Đang tải... (xem toàn văn)
Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (LV thạc sĩ)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (LV thạc sĩ)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (LV thạc sĩ)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (LV thạc sĩ)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (LV thạc sĩ)
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - LÊ NGỌC ĐẠT NGHIÊN CỨU HỆ THỐNG TÊN MIỀN DNS VÀ CÁC KIỂU TẤN CÔNG HỆ THỐNG TÊN MIỀN LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hƣớng ứng dụng) HÀ NỘI - 2017 HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG ************************** LÊ NGỌC ĐẠT NGHIÊN CỨU HỆ THỐNG TÊN MIỀN DNS VÀ CÁC KIỂU TẤN CÔNG HỆ THỐNG TÊN MIỀN Chuyên ngành: Kỹ thuật Viễn thông Mã ngành: 60.52.02.08 LUẬN VĂN THẠC SĨ (Theo định hƣớng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC: TS NGÔ ĐỨC THIỆN HÀ NỘI - 2017 i LỜI CAM ĐOAN Tôi xin cam đoan nội dung luận văn tìm hiểu nghiên cứu thân Các kết nghiên cứu nhƣ ý tƣởng tác giả khác đƣợc trích dẫn cụ thể Đề tài luận văn chƣa đƣợc bảo vệ hội đồng bảo vệ luận văn thạc sĩ nƣớc nƣớc Tác giả LÊ NGỌC ĐẠT ii LỜI CẢM ƠN Trƣớc tiên xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo TS Ngô Đức Thiện tận tình hƣớng dẫn suốt thời gian nghiên cứu hoàn thành luận văn Tôi xin cảm ơn Ban lãnh đạo Học viện Công nghệ Bƣu Viễn thông, Khoa Quốc tế Đào tạo sau đại học, nhƣ đồng nghiệp tạo điều kiện giúp đỡ hoàn thành đƣợc đề tài nghiên cứu Cuối biết ơn tới gia đình, bạn bè lớp cao học B15CQTE02-B thông cảm, động viên giúp đỡ cho trình học tập thực luận văn Hà Nội, ngày 28 tháng năm 2017 LÊ NGỌC ĐẠT iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v DANH MỤC HÌNH VẼ vi LỜI MỞ ĐẦU CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG TÊN MIỀN DNS 1.1 GIỚI THIỆU HỆ THỐNG TÊN MIỀN DNS 1.1.1 Giới thiệu chung DNS 1.1.2 Nguyên tắc làm việc DNS 1.2 CẤU TRÖC GÓI TIN VÀ CÁC BẢN GHI 1.3 CƠ CHẾ PHÂN GIẢI 10 1.3.1 Phân giải tên thành địa IP 10 1.3.2 Phân giải địa IP thành tên host 14 1.3.3 Chức hệ thống tên miền DNS (Domain Name System) 17 CHƢƠNG VẤN ĐỀ BẢO MẬT TRONG DNS VÀ CÁC CÁCH THỨC TẤN CÔNG VÀO DNS THƢỜNG THẤY HIỆN NAY 19 2.1 CÁC ĐIỂM YẾU CỦA DNS 19 2.2 CÁC CÁCH THỨC TẤN CÔNG VÀO HỆ THỐNG DNS 21 2.2.1 Tấn công đầu độc cache (cache poisoning attack) 21 2.2.2 Tấn công tràn đệm (buffer overflow attack) 25 2.2.3 Tấn công trình Zone Transfer 29 2.2.4 Tấn công từ chối dịch vụ (Denial of Service Attack) 34 iv 2.2.5 Tấn công phƣơng thức cập nhật động 34 2.3 BIỆN PHÁP PHÕNG CHỐNG TẤN CÔNG DNS 35 CHƢƠNG MÔ PHỎNG TẤN CÔNG DNS VÀ ĐỀ XUẤT BIỆN PHÁP PHÕNG CHỐNG TẤN CÔNG 37 3.1 THỬ NGHIỆM TẤN CÔNG DNS SPOOF CHUYỂN HƢỚNG MỘT WEBSITE 37 3.1.1 Mô hình thực công 37 3.1.2 Quá trình thực .38 3.2 ĐỀ XUẤT CÁC BIỆN PHÁP PHÕNG CHỐNG TẤN CÔNG DNS 44 3.2.1 Giới thiệu DNSSEC 47 3.2.2 Ứng dụng DNSSEC để bảo mật cho hệ thống DNS 49 3.2.3 Lộ trình triển khai DNSSEC giới Việt Nam 53 3.3 ĐÁNH GIÁ HIỆU QUẢ CỦA CÁC BIỆN PHÁP PHÕNG CHỐNG TẤN CÔNG DNS TRONG THỰC TẾ 59 KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 v DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Thuật ngữ Tiếng Anh Tiếng Việt ccTLD Country code top – level domain Tên miền quốc gia cấp cao nhât CNAME Canonical Name Tên chuẩn DHCP Dynamic Host Configuration Giao thức cấu hình động máy Protocol chủ DNS Domain Name System Hệ thống tên miền DNSSEC The Domain Name System Hệ thống tên miền bảo mật Security Extensions mở rộng Dos Denial of Service Tấn công từ chối dịch vụ ICANN The Internet Corporation for Tổ chức quản lý hệ thống tên Assigned Names anh Number miền gới Internet Network Information Trung tâm thông tin mạng Center Quốc tế IPV4 Internet Protocol Version Giao thức liên mạng hệ IPV6 Internet Protocol Version Giao thức liên mạng hệ LIFO Last in first out Vào sau trƣớc NSF National Science Foundation Quỹ khoa học quốc gia URL Uniform Resource Locator Định vị tài nguyên thống TLD Top – Level Domain Tên miền cấp cao TTL Time To Live Thời gian cập nhật VPN Virtual Private Network Mạng riêng ảo INTERNIC vi DANH MỤC HÌNH VẼ Hình 1.1 Nguyên tắc làm việc DNS Hình 1.2 Cấu trúc phân cấp DNS Hình 1.3 DNS mô hình TCP/IP .6 Hình 1.4 Cấu trúc gói tin DNS Hình 1.5 The message header Hình 1.6 Truy vấn đệ quy .13 Hình 1.7 Truy vấn lặp lại 13 Hình 1.8 Client hỏi địa IP www.whitehouse.gov .14 Hình 1.9 Cấu trúc không gian tên miền ngƣợc IPv4, IPv6 tên miền chung 15 Hình 1.10 Hình vẽ minh họa cấu trúc tên miền ngƣợc IPv4 16 Hình 1.11 Địa IP đƣợc dịch thành tên miền .17 Hình 2.1 Attacker công DNS đánh lạc hƣớng ngƣời dùng .19 Hình 2.2 DNS cache poisioning 22 Hình 2.3 Một trang web giả mạo facebook 22 Hình 2.4 DNS spoofing 24 Hình 2.5 Các bƣớc công tràn nhớ 26 Hình 2.6 Ví dụ tràn nhớ stack .28 Hình 2.7 Ví dụ Heap overflow .29 Hình 3.1 Mô hình thực công 37 Hình 3.2 Giao diện máy Client chạy hệ điều hành Linux .38 vii Hình 3.3 Kiểm tra địa IP máy Client 39 Hình 3.4 Kiểm tra địa IP máy công 39 Hình 3.5 Chọn phƣơng thức công Social – Engineering Attacks 40 Hình 3.6 Chèn IP máy công đƣờng dẫn Web muốn giả mạo 41 Hình 3.7 Giao diện Website giả mạo 42 Hình 3.8 IP web ptit.edu.vn bị chuyển thành IP máy Attacker .42 Hình 3.9 Quá trình máy Attacker thực công DNS Spoof .43 Hình 3.10 Giao diện IP website giả mạo máy Client sau bị công 44 Hình 3.11 Username password bị đánh cắp hiển thị lên Terminal .44 Hình 3.12 DNSSEC giao dịch DNS 47 Hình 3.13 Quá trình nghiên cứu DNSSEC .54 Hình 3.14 Quá trình triển khai DNSSEC giới 55 Hình 3.15 Lộ trình triển khai DNSSEC Việt Nam 56 LỜI MỞ ĐẦU Trong thời đại “phẳng” nhƣ ngày nay, vai trò Công Nghệ Thông Tin Internet vô quan trọng Điều kéo theo nhiều ngành kinh tế phụ thuộc vào máy tính Chính vậy, ngày có nhiều ý đồ phá hoại nhắm vào hệ thống máy tính Nhiều website doanh nghiệp, công ty bảo mật hàng đầu giới bị hacker công, gây tổn thất lớn nguồn tài nhƣ uy tín cho doanh nghiệp Tình hình an ninh mạng giới đà bất ổn tiếp tục đƣợc coi năm “báo động đỏ” an ninh mạng Việt Nam giới có nhiều lỗ hổng an ninh mạng nghiêm trọng đƣợc phát hiện, hình thức công thay đổi có nhiều công giới tội phạm công nghệ cao vào hệ thống công nghệ thông tin doanh nghiệp phủ Với mục đích nghiên cứu tìm hiểu nguyên lý, chế công hacker nói chung, kỹ thuật công nói riêng, chọn đề tài tìm hiểu mô công dịch vụ DNS Do kinh nghiệm kiến thức chƣa đƣợc sâu sắc nên luận văn đề tài bày nhiều thiếu sót, mong quý thầy cô góp ý thêm để hoàn thiện tốt luận văn đề tài nghiên cứu sau ! Xin chân thành cảm ơn ! 49 tăng cƣờng độ an toàn, tin cậy, khắc phục đƣợc nhƣợc điểm thiết kế sơ khai ban đầu Vừa đáp ứng đƣợc yêu cầu thông tin định tuyến tên miền, giao thức làm việc máy chủ DNS với nhau, vừa đáp ứng đƣợc yêu cầu bảo mật, tăng cƣờng khả dự phòng cho hệ thống 3.2.2 Ứng dụng DNSSEC để bảo mật cho hệ thống DNS Các ghi DNSSEC đƣợc khai báo vùng liệu để chứng thực thông tin vùng liệu đó, đảm bảo độ tin cậy trình trao đổi thông tin nhƣ truy vấn tìm kiếm DNS Trong đảm bảo hoạt động bình thƣờng ghi tài nguyên DNS thông thƣờng ghi DNSSEC cần khai báo xác thông tin xác thực phải đồng DNSSEC đƣa khái niệm ký vùng (Zone Signing): vùng đƣợc ký bao gồm khóa công cộng DNS (DNS Public Key), chữ ký ghi tài nguyên (RRSIG), bảo mật (NSEC), ký chuyển giao (Delegation Signer) Một vùng mà không thêm ghi vào vùng chƣa đƣợc ký Đồng thời DNSSEC đòi hỏi thay đổi định nghĩa ghi tài nguyên CNAME ghi chứng thực ghi RRSIG ghi NSEC [1] Thêm ghi DNSKEY vào vùng Để ký vùng, ngƣời quản trị vùng tạo hay nhiều cặp khóa công cộng/dành riêng (public/private), cặp khóa công cộng dùng cho vùng khóa riêng để ký cho ghi cần xác thực vùng Mỗi vùng phải thêm ghi DNSKEY (vùng DNSKEY RR) chứa đựng khóa công cộng tƣơng ứng, khóa riêng đƣợc dùng để tạo ghi RRSIG vùng Bản ghi chứng thực DNSKEY cho vùng phải có bit Zone Key trƣờng liệu cờ đặt giá trị Nếu quản trị vùng có ý định ký vùng để chứng thực vùng phải chứa đựng ghi DNSKEY để hoạt 50 động nhƣ điểm bảo mật vùng Điểm bảo mật đƣợc dùng với ghi DS tƣơng ứng vùng cha hoạt động chuyển giao DNS Thêm ghi RRSIG vào vùng Với vùng đƣợc ký ghi DNSKEY, ghi tài nguyên vùng cần có ghi RRSIG ký xác thực Một ghi tài nguyên có nhiều ghi RRSIG kết hợp với Các ghi RRSIG chứa chữ ký điện tử kết hợp chặt chẽ với ghi tài nguyên để xác thực cho ghi tài nguyên Đặc biệt, giá trị TTL ghi RRSIG với tên miền sở hữu không giống với giá trị TTL ghi tài nguyên Trong trƣờng hợp ghi tài nguyên sở hữu tên miền cần kết hợp ghi RRSIG với ghi NSEC để xác thực, trƣờng hợp tƣơng tự ghi CNAME Tập ghi tài nguyên NS vùng phải đƣợc ký xác thực, ghi NS ghi chuyển giao từ máy chủ tên miền cha xuống máy chủ tên miền cần kết hợp ghi RRSIG với ghi xác thực DS Bản ghi glue cần xác thực RRSIG Thêm ghi NSEC vào vùng Mỗi tên miền sở hữu nhiều ghi tài nguyên loại vùng tập ghi NS chuyển giao phải có ghi NSEC để xác thực Trong đó, giá trị TTL nhỏ cho ghi NSEC phải với giá trị TTL ghi SOA vùng Một ghi NSEC ghi RRSIG kết hợp với không thiết ghi cho tên miền sở hữu ghi bảo mật Vì thế, qui trình ký tạo ghi RRSIG NSEC cho tên miền sở hữu ghi mà không sở hữu tập ghi trƣớc vùng đƣợc ký Lý muốn ổn định không gian ký không 51 gian chƣa ký vùng mong giảm rủi ro mâu thuẫn phản hồi máy chủ truy vấn đệ qui không đƣợc cấu hình bảo mật Các ghi RRSIG diện tên miền sở hữu tập ghi mà nắm giữ Các ghi NSEC diện tên miền sở hữu diện điểm chuyển giao tên miền chúng Vì thế, tên miền có tập ghi NSEC có ghi RRSIG vùng đƣợc ký Thêm ghi DS vào vùng Bản ghi DS thiết lập chứng thực vùng DNS Một ghi DS đƣợc biểu diễn cho ghi chuyển giao vùng đƣợc ký Bản ghi DS kết hợp với ghi RRSIG để chứng thực cho vùng đƣợc chuyển giao máy chủ tên miền cha Bản ghi DS đƣợc khai báo trƣớc, ghi RRSIG khai báo sau giống nhƣ khai báo để xác thực cho ghi tài nguyên thông thƣờng Trƣờng TTL tập ghi DS phải ứng với trƣờng TTL tập ghi NS ủy quyền (có nghĩa tập ghi NS vùng chứa tập ghi DS) Việc xây dựng ghi DS đòi hỏi phải có hiểu biết ghi DNSKEY tƣơng ứng vùng để đƣa đƣợc giao tiếp vùng vùng cha Những thay đổi ghi CNAME Nếu tập ghi CNAME diện tên miền vùng đƣợc ký, thay tập ghi RRSIG NSEC tƣơng ứng tên miền Đây phiên đƣợc chỉnh sửa định nghĩa CNAME nguyên gốc Định nghĩa nguyên gốc ghi CNAME không cho phép kiểu khác tồn với ghi CNAME, nhƣng vùng đƣợc ký đòi hỏi ghi NSEC ghi RRSIG cho tên miền Để giải xung đột này, định nghĩa ghi CNAME hệ thống 52 DNS đƣợc chỉnh sửa lại phép tồn với ghi NSEC ghi RRSIG DNSKEY đƣợc thiết lập để tạo khóa công cộng nhằm thực xác thực với máy chủ DNS khác có khóa công cộng Các ghi chứng thực RRSIG sử dụng để ký xác thực cho ghi tài nguyên SOA, A, MX… Đối với ghi NS khai báo quyền sở hữu tên miền tên miền gốc sử dụng ghi NSEC kết hợp với ghi RRSIG để xác thực Đối với ghi chuyển giao từ DNS cha xuống máy chủ tên miền DNS kết hợp với ghi DS với ghi RRSIG để xác thực Ở Việt Nam, để đảm bảo an toàn cho hệ thống máy chủ tên miền gốc (DNS ROOT) dùng tiêu chuẩn DNSSEC, Cơ quan quản lý tên miền địa Internet quốc tế lên kế hoạch thông báo thay đổi khóa DNSSEC KSK hệ thống DNS ROOT tháng 10/2017 Theo VNNIC, kế hoạch thay đổi khóa an toàn DNSSEC KSK hệ thống máy chủ tên miền gốc đƣợc Cơ quan quản lý tên miền địa Internet quốc tế (ICANN) thông báo, tác động trực tiếp đến tổ chức quản lý tên miền cấp cao (TLD, ccTLD); Nhà cung cấp dịch vụ Internet (ISP), Nhà đăng ký tên miền, tổ chức, doanh nghiệp CNTT quản lý trì hệ thống DNS Cache có hỗ trợ tiêu chuẩn an toàn DNSSEC Hệ thống máy chủ tên miền - DNS hạ tầng trọng yếu mạng Internet Để tăng cƣờng đảm bảo an toàn cho hệ thống máy chủ tên miền, từ năm 2010, ICANN hoàn thành triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền gốc - DNS ROOT “Đây tiêu chuẩn an toàn mở rộng cho hệ thống DNS, cung cấp chế xác thực nguồn gốc, đảm bảo toàn vẹn liệu tên miền máy chủ DNS nhƣ truy vấn tên miền để truy cập dịch vụ trực tuyến Internet đƣợc an toàn, tránh công nhằm thay đổi liệu, lừa đảo ngƣời dùng Hiện 53 giới có tới 90% tên miền cấp cao (TLD) triển khai DNSSEC”, đại diện VNNIC cho hay Kể từ sau hệ thống máy chủ tên miền gốc đƣợc ICANN thức triển khai tiêu chuẩn DNSSEC, Việt Nam nƣớc đầu khu vực Đông Nam Á châu Á triển khai áp dụng DNSSEC hệ thống DNS quốc gia Ngày 23/10/2014, Bộ trƣởng Bộ TT&TT định phê duyệt Đề án triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền quốc gia “.VN” 3.2.3 Lộ trình triển khai DNSSEC giới Việt Nam Hệ thống DNSSEC đƣợc triển khai với nhiều đối tƣợng tham gia, đồng từ Cơ quan quản lý (Registry), Nhà đăng ký tên miền (Registrar), nhà cung cấp dịch vụ DNS Hosting, doanh nghiệp ISP, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, chủ yếu đƣợc phân loại thành nhóm nhƣ sau: Nhóm ký số liệu tên miền (Signing) bao gồm: Registry, Registrar, DNS Hosting Provider Nhóm kiểm tra tính xác thực liệu tên miền (Validation): ISP, DNS tổ chức, doanh nghiệp, Để giải nguy trên, từ năm 1990, giải pháp khắc phục đƣợc nghiên cứu Năm 1995, giải pháp Tiêu chuẩn An toàn bảo mật mở rộng hệ thống máy chủ DNS (DNSSEC) đƣợc công bố, năm 2001 đƣợc xây dựng thành tiêu chuẩn RFC dự thảo cuối đƣợc IETF thức công bố thành tiêu chuẩn RFC vào năm 2005 DNSSEC dựa tảng mã hóa khóa công khai (PKI), thực ký số ghi DNS để đảm bảo tính xác thực, toàn vẹn cặp ánh xạ tên miền – địa IP, tất thay đổi ghi DNS đƣợc ký số đƣợc phát Kể từ đƣợc chuẩn hóa năm 2005, DNSSEC nhanh chóng đƣợc triển khai rộng rãi mạng Internet 54 Hình 3.13 Quá trình nghiên cứu DNSSEC [1] Triển khai DNSSEC hệ thống máy chủ tên miền gốc (DNS ROOT) hệ thống DNS TLD, ccTLD giới: Triển khai DNSSEC hệ thống máy chủ tên miền gốc (DNS ROOT) điều kiện quan trọng, tiên việc triển khai DNSSEC tên miền cấp cao dùng chung (gTLD), tên miền mã quốc gia (ccTLD) Trên sở hệ thống DNS quốc gia triển khai DNSSEC cách đầy đủ, toàn diện hệ thống Ngày 15/10/2010 ICANN thức triển khai DNSSEC hệ thống DNS ROOT Sau ICANN thức triển khai DNSSEC hệ thống DNS ROOT, TLDs (bao gồm gTLD, ccTLD) bƣớc triển khai thức DNSSEC hệ thống DNS Tính đến hết tháng 10/2014, có: 738 TLDs hệ thống DNS ROOT, 554 TLD số đƣợc ký, 546 TLD cập nhật hóa công khai (DS Record) lên hệ thống máy chủ DNS ROOT 55 Hình 3.14 Quá trình triển khai DNSSEC giới [1] Tại Việt Nam trƣớc tình hình phát triển Internet, thƣơng mại điện tử, phủ điện tử mạnh mẽ nhƣ an ninh mạng có nhiều biến động phức tạp, tiềm ẩn nhiều nguy an toàn, an ninh lộ trình, xu triển khai DNSSEC giới việc triển khai DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” Việt Nam cần thiết Vì vậy, VNNIC xây dựng trình Bộ trƣởng Bộ TT&TT ban hành Đề án Triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” Theo đó, tiêu chuẩn DNSSEC đƣợc triển khai áp dụng thống hệ thống DNS quốc gia “.VN”, hệ thống DNS doanh nghiệp cung cấp dịch vụ Internet (ISP), nhà đăng ký tên miền “.VN”, đơn vị cung cấp dịch vụ DNS Hosting hệ thống DNS (nếu có) quan Đảng, Nhà nƣớc Phạm vi triển khai: Triển khai thống tiêu chuẩn DNSSEC hệ thống DNS quốc gia “.VN”, hệ thống DNS doanh nghiệp cung cấp dịch vụ internet, nhà đăng ký tên miền “.VN” hệ thống DNS (nếu có) quan Đảng, Nhà nƣớc Việc triển khai DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” đƣợc thực với 03 giai đoạn: 56 Hình 3.15 Lộ trình triển khai DNSSEC Việt Nam [15] 1) Giai đoạn chuẩn bị (2015): Tăng cƣờng nhận thức cộng đồng Internet việc ứng dụng DNSSEC; phổ cập kiến thức DNSSEC cho doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”; quan Đảng, Nhà nƣớc; xây dựng văn hƣớng dẫn, tiêu chuẩn DNSSEC; VNNIC, doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”, quan Đảng, Nhà nƣớc xây dựng kế hoạch, chuẩn bị điều kiện cần thiết nhân lực, kỹ thuật, tài để triển khai quan, tổ chức doanh nghiệp [5] 57 2) Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC hệ thống DNS quốc gia; kết nối DNSSEC với hệ thống DNS ROOT, hệ thống DNS quốc tế; doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”, quan Đảng, Nhà nƣớc nâng cấp hệ thống DNS để kết nối thử nghiệm với hệ thống DNS quốc gia theo tiêu chuẩn DNSSEC 3) Giai đoạn triển khai (2017): Hoàn thiện nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển Internet Việt Nam giai đoạn tiếp theo; doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”, quan Đảng, Nhà nƣớc thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC cung cấp dịch vụ sử dụng, truy vấn tên miền “.VN” theo tiêu chuẩn DNSSEC cho ngƣời sử dụng Internet Việt Nam Việc triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” đánh dấu bƣớc chuyển biến quan trọng việc phát triển hạ tầng internet Việt Nam, sẵn sàng đẩy mạnh phát triển dịch vụ thƣơng mại điện tử, phủ điện tử cách an toàn Triển khai DNSSEC đƣợc tiến hành bƣớc, đồng toàn diện từ hệ thống DNS quốc gia VNNIC quản lý đến máy chủ tên miền cấp dƣới bao gồm hệ thống DNS ISP; nhà đăng ký miền; doanh nghiệp cung cấp dịch vụ DNS Hosting; quan Đảng, Nhà nƣớc; khách hàng/chủ sở hữu tên miền “.VN” Cung cấp hệ thống thử nghiệm: Để hỗ trợ ISP, nhà đăng ký kết nối thử nghiệm VNNIC xây dựng hệ thống thử nghiệm giả lập hệ thống DNS quốc gia, hệ thống đăng ký tên miền, sẵn sàng cho ISP, nhà đăng ký kết nối thử nghiệm vào đầu Quý năm 2015 58 Triển khai thức hệ thống DNS quốc gia: Trong năm 2015, VNNIC tiến hành công việc cần thiết để thức triển khai DNSSEC hệ thống DNS quốc gia vào năm 2016 theo lộ trình thực Ngày 06/01/2017, Bộ Thông tin Truyền thông, Trung tâm Internet Việt Nam tổ chức Lễ công bố thức triển khai DNSSEC hệ thống máy chủ tên miền quốc gia VN Thứ trƣởng Phan Tâm tới tham dự phát biểu đạo Hội nghị Theo lộ trình Đề án Triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền VN đƣợc Bộ trƣởng Bộ Thông tin Truyền thông phê duyệt (theo Quyết định số 1524/QĐ-BTTTT ý ngày 23/10/2014), ngày 20/12/2016 vừa qua, Trung tâm Internet Việt Nam hoàn tất việc tạo khoá ký DNSSEC cho hệ thống tên miền VN Để đánh dấu bƣớc chuyển biến quan trọng việc phát triển hạ tầng Internet Việt Nam sẵn sàng đẩy mạnh phát triển dịch vụ thƣơng mại điện tử cách an toàn, Trung tâm Internet Việt Nam tổ chức Lễ công bố thức triển khai DNSSEC hệ thống máy chủ tên miền quốc gia VN Tham dự Lễ công bố có Lãnh đạo Trung tâm Internet Việt Nam, đại diện lãnh đạo đơn vị thuộc Bộ Thông tin Truyền thông (Cục An toàn thông tin, Trung tâm chứng thực điện tử quốc gia, Trung tâm thông tin, Vụ khoa học công nghệ, ) đại diện ISP, Nhà đăng ký tên miền VN (Tập đoàn Bƣu Viễn thông Việt Nam VNPT, Tập đoàn Viễn thông quân đội Viettel, Công ty FPT Telecom, Công ty CP iNET, Công ty CP GMO Runsystem, ) Để chuẩn bị cho Lễ công bố thức triển khai DNSSEC hệ thống DNS quốc gia, gia đoại chuẩn bị (năm 2015), giai đoạn khởi động (năm 2016), VNNIC phối hợp với tổ chức, đơn vị liên quan triển khai nội dung đề án bao gồm: triển khai chƣơng trình thông tin, tuyên truyền cho công đồng Internet mục đích, ý nghĩa ứng dụng DNSSEC việc tăng cƣờng đảm bảo an toàn cho hoạt động truy vấn tên miền VN Internet; tổ chức khoá đào tạo chuyên sâu DNSSEC cho cán quản lý, kỹ thuật doanh nghiệp cung cấp dịch vụ Internet, Nhà đăng ký tên miền VN, quan Đảng, Nhà nƣớc; xây dựng, ban hành chế, sách, văn hƣớng dẫn DNSSEC phù hợp với thông lệ tiêu chuẩn quốc tế; tổ chức hoạt động hợp tác quốc tế liên quan đến DNSSEC để học tập kinh nghiệm hỗ trợ cho trình triển khai (năm 2017) Việt Nam, 59 3.3 Đánh giá hiệu biện pháp phòng chống công thực tế Nhờ có công nghệ DNSSEC với cách tạo thêm ghi nhằm chứng thực nguồn liệu nhƣ tính toàn vẹn cho hệ thống mà hệ thống DNS thoải mái mở rộng phát triển mà không lo lắng nguồn thông tin liệu bị đánh cắp thay đổi làm sai lệch ảnh hƣởng đến hệ thống Những nhƣợc điểm độ an toàn nhƣ tính bảo mật không cao thiết kế ban đầu chƣa hoàn thiện đƣợc khắc phục hoàn toàn nhờ có công nghệ DNSSEC Sự đời công nghệ đáp ứng đƣợc nhu cầu cấp thiết thông tin định tuyến tên miền, đảm bảo khả làm việc máy chủ với hệ thống đƣợc an toàn, bảo mật tuyệt đối nhƣ tăng cƣờng khả dự phòng tình bất ngờ gây ảnh hƣởng xấu tới hệ thống Vì việc phòng chống công vào hệ thống DNS DNSSEC tỏ hiệu đƣợc nhiều quốc gia sử dụng Theo thống kê tổ chức ICANN, tính đến tháng 10 năm 2015, giới có 75 nƣớc tuân thủ áp dụng tiêu chuẩn RFC (RFC 4003, RFC 4034, RFC 4035, … ) việc triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền quốc gia, bao gồm: 30 quốc gia thuộc khu vực Châu Âu 23 quốc gia thuộc khu vực Châu Á – Thái Bình Dƣơng (trong có Việt Nam) 11 quốc gia thuộc khu vực Mỹ Latinh quốc gia thuộc khu vực Châu Phi Quốc gia thuộc khu vực Bắc Mỹ Một vấn đề lớn phải đối mặt với việc áp dụng DNSSEC đám mây thực tế nhiều chuyên gia bảo mật tới DNSSEC chƣa có nhiều kinh nghiệm để đảm bảo thực tốt tính dịch vụ Năm 2013, Uncompiled.com công bố nghiên cứu với kết nửa số nhân viên IT phụ 60 trách an ninh mạng tổ chức lớn giới chƣa nghe đến DNSSEC có kiến thức khiêm tốn Đây dấu hiệu tốt cho việc áp dụng rộng rãi DNSSEC tới nhà cung cấp dịch vụ điện toán đám mây (CSP) Hơn nữa, DNSSEC hoạt động để đảm bảo tính toàn vẹn liệu, ngăn chặn hình thức công phổ biến nhƣ tràn nhớ đệm (buffer overruns), chiếm quyền điều khiển (race conditions) hay công DoS Vì vậy, lựa chọn biện pháp phòng chống công thứ Anycast Một số ƣu điểm Anycast ứng dụng cho hệ thống DNS: Các client, server, router không cần phần mềm đặc biệt Không ảnh hƣởng xấu tới hệ thống mạng tại, cần tận dụng hở hạ tầng sẵn có Cân tải Tăng độ linh động Giảm độ trễ Cơ chế phân tán, giảm nguy DoS Với ƣu điểm trên, CSP quản lý hệ thống DNS nên sử dụng Anycast Cân lƣu lƣợng truy cập Anycast, nhƣ DNSSEC, thành phần bổ sung cho chiến lƣợc tổng thể đảm bảo an toàn cho DNS Kết luận chương 3: Nội dung chƣơng cho ta nhìn trực quan, cụ thể công DNS diễn nhƣ Từ hiểu rõ đƣa đƣợc biện pháp phòng chống công DNS, cụ thể DNSSEC so sánh, đánh giá hiệu biện pháp phòng chống thực tế 61 KẾT LUẬN Vấn đề an toàn thông tin bảo mật ngày đƣợc quan, nhà bảo mật đặc biệt doanh nghiệp quan tâm hàng đầu An toàn liệu, thông tin ngƣời dùng, tài công ty, vấn đề cần đƣợc quan tâm Đối với doanh nghiệp, quan trọng thông tin cá nhân, tài khoản ngƣời dùng, ví dụ nhƣ ngân hàng chẳng hạn, thông tin phải đƣợc bảo mật tuyệt đối, vấn đề bảo mật thách thức lớn cho nhà doanh nghiệp Thông qua luận văn, thấy đƣợc cách tổng quát hệ thống tên miền DNS, kỹ thuật công dịch vụ DNS, hiểu đƣợc phần nguyên lý, chế công hacker muốn ăn cắp thông tin tài khoản ngƣời dùng Với kỹ thuật nhƣ công đầu độc DNS, ARP DHCP giúp cho kẻ công dễ dàng lấy đƣợc thông tin ngƣời dùng họ không để ý, không cẩn thận trao đổi liệu môi trƣờng mạng công cộng Hơn nữa, thông tin cá nhân ngƣời dùng công ty bị hacker ăn cắp nguy liệu liệu bị truyền gây thất thoát lớn cho công ty, làm tổn hại nguồn tài công ty doanh nghiệp Để khắc phục ngăn chặn kịp thời trƣờng hợp bị công ăn cắp liệu hacker, doanh nghiệp, tổ chức, cá nhân cần quan tâm trọng vấn đề bảo mật Sử dụng SNSSEC, DNS Anycast, dùng Firewall cứng mềm để ngăn chặn, giảm bớt công từ bên ngoài, cấu hình bảo mật port cho switch để ngăn chặn sniffer, cấu hình dịch vụ phát chống xâm nhập Server để kịp thời phát cố bị hacker công Ngoài ra, doanh nghiệp cần backup liệu khách hàng để đề phòng trƣờng hợp bị liệu 62 TÀI LIỆU THAM KHẢO [1] Thuyết minh dự thảo tiêu chuẩn quốc gia – Các yêu cầu hƣớng dẫn bảo mật DNS (DNSSEC) – 2016 [2] M H Jalalzai, W B Shahid and M M W Iqbal, "DNS Security Challenges and Best Practices to Deploy Secure DNS with Digital Signatures" - National University of Sciences and Technology Islamabad Pakistan - 13th – 17th January, 2015 [3] Suranjith Ariyapperuma and Chris J Mitchell, "Security vulnerabilities in DNS and DNSSEC" - Information Security Group Royal Holloway, University of London - Egham, Surrey TW20 0EX, UK – 2005 [4] https://voer.edu.vn/m/dich-vu-phan-giai-ten-mien-dns-server/52c04351.Truy cập ngày 20/4/2017 [5] https://www.slideshare.net/SnowBlack93/h-thng-dns.Truy cập ngày 22/4/2017 [6] http://itforvn.com/tu-hoc-mcse-2016-lab-3-cau-hinh-dns-server-tren-windows- server-2016.html/ Truy cập ngày 22/4/2017 [7] https://www.vnnic.vn/dns/congnghe/h%E1%BB%87-th%E1%BB%91ng-dns- ipv6?lang=en Truy cập ngày 23/4/2017 [8] https://www.vnnic.vn/diachiip/hotro/thamkhao/chuy%E1%BB%83n-giao- t%C3%AAn-mi%E1%BB%81n-ng%C6%B0%E1%BB%A3c-trong-ipv4 Truy cập ngày 25/4/2017 [9] https://voer.edu.vn/m/dich-vu-phan-giai-ten-mien-dns-server/52c04351 Truy cập ngày 25/4/2017 [10] https://dbglory.wordpress.com/category/networking/page/2/ Truy cập ngày 26/4/2017 63 [11] http://text.123doc.org/document/2563875-tim-hieu-va-mo-phong-tan-congdich-vu-dns.htm Truy cập ngày 26/4/2017 [12] https://www.howtogeek.com/161808/htg-explains-what-is-dns-cachepoisoning/ Truy cập ngày 28/4/2017 [13]https://www.google.com.vn/url?sa=i&rct=j&q=&esrc=s&source=images&cd= &ved=0ahUKEwjx6Ne3xaXUAhUJKZQKHUZWBjoQjhwIBQ&url=https%3A%2 F%2Fwww.slideshare.net%2Fxoapit%2Fbuffer-overflow60692537&psig=AFQjCNEWH3zSLqWuiDQznkINBy5A6rLPA&ust=1496712153863804 Truy cập ngày 28/4/2017 [14] https://www.slideshare.net/phanleson/buffer-overflowbao-cao Truy cập ngày 28/4/2017 [15] https://www.vnnic.vn/dns/congnghe/c%C3%B4ng-ngh%E1%BB%87-dnssec Truy cập ngày 29/4/2017 ...HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG ************************** LÊ NGỌC ĐẠT NGHIÊN CỨU HỆ THỐNG TÊN MIỀN DNS VÀ CÁC KIỂU TẤN CÔNG HỆ THỐNG TÊN MIỀN Chuyên ngành: Kỹ thuật... TỔNG QUAN VỀ HỆ THỐNG TÊN MIỀN DNS 1.1 GIỚI THIỆU HỆ THỐNG TÊN MIỀN DNS 1.1.1 Giới thiệu chung DNS DNS từ viết tắt tiếng Anh Domain Name System, Hệ thống tên miền đƣợc phát minh vào năm 1984... thành tên host 14 1.3.3 Chức hệ thống tên miền DNS (Domain Name System) 17 CHƢƠNG VẤN ĐỀ BẢO MẬT TRONG DNS VÀ CÁC CÁCH THỨC TẤN CÔNG VÀO DNS THƢỜNG THẤY HIỆN NAY 19 2.1 CÁC ĐIỂM