BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM INTERNET VIỆT NAM TÀI LIỆU HƯỚNG DẪN TRIỂN KHAI DNSSEC TẠI CÁC ISP Quản lý phiên tài liệu: Phiên 1.0 2.0 3.0 4.0 Ngày cập nhật 10/12/2017 12/11/2018 18/9/2019 20/4/2020 Ghi Biên soạn Cập nhật lần Cập nhật lần Cập nhật lần MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ MỞ ĐẦU HƯỚNG DẪN TRIỂN KHAI DNSSEC TẠI CÁC ISP Định nghĩa ISP (Internet Service Provider) Phân tích, đánh giá vai trò Quy trình triển khai DNSSEC 3.1 Tổng quan quy trình thực 3.2 Rà soát hệ thống máy chủ 3.3 Các yêu cầu trước triển khai 11 3.4 Mơ hình triển khai 13 3.5 Các bước triển khai 17 3.6 Các kịch thử nghiệm 19 DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT ccTLD DNS DNSKEY Country Code Top Level Domain Domain Name System Domain Name System KEY DNSSEC DS Domain Name System Security Extensions Delegation Signer EPP gTLD Extensible Provisioning Protocol Generic Top-level Domain IANA ICANN ISP Internet Assigned Numbers Authority Internet Corporation for Assigned Names and Numbers Doanh nghiệp Internet KSK NSEC Key Signing Key Next Secure RFC Request for Comments RRSIG SRS Resource Record Signature Shared Registry System TLD VNNIC ZSK Top Level Domain Vietnam Internet Network Information Center Zone Signing Key DANH MỤC HÌNH VẼ Hình 1: Mơ hình ngun lý tổng quan hệ thống DNS 10 Hình 2: Q trình truy vấn có xác thực DNSSEC 14 Hình 3: Mơ tả xác thực máy chủ DNS đệ quy ISP 16 Hình 4: Kết xác thực DNSSEC trình duyệt Firefox 19 DANH MỤC BẢNG BIỂU Bảng 1: Check list cơng việc rà sốt trước triển khai 10 Bảng 2: Checklist yêu cầu triển khai DNSSEC ISP 13 MỞ ĐẦU Hệ thống DNS đóng vai trò dẫn đường Internet, coi hạ tầng lõi trọng yếu hệ thống Internet toàn cầu Do tính chất quan trọng hệ thống DNS, có nhiều cơng, khai thác lỗ hổng hệ thống với quy mô lớn tinh vi với mục đích làm tê liệt hệ thống chuyển hướng tên miền đến địa IP khác Trên giới từ nhiều năm có nhiều cơng làm thay đổi liệu tên miền, chuyển hướng website thực hiện, gây hậu nghiêm trọng Để giải nguy trên, từ năm 1990, giải pháp khắc phục nghiên cứu Năm 1995, giải pháp DNSSEC cơng bố tới năm 2001 xây dựng thành tiêu chuẩn RFC dự thảo, cuối IETF thức cơng bố thành tiêu chuẩn RFC vào năm 2005 DNSSEC dựa tảng mã hố khố cơng khai (PKI) tương tự hệ thống chứng thực điện tử (CA), thực ký số ghi DNS để đảm bảo tính xác thực, tồn vẹn cặp ánh xạ tên miền – địa IP, tất thay đổi ghi DNS ký số phát Kể từ chuẩn hố năm 2005, DNSSEC nhanh chóng triển khai rộng rãi mạng Internet Tại Việt Nam, việc triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” giúp đảm bảo xác, tin cậy việc sử dụng, truy vấn tên miền “.VN” Internet thông qua việc áp dụng thống tiêu chuẩn DNSSEC hệ thống DNS “.VN” Đảm bảo kết nối liên thông theo tiêu chuẩn DNSSEC hệ thống DNS quốc gia “.VN” với hệ thống máy chủ tên miền gốc (DNS ROOT) hệ thống DNS quốc tế Đánh dấu bước chuyển biến quan trọng việc phát triển hạ tầng Internet Việt Nam, sẵn sàng đẩy mạnh phát triển dịch vụ thương mại điện tử, phủ điện tử Việt Nam cách an toàn Trung tâm Internet Việt Nam - VNNIC HƯỚNG DẪN TRIỂN KHAI DNSSEC TẠI CÁC ISP Định nghĩa ISP (Internet Service Provider) Là đơn vị, doanh nghiệp quản lý, vận hành hệ thống máy chủ tên miền đệm (DNS Recursive Caching), cung cấp dịch vụ truy vấn/ phản hồi truy vấn tên miền cho khách hàng, người dùng Internet ISP cầu nối để khách hàng người dùng Internet kết nối đến hệ thống DNS khác Thông thường triển khai DNSSEC, ISP khơng thuộc nhóm Signing (quản lý ký số tên miền, trừ tên miền tự quản lý), mà ISP thuộc nhóm Validation (xác thực) đóng vai trò xác thực DNSSEC, đảm bảo câu trả lời từ hệ thống hỗ trợ DNSSEC hợp lệ tồn vẹn Phân tích, đánh giá vai trò Việc triển khai xác thực DNSSEC hệ thống DNS ISP có vai trị quan trọng, với vai trò hệ thống xác thực phản hồi truy vấn DNS/DNSSEC, điều giúp bảo vệ người sử dụng, chống lại giả mạo phản hồi truy vấn DNS Việc giả mạo phản hồi truy vấn DNS gây hậu nghiêm trọng vấn đề kinh tế (lợi nhuận, làm giảm uy tín thương hiệu, tổ chức) vấn đề an ninh cho người dùng (đánh cắp thông tin người dùng) doanh nghiệp (chuyển hướng luồng liệu đến đích có chứa mã độc hại, lừa đảo, chặn/bắt gói tin) Khi ISP hỗ trợ DNSSEC, đồng nghĩa với việc ISP cung cấp cho người dùng cuối họ gia tăng tính bảo mật, an tồn Internet máy chủ DNS với khả xác thực tên miền đảm bảo DNS không bị thay đổi sai lệch, hay bị chuyển hướng luồng liệu Các tính quan trọng DNSSEC thêm chế để xác minh tính xác thực đáp ứng DNS Để đạt điều này, chữ ký số DNSSEC ghi DNS phải có câu trả lời Những đối tượng nhận liệu truy vấn DNS máy chủ tên miền đệm xác nhận chữ ký số DNSSEC điều chứng minh liệu DNS xác thực Hướng dẫn triển khai DNSSEC ISP Trung tâm Internet Việt Nam - VNNIC Quy trình triển khai DNSSEC 3.1 Tổng quan quy trình thực Hướng dẫn triển khai DNSSEC ISP Trung tâm Internet Việt Nam - VNNIC Tổng quan quy trình triển khai DNSSEC ISP Bước Mơ hình hệ thống Rà sốt tồn hệ thống máy chủ tên miền DNS ISP Thông số máy chủ dịch vụ, tài nguyên máy chủ (IPv4/IPv6, CPU, RAM…) hạ tầng mạng, NO So sánh yêu cầu trước triển khai áp dụng DNSSEC tính khả thi ? YES Bước Bước Phần mềm DNS: - Hãng phần mềm: BIND - Phiên Tiến hành nâng cấp hệ thống máy chủ, phần mềm DNS yêu cầu hạ tầng mạng, Bước Thực thiết lập Root Trust Anchor Tiến hành triển khai áp dụng DNSSEC Kích hoạt tính xác thực DNSSEC hệ thống DNS ISP Khởi động lại dịch vụ, áp dụng cấu hình hỗ trợ xác thực DNSSEC Kiểm tra hoạt động hệ thống theo kịch chi tiết đánh giá kết Hướng dẫn triển khai DNSSEC ISP Trung tâm Internet Việt Nam - VNNIC Hình 1: Mơ hình nguyên lý tổng quan hệ thống DNS 3.2.2 Thông số máy chủ dịch vụ, hạ tầng mạng phần mềm DNS Tiến hành rà sốt tồn thơng số máy chủ dịch vụ hạ tầng mạng đơn vị ISP dựa theo bảng check list đây: Nội dung rà sốt Tiêu chí Kết Thơng số máy chủ dịch vụ Tên máy chủ, chủng loại Địa IV4/IPv6 DNS ISP Bộ nhớ RAM Dung lượng ổ nhớ CPU Hạ tầng mạng đáp Cho phép DNS over TCP ☐ ứng yêu cầu DNSSEC Cho phép gói tin UDP kích thước lớn ☐ Phần mềm DNS Hãng phần mềm Phiên Bảng 1: Check list cơng việc rà sốt trước triển khai Hướng dẫn triển khai DNSSEC ISP 10 Trung tâm Internet Việt Nam - VNNIC 3.3 Các yêu cầu trước triển khai 3.3.1 Yêu cầu phần mềm - Phần mềm BIND: BIND (the Berkeley Internet Name Daemon) phần mềm DNS phổ biến Internet, phát hành ISC (the Internet System Consortium, http://www.isc.org) BIND hỗ trợ DNSSEC cho tất phiên BIND9 Nếu phiên BIND sử dụng khơng sẵn sàng hỗ trợ DNSSEC có hỗ trợ phiên cũ, khuyến nghị nên nâng cấp lên từ phiên BIND 9.7 trở lên BIND 9.17 để có thêm nhiều tính hỗ trợ DNSSEC tốt (Xem phụ lục Các tính BIND 9.11 trở lên) 3.3.2 Năng lực máy chủ hệ thống Việc kích hoạt xác thực DNSSEC máy chủ tên miền nhớ đệm (ISP DNS Server) tạo cho trình phân giải xác thực Cơng việc trình phân giải xác thực lấy thêm thơng tin sử dụng để tính tốn, xác minh câu trả lời Dưới yêu cầu phần cứng máy chủ vật lý máy chủ xây dựng tảng ảo hóa để đáp ứng việc phân giải xác thực: - CPU: Một trình phân giải xác thức thực chức mã hóa nhiều câu trả lời, điều thường dẫn đến gia tăng việc sử dụng CPU, trừ máy chủ DNS đệ quy xây dựng tích hợp phần cứng để thực tính tốn mật mã mã hóa - Bộ nhớ hệ thống: Việc kích hoạt DNSSEC dẫn đến câu trả lời có kích thước lớn hơn, chiếm không gian nhớ lớn Hướng dẫn triển khai DNSSEC ISP 11 Trung tâm Internet Việt Nam - VNNIC 3.3.3 Hạ tầng mạng Khi triển khai áp dụng xác thực DNSSEC máy chủ tên miền nhớ đệm (ISP DNS Server), DNSSEC đính kèm chữ ký số vào gói tin phản hồi truy vấn DNS, điều làm tăng kích thước gói tin Với phản hồi truy vấn đổi với DNS thơng thường, kích thước gói tin khơng vượt q 512 byte Đối với DNSSEC, kích thước gói tin lớn nhiều thường xuyên vượt 1500 byte Do cần phải đảm bảo sở hạ tầng mạng phù hợp đáp ứng tốt Dưới số yêu cầu hạ tầng mạng cần đáp ứng để triển khai DNSSEC: - DNS over TCP: Theo truyền thống, DNS hoạt động dựa giao thức UDP để truyền tải truy trả lời Tuy nhiên số trường hợp, đáp ứng DNS có kích thước gói tin vượt mức tối đa dẫn đến việc đưa giao thức TCP sử dụng hồn tồn Do cần phải cho phép, kiểm tra kết nối mạng qua giao thức TCP port 53 hệ thống hạ tầng mạng để đảm bảo “DNS over TCP” phép hoạt động - Kích thước gói UDP: DNSSEC hoạt động phần dựa giao thức mở rộng DNS gọi EDNS0 Với giao thức làm cho DNS sử dụng gói tin lớn 512 byte để truyền tải đáp ứng truy vấn DNS Nhiều phần mềm DNS (trong có BIND) cấu hình quy định kích thước gói EDNS0 4KB, điều có nghĩa máy chủ DNS nhận gói tin với kích thước lên đến 4KB Các vấn đề hệ việc trên: o Một số hệ thống tường lửa (firewall) cấu hình loại bỏ gói tin UDP DNS có kích thước lớn 512 byte xem công Hướng dẫn triển khai DNSSEC ISP 12 Trung tâm Internet Việt Nam - VNNIC o Một số hệ thống tường lửa từ chối chấp nhận gói tin UDP phân mảnh, cho dấu hiệu cơng Do vậy, hai trường hợp đó, cần phải thực cấu hình lại tường lửa dỡ bỏ hạn chế, để đảm bảo hệ thống mạng có khả xử lý gói tin UDP lớn (>512 byte, ≤4000 byte) 3.3.3 Checklist kết so sánh yêu cầu Bảng checklist tham khảo để lập kế hoạch triển khai: Yêu cầu Check Phần mềm hỗ trợ DNSSEC Nếu sử dụng phần mềm BIND: BIND phiên 9.7 trở lên, BIND 9.17 ☐ Các máy chủ hệ thống đủ lực đáp ứng ☐ Hạ tầng mạng đáp ứng yêu cầu DNSSEC Cho phép DNS over TCP ☐ Cho phép gói tin UDP kích thước lớn ☐ Bảng 2: Checklist yêu cầu triển khai DNSSEC ISP 3.4 Mơ hình triển khai Việc triển khai DNSSEC hệ thống DNS Caching ISP khơng làm thay đổi mơ hình hệ thống ISP 3.4.1 Nguyên lý hoạt động - Quá trình truy vấn xác thực với DNSSEC Dưới sơ đồ thể trình truy vấn trả lời truy vấn dối với DNS có DNSSEC: Hướng dẫn triển khai DNSSEC ISP 13 Trung tâm Internet Việt Nam - VNNIC 12 11 10 root name servers org name servers www.isc.org? isc.org name servers Verified answer ISP DNS Server Hình 2: Quá trình truy vấn có xác thực DNSSEC Mơ tả: Đối với q trình truy vấn có DNSSEC, bước thực truy vấn theo trình tự truy vấn DNS thông thường Và sau máy chủ tên miền đệm (ISP DNS Hướng dẫn triển khai DNSSEC ISP 14 Trung tâm Internet Việt Nam - VNNIC Server) nhận câu trả lời cuối thông tin máy chủ tền miền cần truy vấn từ máy chủ có thẩm quyền Máy chủ tên miền đệm (ISP DNS Server) thực chức xác thực DNSSEC Máy chủ DNS ISP gửi yêu cầu truy vấn ghi A tên miền www.isc.org đến máy chủ tên miền isc.org Máy chủ DNS ISP phản hồi lại câu trả lời kèm theo ghi tài nguyên RRSIG (chữ ký số) ghi A Máy chủ DNS ISP tiếp tục truy vấn ghi tài nguyên DNSKEY tên miền isc.org lên máy chủ tên miền isc.org Máy chủ tên miền isc.org phản hồi lại câu trả lời kèm theo ghi DNSKEY RRSIG ghi DNSKEY Máy DNS ISP truy vấn ghi DS isc.org đến máy chủ tên miền org Máy chủ tên miền org phản hồi lại ghi DS RRSIG tên miền isc.org Máy chủ DNS ISP truy vấn ghi DNSKEY tên miền org đến máy chủ tên miền org Máy chủ tên miền org phản hồi lại ghi DNSKEY RRSIG DNSKEY Máy chủ DNS ISP truy vấn ghi DS tên miền org lên máy chủ ROOT 10 Máy chủ ROOT phản hồi lại ghi DS kèm theo chữ ký RRSIG DS 11 Máy chủ DNS ISP tiếp tục hỏi ghi DNSKEY tên miền cấp cao “.” lên máy chủ ROOT 12 Máy chủ ROOT phản hồi lại ghi DNSKEY tên miền “.” kèm theo ghi RRSIG DNSKEY Sau xác minh câu trả lời cuối dùng xác thực, máy chủ DNS ISP gửi lại thông tin câu trả lời cho Client Hướng dẫn triển khai DNSSEC ISP 15 Trung tâm Internet Việt Nam - VNNIC Đối với truy vấn có yêu cầu xác thực lần đầu tiên, trình thực phản hồi truy vấn tốn nhiều thời gian, băng thông hiệu xử lý máy chủ so với truy vấn DNS thông thường Nhưng truy vấn tiếp theo, câu trả lời lưu nhớ cache máy chủ DNS ISP nên thực truy vấn trả lời từ nhớ cache máy chủ, khơng ảnh hưởng đến hiệu xử lý thời gian truy vấn máy chủ 3.4.2 Phân tích xác thực Một máy chủ DNS đệ quy sử dụng ghi tài nguyên DNSKEY để xác nhận phản hồi từ máy chủ DNS có thẩm quyền cách giải mã chữ ký số chứa bản ghi tài ngun DNSSEC liên quan, sau tính tốn so sánh giá trị băm (HASH) Nếu giá trị băm nhau, cung cấp câu trả lời cho Client DNS với liệu DNS mà Client yêu cầu, chẳng hạn ghi tài nguyên (A) Nếu giá trị hash không giống nhau, trả lời thơng điệp “SERVFAIL” Hình cho thấy xác thực câu trả lời máy chủ DNS đệ quy ISP: A HASH1 DNSKEY RRSIG HASH2 DNSKEY HASH1=HASH2 Authoritative DNS Server ISP DNS Server Validated A DNS Client Hình 3: Mơ tả xác thực máy chủ DNS đệ quy ISP Hướng dẫn triển khai DNSSEC ISP 16 Trung tâm Internet Việt Nam - VNNIC Khi máy chủ DNS đệ quy (ISP DNS Server) thực phân giải xác thực truy vấn ghi A tên miển từ Client yêu cầu, thực truy vấn đến máy chủ có thẩm quyền tên miền ghi A, nhận ghi A ghi RRSIG Máy chủ DNS đệ quy cho ghi A qua hàm băm nhận kết HASH1 Nó lấy ghi DNSSEC tương ứng để giải mã chữ ký số, kết việc giải mã băm giá trị HASH2 Nếu giá trị HASH1 HASH2 giống hệt thời gian xác câu trả lời xác thực Điều có nghĩa biết câu trả lời đến từ máy chủ có thẩm quyền (xác thực), nội dung cịn ngun vẹn, khơng bị thay đổi q trình phản hồi (tính tồn vẹn) 3.5 Các bước triển khai 3.5.1 Điều kiện tiên quyết: Trước thực theo bước hướng dẫn để cấu hình BIND 9.x cho máy chủ tên miền nhớ đệm (ISP DNS Server) cho phép xác thực DNSSEC, cần đảm bảo điều kiện cần thiết sau: o Phiên BIND từ 9.7 trở lên (nên cập nhật lên phiên BIND 9.11) o Được cấu hình cài đặt với chức máy chủ tên miền nhớ đệm 3.5.2 Thêm neo tin cậy ROOT (ROOT trust anchor) Thực lấy neo tin cậy ROOT cách DIG ghi DNSKEY: # dig @8.8.8.8 DNSKEY | grep 257 172800 IN DNSKEY 257 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0= Mở chỉnh sửa tập tin cấu hình BIND (thường named.conf) thêm phần sau đây: Hướng dẫn triển khai DNSSEC ISP 17 Trung tâm Internet Việt Nam - VNNIC trusted-keys { 257 “; Trong root-trust-anchor-data phần liệu DNSKEY DNS ROOT, thường bắt đầu bằng: “AwEAAagAIKlVZrp…” Sao chép phần liệu DNSKEY DNS ROOT vừa truy vấn bước vào phần root-trust-anchor-data, lưu cấu hình chỉnh sửa 3.5.3 Kích hoạt xác thực Thêm cấu hình sau phần “option” tập tin cấu hình BIND (named.conf): dnssec-enable yes; dnssec-validation yes; # enable DNSSEC validation Lưu tập tin cấu hình đóng trình soạn thảo 3.5.4 Khởi động lại BIND Thực kiểm tra lại tập tin cấu hình khởi động lại BIND để áp dụng cấu hình: # named-checkconf /etc/named.conf # /etc/init.d/named restart Kiểm tra thông tin log để đảm bảo BIND khởi động cách xác Và thấy cảnh báo như: không tồn tập tin “managed keys”; Điều bình thường lần khời động lại BIND Tập tin “managed keys” tự động tạo 3.5.5 Kiểm tra cài đặt Tham khảo phần “3.6 Các kịch thử nghiệm” Hướng dẫn triển khai DNSSEC ISP 18 Trung tâm Internet Việt Nam - VNNIC 3.6 Các kịch thử nghiệm 3.6.1 Thử nghiệm trình duyệt tiện ích Có số trang web cung cấp tính để kiểm tra DNSSEC có kích hoạt hay khơng Ví dụ số web như: http://dnssectest.sidn.nl/test.php http://www.nic.cz/dnssec/ http://dnssec.vs.uni-due.de/ Kiểm tra trình duyệt Firefox: sử dụng “plug in” DNSSEC/TLSA Validator, tên miền bạn ký DNSSEC xuất biểu tượng nhỏ “chìa khóa màu xanh” trình duyệt Hình 4: Kết xác thực DNSSEC trình duyệt Firefox 3.6.2 Sử dụng cơng cụ dịng lệnh DIG để kiểm chứng 3.6.2.1 Kiểm tra với kết có xác thực Mục tiêu thử nghiệm để chứng minh trình xác thực máy chủ tên miền nhớ đệm (DNS Caching) xác thực cách xác câu trả lời DNS cho tên miền ký DNSSEC Trong trình thử nghiệm, thực truy vấn ghi A cho tên miền www.isc.org kiểm tra cách xác định giá trị cờ (flags) phản hồi lại, Hướng dẫn triển khai DNSSEC ISP 19 Trung tâm Internet Việt Nam - VNNIC Thực lệnh sau: # dig @192.168.1.7 www.isc.org A +dnssec +multiline ; DiG 9.10.0-P2 @192.168.1.7 www.isc.org A +dnssec +multiline ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADERHEADERHEADER