báo cáo : giao thức DNSSEC

15 71 2
  • Loading ...
1/15 trang

Thông tin tài liệu

Ngày đăng: 15/04/2018, 14:02

DNSSEC (DNS Security Extensions) là tiêu chuẩn an toàn mở rộng cho hệ thống DNS được định nghĩa trong các RFC 4033, 4034, 4035. Dựa trên mã hóa PKI (PublicPrivate Key) để thêm chữ ký số vào câu trả lời truy vấn DNS Truy vấn tên miền với hệ thống DNSSEC có bước xác thực (validation), thiết lập kết nối an toàn, tin cậy với người sử dụng. TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC BẢO MẬT THÔNG TIN CHUYÊN ĐỀ: DNSSEC Giảng Viên Hướng Dẫn: Sinh Viên Thực Hiện MSSV TP Hồ Chí Minh, 2018 Lớp TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC BẢO MẬT THÔNG TIN CHUYÊN ĐỀ: DNSSEC Giảng Viên Hướng Dẫn: Sinh Viên Thực Hiện MSSV Lớp TP Hồ Chí Minh, 2018 MỤC LỤC LỜI MỞ ĐẦU DNSSEC gì? .6 Cơ Chế Hoạt Động Ứng dụng DNSSEC để bảo mật cho hệ thống DNS 10 Kết Luận 14 LỜI MỞ ĐẦU Như biết, DNS hệ thống tảng quan trọng giúp truy cập sử dụng dịch vu mạng Internet, máy chủ DNS thực phân giải tên miền sang địa IP ngược lại Là hệ thống dẫn đường ví trái tim mạng Internet Do tính chất quan trọng hệ thống này, công, khai thác lỗ hổng hệ thống DNS ngày tiến hành cách tinh vi, với quy mô ngày lớn đặc biệt bối cảnh an tồn thơng tin ngày trở lên quan trọng Với mục đích làm tê liệt hệ thống chuyển hướng tên miền đến địa IP khác, từ đánh cắp liệu cá nhân người dùng Làm cho người dùng tin họ truy xuất vào website máy tính hợp lệ thực chất họ dẫn đến trang web có chứa nội dung độc hại 5 Vậy DNS lại dễ bị công ? Do DNS sử dụng chế truyền tải UDP, truy vấn, gói tin UDP trả câu trả lời Mặt khác gói tin UDP trả cần đúng Source IP, Source port, Destination IP, Destination port, DNS query ID từ vượt qua kiểm tra (bailiwick checking) Các dạng công DNS phổ biến:  Giả mạo master việc đồng liệu máy chủ DNS  Spoofing master, spoofing update, …  Chuyển hướng phân giải DNS người dùng sang DNS giả mạo: Man in middle attack  Đầu độc nhớ Cache DNS: DNS Cache Poisoning hay DNS Pharming  Giả mạo thay đổi ghi DNS Để giải nguy trên, từ năm 1990, giải pháp khắc phục nghiên cứu Năm 1995, giải pháp DNSSEC công bố, năm 2001 xây dựng thành tiêu chuẩn RFC dự thảo cuối IETF thức cơng bố thành tiêu chuẩn RFC vào năm 2005 Vậy DNSSEC vận hành nào? Do chưa có nhiều kinh nghiệm nghiên cứu, thực hành nên đề tài thực nhiều thiếu sót, nhóm em mong nhận đóng góp, ý kiến thầy để đề tài hoàn thiện 6 Chúng em xin chân thành cảm ơn! DNSSEC gì? DNSSEC (DNS Security Extensions) tiêu chuẩn an toàn mở rộng cho hệ thống DNS định nghĩa RFC 4033, 4034, 4035 Dựa mã hóa PKI (Public/Private Key) để thêm chữ ký số vào câu trả lời truy vấn DNS Truy vấn tên miền với hệ thống DNSSEC có bước xác thực (validation), thiết lập kết nối an toàn, tin cậy với người sử dụng Cơ Chế Hoạt Động Trong giao thức DNS thơng thường khơng có cơng cụ để xác thực nguồn liệu Trước nguy liệu DNS bị giả mạo bị làm sai lệch tương tác máy chủ DNS với máy trạm (resolver) máy chủ chuyển tiếp (forwarder), công nghệ bảo mật DNSSEC nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo vệ chống lại nguy giả mạo làm sai lệch nguồn liệu Trong DNSSEC cung cấp chế xác thực máy chủ DNS với xác thực cho zone liệu để đảm bảo toàn vẹn liệu Bản chất DNSSEC cung cấp chế có khả chứng thực đảm bảo toàn vẹn liệu cho hệ thống DNS, theo DNSSEC đưa loại ghi mới:  Bản ghi khóa cơng cộng DNS (DNSKEY – DNS Public Key): sử dụng để chứng thực zone liệu 7  Bản ghi chữ ký tài nguyên (RRSIG – Resource Record Signature): sử dụng để chứng thực cho ghi tài nguyên zone liệu  Bản ghi bảo mật (NSEC – Next Secure): sử dụng trình xác thực ghi có sở hữu tập ghi tài nguyên ghi CNAME Kết hợp với ghi RRSIG để xác thực cho zone liệu  Bản ghi ký ủy quyền (DS – Delegation Signer): thiết lập chứng thực zone liệu, sử dụng việc ký xác thực trình chuyển giao DNS DS RRSIG 1) Khi client gửi truy vấn tìm kiếm địa www.tphcm.huypd.com tới Local DNS Server 2) Local Server đến Root Server để hỏi domain huypd.com Root Server hướng dẫn Local Server đến trực tiếp Authoritative DNS Server domain huypd.com cần tìm 3) Sau Local DNS Server đến Authoritative DNS Server huypd.com để hỏi DNS Server tphcm.huypd.com, DNS Server huypd.com hướng dẫn Local DNS Server đến thẳng Authoritative DNS Server chịu trách nhiệm domain tphcm.huypd.com 4) Local DNS Server abc.com tiếp tục đến DNS Server tphcm.huypd.com để hỏi địa www.tphcm.huypd.com 5) Lúc DNS Server kiểm tra zone thấy có record www, DNS Server trả lời lại Local DNS Server abc.com gói tin DNS Response bao gồm địa IP, DNSKEY, RRSIG 6) Sau Local DNS Server nhận gói DNS Response, lúc cần phải kiểm tra xem liệu DNS Response có phải đúng DNS Server tphcm.huypd.com gửi hay không ? Bằng cách lên Parent zone (tức DNS Server huypd.com) để xin số Delegation Signer (DS) 7) DNS Server huypd.com gửi số DS cho Local DNS Server abc.com 8) Sau nhận DS, Local DNS Server abc.com lấy số DNSKEY gói tin DNS Response đem Hash với DS Và giá trị Hash 9) Tiếp tục, Local DNS Server lấy DNSKEY RRSIG đem Hash giá trị Hash 10) Lấy HASH so sánh với HASH xem có khơng, liệu xác Sau Local DNS Server xét thông tin RRSIG (bao gồm thời gian RRSIG, Time To Live) 11) Sau xác minh, lúc liệu hoàn toàn xác, Local DNS Server trả cho Client truy vấn Như vậy, cách thức tổ chức thêm ghi giao thức chỉnh sửa nhằm chứng thực nguồn gốc tính tồn vẹn liệu cho hệ thống, với DNSSEC, hệ thống DNS mở rộng thêm tính bảo mật tăng cường độ an toàn, tin cậy, khắc phục nhược điểm thiết kế sơ khai ban đầu Vừa đáp ứng yêu cầu thông tin định tuyến tên miền, giao thức làm việc máy chủ DNS với nhau, vừa đáp ứng yêu cầu bảo mật, tăng cường khả dự phòng cho hệ thống 10 DNSSEC thay đổi mơ hình DNS từ mơ hình mở (open) sang mơ hình tin cậy (trusting) xác thực (verifiable) Khơng cung cấp confidentiality (khơng mã hóa) Với tính năng:  Chứng thực liệu trình gửi (Sender authentication)  Tồn vẹn liệu q trình truyền (Data Integrity)  Xác thực từ chối tồn (Authenticated denial of existence) Ứng dụng DNSSEC để bảo mật cho hệ thống DNS Các ghi DNSSEC khai báo zone liệu để chứng thực thơng tin zone liệu đó, đảm bảo 11 độ tin cậy q trình trao đổi thơng tin truy vấn tìm kiếm DNS Trong đảm bảo hoạt động bình thường ghi tài ngun DNS thơng thường ghi DNSSEC cần khai báo xác thơng tin xác thực phải đồng DNSSEC đưa khái niệm ký zone (Zone Signing): zone ký bao gồm khóa cơng cộng DNS (DNS Public Key), chữ ký ghi tài nguyên (RRSIG), bảo mật (NSEC), ký chuyển giao (Delegation Signer) Một zone mà không thêm ghi vào zone chưa ký Đồng thời DNSSEC đòi hỏi thay đổi định nghĩa ghi tài nguyên CNAME ghi chứng thực ghi RRSIG ghi NSEC  Thêm ghi DNSKEY vào zone Để ký zone, người quản trị zone tạo hay nhiều cặp khóa cơng cộng/dành riêng (public/private), cặp khóa cơng cộng dùng cho zone khóa riêng để ký cho ghi cần xác thực zone Mỗi zone phải thêm ghi DNSKEY (zone DNSKEY RR) chứa đựng khóa cơng cộng tương ứng, khóa riêng dùng để tạo ghi RRSIG zone Bản ghi chứng thực DNSKEY cho zone phải có bit Zone Key trường liệu cờ đặt giá trị Nếu quản trị zone có ý định ký zone để chứng thực zone phải chứa đựng ghi DNSKEY để hoạt động điểm bảo mật zone Điểm bảo mật dùng với ghi DS tương ứng zone cha hoạt động chuyển giao DNS 12  Thêm ghi RRSIG vào zone Với zone ký ghi DNSKEY, ghi tài nguyên zone cần có ghi RRSIG ký xác thực Một ghi tài nguyên có nhiều ghi RRSIG kết hợp với Các ghi RRSIG chứa chữ ký điện tử kết hợp chặt chẽ với ghi tài nguyên để xác thực cho ghi tài nguyên Đặc biệt, giá trị TTL ghi RRSIG với tên miền sở hữu không giống với giá trị TTL ghi tài nguyên Trong trường hợp ghi tài nguyên sở hữu tên miền cần kết hợp ghi RRSIG với ghi NSEC để xác thực, trường hợp tương tự ghi CNAME Tập ghi tài nguyên NS zone phải ký xác thực, ghi NS ghi chuyển giao từ máy chủ tên miền cha xuống máy chủ tên miền cần kết hợp ghi RRSIG với ghi xác thực DS Bản ghi glue cần xác thực RRSIG  Thêm ghi NSEC vào zone Mỗi tên miền sở hữu nhiều ghi tài nguyên loại zone tập ghi NS chuyển giao phải có ghi NSEC để xác thực Trong đó, giá trị TTL nhỏ cho ghi NSEC phải với giá trị TTL ghi SOA zone 13 Một ghi NSEC ghi RRSIG kết hợp với khơng thiết ghi cho tên miền sở hữu ghi bảo mật Vì thế, qui trình ký khơng phải tạo ghi RRSIG NSEC cho tên miền sở hữu ghi mà không sở hữu tập ghi trước vùng ký Lý muốn ổn định không gian ký không gian chưa ký zone mong giảm rủi ro mâu thuẫn phản hồi máy chủ truy vấn đệ qui khơng cấu hình bảo mật Các ghi RRSIG diện tên miền sở hữu tập ghi mà nắm giữ Các ghi NSEC diện tên miền sở hữu diện điểm chuyển giao tên miền chúng Vì thế, tên miền có tập ghi NSEC có ghi RRSIG vùng ký  Thêm ghi DS vào zone Bản ghi DS thiết lập chứng thực zone DNS Một ghi DS biểu diễn cho ghi chuyển giao vùng ký Bản ghi DS kết hợp với ghi RRSIG để chứng thực cho zone chuyển giao máy chủ tên miền cha Bản ghi DS khai báo trước , ghi RRSIG khai báo sau giống khai báo để xác thực cho ghi tài nguyên thông thường Trường TTL tập ghi DS phải ứng với trường TTL tập ghi NS ủy quyền (có nghĩa tập ghi NS vùng chứa tập ghi DS) Việc xây dựng ghi DS đòi 14 hỏi phải có hiểu biết ghi DNSKEY tương ứng vùng để đưa giao tiếp vùng vùng cha  Những thay đổi ghi CNAME Nếu tập ghi CNAME diện tên miền vùng ký, thay tập ghi RRSIG NSEC tương ứng tên miền Đây phiên chỉnh sửa định nghĩa CNAME nguyên gốc Định nghĩa nguyên gốc ghi CNAME không cho phép kiểu khác tồn với ghi CNAME, vùng ký đòi hỏi ghi NSEC ghi RRSIG cho tên miền Để giải xung đột này, định nghĩa ghi CNAME hệ thống DNS chỉnh sửa lại phép tồn với ghi NSEC ghi RRSIG DNSKEY thiết lập để tạo khóa cơng cộng nhằm thực xác thực với máy chủ DNS khác có khóa cơng cộng Các ghi chứng thực RRSIG sử dụng để ký xác thực cho ghi tài nguyên SOA, A, MX… Đối với ghi NS khai báo quyền sở hữu tên miền tên miền gốc sử dụng ghi NSEC kết hợp với ghi RRSIG để xác thực Đối với ghi chuyển giao từ DNS cha xuống máy chủ tên miền DNS kết hợp với ghi DS với ghi RRSIG để xác thực 15 Kết Luận Vì tiêu chuẩn mở rộng, DNSSEC không làm thay đổi cấu trúc tảng giao thức DNS (cùng tồn với tầng EDNS0) Ngồi thêm chữ ký số vào câu trả lời truy vấn, người dùng tên miền sử dụng DNSSEC kiểm tra xác thực, toàn vẹn liệu, đảm bảo truy cập an toàn Do việc truy cập vào dịch vụ tên miền đảm bảo an toàn, xác thực, nguy trình bày DNS giải - Tài liệu tham khảo: + https://tintuc.inet.vn/dnssec-la-gi-tai-sao-can-phai-codnssec-tren-thong-may-chu-ten-mien.html + https://vnnic.vn/dns/congnghe/c%C3%B4ng-ngh %E1%BB%87-dnssec + https://huypd.wordpress.com/2013/11/05/dnssec-dnssecurity-extension-part-1/ ... https://tintuc.inet.vn/dnssec-la-gi-tai-sao-can-phai-codnssec-tren-thong-may-chu-ten-mien.html + https://vnnic.vn/dns/congnghe/c%C3%B4ng-ngh %E1%BB%87-dnssec + https://huypd.wordpress.com/2 013 /11 /05/dnssec-dnssecurity-extension-part -1/ ... Pharming  Giả mạo thay đổi ghi DNS Để giải nguy trên, từ năm 19 90, giải pháp khắc phục nghiên cứu Năm 19 95, giải pháp DNSSEC công bố, năm 20 01 xây dựng thành tiêu chuẩn RFC dự thảo cuối IETF thức... RRSIG đem Hash giá trị Hash 10 ) Lấy HASH so sánh với HASH xem có khơng, liệu xác Sau Local DNS Server xét thơng tin RRSIG (bao gồm thời gian RRSIG, Time To Live) 11 ) Sau xác minh, lúc liệu hồn
- Xem thêm -

Xem thêm: báo cáo : giao thức DNSSEC, báo cáo : giao thức DNSSEC, Cơ Chế Hoạt Động, Ứng dụng DNSSEC để bảo mật cho hệ thống DNS

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay