THUẬT NGỮ VIẾT TẮT i DANH MỤC BẢNG BIỂU ii DANH MỤC HÌNH VẼ iii MỞ ĐẦU 1 CHƯƠNG 1: GIỚI THIỆU CHUNG VỀ DNSSEC 2 1.1. Hệ thống tên miền (DNS – Domain name system) 2 1.1.1. Định nghĩa tên miền 2 1.1.2. Các thành phần chính của DNS 2 1.2. Tổng quan về DNSSEC 5 1.2.1. DNSSEC là gì? 5 1.2.2. Giới thiệu về DNSSEC 6 1.3. Tình hình triển khai và tiêu chuẩn hóa trên thế giới và tại Việt Nam 7 1.3.1. Tình hình triển khai DNSSEC trên thế giới 7 1.3.2. Tình hình tiêu chuẩn hóa DNSSEC trên thế giới 10 1.3.2.1. Tổ chức tiêu chuẩn IETF 10 1.3.2.2. Quyết định triển khai và áp dụng các tiêu chuẩn ICT của Ủy ban Châu Âu (EC) 11 1.4. Tình hình triển khai và tiêu chuẩn hóa DNSSEC tại Việt Nam 12 1.4.1. Tình hình triển khai DNSSEC tại Việt Nam 12 1.4.2. Lộ trình triển khai DNSSEC tại Việt Nam 14 1.4.3. Tình hình tiêu chuẩn hóa DNSSEC tại Việt Nam 15 1.5. Kết luận 16 CHƯƠNG II: NGHIÊN CỨU VỀ DNSSEC 17 2.1. Mô hình triển khai DNSSEC 17 2.2. Các bản ghi tài nguyên DNSSEC 18 2.2.1. Các bản ghi DNSKEY trong một Zone 18 2.2.2. Các bản ghi RRSIG trong một Zone 19 2.2.3. Bản ghi ký chuyển giao (DS) trong một Zone 20 2.2.4. Các bản ghi NSEC trong một Zone 20 2.2.5. Bản ghi NSEC3 21 2.3. Các phần mở rộng trong DNSSEC 23 2.3.1. Các máy chủ tên miền có thẩm quyền 24 2.3.2. Máy chủ tên miền đệ quy (Recursive Name Server) 32 2.3.3. Bộ phân giải 33 2.3.4. Hỗ trợ xác thực DNS 38 2.3.4.1. Quá trình xác nhận tính hợp lệ trong DNSSEC 39 2.3.4.2. Cơ chế xác thực từ chối sự tồn tại trong DNSSEC 41 2.4. Kết luận 47 CHƯƠNG 3: ỨNG DỤNG DNSSEC TRONG ĐẢM BẢO AN TOÀN HỆ THỐNG TÊN MIỀN (DNS) 49 3.1. Các phương thức tấn công mạng phổ biến 49 3.1.1. DNS spoofing (DNS cache poisoning) 49 3.1.2. Tấn công khuếch đại dữ liệu DNS (Amplification attack) 50 3.1.3. Giả mạo máy chủ DNS (Main in the middle) 50 3.2. Kịch bản tấn công DNS 51 3.3. Giải pháp DNSSEC đối với kịch bản tấn công DNS 69 3.4. Kết luận 75 KẾT LUẬN 76 TÀI LIỆU THAM KHẢO 77
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I -*** - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI NGHIÊN CỨU AN TOÀN MỞ RỘNG CHO HỆ THỐNG TÊN MIỀN (DNSSEC) Người hướng dẫn : ThS NGUYỄN TRẦN TUẤN Sinh viên thực : HÀ HỒNG NGỌC Lớp : L14VT Khóa : 2014 - 2016 Hệ : LIÊN THƠNG CHÍNH QUY HÀ NỘI - 2016 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG I -*** - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI NGHIÊN CỨU AN TOÀN MỞ RỘNG CHO HỆ THỐNG TÊN MIỀN (DNSSEC) Người hướng dẫn : ThS NGUYỄN TRẦN TUẤN Sinh viên thực : HÀ HỒNG NGỌC Lớp : L14VT Khóa : 2014 - 2016 Hệ : LIÊN THƠNG CHÍNH QUY HÀ NỘI – 2016 LỜI CẢM ƠN Để hoàn thành đồ án em xin gửi lời cảm ơn chân thành tới thầy THS Nguyễn Trần Tuấn, thầy ln tận tình hướng dẫn, bảo em suốt trình thực đồ án Em xin chân thành cảm ơn tới quý thầy, cô Học viện Cơng nghệ Bưu Viễn thơng, đặc biệt thầy, cô khoa Điện Tử Viễn Thông I nhiệt tình giúp đỡ, truyền đạt kiến thức suốt trình học tập em Học viện Vốn kiến thức tiếp thu trình học tập khơng tảng cho q trình thực đồ án tốt nghiệp mà hành trang quý báu cho nghiệp em sau Em xin cảm ơn ủng hộ giúp đỡ nhiệt tình gia đình, bạn bè, người thân động viên, giúp đỡ em suốt trình học tập thực đồ án tốt nghiệp Mặc dù cố gắng hết sức, song chắn đồ án khơng tránh khỏi thiếu sót Em mong nhận thông cảm bảo tận tình q thầy bạn để em hồn thành tốt đồ án tốt nghiệp Cuối em xin kính chúc q Thầy, Cơ, gia đình bạn bè dồi sức khỏe thành công nghiệp Hà Nội, ngày 15 tháng 12 năm 2016 Hà Hồng Ngọc BẢN GIAO ĐỀ TÀI NHẬN XÉT CỦA NGƯỜI HƯỚNG DẪN Điểm: Bằng chữ: Ngày .tháng năm NHẬN XÉT CỦA NGƯỜI PHẢN BIỆN Điểm: Bằng chữ: Ngày .tháng năm MỤC LỤC THUẬT NGỮ VIẾT TẮT i DANH MỤC BẢNG BIỂU ii DANH MỤC HÌNH VẼ iii MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU CHUNG VỀ DNSSEC 1.1 Hệ thống tên miền (DNS – Domain name system) 1.1.1 Định nghĩa tên miền 1.1.2 Các thành phần DNS 1.2 Tổng quan DNSSEC 1.2.1 DNSSEC gì? .5 1.2.2 Giới thiệu DNSSEC 1.3 Tình hình triển khai tiêu chuẩn hóa giới Việt Nam 1.3.1 Tình hình triển khai DNSSEC giới 1.3.2 Tình hình tiêu chuẩn hóa DNSSEC giới 10 1.3.2.1 Tổ chức tiêu chuẩn IETF 10 1.3.2.2 (EC) Quyết định triển khai áp dụng tiêu chuẩn ICT Ủy ban Châu Âu 11 1.4 Tình hình triển khai tiêu chuẩn hóa DNSSEC Việt Nam 12 1.4.1 Tình hình triển khai DNSSEC Việt Nam .12 1.4.2 Lộ trình triển khai DNSSEC Việt Nam 14 1.4.3 Tình hình tiêu chuẩn hóa DNSSEC Việt Nam .15 1.5 Kết luận .16 CHƯƠNG II: NGHIÊN CỨU VỀ DNSSEC 17 2.1 Mơ hình triển khai DNSSEC 17 2.2 Các ghi tài nguyên DNSSEC .18 2.2.1 Các ghi DNSKEY Zone .18 2.2.2 Các ghi RRSIG Zone 19 2.2.3 Bản ghi ký chuyển giao (DS) Zone 20 2.2.4 Các ghi NSEC Zone 20 2.2.5 Bản ghi NSEC3 21 2.3 Các phần mở rộng DNSSEC 23 2.3.1 Các máy chủ tên miền có thẩm quyền 24 2.3.2 Máy chủ tên miền đệ quy (Recursive Name Server) 32 2.3.3 Bộ phân giải 33 2.3.4 Hỗ trợ xác thực DNS 38 2.3.4.1 Quá trình xác nhận tính hợp lệ DNSSEC 39 2.3.4.2 Cơ chế xác thực từ chối tồn DNSSEC .41 2.4 Kết luận .47 CHƯƠNG 3: ỨNG DỤNG DNSSEC TRONG ĐẢM BẢO AN TOÀN HỆ THỐNG TÊN MIỀN (DNS) 49 3.1 Các phương thức công mạng phổ biến .49 3.1.1 DNS spoofing (DNS cache poisoning) .49 3.1.2 Tấn công khuếch đại liệu DNS (Amplification attack) 50 3.1.3 Giả mạo máy chủ DNS (Main in the middle) .50 3.2 Kịch công DNS 51 3.3 Giải pháp DNSSEC kịch công DNS 69 3.4 Kết luận .75 KẾT LUẬN 76 TÀI LIỆU THAM KHẢO 77 Đồ án tốt nghiệp đại học Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT A AD Authentic Data Dữ liệu chứng thực AXFR Full Zone Transfer/ Authoritative Transfer Đồng toàn phần CD Checking Disabled Kiểm tra vơ hiệu hóa CNAME Canonical Name Tên miền tắc DNAME Delegation Name Tên miền chuyển giao DNS Domain Name System Hệ thống tên miền DNSKEY DNS Public KEY Khóa cơng khai DNS DNSSEC DNS Security Extensions Phần mở rộng bảo mật DNS DO DNSSEC OK DS Delegation Signer Ký chuyển giao Extension Mechanisms for DNS Các chế mở rộng cho DNS IANA Internet Assigned Numbers Authority Tổ chức cấp phát số hiệu Internet IXFR Incremental Zone Transfer Đồng phần NS Name Server Máy chủ tên miền NSEC Next Secure Bảo mật Option Tùy chọn RR Resource Record Bản ghi tài nguyên RRSIG Resource Record Signature Chữ ký ghi tài nguyên Start of (a zone of) Authority (Bản ghi tài nguyên) xuất phát C D E EDNS I N O OPT R S SOA Hà Hồng Ngọc – L14VT i Đồ án tốt nghiệp đại học Thuật ngữ viết tắt (của zone) có thẩm quyền T TC Truncated Bị cắt TTL Time to Live Thời gian tồn Hà Hồng Ngọc – L14VT ii Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Trên trang Key Master, DNS server DC1 khóa quan trọng chọn đặt mặc định, vùng đăng kí thực DC1 Nếu bạn cấu hình DC2 phòng thí nghiệm thử nghiệm này, xem xét tùy chọn có sẵn Select another primary server as the Key Master Không chọn tùy chọn này, xác minh dc2.contoso.com có sẵn khóa chủ thể cho vùng Khi bạn cảnh báo tất máy chủ ủy quyền có khả đăng nhập trực tuyến DNSSEC nạp, bấm YES Đảm bảo DC1 lựa chọn làm chủ quan trọng sau nhấp vào Next hai lần Trong phím Key Signing (KSK), trang, bấm KSK (với phím dài 2048), sau nhấn vào Remove Để thêm KSK, bấm vào Add Trong hộp thoại New Key Signing Key (KSK), Key Ptoperties, nhấp vào phần thả xuống bên cạnh Cryptographic algorithm lựa chọn RSA/SHA – 512 Theo Key Properties, nhấp vào phần thả xuống bên cạnh Key length (Bits) lựa chọn 4096 sau nhấp vào OK Hà Hồng Ngọc – L14VT 63 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Nhấp vào NEXT thông báo You have successfully configured the following parameters to sign the zone hình Xem lại tham số bạn lựa chọn sau bấm Next để bắt đầu q trình đăng kí vùng Xác nhận The zone has been successfully signed hình, nhấp vào Finish, sau làm giao diện trình quản lý DNS để xác minh vùng đăng kí lần Làm chế độ xem cho thư mục Trust Points kiểm chứng điểm tin tưởng DNSKEY sử dụng thuật toán RSA/SHA – 512 Một lời nhắc người quản trị Windows PowerShell, gõ lệnh sau nhấn Enter Hà Hồng Ngọc – L14VT 64 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) (6) Chứng minh xác nhận khơng thành cơng Bởi anchor tin cậy phân phối đến DNS1 khơng hợp lệ, DNSSEC xác nhận thất bại ghi tài nguyên truy vấn khu vực sec.contoso.com - Để chứng minh thất bại việc xác nhận Trên DNS1, xem cài đặt gần Trust Points cho sec.contoso.com xác minh anchor tin cậy cũ sử dụng thuật tốn RSA/SHA-1 trình bày Để làm nhớ cache DNS server, bấm chuột phải vào DNS1 sau nhấp vào Clear Cache Bắt đầu Network Monitor muốn Ngừng chụp sau cấp lệnh sau đây, sau lưu chụp cách sử dụng tên: Capture4 Hà Hồng Ngọc – L14VT 65 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Trên client1, gõ lệnh sau dấu nhắc Windows PowerShell sau nhấn ENTER Note: Tự động cập nhật anchor tin cậy vào máy chủ DNS (mỗi RFC 5011) không ủy quyền, phê chuẩn xảy trình tái đầu tư quan trọng Nếu bạn khơng đăng ký tái đăng kí khu vực cách thủ cơng với phím mới, bạn bắt buộc phải phát hành anchor tin tưởng theo cách thủ công Nếu máy chủ DNS validating có anchor tin cậy khơng xác, truy vấn DNS yêu cầu xác nhận máy chủ thất bại Khi khơng có anchor tin cậy trình bày, truy vấn thất bại việc xác nhận Kể từ khơng có anchor tin cậy, máy chủ khơng tìm cách để xác nhận phản ứng Trong trường hợp này, lỗi gói ko bảo đảm hiển thị - Để chứng minh phản ứng unsecure Trên DNS1, Administrator Windows PowerShell, gõ lệnh sau sau nhấn ENTER hai lần: Bắt đầu chụp Network Monitor muốn Ngừng chụp sau phát hành lệnh sau đây, sau lưu chụp cách sử dụng tên: Capture5 Gõ lệnh sau nhấn ENTER: Chứng minh thất bại máy tính để bàn từ xa Bởi DNSSEC xác nhận khơng thành cơng, bạn kết nối đến dc1.sec.contoso.com cách sử dụng máy tính để bàn từ xa - Để chứng minh thất bại máy tính để bàn từ xa Trên client1, gõ lệnh sau dấu nhắc Windows PowerShell sau nhấn ENTER Hà Hồng Ngọc – L14VT 66 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Xác minh máy tính để bàn từ xa khơng thể tìm thấy máy tính “dc1.sec.contoso.com” hiển thị (7) Chứng minh thư mục hoạt động chép DNSSEC đăng ký ghi tài nguyên Khi máy chủ DNS tích hợp Active Directory, anchor tin cậy ghi tài nguyên kí kết cập nhật tự động khu vực ko đăng kí tái đăng nhập theo cách thủ công - Để chứng minh hoạt động thư mục chép DNSSEC ký kết ghi tài nguyên Trên DC2, trình quản lý DNS, xem nội dung thư mục Trust Points Làm giao diện cần thiết để xem anchor tin cậy Xác minh anchor tin cậy DNSKEY cho sec.contoso.com tự động Cập Nhật để sử dụng thuật toán RSA/SHA-512 Trong bảng điều khiển quản lý DNS, nhấp vào Global Logs > DNS Events xem xét tổ chức kiện ID 7653 mà máy chủ DNS phát khu ký tham số cho khu vực sec.contoso.com thay đổi khu vực tái ký Trường hợp khơng có hiển thị sau khu vực ký xong Nhấn vào Forward Lookup Zones > sec.contoso.com giao diện điều khiển mà xác minh Secure Entry Point DNSKEY đươc trình bày sử dụng thuật toán RSA/SHA-512 Hà Hồng Ngọc – L14VT 67 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Trên DC1, trình quản lý DNS, thêm ghi lưu trữ (A) cho dns1.sec.contoso.com với địa IP 10.0.0.2 Trên DNS1, xem cài đặt gần Trust Points cho sec.contoso.com xác minh anchor tin cậy cũ sử dụng thuật tốn RSA/SHA-1 trình bày Hà Hồng Ngọc – L14VT 68 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Trên DC2, làm giao diện trình quản lý DNS xác minh hồ sơ ký nhân rộng đến máy chủ (8) Để Chuyển vai trò chủ quan trọng cho sec.contoso.com sang DC2 Trên DC1 DC2, trình quản lý DNS, nhấp chuột phải vào vùng sec.contoso.com trỏ tới DNSSEC, sau nhấp vào Properties Trên tab Key Master, chọn Use the following DNS server as the Key Master Nhấp vào danh sách thả xuống bạn cảnh báo tất máy chủ DNS uỷ quyền nạp, bấm Yes Chọn dc2.contoso.com từ danh sách sau nhấp vào OK Khi bạn cảnh báo chủ quan trọng thay đổi thiết đặt, bấm Yes Xác minh chủ quan trọng cho sec.contoso.com khu vực cập nhật thành công hiển thị Kiểm tra DNS tổ chức kiện ID 7649 hiển thị Key Master DNS kiện ID 7648 hiển thị chủ quan trọng trước 3.3 Giải pháp DNSSEC kịch công DNS Một công khuếch đại lưu lượng liệu DNS (hay gọi công ánh xạ DNS) loại công từ chối dịch vụ (Ddos) cách lợi dụng DNS nhỏ để tạo tạo phản hồi lớn Khi kết hợp với địa giả mạo, kẻ cơng nhắm vào lượng lớn lưu lượng mạng đến hệ thống mục tiêu cách khởi tạo truy vấn DNS nhỏ Các yếu tố khuếch đại kiểu công phụ thuộc vào loại truy vấn DNS có máy chủ DNS hay không (sử dụng công trung gian) hỗ trợ việc gửi gói tin UDP lớn cơng Đây tính nhằm tối ưu hóa thơng tin DNS Nếu máy chủ DNS không hỗ trợ dung lượng lớn (> 512 byte) gói tin UDP phản hồi, quay lại TCP Điều làm giảm hiệu cơng khuếch đại TCP bị giả mạo địa Một kẻ công có kế hoạch cơng DNS mở rộng lợi dụng điều sau đây: - Mở đệ quy: Tên miền Internet kích hoạt đệ quy cung cấp DNS đệ quy phản hồi cho ai, gọi "phân giải mở" Số lượng máy chủ DNS cung cấp đệ quy mở Internet ước tính từ vài trăm ngàn đến vài triệu Trong công DNS mở rộng, chức mở thiết bị giải nguồn gốc khuếch đại, tiếp nhận truy vấn DNS nhỏ trả lại phản hồi DNS hoàn toàn Hà Hồng Ngọc – L14VT 69 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) lớn nhiều Các máy chủ DNS thường không bị tổn hại, thực tế lại hoạt động bình thường - Địa nguồn giả mạo: Địa nguồn giả mạo làm thay đổi địa trả gói tin để giả định gói tin đến từ nguồn khác ngồi người gửi Trong cơng khuếch đại DNS, địa nguồn cho truy vấn giả mạo DNS mục tiêu công, tương tự công "Smurf" Khi phân giải trả DNS phản hồi, phản hồi khơng xác gửi từ địa giả mạo - Botnet: Botnet nhóm máy tính trực tuyến bị xâm nhập kẻ công Botnet sử dụng công DNS mở rộng để gửi truy vấn DNS tới phân giải mở - Malware: Malware sử dụng để truy cập vào máy tính botnet cung cấp phương tiện để gây công DNS mở rộng - EDNS0: Mở rộng chế cho DNS cho phép DNS requestor quảng cáo kích thước gói tin UDP tạo thuận lợi cho việc chuyển gói tin lớn 512 byte Nếu khơng có EDNS0, truy vấn 64 byte đưa kết (ít nhất) 512 byte UDP phản hồi tương ứng với hệ số khuếch đại 512/64 = - DNSSEC: DNSSEC thêm bảo mật cho phản hồi DNS cách cung cấp khả cho máy chủ DNS xác nhận câu trả lời DNS DNSSEC ngăn chặn công mã độc nhớ cache, bổ sung thêm chữ ký mật mã nên thơng điệp DNS có dung lượng lớn Mặt khác, DNSSEC yêu cầu EDNS0 hỗ trợ; máy chủ hỗ trợ DNSSEC đồng thời hỗ trợ gói tin UDP lớn phản hồi DNS Nếu mục tiêu công máy chủ DNS, công DNS mở rộng sử dụng truy vấn cho zone DNSSEC ký có tiềm để tăng việc sử dụng vi xử lý việc mã hóa liên quan đến việc DNSSEC chứng thực đăng nhập vào liệu tài nguyên Các máy chủ DNS cần bỏ qua gói tin Lưu ý: Máy chủ DNS chạy Windows gửi gói liệu đăng nhập thực thống kê truy cập theo loại gói tin phản hồi chưa khớp Điều quan trọng cần lưu ý thân DNSSEC không cho phép công DNS mở rộng thành cơng Như nêu trước đó, yếu tố khuếch đại khơng có EDNS0 DNSSEC Các cơng DNS mở rộng thành cơng khơng đòi hỏi EDNS0 DNSSEC Để chứng minh công mở rộng hoạt động nào, bị ảnh hưởng DNSSEC, giả định ghi TXT lớn tạo máy chủ DNS Lưu ý rằng, liệu lớn, máy chủ không sử dụng UDP chí EDNS0 kích hoạt Theo mặc định, máy chủ DNS Hà Hồng Ngọc – L14VT 70 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) chạy Windows rơi trở lại TCP cho hồ sơ lớn 4000 byte Điều chứng minh thiết bị giám sát mạng: Trong ví dụ sau, hai ghi TXT tạo máy chủ DNS chạy Windows Server 2012 10.123.182.167 Mỗi liệu TXT bao gồm dòng văn dài 256 byte Tên miền oktxt.contoso.com chứa 15 dòng: 15 x 256 = 3840 bytes Tên miền bigtxt.contoso.com chứa 16 dòng: 16 x 256 = 4096 bytes Cung cấp truy vấn cho liệu xác định gói tin UDP lớn cho phép phản hồi, sử dụng dig (dig @10.123.182.167 oktxt.contoso.com any +edns=0) resolve-dnsname Windows PowerShell cmdlet có sẵn Windows Server 2012 dnssecok flag cho máy chủ mà gói tin phản hồi UDP lớn hỗ trợ: Các truy vấn đưa từ máy tính khách hàng 10.123.183.140 Thiết bị giám sát mạng máy chủ DNS cho thấy tên miền bigtxt.contoso.com sử dụng TCP oktxt.contoso.com sử dụng UDP: Hà Hồng Ngọc – L14VT 71 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Cụ thể, chi tiết frame cho truy vấn cho thấy kích thước UDP playload lớn 4000 byte, trường hợp liệu bigtxt.contoso.com kích thước 4.096 byte (vượt giới hạn): Khi 4000 byte UDP giới hạn bị vượt quá, máy chủ DNS sử dụng TCP phản hồi DNS Giới hạn 4000 byte hiển thị máy chủ DNS sử dụng Windows PowerShell: PS C:\> (Get-DnsServer).ServerSetting.MaximumUdpPacketSize 4000 Các chi tiết frame cho tên miền oktxt.contoso.com biểu diễn bảng Chỉ UDP sử dụng cho liệu tài nguyên có chiều dài 3840 byte giới hạn 4000 byte: Nhắc lại UDP quan trọng cơng DNS mở rộng địa nguồn giả mạo phần quan trọng công Cách bắt tay ba (three- Hà Hồng Ngọc – L14VT 72 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) way handshake) sử dụng TCP làm việc giả mạo khó khăn DNS phản hồi sử dụng UDP Do đó, kẻ cơng thường muốn giới hạn kích thước phản hồi để UDP sử dụng Một kẻ công sử dụng liệu TXT oktxt.contoso.com mặt lý thuyết sử dụng kích thước đơn vị truyền tối thiểu 64 byte để phát hành truy vấn mà trả phản hồi UDP 3840 byte, cho hệ số khuếch đại 3840/64 = 60 DNS phản hồi miền ký Điều xảy miền ký? Windows Server 2012 hỗ trợ vùng sử dụng Windows PowerShell sử dụng miền DNSSEC có sẵn quản lý DNS Quá trình cho thêm số liệu tài nguyên vào khu vực, liệu trả với kết truy vấn Điều có làm tăng hệ số khuếch đại công DNS mở rộng không? Sau miền ký, truy vấn cho tên miền oktxt.contoso.com (bản ghi TXT nhỏ hơn) cung cấp kết hợp sau: Có kết hợp TCP ngồi UDP, tương tự xảy trước với liệu TXT lớn tên miền bigtxt.contoso.com Kiểm tra chi tiết frame cho việc trao đổi UDP cho thấy ghi TXT gửi qua UDP gửi trước miền ký: Hà Hồng Ngọc – L14VT 73 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Sau miền ký, gói trao đổi TCP bao gồm liệu liên quan DNSSEC (RRSIG): Việc đăng ký miền DNS thêm liệu DNSSEC tới DNS phản hồi tăng tổng kích thước phản hồi, không làm tăng nguy bị mở rộng DNS qua giới hạn đặt máy chủ cho kích thước phản hồi UDP Từ kết hợp TCP không dễ bị giả mạo, liệu bổ sung không làm tăng mức độ nghiêm trọng công DNS mở rộng Hà Hồng Ngọc – L14VT 74 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) Tuy nhiên, hệ số khuếch đại 60 lần không nhỏ, công DNS mở rộng tiếp tục nguy Internet Một số điều bạn làm để ngăn chặn công khuếch đại DNS bao gồm: - Không đặt DNS mở Internet Hạn chế khách hàng truy cập vào giải làm giảm đáng kể khả kẻ công sử dụng Điều thực quy tắc firewall, danh sách truy cập router IP, phương pháp khác - Ngăn chặn địa IP giả mạo cấu hình Unicast Reverse Path Forwarding (URPF) router mạng Một router có cấu hình sử dụng URPF hạn chế khả kẻ công giả mạo gói tin cách so sánh địa nguồn gói tin với bảng định tuyến nội để xác định địa đáng Nếu khơng, gói tin bị loại bỏ - Triển khai thiết bị hệ thống phòng chống xâm nhập (IPS) giám sát giao thơng DNSSEC Một số lượng lớn gói tin gửi với địa chỉ, đặc biệt tăng vọt, số tốt cho cơng tích cực Triển khai lọc để thả, giới hạn, trì hỗn tệp nghi ngờ để giảm bớt tác động công mạng công mục tiêu địa phương Như đề cập trước đó, Windows DNS server 2012 gửi gói tin phản hồi chưa khớp đăng nhập chúng giải thống kê counter Điều quan trọng phải thường xuyên theo dõi giám sát lưu lượng 3.4 Kết luận Chương đưa mơ hình công mạng đặc điểm chúng Tấn công mã độc DNS, công khuếch đại liệu DNS giả mạo máy chủ DNS Cùng với kịch mơ hình cơng giải pháp DNSSEC máy chủ Windows server 2012 Microsoft Đó ví dụ thực tiễn hiệu an toàn áp dụng giải pháp bảo mật DNSSEC cho hệ thống tên miền DNS Hà Hồng Ngọc – L14VT 75 Đồ án tốt nghiệp đại học Chương 3: Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền (DNS) KẾT LUẬN Hệ thống tên miền hệ thống máy chủ tên miền lỗ hổng lớn Internet Hacker lợi dụng lỗ hổng để thực mục đích xấu ăn cắp thơng tin, lừa đảo, giả mạo Do cần trọng vào bảo mật hệ thống tên miền DNS phương pháp lựa chọn áp dụng DNSSEC - ứng dụng bảo mật tên miền Sau gần hai tháng tìm hiểu, nghiên cứu ứng dụng bảo mật hệ thống tên miền DNSSEC em có thêm nhiều kiến thức thật bổ ích lĩnh vực an tồn thơng tin mạng, phần hành trang quý báu cho em sau đường lĩnh hội tri thức Bên cạnh khả tìm tòi, học hỏi tư em hoàn thiện nâng cao Tuy nhiên, kiến thức hạn chế nên đề tài khó tránh khỏi sai sót Rất mong nhận ý kiến đóng góp từ q thầy người Đồ án đưa nội dung: - Nghiên cứu hệ thống tên miền DNS, giới thiệu DNSSEC - Tình hình triển khai tiêu chuẩn hóa giới Việt Nam - Nghiên cứu mơ hình triển khai, tin tài nguyên, giao thức mở rộng DNSSEC - Ứng dụng DNSSEC đảm bảo an toàn hệ thống tên miền DNS Với kịch công mạng giải pháp DNSSEC với kịch cơng DNS Hà Hồng Ngọc – L14VT 76 Đồ án tốt nghiệp đại học Tài liệu tham khảo TÀI LIỆU THAM KHẢO Tiếng Anh Olaf Kolkman, DNSSEC HOWTO, a tutorial in disguise, July 4, 2009 Shumon Huque, DNSSEC Tutorial, 2013 [RFC 7129] “Authenticated Denial of Existence in the DNS”, (2014) [RFC 4034] Arends, R., Austein, R., Larson, M., Massey, D., and S Rose, "Resource Records for DNS Security Extensions", RFC 4034, (03-2005) [RFC 4035] Arends, R., Austein, R., Larson, M., Massey, D., and S Rose, "Protocol Modifications for the DNS Security Extensions", RFC 4035, (03-2005) Tiếng Việt TS Hoàng Trọng Minh, “An ninh mạng thông tin”, HVCNBCVT, 2015 ThS Nguyễn Trần Tuấn, Báo cáo đề tài KHCN, “Nghiên cứu xây dựng tiêu chuẩn hàm bảo mật DNS xác thực định danh phân bổ cho DNSSEC”, Viện KHKT BĐ, 2016 Nguyễn Việt Dũng, Báo cáo đề tài KHCN, “Nghiên cứu xây dựng tiêu chuẩn yêu cầu hướng dẫn bảo mật DNS (DNSSEC), Viện KHKT BĐ, 2015 Website https://www.vnnic.vn/dns/congnghe/công-nghệ-dnssec https://technet.microsoft.com/en-us/library/hh831411(v=ws.11)#demo_1 https://technet.microsoft.com/en-us/security/hh972393.aspx http://www.thongtincongnghe.com/article/16547 Hà Hồng Ngọc – L14VT 77 ... 1.1 Hệ thống tên miền (DNS – Domain name system) 1.1.1 Định nghĩa tên miền Hệ thống tên miền bao gồm loạt sở liệu chứa địa IP tên miền tương ứng Mỗi tên miền tương ứng với địa số cụ thể Hệ thống. .. để thiết lập việc xác thực toàn vẹn liệu Nhận thấy cần thiết với niềm u thích nên em lựa chọn nghiên cứu đề tài: Nghiên cứu an toàn mở rộng cho hệ thống tên miền (DNSSEC) bao gồm nội dung chính:...HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I -*** - ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI NGHIÊN CỨU AN TOÀN MỞ RỘNG CHO HỆ THỐNG TÊN MIỀN (DNSSEC) Người hướng dẫn : ThS