Cuộc tranh luận về DNSSEC (Domain Name System Security Extensions) đã trở nên căng thẳng hơn trong cộng đồng công nghệ, với các chuyên gia bảo mật ngày càng đặt câu hỏi liệu lợi ích của giao thức này có biện minh được cho chi phí triển khai và độ phức tạp hay không. Mặc dù DNSSEC được thiết kế để bảo vệ chống lại các cuộc tấn công chiếm quyền DNS, việc áp dụng nó vẫn ở mức thấp một cách dai dẳng sau hơn 25 năm phát triển.
Ngăn Chặn Tấn Công Thực Tế vs. Vấn Đề Triển Khai Thực Tiễn
Những người ủng hộ DNSSEC chỉ ra các trường hợp được ghi nhận mà giao thức này có thể đã ngăn chặn những tổn thất tài chính đáng kể. Một cuộc tấn công chiếm quyền BGP năm 2018 nhắm vào máy chủ DNS Route53 của Amazon đã dẫn đến việc mất trộm 152.000 đô la Mỹ tiền điện tử, một sự cố mà DNSSEC về mặt lý thuyết có thể đã ngăn chặn bằng cách xác thực các phản hồi DNS. Tuy nhiên, những người chỉ trích cho rằng những kịch bản tấn công đặc biệt như vậy không biện minh được cho khoản đầu tư cơ sở hạ tầng khổng lồ cần thiết cho việc triển khai rộng rãi.
Độ phức tạp của giao thức đã dẫn đến nhiều sự cố ngừng hoạt động nổi bật. Các nền tảng lớn như Slack đã trải qua sự gián đoạn dịch vụ 24 giờ do cấu hình sai DNSSEC, tạo ra những gì các chuyên gia trong ngành gọi là sự cố mức độ nghiêm trọng 1 có thể đe dọa giấy phép kinh doanh của các công ty có thỏa thuận mức độ dịch vụ nghiêm ngặt.
Chiếm quyền BGP (Border Gateway Protocol) liên quan đến việc kẻ tấn công chuyển hướng lưu lượng internet bằng cách công bố sai quyền sở hữu địa chỉ IP, trong khi chiếm quyền DNS thao túng việc phân giải tên miền để chuyển hướng người dùng đến các máy chủ độc hại.
Ví dụ về Ngăn chặn Tấn công:
- Tấn công BGP Hijack năm 2018: Nhắm mục tiêu Amazon Route53 , dẫn đến việc đánh cắp 152.000 USD tiền điện tử
- Phương thức tấn công: Tấn công BGP hijacking kết hợp với thao túng DNS để có được chứng chỉ SSL gian lận
- Tác động của DNSSEC: Về mặt lý thuyết có thể đã ngăn chặn được vector tấn công cụ thể này
Tỷ Lệ Áp Dụng Kể Một Câu Chuyện Khác
Bất chấp nhiều năm vận động, việc áp dụng DNSSEC vẫn dưới 4% ở Bắc Mỹ khi đo bằng các vùng DNS. Thậm chí còn đáng chú ý hơn, các công ty công nghệ lớn và tổ chức tài chính phần lớn tránh triển khai nó. Nghiên cứu cho thấy rằng đại đa số các ngân hàng lớn trên toàn thế giới chưa triển khai DNSSEC, cho thấy rằng các tổ chức có ngân sách bảo mật đáng kể không coi đây là ưu tiên.
Các công ty mà bạn đang chế giễu là không nghiêm túc về bảo mật nói chung chi tiêu nhiều hơn đáng kể cho bảo mật so với các công ty đã áp dụng nó.
Tỷ lệ áp dụng thấp này xảy ra ngay cả khi các biện pháp bảo mật DNS thay thế như DNS-over-HTTPS (DoH) được chấp nhận rộng rãi, cho thấy rằng thị trường đã tìm thấy các giải pháp khác thực tế hơn để triển khai.
Thống kê Áp dụng DNSSEC:
- Tỷ lệ áp dụng tại Bắc Mỹ: Dưới 4% các vùng DNS
- Các công ty Fortune 500: Mức độ áp dụng tối thiểu mặc dù có ngân sách bảo mật lớn
- Các ngân hàng lớn trên toàn thế giới: Đại đa số chưa triển khai DNSSEC
- Xu hướng: Tỷ lệ áp dụng đã giảm trong những năm gần đây tại một số khu vực
Hạn Chế Kỹ Thuật và Giải Pháp Thay Thế
DNSSEC hoạt động như một giao thức máy chủ-tới-máy chủ, có nghĩa là trình duyệt người dùng cuối không trực tiếp xác minh chữ ký mà thay vào đó tin tưởng vào một bit duy nhất trong tiêu đề phản hồi DNS. Hạn chế thiết kế này làm giảm hiệu quả của nó so với các giải pháp mã hóa đầu-cuối-đầu-cuối. Những người chỉ trích cũng lưu ý rằng hầu hết việc chiếm quyền vùng DNS xảy ra thông qua việc chiếm tài khoản tại các nhà đăng ký thay vì việc chặn lưu lượng trên đường truyền mà DNSSEC giải quyết.
Yêu cầu ký ngoại tuyến và cơ chế từ chối được xác thực của giao thức tạo ra độ phức tạp vận hành mà nhiều tổ chức thấy khó quản lý một cách an toàn. Xác thực đa góc độ bởi các cơ quan chứng chỉ và các biện pháp bảo mật nhà đăng ký được cải thiện có thể cung cấp sự bảo vệ thực tế hơn chống lại các cuộc tấn công mà DNSSEC nhằm ngăn chặn.
Các sự cố DNSSEC đáng chú ý:
- Slack (2021): Gián đoạn dịch vụ 24 giờ do cấu hình sai DNSSEC
- Nhiều sự cố khác: Các trường hợp được ghi nhận về các nền tảng lớn bị ngừng hoạt động do lỗi triển khai DNSSEC
- Yếu tố rủi ro: Cấu hình sai có thể tạo ra các sự cố "mức độ nghiêm trọng 1" ảnh hưởng đến hoạt động kinh doanh
Con Đường Phía Trước
Trong khi các nhà nghiên cứu bảo mật thừa nhận rằng DNS cần các cơ chế bảo vệ tốt hơn, nhiều người đề xuất rằng thiết kế mật mã thời đại những năm 1990 của DNSSEC có thể không phải là giải pháp phù hợp cho internet ngày nay. Một số đề xuất quay lại bàn vẽ để phát triển các giao thức dễ triển khai đúng cách hơn và khó cấu hình sai một cách thảm khốc hơn.
Cuộc tranh luận đang diễn ra phản ánh một thách thức rộng lớn hơn trong an ninh mạng: cân bằng giữa các cải tiến bảo mật lý thuyết với rủi ro và chi phí triển khai thực tế. Khi internet tiếp tục phát triển, câu hỏi vẫn còn là liệu DNSSEC sẽ tìm được chỗ đứng của mình hay bị thay thế bởi các giải pháp thay thế thân thiện với người dùng hơn đạt được các mục tiêu bảo mật tương tự.
Tham khảo: Why do we need DNSSEC?