Dnssec Là Gì

  -  

DNSSEC là gì ? DNSSEC là công nghệ bình yên mở rộng cho khối hệ thống DNS. Trong số đó DNSSEC sẽ cung ứng một cơ chế tuyệt đối giữa những máy công ty DNS cùng nhau và đảm bảo cho từng zone dữ liệu để bảo đảm an toàn toàn vẹn dữ liệu.

Bạn đang xem: Dnssec là gì

1. Trình làng DNSSEC

Trong khi giao thức DNS thông thường không tồn tại công nỗ lực để chính xác nguồn dữ liệu. Trước nguy cơ dữ liệu DNS bị giả mạo và bị làm xô lệch trong các tương tác giữa sever DNS với các máy trạm (resolver) hoặc máy chủ chuyển tiếp (forwarder), công nghệ bảo mật new DNSSEC đã được nghiên cứu, triển khai vận dụng để hỗ trợ cho DNS bảo đảm chống lại những nguy cơ hàng nhái làm sai lệch nguồn dữ liệu. Trong những số đó DNSSEC sẽ hỗ trợ một cơ chế tuyệt đối giữa các máy nhà DNS cùng nhau và xác xắn cho từng zone dữ liệu để bảo đảm an toàn toàn vẹn dữ liệu.

*

DNSSEC là công nghệ an toàn mở rộng lớn của DNS, về bản chất DNSSEC cung cấp các cơ chế bao gồm khả năng xác nhận và đảm bảo toàn vẹn dữ liệu cho khối hệ thống DNS, từ đó DNSSEC đưa ra 4 loại bản ghi mới:

Bản ghi khóa nơi công cộng DNS (DNSKEY – DNS Public Key): sử dụng để chứng thực zone dữ liệu.Bản ghi chữ ký kết tài nguyên (RRSIG – Resource Record Signature): áp dụng để xác thực cho các bạn dạng ghi khoáng sản trong zone dữ liệu.Bản ghi bảo mật tiếp đến (NSEC – Next Secure): thực hiện trong quy trình xác thực đối với các phiên bản ghi có cùng sở hữu tập các phiên bản ghi tài nguyên hoặc phiên bản ghi CNAME. Phối hợp với bạn dạng ghi RRSIG để tuyệt đối cho zone dữ liệu.Bản ghi cam kết ủy quyền (DS – Delegation Signer): tùy chỉnh cấu hình chứng thực giữa những zone dữ liệu, sử dụng trong việc ký bảo đảm trong quá trình chuyển giao DNS.

Mục tiêu đề ra là DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ những DNS cấp cao xuống những DNS cấp thấp hơn, khía cạnh khác đối với các đồ vật trạm (resolver) buộc phải yêu mong đáp ứng cung ứng các cơ chế không ngừng mở rộng này. Một zone dữ liệu được ký tuyệt đối sẽ đựng đựng 1 trong những các bạn dạng ghi RRSIG, DNSKEY, NSEC với DS.

Như vậy bằng cách thức tổ chức triển khai thêm những bạn dạng ghi mới và phần đông giao thức đã có chỉnh sửa nhằm chứng thực xuất phát và tính toàn diện dữ liệu cho hệ thống, với DNSSEC, hệ thống DNS đã được mở rộng thêm các tính năng bảo mật và được tăng cường độ an toàn, tin cậy, hạn chế và khắc phục được phần lớn nhược điểm của kiến tạo sơ khai ban đầu. Vừa đáp ứng nhu cầu được các yêu cầu thông tin định con đường về tên miền, giao thức thao tác giữa các máy nhà DNS với nhau, vừa đáp ứng nhu cầu được các yêu ước bảo mật, tăng cường khả năng dự phòng cho hệ thống.

 2. Ứng dụng DNSSEC để bảo mật cho hệ thống DNS

Các bạn dạng ghi trong DNSSEC được khai báo trong số zone dữ liệu để xác thực thông tin vào zone tài liệu đó, bảo đảm an toàn độ tin tưởng trong quy trình trao thay đổi thông tin tương tự như truy vấn tìm kiếm kiếm DNS. Trong những khi vẫn đảm bảo hoạt động thông thường của các bạn dạng ghi tài nguyên DNS thông thường thì các bản ghi DNSSEC đề xuất khai báo chính xác và thông tin xác thực phải đồng bộ.

DNSSEC đưa ra khái niệm cam kết zone (Zone Signing): một zone được ký bao gồm khóa chỗ đông người DNS (DNS Public Key), chữ ký phiên bản ghi khoáng sản (RRSIG), bảo mật tiếp theo sau (NSEC), với ký chuyển nhượng bàn giao (Delegation Signer). Một zone nhưng không thêm những phiên bản ghi này vào là một zone chưa được ký. Đồng thời DNSSEC đòi hỏi biến đổi định nghĩa của bản ghi khoáng sản CNAME bằng 2 bản ghi chứng thực là bản ghi RRSIG và bản ghi NSEC.

Thêm phiên bản ghi DNSKEY vào một trong những zone

Để cam kết một zone, bạn quản trị zone sẽ khởi tạo một hay nhiều cặp khóa công cộng/dành riêng rẽ (public/private), cặp khóa công cộng dùng đến zone chính và khóa riêng biệt để ký cho những bản ghi cần đảm bảo trong zone. Từng zone nên thêm một bản ghi DNSKEY (zone DNSKEY RR) tiềm ẩn khóa nơi công cộng tương ứng, với mỗi khóa riêng biệt được dùng để tạo phiên bản ghi RRSIG trong zone.

Bản ghi xác thực DNSKEY đến zone phải có bit Zone Key của trường tài liệu cờ đặt quý giá là 1. Giả dụ quản trị zone có ý định ký kết một zone để chứng thực thì zone chính phải tiềm ẩn ít nhất một phiên bản ghi DNSKEY để chuyển động như một điểm bảo mật ở vào zone. Điểm bảo mật được sử dụng cùng với phiên bản ghi DS khớp ứng ở zone thân phụ trong vận động chuyển giao DNS.

Thêm các phiên bản ghi RRSIG vào một zone

Với một zone đã được cam kết bởi bạn dạng ghi DNSKEY, thì các bản ghi tài nguyên trong zone đó cần phải có một bản ghi RRSIG ký xác thực. Một phiên bản ghi tài nguyên rất có thể có nhiều phiên bản ghi RRSIG kết phù hợp với nó. Các bạn dạng ghi RRSIG cất chữ ký điện tử kết hợp ngặt nghèo với các bạn dạng ghi khoáng sản để bảo đảm cho các bản ghi khoáng sản đó. Đặc biệt, cực hiếm TTL vào các phiên bản ghi RRSIG với một thương hiệu miền cài không giống với mức giá trị TTL của bạn dạng ghi tài nguyên.

Xem thêm: Top Tranh Tô Màu Công Chúa Trò Chơi, Trò Chơi Búp Bê Barbie

Trong trường phù hợp các phiên bản ghi tài nguyên cùng download một tên miền thì nên kết hợp bản ghi RRSIG với bản ghi NSEC nhằm xác thực, trường đúng theo này cũng giống như đối với bạn dạng ghi CNAME.

Tập bạn dạng ghi tài nguyên NS trong zone nên được ký kết xác thực, khi bạn dạng ghi NS là phiên bản ghi bàn giao từ máy chủ tên miền thân phụ xuống sever tên miền con thì nên cần kết hợp phiên bản ghi RRSIG với bạn dạng ghi đảm bảo DS. Phiên bản ghi glue cũng cần xác thực bởi RRSIG.

Thêm bạn dạng ghi NSEC vào một zone

Mỗi thương hiệu miền sở hữu nhiều hơn nữa 1 phiên bản ghi tài nguyên cùng các loại trong một zone hoặc một tập phiên bản ghi NS chuyển nhượng bàn giao thì phải tất cả một phiên bản ghi NSEC để xác thực. Vào đó, quý hiếm TTL nhỏ nhất mang đến một bạn dạng ghi NSEC đề xuất bằng với mức giá trị TTL trong phiên bản ghi SOA của zone đó.

Một bạn dạng ghi NSEC và bản ghi RRSIG kết phù hợp với nó không độc nhất vô nhị thiết là phiên bản ghi tốt nhất cho bất cứ tên miền sở hữu bản ghi bảo mật thông tin nào. Do thế, qui trình ký không hẳn tạo bất cứ bạn dạng ghi RRSIG hoặc NSEC nào cho hầu hết tên miền sở hữu bạn dạng ghi mà không sở hữu bất cứ tập bản ghi nào trước khi vùng được ký. Lý do chính là muốn ổn định giữa không khí đã ký và không gian chưa ký kết của một zone và muốn giảm rủi ro đối với những xích míc trong phản hồi những sever truy vấn đệ qui không được cấu hình bảo mật.

Các bản ghi RRSIG hiện diện tại tên miền sở hữu những tập phiên bản ghi mà lại nó vắt giữ. Các bản ghi NSEC hiện diện tại tên miền cài và còn hiện hữu tại điểm chuyển giao của những tên miền nhỏ của chúng. Vị thế, bất cứ tên miền nào gồm một tập bạn dạng ghi NSEC sẽ có các bạn dạng ghi RRSIG vào vùng được ký.

Thêm phiên bản ghi DS vào vào một zone

Bản ghi DS thiết lập cấu hình chứng thực trong những zone DNS. Một bạn dạng ghi DS được màn biểu diễn cho bản ghi bàn giao khi vùng bé được ký. Bạn dạng ghi DS phối kết hợp với phiên bản ghi RRSIG để xác nhận cho zone được bàn giao tại sever tên miền cha. Bản ghi DS được khai báo trước , và phiên bản ghi RRSIG khai báo sau giống như khai báo để xác thực cho một bản ghi khoáng sản thông thường.

Trường TTL của tập phiên bản ghi DS cần ứng với trường TTL của tập phiên bản ghi NS ủy quyền (có tức thị tập bản ghi NS trong thuộc vùng cất tập phiên bản ghi DS). Câu hỏi xây dựng một bạn dạng ghi DS đòi hỏi phải tất cả hiểu biết của bản ghi DNSKEY khớp ứng trong vùng con để mang ra được các giao tiếp giữa vùng bé và vùng cha.

Những nỗ lực đổi đối với bản ghi CNAME

Nếu một tập bạn dạng ghi CNAME hiện diện tại một tên miền vào một vùng được ký, sẽ sửa chữa thay thế bằng tập phiên bản ghi RRSIG và NSEC tương xứng trong tên miền đó. Đây là một trong phiên bạn dạng đã được chỉnh sửa của có mang CNAME nguyên gốc. Định nghĩa nguyên nơi bắt đầu của phiên bản ghi CNAME quán triệt phép bất cứ kiểu nào khác cùng tồn tại với phiên bản ghi CNAME, nhưng mà một vùng được ký đòi hỏi những bản ghi NSEC và bản ghi RRSIG cho hồ hết tên miền. Để giải quyết xung hốt nhiên này, khái niệm của phiên bản ghi CNAME của hệ thống DNS vẫn được sửa đổi lại để chất nhận được nó cùng tồn trên với các bạn dạng ghi NSEC và phiên bản ghi RRSIG.

DNSKEY được thiết lập để tạo nên khóa công cộng nhằm mục đích thực hiện đảm bảo với các máy nhà DNS khác có cùng khóa công cộng này. Các phiên bản ghi chứng thực RRSIG sử dụng để ký xác xắn cho các bạn dạng ghi khoáng sản SOA, A, MX… Đối với các bản ghi NS khai báo quyền thiết lập tên miền đối với tên miền cội thì sử dụng bản ghi NSEC phối hợp với bạn dạng ghi RRSIG nhằm xác thực. Đối cùng với các bạn dạng ghi chuyển giao từ DNS thân phụ xuống những máy chủ tên miền DNS nhỏ thì phối hợp với bản ghi DS với phiên bản ghi RRSIG nhằm xác thực.

Xem thêm: Kinh nghiệm đánh Loto bạn nên biết

 3. Tiến hành DNSSEC

*

Quá trình triển khai DNSSEC gồm những: ký chuyển nhượng bàn giao tên miền .VN từ DNS Root về sever DNS quốc gia cai quản và ký kết chuyền giao thương hiệu miền từ máy chủ DNS tổ quốc cho các đơn vị khác quản lý. Việc xúc tiến DNSSEC trên khối hệ thống DNS giang sơn gồm công việc như sau:

Trên máy chủ DNS:

BƯỚC 1: sinh sản cặp khóa riêng với khóa công khaiBƯỚC 2: lưu giữ trữ bảo mật khóa riêngBƯỚC 3: triển lẵm khóa công khaiBƯỚC 4: ký kết zoneBƯỚC 5: đổi khác khóaBƯỚC 6: ký kết lại zone

Trên resolver:

BƯỚC 7: cấu hình Trust AnchorsBƯỚC 8: thiết lập chuỗi tin tưởng và đúng đắn chữ ký

4. Định phía phát triển

Việc xúc tiến DNSSEC là cần thiết để đảm bảo an toàn cho hệ thống DNS, các dịch vụ trực con đường trên Internet. Vào thời điểm hiện tại, ceds.edu.vn là đối kháng vị cung ứng dịch vụ DNS cung cấp DNSSEC miễn phí đầu tiên tại Việt Nam.