HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I -*** - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI NGHIÊN CỨU AN TOÀN MỞ RỘNG CHO HỆ THỐNG TÊN MIỀN (DNSSEC) Người hướng dẫn : ThS NGUYỄN TRẦN TUẤN Sinh viên thực : HÀ HỒNG NGỌC Lớp : L14VT Khóa : 2014 - 2016 Hệ : LIÊN THƠNG CHÍNH QUY HÀ NỘI - 2016 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I -*** - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI NGHIÊN CỨU AN TOÀN MỞ RỘNG CHO HỆ THỐNG TÊN MIỀN (DNSSEC) Người hướng dẫn : ThS NGUYỄN TRẦN TUẤN Sinh viên thực : HÀ HỒNG NGỌC Lớp : L14VT Khóa : 2014 - 2016 Hệ : LIÊN THƠNG CHÍNH QUY HÀ NỘI – 2016 LỜI CẢM ƠN Để hoàn thành đồ án em xin gửi lời cảm ơn chân thành tới thầy THS Nguyễn Trần Tuấn, thầy ln tận tình hướng dẫn, bảo em suốt trình thực đồ án Em xin chân thành cảm ơn tới quý thầy, cô Học viện Cơng nghệ Bưu Viễn thơng, đặc biệt thầy, cô khoa Điện Tử Viễn Thông I nhiệt tình giúp đỡ, truyền đạt kiến thức suốt trình học tập em Học viện Vốn kiến thức tiếp thu trình học tập khơng tảng cho q trình thực đồ án tốt nghiệp mà hành trang quý báu cho nghiệp em sau Em xin cảm ơn ủng hộ giúp đỡ nhiệt tình gia đình, bạn bè, người thân động viên, giúp đỡ em suốt trình học tập thực đồ án tốt nghiệp Mặc dù cố gắng hết sức, song chắn đồ án khơng tránh khỏi thiếu sót Em mong nhận thông cảm bảo tận tình q thầy bạn để em hồn thành tốt đồ án tốt nghiệp Cuối em xin kính chúc q Thầy, Cơ, gia đình bạn bè dồi sức khỏe thành công nghiệp Hà Nội, ngày 15 tháng 12 năm 2016 Hà Hồng Ngọc BẢN GIAO ĐỀ TÀI NHẬN XÉT CỦA NGƯỜI HƯỚNG DẪN Điểm: Bằng chữ: Ngày .tháng năm NHẬN XÉT CỦA NGƯỜI PHẢN BIỆN Điểm: Bằng chữ: Ngày .tháng năm MỤC LỤC THUẬT NGỮ VIẾT TẮT i DANH MỤC BẢNG BIỂU ii DANH MỤC HÌNH VẼ iii MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU CHUNG VỀ DNSSEC 1.1 Hệ thống tên miền (DNS – Domain name system) 1.1.1 Định nghĩa tên miền 1.1.2 Các thành phần DNS 1.2 Tổng quan DNSSEC 1.2.1 DNSSEC gì? .5 1.2.2 Giới thiệu DNSSEC 1.3 Tình hình triển khai tiêu chuẩn hóa giới Việt Nam 1.3.1 Tình hình triển khai DNSSEC giới 1.3.2 Tình hình tiêu chuẩn hóa DNSSEC giới 10 1.3.2.1 Tổ chức tiêu chuẩn IETF 10 1.3.2.2 (EC) Quyết định triển khai áp dụng tiêu chuẩn ICT Ủy ban Châu Âu 11 1.4 Tình hình triển khai tiêu chuẩn hóa DNSSEC Việt Nam 12 1.4.1 Tình hình triển khai DNSSEC Việt Nam .12 1.4.2 Lộ trình triển khai DNSSEC Việt Nam 14 1.4.3 Tình hình tiêu chuẩn hóa DNSSEC Việt Nam .15 1.5 Kết luận .16 CHƯƠNG II: NGHIÊN CỨU VỀ DNSSEC 17 2.1 Mơ hình triển khai DNSSEC 17 2.2 Các ghi tài nguyên DNSSEC .18 2.2.1 Các ghi DNSKEY Zone .18 2.2.2 Các ghi RRSIG Zone 19 2.2.3 Bản ghi ký chuyển giao (DS) Zone 20 2.2.4 Các ghi NSEC Zone 20 2.2.5 Bản ghi NSEC3 21 2.3 Các phần mở rộng DNSSEC 23 2.3.1 Các máy chủ tên miền có thẩm quyền 24 2.3.2 Máy chủ tên miền đệ quy (Recursive Name Server) 32 2.3.3 Bộ phân giải 33 2.3.4 Hỗ trợ xác thực DNS 38 2.3.4.1 Quá trình xác nhận tính hợp lệ DNSSEC 39 2.3.4.2 Cơ chế xác thực từ chối tồn DNSSEC .41 2.4 Kết luận .47 CHƯƠNG 3: ỨNG DỤNG DNSSEC TRONG ĐẢM BẢO AN TOÀN HỆ THỐNG TÊN MIỀN (DNS) 49 3.1 Các phương thức công mạng phổ biến .49 3.1.1 DNS spoofing (DNS cache poisoning) .49 3.1.2 Tấn công khuếch đại liệu DNS (Amplification attack) 50 3.1.3 Giả mạo máy chủ DNS (Main in the middle) .50 3.2 Kịch công DNS 51 3.3 Giải pháp DNSSEC kịch công DNS 69 3.4 Kết luận .75 KẾT LUẬN 76 TÀI LIỆU THAM KHẢO 77 Đồ án tốt nghiệp đại học Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT A AD Authentic Data Dữ liệu chứng thực AXFR Full Zone Transfer/ Authoritative Transfer Đồng toàn phần CD Checking Disabled Kiểm tra vơ hiệu hóa CNAME Canonical Name Tên miền tắc DNAME Delegation Name Tên miền chuyển giao DNS Domain Name System Hệ thống tên miền DNSKEY DNS Public KEY Khóa cơng khai DNS DNSSEC DNS Security Extensions Phần mở rộng bảo mật DNS DO DNSSEC OK DS Delegation Signer Ký chuyển giao Extension Mechanisms for DNS Các chế mở rộng cho DNS IANA Internet Assigned Numbers Authority Tổ chức cấp phát số hiệu Internet IXFR Incremental Zone Transfer Đồng phần NS Name Server Máy chủ tên miền NSEC Next Secure Bảo mật Option Tùy chọn RR Resource Record Bản ghi tài nguyên RRSIG Resource Record Signature Chữ ký ghi tài nguyên Start of (a zone of) Authority (Bản ghi tài nguyên) xuất phát C D E EDNS I N O OPT R S SOA Hà Hồng Ngọc – L14VT i Đồ án tốt nghiệp đại học Thuật ngữ viết tắt (của zone) có thẩm quyền T TC Truncated Bị cắt TTL Time to Live Thời gian tồn Hà Hồng Ngọc – L14VT ii