BỘ THÔNG TIN VÀ TRUYỀN THÔNG TRUNG TÂM INTERNET VIỆT NAM TÀI LIỆU HƯỚNG DẪN TRIỂN KHAI DNSSEC TẠI CÁC DNS HOSTING PROVIDER Quản lý phiên tài liệu: Phiên 1.0 2.0 3.0 Ngày cập nhật 10/12/2017 12/11/2018 18/9/2019 Ghi Biên soạn Cập nhật lần Cập nhật lần M C C DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ M U HƯỚNG DẪN TRIỂN KHAI DNSSEC TẠI CÁC DNS HOSTING PROVIDER DNS Hosting Provider: Phân tích, đánh giá vai trị Quy trình triển khai DNSSEC 3.1 Tổng quan quy trình thực 3.2 Rà soát hệ thống máy chủ 10 3.3 Các yêu cầu trước triển khai 12 3.4 Mơ hình triển khai 15 3.5 Xây dựng hệ thống thử nghiệm 18 3.6 Tiến hành thử nghiệm 20 3.7 ánh giá kết thử nghiệm, đề xuất triển khai thức 33 3.8 Thực triển khai hệ thống để chuyển đổi 34 3.9 Chuyển đổi thức 36 DANH M C CÁC KÝ HIỆU, CHỮ VIẾT TẮT ccTLD Country Code Top Level Domain DNS Domain Name System DNSKEY DNSSEC DS Domain Name System KEY Domain Name System Security Extensions Delegation Signer EPP gTLD Extensible Provisioning Protocol Generic Top-level Domain HSM IANA Hardware Security Module Internet Assigned Numbers Authority ICANN Internet Corporation for Assigned Names and Numbers ISP KSK Doanh nghiệp Internet Key Signing Key N K NSEC RFC Nhà đăng ký Next Secure Request for Comments RRSIG SRS TLD VNNIC ZSK Resource Record Signature Shared Registry System Top Level Domain Vietnam Internet Network Information Center Zone Signing Key DANH M C HÌNH VẼ Hình 1: Mơ hình mối tương quan hệ thống DNSSEC Hình 2: Mơ hình hệ thống DNS Hosting phổ biến 11 Hình 3: Mơ hình Inline – Signing Box-to-box 16 Hình 4: Mơ hình Inline – Signing Bump in the wire 17 Hình 5: Mơ hình ngun lý triển khai DNSSEC 17 DANH M C BẢNG BIỂU Bảng 1: Checklist rà sốt thơng tin hệ thống máy chủ DNS Hosting 11 Bảng 2: Bảng thống kê danh sách zone quản lý 11 Bảng 3: Danh sách thư mục, tập tin cần backup trước triển khai DNSSEC 12 Bảng 4: Danh sách máy chủ thử nghiệm 19 Bảng 5: Danh sách zone, tập tin liệu thử nghiệm 20 Bảng 6: Kết kiểm tra hệ thống thử nghiệm 20 M U Hệ thống DNS đóng vai trị dẫn đường Internet, coi hạ tầng lõi trọng yếu hệ thống Internet toàn cầu Do tính chất quan trọng hệ thống DNS, có nhiều công, khai thác lỗ hổng hệ thống với quy mô lớn tinh vi với mục đích làm tê liệt hệ thống chuyển hướng tên miền đến địa IP khác Trên giới từ nhiều năm có nhiều công làm thay đổi liệu tên miền, chuyển hướng website thực hiện, gây hậu nghiêm trọng ể giải nguy trên, từ năm 1990, giải pháp khắc phục nghiên cứu Năm 1995, giải pháp DNSSEC công bố tới năm 2001 xây dựng thành tiêu chuẩn RFC dự thảo, cuối IETF thức cơng bố thành tiêu chuẩn RFC vào năm 2005 DNSSEC dựa tảng mã hoá khoá công khai (PKI) tương tự hệ thống chứng thực điện tử (CA), thực ký số ghi DNS để đảm bảo tính xác thực, tồn vẹn cặp ánh xạ tên miền – địa IP, tất thay đổi ghi DNS ký số phát Kể từ chuẩn hố năm 2005, DNSSEC nhanh chóng triển khai rộng rãi mạng Internet Tại Việt Nam, việc triển khai áp dụng tiêu chuẩn DNSSEC cho hệ thống máy chủ tên miền (DNS) “.VN” giúp đảm bảo xác, tin cậy việc sử dụng, truy vấn tên miền “.VN” Internet thông qua việc áp dụng thống tiêu chuẩn DNSSEC hệ thống DNS “.VN” ảm bảo kết nối liên thông theo tiêu chuẩn DNSSEC hệ thống DNS quốc gia “.VN” với hệ thống máy chủ tên miền gốc (DNS ROOT) hệ thống DNS quốc tế ánh dấu bước chuyển biến quan trọng việc phát triển hạ tầng Internet Việt Nam, sẵn sàng đẩy mạnh phát triển dịch vụ thương mại điện tử, phủ điện tử Việt Nam cách an toàn Trung tâm Internet Việt Nam - VNNIC HƯỚNG DẪN TRIỂN KHAI DNSSEC TẠI CÁC DNS HOSTING PROVIDER DNS Hosting Provider: Là đơn vị cung cấp dịch vụ quản lý, lưu giữ hệ thống DNS cho chủ thể đăng ký tên miền có nhu cầu Trong triển khai DNSSEC, tổ chức phải hỗ trợ triển khai DNSEC khách hàng yêu cầu Các công việc thực tạo khóa (KSK, ZSK) ký lên zone tên miền họ quản lý Họ cho phép xác thực nguồn gốc toàn vẹn liệu zone mà họ quản lý thông qua việc đăng ký ghi chuyển giao (DS) lên quan đăng ký tên miền (Registry) thông qua nhà đăng ký (Registrar) Trong số trường hợp, đơn vị đơn vị nhà đăng ký tên miền Phân tích, đánh giá vai trị Thơng thường, sau cá nhân, tổ chức thực đăng ký tên miền, phải thực đăng ký chuyển giao quản lý tên miền DNS Hosting Trong trường hợp, chủ thể tên miền muốn thực triển khai ký DNSSEC cho tên miền mình, quản trị DNS Hosting phải triển khai nội dung sau: - Tạo cặp khóa cho tên miền đăng ký DNSSEC - Ký DNSSEC cho tên miền - Cập nhật ghi DS lên DNS cha (thông thường, việc thực thông qua Nhà đăng ký) - Sau đó, DNS Hosting phải thực việc quản lý, trì cặp khóa DNSSEC thực cập nhật thay đổi cần thiết Hướng dẫn triển khai DNSSEC DNS Hosting Provider Trung tâm Internet Việt Nam - VNNIC Hình 1: Mơ hình mối tương quan hệ thống DNSSEC Trong phạm vi tài liệu này, nhóm hướng dẫn cách thức để DNS Hosting triển khai hệ thống hỗ trợ DNSSEC, bước thực cập nhật ghi DS, v.v quy trình hóa quy trình nghiệp vụ VNNIC, Nhà đăng ký tên miền thông báo tới DNS Hosting Provider theo kênh nghiệp vụ Hướng dẫn triển khai DNSSEC DNS Hosting Provider Trung tâm Internet Việt Nam - VNNIC Quy trình triển khai DNSSEC 3.1 Tổng quan quy trình thực Hướng dẫn triển khai DNSSEC DNS Hosting Provider Trung tâm Internet Việt Nam - VNNIC }; - Bước 2: Thực tạo lại khóa ZKS KSK: # dnssec-keygen -r /dev/urandom -a rsasha256 -b 1024 labdnssec.vn # dnssec-keygen -r /dev/urandom -f ksk -a rsasha256 -b 2048 labdnssec.vn - Bước 3: Thơng tin khóa vừa tạo: Klabdnssec.vn.+008+05395.key Klabdnssec.vn.+008+05395.private Klabdnssec.vn.+008+18435.key Klabdnssec.vn.+008+18435.private - Bước 4: Khởi động lại dịch vụ named Nhằm mục đích áp dụng cấu hình thực ký tự động – Inline signing: # service named restart Hoặc # /etc/init.d/named stop # /etc/ini.d/named start Sau trình ký tự động – Inline signing hoàn tất, tạo tập tin dạng mã hóa sau: db.labdnssec.vn.jbk db.labdnssec.vn.jnl db.labdnssec.vn.signed db.labdnssec.vn.signed.jnl - Bước 5: Kiểm tra thông tin zone ký máy chủ DNS o Bằng câu lệnh named-checkzone [root@auth1 master]# named-checkzone -D -f raw -o labdnssec.vn /data/namedb/master/db.labdnssec.vn.signed | less zone labdnssec.vn/IN: loaded serial 2014090801 (DNSSEC signed) OK labdnssec.vn 43200 IN SOA dns1.vnnic.vn postmaster.vnnic.vn 2014090801 1800 900 604800 5400 Hướng dẫn triển khai DNSSEC DNS Hosting Provider 28 Trung tâm Internet Việt Nam - VNNIC labdnssec.vn 43200 IN RRSIG SOA 43200 20141008044419 20140908034419 18435 labdnssec.vn kQUXc+71JSakcR74scINbG4sMTEZgzmW4ZJmEwCG/FfDfw0+vS22HOAr oKPie5Y34tF+S6xmbEMKsoaJtOFImdXa027qFcun+O+3oM4PeCYQ3LWt I1UFByLE8pIbr7/MY9WwMmeVhg5WMQ2VXdkOEZwZteNjkTlBPZ8Xm9eU GKw= labdnssec.vn 43200 IN NS dns1.vnnic.vn labdnssec.vn 43200 IN NS dns2.vnnic.vn labdnssec.vn 43200 IN NS dns3.vnnic.vn labdnssec.vn 43200 IN RRSIG NS 43200 20141008034401 20140908033104 18435 labdnssec.vn m6SVwAHJ8BaqSDSjNmyzAHZE44dTlpwQRTpeBFPQGlhC2zlLqylpe+JX ZIkMZOUEdXf8Kb17iGe3ht0ukl9wcS96JPQaGnwKXFkr2TH3NSOCBvh3 E9tTV9k/lPZR/9iq5VcNMl+dSbuY7PsJaDOoG8bOyZIQCuknd6ovpmPh ffA= labdnssec.vn 43200 IN A 192.168.1.85 labdnssec.vn RRSIG 43200 IN A 43200 20141008034401 20140908033104 18435 labdnssec.vn NIpswfIc/d6j4fiupjTSpQvzbtt+AHlKwDbJPaTTyLd56QFGtHbwYROx BwaZKYLxAKDrU0GG8grEH3xiRLZBrYkFoO1CGAU4a7MbJepqAb4/vEPI o Bằng công cụ DIG tool [root@auth1 master]# dig @203.119.8.138 www.labdnssec.vn +dnssec ; DiG 9.9.5-P1 @203.119.8.138 www.labdnssec.vn +dnssec ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADERHEADERHEADER