DNS TXT Records, tựa như con dao đa năng Swiss Army Knife trong thế giới dữ liệu tên miền, vừa đa dụng lại vừa tiềm ẩn những nguy cơ. Chúng ta cùng “bao vỏ” cho lưỡi dao này một cách an toàn nhé!

Ngày còn bé, ai mà chẳng mê mẩn con dao Swiss Army Knife đầu tiên. Cảm giác như có cả thế giới trong tay! Nhưng cũng chính vì sự “nguy hiểm tiềm tàng” ấy mà nó bị cấm tiệt ở trường. Câu chuyện này khá giống với tình cảnh hiện tại của DNS TXT records.

Thời gian gần đây, giới an ninh mạng đặc biệt quan tâm đến TXT records. Chuẩn DNS TXT đã mở đường cho hàng loạt sáng kiến, tiêu biểu như công nghệ SPF và DKIM giúp ngăn chặn thư rác. Chúng được triển khai nhanh chóng mà không cần trải qua quy trình RFC (Request for Comments) phức tạp của IETF (Internet Engineering Task Force). Bên cạnh đó, TXT records còn mang đến những tiện ích thú vị khác.

Tuy nhiên, “con dao hai lưỡi” nào cũng có mặt trái. Một lỗ hổng bảo mật đáng lo ngại đã xuất hiện: tin tặc lợi dụng DNS TXT records để “ẩn náu” mã độc. Thay vì dùng các phương thức truyền thống như tải file, đính kèm email hay dụ dỗ qua USB, chúng khéo léo lắp ráp mã độc ngay trong bản ghi DNS TXT. Điều này khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn bao giờ hết.

Vậy giải pháp nào cho vấn đề này? Liệu có nên cấm TXT records trên các thiết bị đầu cuối tiềm ẩn nhiều rủi ro nhất? Để trả lời câu hỏi này, chúng ta cần phải xem xét kỹ lưỡng các trường hợp sử dụng DNS TXT một cách hợp pháp.

Việc chặn TXT records trên toàn bộ hệ thống phân giải tên miền công cộng là bất khả thi, bởi nó sẽ phá vỡ rất nhiều chức năng quan trọng. Dưới đây là một số ví dụ điển hình:

• SPF, DKIM, DMARC: xác thực email, ngăn chặn thư rác
• Xác minh quyền sở hữu tên miền: được sử dụng bởi các dịch vụ như Google Workspace, các tổ chức cấp chứng chỉ SSL, hoặc các nền tảng khác để xác minh quyền sở hữu tên miền
• Các giao thức bảo mật và xác thực như S/MIME, TLSA
• Tự động hóa phát hành chứng chỉ ACME
• Lưu trữ giá trị khóa cho các thông tin công khai, chẳng hạn như hướng dẫn cụ thể cho từng dịch vụ
• Xác định vị trí địa lý để tối ưu hóa CDN
• Xác thực giấy phép phần mềm và kiểm tra phiên bản

Tuy nhiên, việc chặn TXT records có thể thực hiện được ở cấp độ mạng nội bộ (on-premises), nơi các chính sách có thể được áp dụng riêng cho từng thiết bị hoặc nhóm thiết bị.

Vậy những loại thiết bị nào cần chức năng DNS TXT rộng rãi?

• Máy chủ ứng dụng
• Máy chủ thư (Mail Exchangers)
• Máy chủ web

Còn những thiết bị đầu cuối nào cần chức năng DNS TXT có chọn lọc?

• Thiết bị đầu cuối chạy các ứng dụng sử dụng DNS TXT để xác thực giấy phép, chẳng hạn như phần mềm diệt virus ESET
• Các ứng dụng trên thiết bị đầu cuối dựa vào phản hồi DNS TXT để kiểm tra cập nhật ứng dụng, chẳng hạn như Spinrite của Steve Gibson

Phân tích dữ liệu DNS thụ động cho thấy:

• Hơn 14.000 FQDN (Fully Qualified Domain Name) duy nhất đã có hơn 10 truy vấn TXT được thực hiện
• Mục đích hàng đầu của TXT (36% truy vấn) là cho DKIM
• Tên miền có nhiều subdomain duy nhất nhất với các truy vấn bản ghi TXT là e5.sk (được sử dụng bởi phần mềm chống vi-rút eset – hơn 1.500 tên miền duy nhất)
• Số lượng bản ghi TXT lớn nhất trên một naked domain đã đăng ký thuộc về `unilever.com` – 85 bản ghi!
• Tên miền được truy vấn (cố gắng) hàng đầu trong năm qua là các bản ghi TXT cho `smaato_sdk_remote_config.json.sdk-files.smaato.net`
• Rò rỉ địa chỉ IP riêng tư đáng lo ngại trong FQDNS, ví dụ: các địa chỉ đáng lo ngại nhất trông giống như `0_b.192.168.0.45_–7003_-.tm_-.afr_-.blank.html.b4ff.ac-[redacted].v4.url.zvelo.com`
• Các truy vấn `id.server`, một số lượng đáng báo động, vì nó dành cho một hậu tố không công khai và hy vọng điều này sẽ không bao giờ trở thành TLD hợp lệ nếu không ai đó sẽ vũ khí hóa thực tế này
• Giá trị bản ghi TXT với giá trị `BITTORRENT UDP:80` để chuyển tín hiệu http-to-udp bittorrent
• Bản ghi TXT cho đường hầm DNS – ví dụ: Ứng dụng SlowDNS trên Android
• Bản ghi TXT để lắp ráp phần mềm độc hại và C2 (theo nghiên cứu của DomainTools và Infoblox ở trên)

Giải pháp an ninh được đề xuất là: chặn tất cả, cho phép một số.

Cho phép chặn các loại bản ghi tài nguyên theo chính sách (TXT hiện là trường hợp sử dụng duy nhất).

Cho phép miễn trừ theo quy tắc/tên miền – điều này được thực hiện bằng cách tạo một quy tắc chuyển tiếp đồng thời miễn trừ việc lọc loại Bản ghi tài nguyên (rrtype) của chính sách, ngăn chặn tấn công DNS rebinding. Do đó, các tên miền nội bộ, thường được sử dụng cho nhiều DNS-SD khác nhau (sử dụng bản ghi TXT), hoàn toàn hoạt động trong khi đồng thời không gây ra bất kỳ rủi ro nào về hành vi xấu.

Cách tiếp cận này đạt được tính linh hoạt tối đa với bảo mật tối đa và an toàn hoàn toàn vì nó liên quan đến việc bảo vệ chống lại sự lạm dụng bản ghi TXT DNS.

Tóm lại, DNS TXT Records là một công cụ mạnh mẽ nhưng cũng tiềm ẩn nhiều rủi ro. Việc hiểu rõ cách thức hoạt động và các biện pháp phòng ngừa là vô cùng quan trọng để bảo vệ hệ thống mạng của bạn.

Giải thích thuật ngữ:

• DNS TXT Record: Bản ghi TXT trong DNS (Domain Name System) cho phép bạn lưu trữ văn bản tùy ý liên kết với một tên miền.
• SPF (Sender Policy Framework): Một giao thức xác thực email giúp ngăn chặn giả mạo địa chỉ người gửi.
• DKIM (DomainKeys Identified Mail): Một giao thức xác thực email sử dụng chữ ký số để xác minh tính toàn vẹn của email.
• DMARC (Domain-based Message Authentication, Reporting & Conformance): Một giao thức xác thực email dựa trên SPF và DKIM, cho phép chủ sở hữu tên miền chỉ định cách xử lý các email không vượt qua kiểm tra xác thực.
• IETF (Internet Engineering Task Force): Tổ chức phát triển và thúc đẩy các tiêu chuẩn Internet.
• RFC (Request for Comments): Một loại tài liệu được sử dụng để mô tả các tiêu chuẩn, giao thức, quy trình và thông tin chung về Internet.
• Malware: Phần mềm độc hại được thiết kế để gây hại cho hệ thống máy tính.
• DomainTools: Một công ty cung cấp thông tin và công cụ về tên miền.
• Infoblox: Một công ty cung cấp các giải pháp về DNS, DHCP và IP address management (DDI).
• Endpoints: Các thiết bị đầu cuối như máy tính, điện thoại, máy tính bảng kết nối vào mạng.
• Public Resolver: Máy chủ DNS công cộng, cung cấp dịch vụ phân giải tên miền cho người dùng Internet.
• Cloudflare for Families: Một dịch vụ DNS công cộng miễn phí của Cloudflare, được thiết kế để bảo vệ gia đình khỏi nội dung độc hại và không phù hợp.
• On-premises: Cơ sở hạ tầng CNTT được đặt tại chỗ, trong trung tâm dữ liệu của tổ chức, thay vì sử dụng dịch vụ đám mây.
• Application Servers: Máy chủ ứng dụng, nơi các ứng dụng được chạy và quản lý.
• Mail Exchangers: Máy chủ thư, chịu trách nhiệm nhận và gửi email.
• Web hosts: Máy chủ web, nơi lưu trữ các trang web.
• FQDN (Fully Qualified Domain Name): Tên miền đầy đủ, bao gồm cả tên máy chủ và tất cả các tên miền cha của nó.
• Subdomain: Một phần của tên miền chính.
• Naked domain: Tên miền không có tiền tố “www”.
• DNS tunneling: Kỹ thuật sử dụng giao thức DNS để truyền dữ liệu không phải DNS.
• C2 (Command and Control): Cơ sở hạ tầng mà tin tặc sử dụng để điều khiển và chỉ đạo các máy tính bị nhiễm mã độc.
• ADAMnetworks: Một công ty cung cấp các giải pháp an ninh mạng.
• DNS rebinding attack: Một loại tấn công mạng trong đó kẻ tấn công lợi dụng DNS để truy cập vào các tài nguyên trên mạng nội bộ.
• DNS-SD (DNS Service Discovery): Một giao thức cho phép các thiết bị và dịch vụ trên mạng tự động tìm thấy nhau.
• rrtype (Resource Record type): Loại bản ghi tài nguyên trong DNS.