Đang tải... (xem toàn văn)
Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (tt)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (tt)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (tt)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (tt)Nghiên cứu hệ thống tên miền DNS và các kiểu tấn công hệ thống tên miền (tt)
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG ************************** LÊ NGỌC ĐẠT NGHIÊN CỨU HỆ THỐNG TÊN MIỀN DNS VÀ CÁC KIỂU TẤN CÔNG HỆ THỐNG TÊN MIỀN Chuyên ngành: Kỹ thuật Viễn thông Mã ngành: 60.52.02.08 LUẬN VĂN THẠC SĨ (Theo định hƣớng ứng dụng) NGƢỜI HƢỚNG DẪN KHOA HỌC: TS NGÔ ĐỨC THIỆN HÀ NỘI - 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS NGÔ ĐỨC THIỆN Phản biện 1: TS PHẠM MẠNH LÂM Phản biện 2: PGS.TS LÊ NHẬT THĂNG Luận văn bảo vệ trước Hội đồng chấm luận văn Thạc sĩ họp tại: Học viện Công nghệ Bưu Viễn Thông, km 10, đường Nguyễn Trãi, Hà Đông, Hà Nội vào lúc: ngày tháng năm 2017 Có thể tìm hiểu luận án tại: Thư viện Học viện Công nghệ Bưu Viễn thông 1 MỞ ĐẦU Tính cấp thiết đề tài: Trong thời đại phẳng ngày nay, vai trò internet vô quan trọng Điều kéo theo nhiều ngành kinh tế, nhiều hoạt động trị, văn hóa phụ thuộc vào máy tính internet Chính vậy, ngày có nhiều ý đồ phá hoại nhằm vào hệ thống máy tính Nhiều website doanh nghiệp, tổ chức, công ty bảo mật hang đầu giới bị hacker công gây tổn thất lớn vè tài uy tín doanh nghiệp Tình hình an ninh mạng vô bất ổn năm 2016 tiếp tục coi năm báo động đỏ an ninh mạng Việt Nam giới có nhiều lỗ hổng an ninh mạng nghiêm trọng phát Hình thức công hacker liên tục thay đổi có nhiều công giới tội phạm công nghệ cao vào hệ thống công nghệ thong tin doanh nghiệp Chính phủ Với mục đích nghiên cứu chế công mạng nói chung kỹ thuật công nói riêng, em chọn đề tài “Nghiên cứu hệ thống tên miền DNS kiểu công hệ thống tên miền” Tổng quan vấn đề nghiên cứu: Hệ thống tên miền DNS (Domain Name System) phát minh vào năm 1984 cho internet Đây hệ thống phân giải tên miền cho phép thiết lập quan hệ tương ứng địa IP tên miền DNS chìa khóa chủ chốt nhiều dịch vụ mạng duyệt internet, mail server, web server… Nếu DNS, internet khó hoạt động được, từ hình dung mức độ quan trọng DNS Và việc công dịch vụ DNS ngày nhiều hacker sử dụng với mục đích kinh tế, trị với nhiều hình thức tinh vi Trên giới có nhiều tên miền cấp phép, sử dụng để cung cấp dịch vụ hạ tầng Internet Các tên miền lưu trữ hệ thống DNS có cấu trúc trải rộng phạm vi toàn giới Hệ thống DNS đóng vai trò hệ thống mục Internet, truy xuất rộng rãi không hạn chế thông qua giao thức truy vấn/trả lời thông tin DNS Sự phát triển Internet với ứng dụng sử dụng tên miền Internet cách nhanh chóng kỹ thuật công nhằm giả mạo đánh cắp thông tin người sử dụng đặt mối đe dọa thường trực lên hệ thống DNS Hệ thống tên miền hệ thống máy chủ tên miền gót chân Asin Internet Do tính chất quan trọng hệ thống DNS - nơi coi lõi mạng Internet toàn cầu, để đáp ứng yêu cầu nêu trên, việc cấp thiết cần phải làm đảm bảo tính an toàn, bảo mật cho hệ thống Tuy nhiên, giao thức DNS thiếu hụt tính bảo mật công cụ xác thực nguồn liệu trao đổi máy chủ (DNS Server) máy trạm (Client), máy chủ chuyển tiếp (Forwarder) máy chủ đến máy chủ khác tên miền (Domain) Chính hacker lợi dụng việc công hệ thống tên miền máy chủ DNS để thực mục đích xấu ăn cắp thông tin, lừa đảo, giả mạo Do cần trọng vào bảo mật hệ thống DNS, sử dụng nhiều giải pháp hỗ trợ để đạt hiệu tối đa Bên cạnh đó, cần xem xét đến yếu tố an toàn, lực hệ thống DNS để đảm bảo chất lượng dịch vụ Internet Mục đích nghiên cứu: Mục đích nghiên cứu luận văn nghiên cứu trình bày DNS, số lỗ hổng xảy với DNS, việc công vào hệ thống DNS diễn đề xuất biện pháp phòng chống công dịch vụ DNS Đối tượng phạm vi nghiên cứu: + Đối tượng nghiên cứu: Dịch vụ DNS + Phạm vi: Luận văn tập trung vào nghiên cứu cách thức công vào hệ thống dịch vụ DNS biện pháp phòng chống công Phương pháp nghiên cứu: Nghiên cứu, thu thập tài liệu xuất bản, báo tạp chí khoa học tài liệu mạng Internet liên quan đến vấn đề nghiên cứu tác giả nước Từ chọn lọc xếp lại theo ý tưởng Kết hợp với phần mềm lập trình tính toán mô công DNS Bố cục luận văn Luận văn bao gồm phần mở đầu, chương nội dung phần kết luận 3 Chương 1: Tổng quan hệ thống tên miền DNS Trình bày tổng quan lý thuyết hệ thống tên miền DNS, chức DNS, nguyên tắc làm việc chế phân giải tên miền địa IP Chương 2: Vấn đề bảo mật DNS Trình bày lỗ hổng, điểm yếu bảo mật DNS cách thức công vào hệ thống DNS mà hack thường sử dụng Chương 3: Thử nghiệm công DNS Spoof Thực mô công DNS thông qua nội dung trình bày chương đưa cách thức phòng chống công DNS 4 CHƢƠNG TỔNG QUAN VỀ HỆ THỐNG TÊN MIỀN DNS Trong chương trình bày tổng quan lý thuyết hệ thống tên miền DNS, chức DNS, nguyên tắc làm việc chế phân giải tên miền địa IP 1.1 Giới thiệu hệ thống tên miền DNS 1.1.1 Giới thiệu chung DNS DNS từ viết tắt tiếng Anh Domain Name System, Hệ thống tên miền phát minh vào năm 1984 cho Internet, định nghĩa RFC 1034 1035, hệ thống cho phép thiết lập tương ứng địa IP tên miền Hệ thống tên miền (DNS) hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, nguồn lực tham gia vào Internet Nó liên kết nhiều thông tin đa dạng với tên miền gán cho người tham gia Quan trọng chuyển tên miền có ý nghĩa cho người vào số định danh (nhị phân), liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị khắp giới Hệ thống tên miền (DNS) tảng Internet giúp người dùng dễ dàng đặt tên dựa tài nguyên Records (RR) vào địa IP tương ứng ngược lại Nhưng ngày DNS không địa dịch mà cung cấp xác thực cải thiện an ninh dịch vụ nhiều ứng dụng internet Bây DNS trở thành thành phần quan trọng Internet Nếu DNS không hoạt động bình thường toàn truyền thông internet sụp đổ Vì an ninh sở hạ tầng DNS yêu cầu cốt lõi tổ chức 1.1.2 Nguyên tắc làm việc DNS Mỗi nhà cung cấp dịch vụ vận hành trì DNS server riêng mình, gồm máy bên phần riêng nhà cung cấp dịch vụ Internet DNS có khả truy vấn DNS server khác để có tên phân giải DNS server tên miền thường có hai việc khác biệt DNS server có khả ghi nhớ lại tên vừa phân giải Để dùng cho yêu cầu phân giải lần sau Số lượng tên phân giải lưu lại tùy thuộc vào quy mô DNS 5 1.2 Cấu trúc gói tin ghi DNS có cấu trúc phân cấp Một không gian tên miền xác định hình 1.2 Mọi thứ nằm không gian tên miền ".org" Thuộc tên miền org thứ bên không gian tên miền ".icann.org" nằm miền icann.org Hình 1.1 Cấu trúc phân cấp DNS DNS dùng cổng 53 để truyền tải thông tin Tại lớp vận chuyển, DNS sử dụng UDP TCP UDP giao thức không yêu cầu tính tin cậy liệu cao, thường sử dụng cho việc trả lời truy vấn (query) từ host để đảm bảo tính nhanh chóng, sử dụng UDP hạn chế gói tin 512 bytes 1.3 Cơ chế phân giải 1.3.1 Phân giải tên thành địa IP Quá trình phân giải tên thực theo trình tự cụ thể sau: Client hệ thống mạng, cần phân giải www.yahoo.com, client tra cứu file /etc/nsswitch.conf để biết thứ tự trình phân giải tên: flies, nisplus, dns Client tra cứu file /etc/inet/hosts để tìm kiếm www.yahoo.com , giả sử file không chứa thông tin cần truy vấn Client tạo truy vấn đến NIS+ server để tra cứu thông tin www.yahoo.com, kết record liên quan đến truy vấn Client tra cứu file /etc/resolv.conf để xác định danh sách tìm kiếm phân giải tên địa DNS servers Client gửi yêu cầu truy vấn – recursive đến local DNS để tra cứu thông tin IP www.yahoo.com client chờ trình phân giải tên hoàn thành Local DNS server tra cứu thông tin cache xem thông tin truy vấn gần có record www.yahoo.com phân giải không Nếu địa IP www.yahoo.com có sẵn cache, trả kết cho client (non-authoritative) 7 10 11 12 13 1.3.2 Nếu Local DNS server thông tin www.yahoo.com, liên lạc với root servers gửi truy vấn dạng iterative: “Send me the best answer you have, and I will all of the work.” (gửi cho câu trả lời tốt mà ta có làm tất công việc) Root server trả thông tin tốt mà có bao gồm tên địa tất server quản lý net với giá trị TTL cho biết thông tin lưu cache local DNS server Local DNS server liên lạc với server quản lý net thông qua kết từ root server trả Máy server domain net trả thông tin tốt có, gồm tên địa tất server domain www.yahoo.com giá trị TTL Local DNS server liên lạc với server domain www.yahoo.com tạo truy vấn tìm địa chị IP www.yahoo.com Server domain www.yahoo.com trả địa IP www.yahoo.com, với giá trị TTL Local DNS server trả địa IP mà client yêu cầu Phân giải địa IP thành tên host Ngoài chức chuyển đổi tên miền sang địa IP, hệ thống DNS có chức chuyển đổi ngược lại từ địa IP sang tên miền (reverse lookup) Chức reverse lookup cho phép tìm tên miền biết địa IP sử dụng trường hợp cần kiểm tra tính xác thực dịch vụ sử dụng Interne Để phân giải tên máy tính địa IP, không gian tên miền người ta bổ sung thêm nhánh tên miền mà lập mục theo địa IP Phần không gian có tên miền inaddr.arpa 8 Hình 1.9 Cấu trúc không gian tên miền ngƣợc IPv4, IPv6 tên miền chung 1.3.3 Chức hệ thống tên miền DNS Mỗi Website có tên (là tên miền hay đường dẫn URL: Uniform Resource Locator) địa IP Địa IP gồm nhóm số cách dấu chấm (IPv4) Khi mở trình duyệt Web nhập tên website, trình duyệt đến thẳng website mà không cần phải thông qua việc nhập địa IP trang web Quá trình "dịch" tên miền thành địa IP trình duyệt hiểu truy cập vào website công việc DNS server Các DNS trợ giúp qua lại với để dịch địa "IP" thành "tên" ngược lại Người sử dụng cần nhớ "tên", không cần phải nhớ địa IP (địa IP số khó nhớ) Nói cách khác, DNS trợ giúp qua lại với để dịch địa IP thành tên ngược lại chức nhớ IP DNS định tên miền cho nhóm người sử dụng internet theo cách có ý nghĩa, độc lập với địa điểm người sử dụng WWW trì tính ổn định dòng internet thay đổi Hệ thống tên miền phân phối trách nhiệm gán tên lập đồ tên tới địa IP cách định rõ máy chủ có thẩm quyền cho tên miền Từ tăng khả chịu đựng lỗi tránh việc tải 9 CHƢƠNG 2: VẤN ĐỀ BẢO MẬT TRONG DNS Chương trình bày lỗ hổng, điểm yếu bảo mật DNS cách thức công vào hệ thống DNS mà hack thường sử dụng 2.1 Các điểm yếu DNS DNS điểm yếu nhiều nhà quản trị lại thường không để ý đến nó, nghĩ khả phá hoại Các điểm yếu hệ thống DNS thường xuyên bị khai thác như: - Việc sử dụng phương pháp xác định tên cho tất hệ thống mạng có sử dụng internet công ty dẫn tới tình trạng nhầm lấn việc xác định tên nội ngoại mạng - Kẻ công truy cập vào tên máy tính bên địa bên qua DNS server xác định tên internet - DNS có nguy tiềm ẩn hệ thống không sử dụng DNS tách rời - Lỗ hổng bảo mật xuất trình truyền thông tin từ Primary DNS Secondary DNS - Một số server cuối hệ thống nội truy cập trực tiếp từ mạng internet 2.2 Cách thức công vào hệ thống DNS 10 2.2.1 Tấn công đầu độc cache (cache poisoning attack) Hình 2.2 DNS cache poisoning Một nhớ đệm DNS bị nhiễm độc chứa mục nhập (entry) không xác Sự nhiễm độc DNS hoàn toàn lây lan Ví dụ, nhà cung cấp dịch vụ Internet khác nhận thông tin DNS họ từ máy chủ bị xâm nhập, entry DNS chứa mã độc lây lan sang nhà cung cấp dịch vụ Internet lưu trữ Sau tiếp tục lây lan sang định tuyến gia đình ta nhớ đệm DNS địa phương máy tính dẫn đến việc tìm kiếm entry DNS nhận phản hồi không xác mà người dùng hoàn toàn không hay biết Có vài cách để thực việc này: Cách thứ nhất: Thiết lập DNS Server giả mạo với record độc hại Cách thứ hai: Gửi spoofed reply đến client nạn nhân thông qua giúp đỡ sniffer Cách thứ ba: Gửi lượng lớn spoofing reply đến client nạn nhân Cách thứ tư: Attacker gửi lượng lớn spoofing reply đến DNS Server 11 Tấn công tràn đệm (buffer overflow attack) Tấn công tràn đệm dạng công vào vùng nhớ đệm máy chủ DNS Server để thực thi dòng lệnh máy chủ Đây gói tin response chứa thông tin độc hại (như chứa tên dài, chiều dài gói tin lớn) làm cho việc ghi đè lên vùng nhớ đệm victim trở nên tải, cho phép thực thi việc leo thang chiếm quyền máy tính Với quyền truy cập chiếm được, attacker sửa đổi thông tin file zone 2.2.2 Hình 2.5 Các bƣớc công tràn nhớ 2.2.3 Tấn công trình Zone Transfer Mục đích việc công để đưa thông tin không lên server dự phòng (slave server) thông qua tiến trình zone transfer bình thường server server dự phòng Để ngăn chặn việc này, DNS Server sử dụng danh sách điều khiển truy cập (access control list) Danh sách chứa địa IP máy server phép zone transfer 12 Một cấu hình sai nghiêm trọng mà người quản trị hệ thống mắc phải cho phép người dùng internet không đáng tin cậy tiến hành chuyển vùng DNS Tấn công từ chối dịch vụ Denial of Service Attack Là kiểu công phổ biến với request dồn dập để làm ngập lụt server, làm cho server hoạt động cách chậm chạm để chấp nhận request hợp lệ Tuy nhiên, DNS, việc thực DoS đạt cách sử dụng vài loại resource record file zone Cụ thể, Name Server (NS) record dùng để xác định chứng nhận name server cho domain, ví dụ: “ibm.com IN NS ns.ibm.com” Nếu attacker đầu độc cache DNS Server với NS record ví dụ “ibm.com IN NS ns.attacker.com”, server tham chiếu đến ns.attacker.com để phục vụ yêu cầu truy vấn client địa máy ibm.com Lúc từ chối tất client có tên dịch vụ cung cấp ibm.com 2.2.4 Tấn công phương thức cập nhật động Trong vài trường hợp, sau chỉnh sửa zone file DNS Server, server khởi động lại để thay đổi có hiệu lực Nhưng khối lượng cần thay đổi lớn, hoạt động server không hoạt động bình thường trước Để thay đổi vùng liệu cách hiệu quả, tính dynamic update sử dụng, cho phép tự động thay đổi (chẳng hạn việc thêm xóa) record DNS Server dịch vụ hoạt động bình thường không bị gián đoạn Với tính này, name server chấp nhận nguồn thông tin cập nhật từ bên ứng dụng cho thông tin cá nhân cập nhật cách tự động 2.2.5 2.3 Biện pháp phòng chống công DNS Khá khó việc phòng chống việc giả mạo DNS có dấu hiệu bị công Thông thường, DNS bị giả mạo điều xảy Mặc dù khó biện pháp phòng chống kiểu công này, số cách mà cần thực hiện: 13 - Bảo vệ máy tính bên - Sử dụng DNSSEC - Đặt mật mạnh cho DNS server - Tắt tính đệ quy server ủy quyền (Delegated Name Servers) cách check vào ô Disable recursion (đồng nghĩa với việc disable tính forwarder) thẻ Advance - Ngăn không cho thực chuyển vùng trái phép cách sử dụng Access control list - Sử dụng IDS - Không dựa vào DNS cho hệ thống bảo mật 14 CHƢƠNG 3: THỬ NGHIỆM TẤN CÔNG DNS SPOOF Chương thực mô công DNS thông qua nội dung trình bày chương đưa cách thức phòng chống công DNS 3.1 Thử nghiệm công DNS Spoof chuyển hƣớng webisite 3.1.1 Mô hình thực công Hình 3.1 Mô hình thực công 3.1.2 Quá trình thực Bước 1: Chuẩn bị máy tính chạy Window 7.Tiến hành cài phần mềm Mvware Workstation Bước 2: Kiểm tra tình trạng máy Client ban đầu Bước 3: Thực công 15 Trong máy ảo sử dụng Kali Linux, mở Terminal gõ lệnh setoolkit sau chọn phương thức công Social – Engineering attacks (Social engineering lợi dụng ảnh hưởng niềm tin để lừa người nhằm mục đích lấy cắp thông tin thuyết phục nạn nhân để thực việc gì) Bước 4: Trong máy tính Attacker tiến hành chỉnh sửa tập tin /etc/ettercap/etter.dns tập tin /etc/ettercap/etter.conf Bước 5: Chạy lệnh: ettercap –q –T –I eth0 –P dns_spoof –M arp /// /// để tiếp hành công DNS Spoof chờ đến load xong Hình 3.9 Quá trình máy Attacker thực công DNS Spoof Bước 6: Kiểm tra kêt công Khi máy Client truy cập vào trang Ptit.edu.vn vào trang có giao diện hình Đây trang giả mạo Khi điền thông tin vào trường User name Password máy tính công nhận trường này, từ đánh cắp mật người sử dụng máy Client 16 Hình 3.11 Username password bị đánh cắp hiển thị lên Terminal 3.2 Đề xuất biện pháp phòng chống công DNS Mặc dù khó biện pháp phòng chống kiểu công này, sô thứ ta cần thực hiện: - - - Bảo vệ máy tính bên ta: Các công giống thường thực thi từ bên mạng ta Nếu thiết bị mạng an toàn ta giảm khả host bị thỏa hiệp sử dụng để khởi chạy công giả mạo Đặt mật mạnh cho DNS server Tắt tính đệ quy server ủy quyền (Delegated Name Servers) cách check vào ô Disable recursion (đồng nghĩa với việc disable tính forwarder) thẻ Advanced Theo mặc định name server hỗ trợ tính recursive, tắt tính thân name server liên lạc với theo kiểu nonrecursive Ngăn không cho thực chuyển vùng trái phép cách sử dụng Access control list, máy tính có địa IP nằm danh sách thực trình chuyển vùng với DNS Server 17 - - - - Sử dụng IDS: Một hệ thống phát xâm nhập, đặt triển khai đúng, vạch mặt hình thức giả mạo ARP cache giả mạo DNS Không dựa vào DNS cho hệ thống bảo mật: Trên hệ thống an toàn có độ nhạy cảm cao, không duyệt Internet cách thực tốt để không sử dụng đến DNS Nếu ta có phần mềm sử dụng hostname để thực số công việc chúng cần phải điều chỉnh cần thiết file cấu hình thiết bị Monitor: Công cụ Monitor hệ thống DNS giúp nhân viên quản trị hệ thống nhanh chóng phát dấu hiệu đáng ngờ, từ đưa hành động cần thiết Việc thực giám sát giúp: Xem trạng làm việc server DNS: DNS Monitor gửi thông báo DNS server hoạt động không bình thường DNS Monitor gửi truy vấn DNS tới tất DNS server nhận thông tin trả lời (response) mà không làm ảnh hưởng tới máy khác Phân tích chất lượng response từ DNS Server giám sát: DNS Monitor ghi lại log hiển thị mục response, cho phép người dùng định có nên tối ưu hóa DNS Server hay không Cung cấp thông tin chi tiết để giải vấn đề: Dựa vào thông tin "Success/Failure" truy vấn tên domain tới vài DNS Server, DNS Monitor cung cấp nguyên nhân liên quan nhanh chóng Trạng thái "Failure": DNS Monitor hiển thị nguyên nhân như: timeout, Format error, Server failure, Name Error, Not Implemented, Request Refused, Send Request Failed, Get part reply Trạng thái "Success": DNS Monitor hiển thị thông tin chi tiết từ response Question section, Answer section, Authority section, Additional section Sử dụng kiểu truyền thông tin Anycast: Anycast kiểu truyền thông tin mà mô hình đó, client truyền liệu lúc đến nhiều điểm khác Khi truy xuất, liệu 18 - 3.2.1 lấy điểm gần so với vị trí client Nếu điểm gần kết nối, client tự động chuyển hướng đến điểm khác (gần có thể) để lấy liệu cần thiết mà không xảy tình trạng downtime trường hợp Sử dụng DNSSEC: DNSSEC giải pháp thay cho DNS, sử dụng ghi DNS có chữ ký để bảo đảm hợp lệ hóa đáp trả truy vấn Tuy DNSSEC chưa triển khải rộng rãi chấp thuận “tương lai DNS”, chống công vào cache Giới thiệu DNSSEC DNSSEC (Security Extensions Domain Name System) công nghệ an toàn mở rộng cho hệ thống DNS (Domain Name System) Trong đó, DNSSEC cung cấp chế xác thực máy chủ DNS với xác thực cho vùng liệu để đảm bảo toàn vẹn liệu Hình 3.12 DNSSEC giao dịch DNS 19 Ứng dụng DNSSEC để bảo mật cho hệ thống DNS Các ghi DNSSEC khai báo vùng liệu để chứng thực thông tin vùng liệu đó, đảm bảo độ tin cậy trình trao đổi thông tin truy vấn tìm kiếm DNS Trong đảm bảo hoạt động bình thường ghi tài nguyên DNS thông thường ghi DNSSEC cần khai báo xác thông tin xác thực phải đồng 3.2.2 DNSKEY thiết lập để tạo khóa công cộng nhằm thực xác thực với máy chủ DNS khác có khóa công cộng Các ghi chứng thực RRSIG sử dụng để ký xác thực cho ghi tài nguyên SOA, A, MX… Đối với ghi NS khai báo quyền sở hữu tên miền tên miền gốc sử dụng ghi NSEC kết hợp với ghi RRSIG để xác thực Đối với ghi chuyển giao từ DNS cha xuống máy chủ tên miền DNS kết hợp với ghi DS với ghi RRSIG để xác thực 3.2.3 Lộ trình triển khai DNSSEC giới Việt Nam Hệ thống DNSSEC triển khai với nhiều đối tượng tham gia, đồng từ Cơ quan quản lý (Registry), Nhà đăng ký tên miền (Registrar), nhà cung cấp dịch vụ DNS Hosting, doanh nghiệp ISP, doanh nghiệp cung cấp dịch vụ công nghệ thông tin, chủ yếu phân loại thành nhóm sau: Nhóm ký số liệu tên miền (Signing) bao gồm: Registry, Registrar, DNS Hosting Provider Nhóm kiểm tra tính xác thực liệu tên miền (Validation): ISP, DNS tổ chức, doanh nghiệp, Tại Việt Nam trước tình hình phát triển Internet, thương mại điện tử, phủ điện tử mạnh mẽ an ninh mạng có nhiều biến động phức tạp, tiềm ẩn nhiều nguy an toàn, an ninh lộ trình, xu triển khai DNSSEC giới việc triển khai DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” Việt Nam cần thiết Vì vậy, VNNIC xây dựng trình Bộ trưởng Bộ TT&TT ban hành Đề án Triển khai tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” Theo đó, tiêu chuẩn DNSSEC triển khai áp dụng thống hệ thống DNS quốc gia “.VN”, hệ thống DNS doanh nghiệp cung cấp dịch vụ 20 Internet (ISP), nhà đăng ký tên miền “.VN”, đơn vị cung cấp dịch vụ DNS Hosting hệ thống DNS (nếu có) quan Đảng, Nhà nước Hình 3.15 Lộ trình triển khai DNSSEC Việt Nam 1) Giai đoạn chuẩn bị (2015): Tăng cường nhận thức cộng đồng Internet việc ứng dụng DNSSEC; phổ cập kiến thức DNSSEC cho doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”; quan Đảng, Nhà nước; xây dựng văn hướng dẫn, tiêu chuẩn DNSSEC; VNNIC, doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”, quan Đảng, Nhà nước xây dựng kế hoạch, chuẩn bị điều kiện cần thiết nhân 21 lực, kỹ thuật, tài để triển khai quan, tổ chức doanh nghiệp [5] 2) Giai đoạn khởi động (2016): Chính thức triển khai tiêu chuẩn DNSSEC hệ thống DNS quốc gia; kết nối DNSSEC với hệ thống DNS ROOT, hệ thống DNS quốc tế; doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”, quan Đảng, Nhà nước nâng cấp hệ thống DNS để kết nối thử nghiệm với hệ thống DNS quốc gia theo tiêu chuẩn DNSSEC [5] 3) Giai đoạn triển khai (2017): Hoàn thiện nâng cấp hệ thống DNS quốc gia, hệ thống quản lý tên miền quốc gia hoạt động an toàn, tin cậy theo tiêu chuẩn DNSSEC đáp ứng nhu cầu phát triển Internet Việt Nam giai đoạn tiếp theo; doanh nghiệp cung cấp dịch vụ Internet, nhà đăng ký tên miền “.VN”, quan Đảng, Nhà nước thức triển khai hệ thống DNS theo tiêu chuẩn DNSSEC cung cấp dịch vụ sử dụng, truy vấn tên miền “.VN” theo tiêu chuẩn DNSSEC cho người sử dụng Internet Việt Nam [5] 3.3 Đánh giá hiệu biện pháp phòng chống công DNS thực tế Nhờ có công nghệ DNSSEC với cách tạo thêm ghi nhằm chứng thực nguồn liệu tính toàn vẹn cho hệ thống mà hệ thống DNS thoải mái mở rộng phát triển mà không lo lắng nguồn thông tin liệu bị đánh cắp thay đổi làm sai lệch ảnh hưởng đến hệ thống Những nhược điểm độ an toàn tính bảo mật không cao thiết kế ban đầu chưa hoàn thiện khắc phục hoàn toàn nhờ có công nghệ DNSSEC Sự đời công nghệ đáp ứng nhu cầu cấp thiết thông tin định tuyến tên miền, đảm bảo khả làm việc máy chủ với hệ thống an toàn, bảo mật tuyệt đối tăng cường khả dự phòng tình bất ngờ gây ảnh hưởng xấu tới hệ thống Vì việc phòng chống công vào hệ thống DNS DNSSEC tỏ hiệu nhiều quốc gia sử dụng 22 Một số ưu điểm Anycast ứng dụng cho hệ thống DNS: Các client, server, router không cần phần mềm đặc biệt Không ảnh hưởng xấu tới hệ thống mạng tại, cần tận dụng hở hạ tầng sẵn có Cân tải Tăng độ linh động Giảm độ trễ Cơ chế phân tán, giảm nguy DoS Với ưu điểm trên, CSP quản lý hệ thống DNS nên sử dụng Anycast Cân lưu lượng truy cập Anycast, DNSSEC, thành phần bổ sung cho chiến lược tổng thể đảm bảo an toàn cho DNS 23 KẾT LUẬN Vấn đề an toàn thông tin bảo mật ngày quan, nhà bảo mật đặc biệt doanh nghiệp quan tâm hàng đầu An toàn liệu, thông tin người dùng, tài công ty, vấn đề cần quan tâm Đối với doanh nghiệp, quan trọng thông tin cá nhân, tài khoản người dùng, ví dụ ngân hàng chẳng hạn, thông tin phải bảo mật tuyệt đối, vấn đề bảo mật thách thức lớn cho nhà doanh nghiệp Thông qua kỹ thuật công dịch vụ DNS, hiểu phần nguyên lý, chế công hacker muốn ăn cắp thông tin tài khoản người dùng Với kỹ thuật công đầu độc DNS, ARP DHCP giúp cho kẻ công dễ dàng lấy thông tin người dùng họ không để ý, không cẩn thận trao đổi liệu môi trường mạng công cộng Hơn nữa, thông tin cá nhân người dùng công ty bị hacker ăn cắp nguy liệu liệu bị truyền gây thất thoát lớn cho công ty, làm tổn hại nguồn tài công ty doanh nghiệp Để khắc phục ngăn chặn kịp thời trường hợp bị công ăn cắp liệu hacker, doanh nghiệp cần quan tâm trọng vấn đề bảo mật Dùng Firewall cứng mềm để ngăn chặn, giảm bớt công từ bên ngoài, cấu hình bảo mật port cho switch để ngăn chặn sniffer, cấu hình dịch vụ phát chống xâm nhập Server để kịp thời phát cố bị hacker công Ngoài ra, doanh nghiệp cần backup liệu khách hàng để đề phòng trường hợp bị liệu ... đề tài Nghiên cứu hệ thống tên miền DNS kiểu công hệ thống tên miền Tổng quan vấn đề nghiên cứu: Hệ thống tên miền DNS (Domain Name System) phát minh vào năm 1984 cho internet Đây hệ thống phân... toàn, lực hệ thống DNS để đảm bảo chất lượng dịch vụ Internet Mục đích nghiên cứu: Mục đích nghiên cứu luận văn nghiên cứu trình bày DNS, số lỗ hổng xảy với DNS, việc công vào hệ thống DNS diễn... pháp phòng chống công dịch vụ DNS Đối tượng phạm vi nghiên cứu: + Đối tượng nghiên cứu: Dịch vụ DNS + Phạm vi: Luận văn tập trung vào nghiên cứu cách thức công vào hệ thống dịch vụ DNS biện pháp
