DNSSEC (دامنه امنیت نام دامنه سیستم) روشی استاندارد برای تبادل اطلاعات در سیستم نام دامنه (DNS) است. اطلاعات DNS به منظور جلوگیری از دستکاری داده های DNS به صورت دیجیتالی امضا می شود. نحوه کارکرد DNSSEC ، گستردگی آن در اینترنت و چگونگی استفاده شرکتها از آن را می توانید در این مقاله بخوانید.
"واقعیت این است که بدون DNS هیچ اینترنت به شکلی که امروز می شناسیم وجود نخواهد داشت. هیچ کاربری نمی تواند با چهار میلیارد آدرس IP دستکاری کند ، اما با نام دامنه های جذاب مانند adacor.com. برای اینکه کامپیوترها بتوانند آدرس های اینترنتی را پردازش کنند ، باید به اعداد قابل خواندن توسط ماشین تبدیل شوند. این وظیفه توسط سیستم نام دامنه (DNS) به عهده گرفته شده است "، این همانگونه است كه همكار من مارك هاینز آن را در مقاله خود" استفاده از DNS در فن آوری شبكه "خلاصه می كند.
در آغاز كار ، اینترنت به این بزرگی نبود یا به اندازه امروز حیاتی است. در آن زمان ، DNS با توجه به اصل اعتماد توسعه یافته است و رمزگذاری اطلاعات DNS به طور خودکار تا به امروز انجام نمی شود. در نتیجه ، DNS کاملاً ایمن نیست و از نقاط ضعفی مانند DNS cache poisoning برخوردار است.
DNS poisoning cache
DNS به طور پیش فرض امن نیست. وقتی کسی درخواست DNS را انجام می دهد ، هرگونه پاسخی را که دریافت می کند بدون زیر سوال بردن صحت آن می پذیرد. این یک نقص امنیتی در خدماتی برجای می گذارد که ما هر روز از آن استفاده می کنیم. برای سرعت بخشیدن به کارها ، حلالهای بازگشتی از حافظه پنهان برای نگه داشتن لیستی از آدرسهایی که بیشتر در دسترس هستند استفاده می کنند. هنگامی که یک هکر داده های جعلی DNS را به حل کننده بازگشتی می فرستد ، داده ها برای مدت زمان مشخصی در حافظه پنهان می شوند تا تمام درخواست های DNS انجام شده در این مدت پاسخ های جعلی دریافت کنند. این امر به عنوان مسمومیت حافظه نهان DNS نیز شناخته می شود.
به منظور مقابله با این نقاط ضعف و تأمین امنیت مناطق DNS منفرد ، DNSSEC بر اساس رمزگذاری با کلیدهای عمومی و خصوصی ایجاد شد. از DNSSEC می توان برای جلوگیری و سو استفاده از داده ها ، صحت و صحت داده های DNS را بررسی و تأیید کرد.
DNSSEC یکپارچگی پاسخ DNS را بررسی می کند و هنگام مبادله اطلاعات از طریق DNS ، امنیت را تضمین می کند.
تعریف و تاریخچه DNSSEC
DNSSEC مخفف Domain Name System Security Extensions است ، روشی استاندارد شده در چندین درخواست نظرات (RFC) برای تبادل اطلاعات در DNS.
درخواست نظر (RFC)
RFC یک سند رسمی از گروه ویژه مهندسی اینترنت (IETF) است که نتیجه تهیه کمیته و بررسی بعدی توسط طرف های علاقه مند است. برخی از RFC ها ماهیتی آموزنده دارند. از بین کسانی که قرار است به استانداردهای اینترنت تبدیل شوند ، نسخه نهایی RFC به استاندارد تبدیل خواهد شد ، هیچگونه اظهار نظر یا تغییر دیگری مجاز نیست. با این وجود ، می توان با RFC های بعدی تغییراتی ایجاد کرد که جایگزین یا شرح کامل تمام یا بخشی از RFC های قبلی شود.
هدف DNSSEC این است که به حلال ها امکان تأیید منشا و یکپارچگی پاسخ DNS را بدهد. به بیان ساده تر: DNSSEC قرار است اطمینان حاصل کند که پاسخ DNS که رایانه درخواست کننده دریافت می کند دقیقاً همان پاسخی است که توسط صاحب منطقه دامنه ارائه شده است. برای این منظور ، اطلاعات he DNS با گواهینامه های دیجیتال امضا می شود. استفاده از کلیدهای عمومی و خصوصی براساس مفاهیم زیرساخت کلید عمومی (PKI) است.
فناوری DNSSEC در اواخر دهه 1990 شروع به کار کرد. پس از بازبینی اولین آسیب پذیری ، نسخه منتشر شده در سال 2005 امروز در حال استفاده است. در سال 2010 ، معرفی دامنه نام سیستم دامنه امنیتی در اینترنت در سطح ریشه آغاز شد. از سال 2013 ، از اعتبار سنجی Google DNSSEC برای سeriesالات موجود در حلال های DNS عمومی Google پشتیبانی کرده است. در سال 2019 ، ICANN (شرکت اینترنتی برای اسامی و شماره های اختصاص داده شده) همچنین به تهدید قسمت های مهم زیرساخت DNS اشاره کرده و استفاده از DNSSEC را ارتقا می دهد.
گسترش DNSSEC
علیرغم سابقه طولانی و اگر بازیکنان زیادی در جامعه اینترنت درگیر باشند ، استفاده از DNSSEC هنوز گسترده نیست. در مقایسه با آن ، ما فقط به گسترش 25 درصدی در سراسر جهان رسیده ایم. با کمی کمتر از 31 درصد ، اروپا با 39 درصد در رتبه دوم بعد از اقیانوسیه قرار دارد. آمریکا با 28.08 درصد در رتبه سوم قرار دارد. در سطح ایالت ، با یک 96.85 درصد پیشگام است. فنلاند ، سوئد و دانمارک در اروپا پیشتاز هستند ، آلمان تنها با 55.74 درصد پیشرفت داشته است. یک نمودار واضح از لیست را می توان در اینجا یافت.
دلایل مختلفی برای توزیع ناهموار DNSSEC وجود دارد. طبق یک نظرسنجی در سوئد ، عمده موفقیت در آنجا را می توان به این واقعیت نسبت داد که رجیستری سوئدی دامنه سطح بالا کد کشور (ccTLD) .se را در مراحل اولیه امضا کرد. علاوه بر دوره های آموزشی گسترده ، به ثبت کننده هایی که مناطق خود را امضا کرده اند یارانه نیز داده می شود. علاوه بر این ، دیدارهایی صورت گرفت (جلسات تبادل فنی و جلسات مطالعه) که در آن چندین ارائه دهنده ارتباطات راه دور بزرگ ، که در ابتدا از اعتبار سنجی DNSSEC پشتیبانی می کردند ، تجربیات خود را با ارائه دهندگان شبکه های کوچک و متوسط تبادل کردند. در ، مرجع تنظیم مقررات دولتی CITC شاخص های مهم عملکردی را برای میزان نفوذ اعتبار سنجی DNSSEC و اعتبار تعیین شده برای ارائه دهندگان خدمات اینترنتی تعریف کرده است. .
به طور خلاصه ، روشن است که مشوق های بیشتر ، ایجاد آگاهی فعال و دولت برای ترویج انتشار DNSSEC در سراسر جهان پشتیبانی لازم است. برای تأمین این نیاز برای روشن شدن ، ما می خواهیم مزایا ، اما همچنین محدودیت های DNSSEC را با یک مثال عملی روشن کنیم.
اثربخشی و محدودیت های DNSSEC
ما می توانیم مزایای DNSSEC را با استفاده از نمونه ای از ایمیل برای توضیح دادن. هنگام ارسال نامه الکترونیکی ، فرایند زیر انجام می شود – به شکل ساده: مشتری DNS برای یافتن سرور نامه آدرس گیرنده ، جستجوی DNS را برای دامنه مورد نظر انجام می دهد. سپس سرور ایمیل سرویس گیرنده پاسخی دریافت می کند و ایمیل برای گیرنده ارسال می شود. اگر رکورد MX در مثال ما به خطر بیفتد و تحت کنترل یک مهاجم به رکورد MX تبدیل شود ، ایمیل به دست اشتباه می افتد.
با استفاده از DNSSEC می توانید از دستکاری داده های DNS به این روش جلوگیری کنید. سوابق منابع با کمک کلیدهای خصوصی به صورت دیجیتالی امضا می شوند. گیرندگان با استفاده از کلیدهای عمومی ارائه شده ، صحت امضاها را بررسی می کنند. هنگام ارسال ایمیل با DNSSEC فعال ، سرویس گیرنده DNS جستجوی DNS را برای ضبط MX از دامنه مورد نظر که با DNSSEC امضا شده است (امضای رمزنگاری اضافه شده) انجام می دهد. سرور ایمیل سرویس گیرنده پاسخی دریافت می کند و برای تأیید منطبق بودن امضاها ، بررسی DNSSEC را انجام می دهد. اگر همه چیز درست باشد ، ایمیل ارسال می شود.
در مثال ما ، متوجه می شویم که رکورد MX توسط یک مهاجم تغییر کرده و ایمیل ارسال نمی شود. به همین ترتیب ، بازدیدکنندگان یک وب سایت دیگر در معرض حمله انسان در حمله نیستند و می توانند مطمئن باشند که هنگام دسترسی به یک وب سایت به سرورهای مخرب هدایت نخواهند شد.
Man-in-the – حمله میانی (MITM)
جعل DNS یا هواپیماربایی DNS نوعی MITM است. این حملات عمدتاً با تغییر یا جعل ورودی های DNS مشخص می شود که گفته می شود از سرور نام مسئول با استفاده از جعل IP سرچشمه می گیرند. در نتیجه ، ترافیک آنلاین به یک سرور دیگر ارسال می شود ، جایی که مهاجم می تواند از داده ها به عنوان بخشی از حمله فیشینگ یا داروسازی استفاده کند.
نتیجه گیری: DNSSEC از ارتباطات DNS به طور موثر و پایدار محافظت می کند
علیرغم یا شاید به دلیل سابقه طولانی ، DNS دارای ضعف هایی در امنیت تبادل اطلاعات است. انواع مختلف حمله ، مانند مسمومیت کش DNS یا کلاهبرداری DNS ، می تواند ترافیک داده ها را به سمت سرور کلاهبردار هدایت کند. به همین دلیل ، روش رمزنگاری DNSSEC از اواخر دهه 1990 توسعه یافته است ، که با آن می توان منشا و یکپارچگی پاسخ DNS را بررسی کرد و می توان از حملات جلوگیری کرد. اگرچه سازمانهای اینترنتی مانند ICANN خواستار استفاده از DNSSEC و حلالهای DNS عمومی مانند Google برای سالهای زیادی از DNSSEC پشتیبانی کرده اند ، شیوع در اروپا و سراسر جهان هنوز خیلی کم است.
در Adacor ، DNSSEC می تواند برای تعداد زیادی فعال شود پایان دامنه ما برای هر نمونه کارها دامنه راه حل بهینه پیدا می کنیم و به طور فعال از آنها در تنظیم و نگهداری پشتیبانی می کنیم. اگر شما علاقه مند به استفاده از DNSSEC برای دامنه های خود هستید ، کارشناسان ما خوشحال خواهند شد که به شما مشاوره دهند تا مجموعه دامنه شما در برابر حملات DNS محافظت شود.
. -technik
