, tổ chức đã được thử nghiệm DNSSEC trước đó.

Giai đoạn 3: Triển khai (2017)

Kiểm tra, hoàn thiện và nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia để đảm bảo đạt đủ độ tin cậy, an toàn theo tiêu chuẩn DNSSEC. Đồng thời, tiến hành triển khai hệ thống DNS theo tiêu chuẩn DNSSEC một cách đại trà tại các doanh nghiệp cung cấp internet, đăng ký tên miền .vn.

Bước cuối cùng là tiến hành cung cấp dịch vụ cho phép sử dụng và truy vấn tên miền .vn theo tiêu chuẩn DNSSEC cho tất cả người dùng tại Việt Nam.

Quá trình triển khai tiêu chuẩn DNSSEC tại nước ta được thực hiện từng bước một cách khoa học, đánh dấu bước chuyển mình quan trọng trong phát triển cơ sở hạ tầng internet tại Việt Nam.

Cách bật DNSSEC cho tên miền

DNSSEC là gì? DNSSEC có thể được kích hoạt tại Mắt Bão

DNSSEC có thể được kích hoạt tại Mắt Bão

Sau đây, chúng tôi sẽ hướng dẫn bạn cách bật DNSSEC tại Mắt Bão. Cần lưu ý, dịch vụ DNSSEC sẽ được sử dụng cho tên miền quốc gia việt nam (có đuôi .vn) và tên miền quốc tế (.net, .org, .com, .in, .tm). Các trường hợp có thể xảy ra khi triển khai DNSSEC là gì?

Khi bật DNSSEC cho tên miền sẽ xảy ra 3 trường hợp sau:

  • Tên miền và NameServer của Mắt Bão
  • Tên miền đăng ký ở Mắt Bão nhưng NameServer của nhà cung cấp khác
  • Tên miền đăng ký ở nhà cung cấp khác, NameServer của Mắt Bão

Tên miền và NameServer của Mắt Bão

Bước 1: Truy cập vào đường link: id.matbao.net. Tiếp theo, click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.Bước 1: Truy cập vào đường link: id.matbao.net. Tiếp theo, click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.

Bước 2: Click vào mục “Quản lý DNS” -> Cuộn trang click vào nút “Bật DNSSEC”.

Bước 2: Click vào mục “Quản lý DNS” -> Cuộn trang click vào nút “Bật DNSSEC”.

Lúc này, hệ thống sẽ hiển thị DS Record của tên miền matbaowiki.com. DS Record bao gồm một chuỗi khóa công cộng duy nhất và các siêu dữ liệu về khóa đó.

Mỗi bản ghi DS sẽ chứa 4 trường: KeyTag, Algorithm, DigestType và Digest.

Mỗi bản ghi DS sẽ chứa 4 trường: KeyTag, Algorithm, DigestType và Digest.

Tên miền đăng ký ở Mắt Bão nhưng NameServer của nhà cung cấp khác

Bước 1: Liên hệ với đơn vị cung cấp NameServer của mình để nhận được các giá trị của DNSSEC.

Bước 2: Truy cập vào link: id.matbao.net -> click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.

Bước 2: Truy cập vào link: id.matbao.net -> click vào mục “Tên miền” -> click vào tên miền cần kích hoạt DNSSEC.

Bước 3: Click vào DNSSEC và copy – paste tất cả giá trị DNSSEC được cung cấp vào đó.

Tên miền đăng ký ở nhà cung cấp khác, NameServer của Mắt Bão

Bước 1: Truy cập vào link id.matbao.net -> click vào Quản lý DNS và bật DNSSEC lên.

Bước 2: Cung cấp các giá trị DNSSEC cho nhà đăng ký tên miền của bạn để được hướng dẫn kích hoạt.

Bước 3: Sau khi đã kích hoạt xong, bạn có thể kiểm tra xem DNSSEC của tên miền đã được bật chưa bằng cách truy cập vào trang matbao.net -> Gõ tên miền matbao.wiki.com -> Click vào nút “Kiểm tra”.

Sau khi đã kích hoạt xong, bạn có thể kiểm tra xem DNSSEC của tên miền đã được bật chưa

Lưu ý, việc kích hoạt DNSSEC cho tên miền Việt Nam (.vn) sẽ cần thao tác trực tiếp từ VNNIC. Do đó, hãy thực hiện việc bật DNSSEC cho tên miền .vn trong giờ hành chính để kích hoạt thành công ngay và được hỗ trợ nhanh chóng.

Nếu chưa rõ về bất cứ cách kích hoạt nào, hãy tham khảo đường link sau: 

Trên đây là những thông tin chi tiết về tiêu chuẩn “DNSSEC là gì?” cũng như cách sử dụng, kích hoạt DNSSEC cho tên miền Việt Nam và quốc tế. Hy vọng những chia sẻ này sẽ giúp bạn bảo vệ tên miền và các hoạt động trên internet tốt hơn. Chúc các bạn thành công!

Leave A Comment?