Thiết lập cơ chế bảo mật DNSSEC và DNS

Hệ thống tên miền (DNS) dịch tên miền mà người dùng có thể đọc như google.com thành địa chỉ IP của trang web mà máy có thể đọc, chẳng hạn như 172.217.3.206. Để ngăn chặn các mối đe doạ đối với miền như các hành vi tấn công đầu độc bộ nhớ đệm và giả mạo DNS, hãy thiết lập Tiện ích bảo mật DNS (DNSSEC).

Bật DNSSEC cho miền của bạn

Quan trọng:

  • Một số miền cấp cao nhất (TLD) chấp nhận các bản ghi Khoá công khai DNS (DNSKEY) thay vì bản ghi Ký uỷ quyền (DS).
  • Nếu ban đầu bạn đã mua tên miền thông qua Google Domains thì DNSSEC có thể đã được thiết lập cho bạn.

Để thiết lập DNSSEC cho miền, bạn phải thêm các bản ghi tài nguyên cụ thể vào DNS hoặc vùng chữ ký mã hoá rồi xuất bản các bản ghi đó cho miền của mình. Nếu bạn sử dụng tính năng tự động thiết lập DNSSEC của Google Domains, chúng tôi sẽ xử lý cả hai bước cho bạn. Quá trình này có thể mất đến 24 giờ để cập nhật các nội dung thay đổi trên Internet trước khi DNSSEC hoạt động.

  1. Đăng nhập vào Google Domains.
  2. Chọn miền của bạn.
  3. Ở trên cùng bên trái, hãy chọn biểu tượng Trình đơn "" sau đó DNS.
  4. Chọn Máy chủ định danh mặc định hoặc Máy chủ định danh tuỳ chỉnh.
  5. Chuyển đến thẻ hoặc hộp "DNSSEC".
    • Đối với máy chủ định danh mặc định: Hãy nhấp vào Bật. Nếu đã bật DNSSEC, bạn sẽ thấy dòng chữ "DNSSEC đang bật".
    • Đối với máy chủ định danh tuỳ chỉnh: Hãy nhấp vào Quản lý bản ghi DS rồi nhập thông tin từ nhà cung cấp DNS.
      1. Nhập các giá trị do nhà cung cấp DNS bên thứ ba cung cấp cho máy chủ định danh tuỳ chỉnh DNSSEC hoặc DNSKEY.
      2. Để thêm nhiều bản ghi cùng lúc, hãy nhấp vào Tạo bản ghi mới.
      3. Nhấp vào Lưu.

Mẹo:

  • Nếu bạn không chờ các bản ghi DNSKEY xuất bản, hãy mở rộng thẻ DNSSEC rồi nhấp vào Xuất bản các bản ghi ngay trong phần "DNSSEC".
  • Khi bạn bật DNSSEC, Google Domains sẽ tự động thêm chữ ký mã hoá vào vùng DNS của bạn rồi xuất bản bản ghi Ký uỷ quyền (DS) trong vòng 2 giờ.
Các giá trị cần thiết cho máy chủ định danh tuỳ chỉnh DNSSEC

Nếu sử dụng máy chủ định danh tuỳ chỉnh, bạn cần phải hợp tác với nhà cung cấp DNS bên thứ ba để ký vùng DNS cho miền của bạn. Đối với mỗi DNSKEY, hãy lấy các giá trị sau đây từ nhà cung cấp DNS của bạn:

  • Thẻ khóa: Giá trị số của một bản ghi DNSKEY hiện có.
  • Thuật toán: Thuật toán mã hoá dùng để tạo khoá bảo mật trong bản ghi DNSKEY, thường tương ứng với một hàm băm như RSA/SHA1.
  • Loại chuỗi đại diện: Thuật toán tạo chuỗi đại diện của bản ghi DNSKEY, hay còn gọi là thuật toán chuỗi đại diện, giá trị băm chuỗi đại diện hoặc hàm băm chuỗi đại diện.
  • Chuỗi đại diện: Giá trị băm của bản ghi DNSKEY dùng để xác định duy nhất bản ghi đó mà không tiết lộ giá trị khoá. Tuỳ theo loại chuỗi đại diện, độ dài có thể là:
    • SHA1: 40 chữ số thập lục phân
    • SHA256: 64 chữ số thập lục phân
    • SHA384: 96 chữ số thập lục phân
Các giá trị cần thiết cho máy chủ định danh tuỳ chỉnh DNSKEY

Nếu bạn sử dụng máy chủ định danh tuỳ chỉnh, hãy liên hệ với nhà cung cấp DNS bên thứ ba để đăng nhập vào vùng DNS cho miền của bạn. Đối với mỗi DNSKEY, hãy lấy các giá trị sau đây từ nhà cung cấp DNS của bạn:

  • Cờ: Thông tin giúp DNS và trình phân giải biết cách diễn giải bản ghi DNSKEY. Theo mặc định, giá trị này được đặt là 256 hoặc 257.
  • Giao thức: Cho biết phiên bản DNSSEC được dùng. Giá trị này luôn được đặt là 3.
  • Thuật toán: Cho biết loại thuật toán mã hoá dùng cho cặp khoá công khai hoặc riêng tư.
  • Khoá công khai: Khoá mà trình phân giải DNS sử dụng để xác thực những bản ghi DNS chưa bị sửa đổi.

Huỷ kích hoạt DNSSEC cho miền

  1. Đăng nhập vào Google Domains.
  2. Chọn miền của bạn.
  3. Chọn biểu tượng Trình đơn "" sau đó DNS.
  4. Chuyển đến thẻ hoặc hộp "DNSSEC".
    • Đối với máy chủ định danh mặc định: Hãy chọn Tắt.
    • Đối với máy chủ định danh tuỳ chỉnh: Bên cạnh mỗi bản ghi, hãy nhấp vào biểu tượng Xoá .
  5. Chọn Lưu.

Mẹo:

  • Đối với máy chủ định danh tuỳ chỉnh, để xoá các bản ghi tài nguyên liên quan đến DNSSEC khỏi vùng, bạn có thể hợp tác với nhà cung cấp DNS.
  • Khi bạn tắt DNSSEC, Google Domains sẽ huỷ xuất bản các bản ghi DS trong miền của bạn ngay lập tức. Sau khi nội dung thay đổi được cập nhật trên Internet, miền của bạn sẽ không còn được bảo vệ bằng DNSSEC nữa. Quá trình này có thể mất đến 48 giờ. Để hoàn tất quá trình huỷ kích hoạt DNSSEC, Google Domains có thể huỷ ký vùng DNS của bạn.

Sử dụng DNS động

Quan trọng: DNS động hoạt động với địa chỉ IPv4 và IPv6, nhưng không thể hoạt động với cả hai loại cùng lúc.

DNS động cho phép bạn chuyển hướng miền hoặc miền con đến tài nguyên phía sau một cổng vào có địa chỉ IP đã gán động. Để sử dụng DNS động, bạn phải sử dụng máy chủ định danh mặc định của Google Domains.

Nếu thiết lập DNS động bằng Google Domains, bạn có thể:

  • Tạo bản ghi A hoặc bản ghi AAAA cho miền hoặc miền con để thông báo cho các máy chủ định danh của Google biết là sẽ có một IP động.
  • Tạo tên người dùng và mật khẩu mà máy chủ lưu trữ hoặc máy chủ của bạn có thể sử dụng để cung cấp địa chỉ IP mới cho các máy chủ định danh của Google.

Sau khi thiết lập DNS động, bạn phải thiết lập một chương trình máy khách trên máy chủ lưu trữ, máy chủ hoặc cổng vào của bạn để thực hiện những việc sau:

  • Phát hiện việc thay đổi địa chỉ IP
  • Sử dụng tên người dùng và mật khẩu đã tạo
  • Cung cấp địa chỉ mới cho các máy chủ định danh của Google

Thiết lập DNS động

  1. Trên máy tính, hãy đăng nhập vào Google Domains.
  2. Chọn miền của bạn.
  3. Nhấp vào biểu tượng Trình đơn "" sau đó DNS.
  4. Chọn Máy chủ định danh mặc định của Google Domains (Đang hoạt động).
  • Nếu chọn "Máy chủ định danh tuỳ chỉnh (Đang hoạt động)", bạn đã có máy chủ định danh tuỳ chỉnh và không thể sử dụng dịch vụ DNS động của Google Domains.
  1. Nhấp vào Hiện các chế độ cài đặt nâng cao.
  2. Nhấp vào Quản lý DNS động sau đó Tạo bản ghi mới.
  3. Để gán một IP động, hãy nhập tên của miền con hoặc miền gốc.
  4. Nhấp vào Lưu.

Sau đây là một số lựa chọn khác để quản lý DNS động của bạn:

  • Để xem các giá trị của bản ghi: Bên cạnh bản ghi, hãy nhấp vào hình tam giác.
  • Để xem tên người dùng và mật khẩu đã tạo cho bản ghi này: Hãy nhấp vào Xem thông tin xác thực.
  • Để định cấu hình cổng vào hoặc phần mềm máy khách để kết nối với máy chủ định danh của Google, hãy sử dụng tên người dùng và mật khẩu đã tạo cho bản ghi đó.
  • Cách xoá bản ghi:
    1. Chuyển đến phần "Bản ghi tài nguyên".
    2. Bên cạnh "DNS động", hãy nhấp vào hình tam giác.
    3. Chọn Xoá.

Thiết lập chương trình máy khách trên cổng vào, máy chủ lưu trữ hoặc máy chủ của bạn

Có một số máy khách DNS động phổ biến đang được sử dụng, chẳng hạn như DDclient và INADYN. Hầu hết các bộ định tuyến đều có thể phát hiện các điểm thay đổi về IP và thông báo cho máy chủ định danh thông qua phần mềm tích hợp sẵn.

Định cấu hình máy khách DNS động như sau:

  • Nhà cung cấp hoặc DNS hoặc Dịch vụ: Tên nhà cung cấp DNS của bạn
  • Tên người dùng hoặc thông tin xác thực: Tên người dùng đã tạo trong bản ghi DNS động
  • Mật khẩu hoặc thông tin xác thực: Mật khẩu đã tạo trong bản ghi DNS động

Sau khi bạn tạo bản ghi và định cấu hình phần mềm máy khách, hãy kiểm tra bản ghi. Nhập miền con và miền vào trình duyệt hoặc máy khách thích hợp rồi kiểm tra để đảm bảo rằng những miền này kết nối với đúng tài nguyên.

Mẹo: Google Domains sử dụng giao thức dyndns2.

Ví dụ

DDclient hiện hỗ trợ Google Domains.

DDclient có hỗ trợ Google Domains

Các mục nhập ddclient.conf:

ssl=yes

protocol=googledomains

login=generated_username

password=generated_password

your_resource.your_domain.tld

Ví dụ về cấu hình máy khách chung:

DDclient
không hỗ trợ Google Domains
INADYN

Các mục nhập ddclient.conf mẫu:

protocol=dyndns2

use=web

server=domains.google.com

ssl=yes

login=generated_username

password=generated_password

your_resource.your_domain.tld

Thêm các mục sau vào inadyn.conf

system default@domains.google.com

username generated_username

password generated_password

alias sub.domain.tld

Cập nhật bản ghi DNS động bằng API

Phần mềm máy khách DNS động tự động cập nhật bản ghi DNS động của bạn. Bạn có thể cập nhật theo cách thủ công qua API bằng cách gửi yêu cầu POST hoặc GET đến URL sau:
domains.google.com/nic/update
API này yêu cầu giao thức HTTPS. Dưới đây là yêu cầu mẫu:
https://username:password@domains.google.com/nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4

Đặt tác nhân người dùng

Quan trọng: Bạn cũng phải đặt tác nhân người dùng trong yêu cầu của mình.

Trong quá trình kiểm tra bằng URL ngay ở trên, domains.google.com/nic/update, các trình duyệt web thường sẽ thêm tác nhân người dùng cho bạn. Truy vấn HTTP cuối cùng gửi tới máy chủ của chúng tôi sẽ tương tự như truy vấn sau:

Truy vấn HTTP mẫu:

POST /nic/update?hostname=subdomain.yourdomain.com&myip=1.2.3.4 HTTP/1.1
Host: domains.google.com
Authorization: Basic base64-encoded-auth-string
User-Agent: Chrome/41.0 your_email@yourdomain.com

Các tham số trong yêu cầu:

Tham số Bắt buộc hoặc không bắt buộc Mô tả
username:password Bắt buộc Tên người dùng và mật khẩu đã tạo được liên kết với máy chủ lưu trữ sẽ được cập nhật.
hostname Bắt buộc Tên máy chủ lưu trữ sẽ được cập nhật.
myip
  • Không bắt buộc đối với IPv4.
  • Bắt buộc nếu bạn có địa chỉ IPv6.
Địa chỉ IP được đặt cho máy chủ lưu trữ. Nếu không được cung cấp, chúng tôi sẽ sử dụng IP của tác nhân gửi yêu cầu.

Quan trọng: Nếu tác nhân của bạn sử dụng địa chỉ IPv6, thì bạn phải dùng myip. Bạn có thể kiểm tra địa chỉ IP của tác nhân tại: https://domains.google.com/checkip.

offline Tùy chọn Đặt máy chủ lưu trữ hiện tại thành trạng thái ngoại tuyến. Nếu yêu cầu cập nhật thực hiện trên máy chủ lưu trữ ngoại tuyến thì máy chủ lưu trữ đó sẽ mất trạng thái ngoại tuyến.
Các giá trị được cho phép là:
  • yes
  • no

Sau khi xử lý xong yêu cầu, hệ thống sẽ trả về một trong các phản hồi sau đây.

Quan trọng: Hãy đảm bảo rằng bạn hiểu đúng phản hồi mình nhận được, nếu không thì bạn có nguy cơ sẽ chặn máy khách khỏi hệ thống của chúng tôi.

Phản hồi Trạng thái Mô tả
good {user’s IP address} Thành công Cập nhật thành công. Bạn không nên cập nhật nữa cho đến khi địa chỉ IP thay đổi.
nochg {user’s IP address} Thành công Địa chỉ IP bạn cung cấp đã được đặt cho máy chủ lưu trữ này. Bạn không nên cập nhật nữa cho đến khi địa chỉ IP của bạn thay đổi.
nohost Lỗi Tên máy chủ lưu trữ không tồn tại hoặc chưa bật DNS động.
badauth Lỗi Tổ hợp tên người dùng/mật khẩu không hợp lệ đối với máy chủ lưu trữ được chỉ định.
notfqdn Lỗi Tên máy chủ lưu trữ được cung cấp không phải là tên miền đủ điều kiện hợp lệ.
badagent Lỗi Máy khách DNS động của bạn đưa ra yêu cầu không hợp lệ. Hãy đảm bảo bạn đã đặt tác nhân người dùng trong yêu cầu.
abuse Lỗi Quyền truy cập DNS động cho tên máy chủ lưu trữ đã bị chặn do không thể diễn giải chính xác các phản hồi trước đó.
911 Lỗi Đã xảy ra lỗi ở phía chúng tôi. Hãy đợi 5 phút rồi thử lại.
conflict A
conflict AAAA
Lỗi Bản ghi tài nguyên AAAA hoặc bản ghi tài nguyên A tùy chỉnh xung đột với bản cập nhật. Hãy xóa bản ghi tài nguyên được xác định trong trang cài đặt DNS rồi thử cập nhật lại.
Thông tin này có hữu ích không?
Chúng tôi có thể cải thiện trang này bằng cách nào?
Tìm kiếm
Xóa tìm kiếm
Đóng tìm kiếm
Các ứng dụng của Google
Menu chính
Tìm kiếm trong Trung tâm trợ giúp
true
true
true
true
93020
false
false