Sự khác nhau giữa DNS và DNSSEC

Website

DNSSEC ra đời như một giải pháp an toàn cho hệ thống phân giải tên miền DNS, đảm bảo mọi hoạt động diễn ra trên hệ thống luôn được bảo mật tuyệt đối.

Sự khác nhau giữa DNS và DNSSEC

Tìm hiểu về DNS

Chắc hẳn với những ai làm việc trong lĩnh vực công nghệ thông tin cũng từng một lần nghe qua về thuật ngữ DNS này rồi nhỉ!

DNS - Domain Name Server, được xem như một hệ thống phân giải tên miền cho các website trên Internet, được phát minh vào năm 1984.

Về căn bản, DNS là một hệ thống thường được sử dụng hỗ trợ cho việc chuyển đổi giữa các tên miền mà người dùng dễ ghi nhớ sang địa chỉ IP vật lý tương tự.

Nhờ có DNS, việc liên kết với các trang thiết bị mạng phục vụ mục đích định vị và địa chỉ hóa các thiết bị trên Internet được thực hiện thuận tiện hơn trước rất nhiều.

Sự khác nhau giữa DNS và DNSSEC

Tìm hiểu về DNSSEC

DNSSEC - DNS Security Extensions là công nghệ được an toàn mở rộng cho hệ thống DNS, thông qua cơ chế xác thực giữa các máy chủ với nhau và cho từng zone dữ liệu, nhằm đảm bảo toàn nguyên vẹn cho dữ liệu. 

Nhờ có DNSSEC, người dùng sẽ nhanh chóng truy cập đến đúng tên miền mà mình muốn, đồng thời hạn chế được những nguy cơ giả mạo DNS.

Công nghệ ngày càng phát triển, khiến tình trạng DNS bị giả mạo cũng vì thế mà tăng cao và gặp vấn đề sai lệch trong quá trình tương tác giữa máy chủ DNS với các máy trạm (Resolver) hoặc máy chủ chuyển tiếp (forwarder).

Đây cũng chính là nguyên nhân chính mà công nghệ bảo mật mới DNSSEC đã được nghiên cứu, triển khai áp dụng hỗ trợ cho DNS, trong việc bảo vệ và chống lại các nguy cơ giả mạo làm sai lệch nguồn dữ liệu. 

Sự khác nhau giữa DNS và DNSSEC

Sự khác nhau giữa DNS và DNSSEC

DNSSEC nổi tiếng là một hệ thống tên miền tân tiến do trung tâm Internet Việt Nam (VNNIC) chính thức đưa vào sử dụng năm 2016. 

Trong công nghệ này có một số điểm nổi bật to lớn về khả năng hoạt động như:

  • Có nhiều thay đối đối với bản ghi CNAME.
  • Thêm bản ghi DS vào trong một zone.
  • Có thể thêm bản ghi DNSKEY vào một zone.
  • Các bản ghi RRSIG dễ dàng được thêm vào một zone.
  • Bản ghi NSEC vào một zone có thể thực hiện dễ dàng.

Theo khái niệm đã được đề về DNSSEC, thì công nghệ này được ra đời nhằm hỗ trợ cho việc đảm bảo an toàn mở rộng cho DNS.

Do đó, khi xét về bản chất, DNSSEC sẽ có thể cung cấp các cơ chế với khả năng chứng thực và đảm bảo toàn vẹn cho dữ liệu trong hệ thống DNS, dựa trên 4 loại bản ghi mới đã được cập nhật:

  • RRSIG (Resource Record Signature) - Bản ghi chữ ký tài nguyên: Hỗ trợ việc chứng thực cho các bản ghi tài nguyên trong zone dữ liệu.
  • NSEC (Next Secure) - Bản ghi bảo mật kế tiếp: Phục vụ quá trình xác thực đối với các bản ghi có cùng sở hữu tập hợp các bản ghi tài nguyên hoặc bản ghi CNAME. Đống thời, kết hợp với bản ghi RRSIG để xác thực cho zone dữ liệu.
  • DNSKEY (DNS Public Key) - Bản ghi khóa công cộng DNS: Sử dụng nhằm mục đích chứng thực zone dữ liệu.
  • DS (Delegation Signer) - Bản ghi ký ủy quyền: Setup quá trình chứng thực giữa các zone dữ liệu, sử dụng trong việc ký xác thực trong quá trình chuyển giao DNS.

Theo đó, mục tiêu hoạt động chính của DNSSEC là không làm thay đổi tiến trình truyền dữ liệu DNS, cũng như quá trình chuyển giao từ các DNS cấp cao xuống các cấp thấp hơn.

Ngoài ra, đối với các máy trạm (Resolver) cần phải có yêu cầu đáp ứng hỗ trợ cho cơ chế mở rộng này.

Đặc biệt, trong một zone dữ liệu được ký xác thực thường sẽ chứa đựng một trong các bản ghi RRSIG, DNSKEY, NSEC và DS.

Thông qua đó, giúp cho hệ thống DNS được mở rộng thêm các tính năng bảo mật và tăng cường độ an toàn, tin cậy, khắc phục được những nhược điểm còn tồn tại trong thiết kế sơ khai. 

Đồng thời, đáp ứng tốt hơn các yêu cầu thông tin định tuyến về tên miền, giao thức làm việc giữa các máy chủ DNS với nhau, cùng những yêu cầu về bảo mật, tăng cường khả năng dự phòng cho hệ thống.

Sự khác nhau giữa DNS và DNSSEC