DNSSEC là gì? 4 bản ghi mới của DNSSEC

Bạn đang muốn xây dựng một trang web của riêng mình

DNSSEC là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

DNS là gì?

DNS (Domain Name System) là một hệ thống phân giải tên được phát minh vào năm 1984 cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền trên Internet. 
Hệ thống tên miền (DNS) về căn bản là một hệ thống giúp cho việc chuyển đổi các tên miền mà con người dễ ghi nhớ (dạng kí tự, ví dụ www.example.com) sang địa chỉ IP vật lý (dạng số, ví dụ 123.11.5.19) tương ứng của tên miền đó. 
DNS giúp liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị trên Internet.

DNSSEC là gì?

DNSSEC là công nghệ an toàn mở rộng cho hệ thống DNS. Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.
Trong khi giao thức DNS thông thường không có công cụ để xác thực nguồn dữ liệu. 
Trước nguy cơ dữ liệu DNS bị giả mạo và bị làm sai lệch trong các tương tác giữa máy chủ DNS với các máy trạm (resolver) hoặc máy chủ chuyển tiếp (forwarder), công nghệ bảo mật mới DNSSEC đã được nghiên cứu, triển khai áp dụng để hỗ trợ cho DNS bảo vệ chống lại các nguy cơ giả mạo làm sai lệch nguồn dữ liệu. 
Trong đó DNSSEC sẽ cung cấp một cơ chế xác thực giữa các máy chủ DNS với nhau và xác thực cho từng zone dữ liệu để đảm bảo toàn vẹn dữ liệu.

Sự khác biệt giữa DNSSEC và DNS là gì?

DNSSEC là một hệ thống tên miền tân tiến được trung tâm internet Việt Nam (VNNIC) đưa vào triển khai từ năm 2016. Những điểm khác biệt và mới có trong hệ thống DNSSEC như:

• Thêm bản ghi DNSKEY vào một zone
• Thêm các bản ghi RRSIG vào một zone
• Thêm bản ghi NSEC vào một zone
• Thêm bản ghi DS vào trong một zone
• Những thay đổi đối với bản ghi CNAME

DNSSEC là công nghệ an toàn mở rộng của DNS, về bản chất DNSSEC cung cấp các cơ chế có khả năng chứng thực và đảm bảo toàn vẹn dữ liệu cho hệ thống DNS, theo đó DNSSEC đưa ra 4 loại bản ghi mới.

DNSSEC không làm thay đổi tiến trình truyền dữ liệu DNS và quá trình chuyển giao từ các DNS cấp cao xuống các DNS cấp thấp hơn, mặt khác đối với các máy trạm (resolver) cần yêu cầu đáp ứng hỗ trợ các cơ chế mở rộng này. Một zone dữ liệu được ký xác thực sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và DS.
Như vậy bằng cách thức tổ chức thêm những bản ghi mới và những giao thức đã được chỉnh sửa nhằm chứng thực nguồn gốc và tính toàn vẹn dữ liệu cho hệ thống, với DNSSEC, hệ thống DNS đã được mở rộng thêm các tính năng bảo mật và được tăng cường độ an toàn, tin cậy, khắc phục được những nhược điểm của thiết kế sơ khai ban đầu. 
Vừa đáp ứng được các yêu cầu thông tin định tuyến về tên miền, giao thức làm việc giữa các máy chủ DNS với nhau, vừa đáp ứng được các yêu cầu bảo mật, tăng cường khả năng dự phòng cho hệ thống.

Lịch sử phát triển DNSSEC

Năm 1990, lỗ hổng bảo mật DNS được phát hiện, bắt đầu cho các kế hoạch nghiên cứu và phát triển cho một hệ thống bảo mật.
DNSSEC lần đầu tiên được triển khai ở cấp cơ sở vào năm 2010.
Miền cấp cao nhất (.org) được ký vơi DNSSEC vào năm 2010, tiếp theo đó là (.com), (,net), (.edu)

4 bản ghi mới của DNSSEC

• Bản chữ ký tài nguyên (RRSIG – Resource Record Signature): lưu trữ thông tin quan trọng được sử dụng để xác thực dữ liệu đi kèm.
• Bản ghi khóa công cộng (DNSKEY – Public Key): sử dụng để xác minh chữ ký trong bản ghi RRSIG.
• Bản ghi ký ủy quyền (DS – Delegation Signer): Chứng thực khu vực được ủy quyền, tham chiếu DNSKEY trong vùng được ủy quyền phụ.
• Bản ghi bảo mật kế tiếp (NSEC – Next Secure): Chứa liên kết của các bản ghi trong vùng và liệt kê các loại bản ghi tồn tại. Liên kết với NSEC để xác thực những bản ghi không tồn tại trong vùng.

Lợi ích của DNSSEC

Lợi ích cho người doanh nghiệp và website

• Bảo vệ thương hiệu cho doanh nghiệp và khách hàng
• Giúp cho doanh nghiệp chú trọng đến bảo mật và uy tín.
• Tạo các dịch vụ mới cho doanh nghiệp
• Sử dụng DNS cho các loại dữ liệu an toàn mới
• Tiện ích mở rộng bảo vệ tên miền cung cấp khả năng bảo vệ cho khách hàng và doanh nghiệp.
• Đặt lòng tin vào internet để bảo vệ hoạt động kinh doanh cốt lõi.
• Xây dựng danh tiếng như một tổ chức đi đầu trong việc quan tâm đến bảo mật thông tin cho khách hàng.

Lợi ích đối với ISP

• Giảm thiểu nguy cơ Hacker đánh cắp dữ liệu khách hàng.
• Giúp bảo vệ và xây dựng thương hiệu, uy tín.
• Duy trì sự tin tưởng và lòng trung thành với khách hàng.
• Thể hiện sự ảnh hưởng để định hình tương lai của DNSSEC.

Hoạt động cung cấp tiến độ bảo mật 

Trong DNSSEC, mỗi vùng có một cặp khóa công khai và riêng tư. Khóa công khai được xây dựng bằng DNS, khóa riêng tư giúp giữ an toàn và lưu trữ ngoại tuyến.
DNSSEC sử dụng mô hình bảo mật đáng tin cậy và chuỗi cặp tin từ vùng mẹ sang vùng con. Nếu gặp vùng cấp cao hơn, khóa sẽ được mở công khai ở những vùng cấp thấp.
Khi người dùng muốn truy cập website, trình phân giải sơ khai sẽ yêu cầu địa chỉ IP từ trang web của máy chủ. Sau khi nhận yêu cầu bản ghi từ máy chủ, DNSSEC sẽ khoá lại. Xác minh địa chỉ IP nhận được giống với bản ghi trên máy chủ định danh có thẩm quyền.
Nếu máy chủ định danh xác nhận bản ghi địa chỉ được gửi bởi máy chủ định danh có thẩm quyền và không bị thay đổi khi chuyển tiếp, DNSSEC sẽ phân giải tên miền và người dùng có thể truy cập website.
DNSSEC cũng có chức năng chứng minh một tên miền không tồn tại. Các truy vấn và phản hồi DNS được bảo vệ khỏi các cuộc tấn công và các loại giả mạo chuyển người dùng đến các trang lừa đảo.

Bảo mật DNS 

DNSSEC thực hiện xác minh danh tính các phản hồi từ máy chủ định danh gửi đến, sử dụng công nghệ chữ ký mật mã. DNSSEC thêm chữ ký mật mã vào bản ghi để bảo vệ dữ liệu trong DNS.
Khi sử dụng DNSSEC, trình phân giải DNS sẽ kiểm tra chữ ký mật mã được liên kết với một bản ghi để xác minh trước khi cung cấp phản hồi.
DNSSEC xác thực một loại bản ghi tài nguyên DNS mới và tạo điều kiện xác thực chữ ký mật mã.

Quy trình xác thực 

Người dùng nhập địa chỉ URL vào trình duyệt của họ. Để phát hiện địa chỉ IP cho máy chủ, trình duyệt thực hiện truy vấn các trình phân giải DNS của máy tính cục bộ. Trình phân giải là một thành phần chịu trách nhiệm định vị và trả IP chính xác.
Nếu trình quản lý sơ khai cục bộ có địa chỉ IP nằm trong bộ nhớ cache, nó sẽ trả về trình duyệt. Nếu không, nó sẽ chuyển yêu cầu đến trình phân giải do ISP quản lý.
Nếu trình phân giải có địa chỉ trong bộ nhớ cache, nó sẽ trả về địa chỉ. Nếu không, nó sẽ bắt đầu truy vấn để xác định máy chủ DNS lưu thông có thẩm quyền cho miền được yêu cầu.
Trình phân giải bắt đầu bằng các liên hệ đến máy chủ DNS gốc và được tham chiếu trên DNS miền cao nhất.
Máy chủ DNS miền cao nhất đề cập đến quá trình phân giải của một máy chủ định danh có thẩm quyền
Ở mỗi giai đoạn, trình phân giải yêu cầu khóa DNSSEC được liên kết với vùng DNS, để xác minh rằng máy chủ. Máy chủ DNS thẩm quyền cao có thể yêu cầu khóa DNSSEC cho vùng. Máy chủ DNS có thẩm quyền trả về phản hồi DNS, bao gồm các bản ghi RRSIG
Trình phân giải xác nhận RRSIG, xác minh bản ghi địa chỉ được gửi đến máy chủ định danh có thẩm quyền và không bị thay đổi khi chuyển tiếp. Sau đó, nó sẽ phản hồi DNS được xác thực với địa chỉ IP.
Mong rằng bài viết trên của tenten đã giúp bạn có thêm hiểu biết về DNSSEC. Hãy theo dõi tenten để biết thêm nhiều kiến thức hữu ích khác về công nghệ. Ngoài ra bạn có thể truy cập http://ipv6test.google.com để kiểm tra kết nối IPv6 của máy cá nhân. 

Bài liên quan

• Vài cách chọn tên miền ấn tượng thu hút mọi khách hàng
• 4 mẹo xây dựng tên miền để tạo nên website thành công
• Top 3 nhà đăng ký tên miền VN uy tín, chất lượng nhất hiện nay
• Tên miền Com Net mang lại 5 lợi thế lớn cho doanh nghiệp của bạn
• Tên miền google.com là gì? Giải mã cách Google kiếm tiền
• Nguồn gốc ra đời tên miền YouTube và những điều có thể bạn chưa biết
• Tên miền iCloud là gì? 8 tính năng quan trọng của tên miền iCloud
• Tên miền x.com của Elon Musk độc đáo như thế nào?
• 6 Điều kiện đăng ký tên miền id.vn miễn phí, nhanh chóng, dễ dàng
• Điều kiện đăng ký tên miền biz.vn miễn phí, nhanh & đơn giản
• Hướng dẫn gia hạn tên miền bị hết hạn cho người mới
• Bùng nổ không gian tên miền quốc gia với .IO.VN, .AI.VN và .ID.VN