DNSSEC چیست؟

DNSSEC چیست؟

یکی از تلاش های تدافعی گسترده ای که به تازگی صورت گرفته Domain Name System)DNS) است. پروتکلی که در اینترنت استفاده می شود تا اسامی کاربرپسند وب سایت ها مانند www.yahoo.com را به آدرس های IP عددی (مانند ۷۲٫۱۳٫۳۶٫۱۲۶) که برای مسیر یابی ترافیک لازم است تبدیل کند. پروتکل DNS در یک برهه زمانی کاملا متفاوت طراحی شده است، یعنی هنگامی که اینترنت پایگاه کاربر کوچک تر و قابل اعتمادتری داشت و امنیت موضوعی بود که اهمیت چندانی نداشت، از این رو Internet Engineering Task Force ‪(IETF)‬ مجموعه ای الحاقات امنیتی برای آن طراحی نمود. این الحاقات در مجموع با عنوان Domain Name System Security Extensions )DNSSEC) نامیده می شوند که دو نوع خاص از حملات DNS را کاهش می دهند.

مقدمه

گاهی اوقات دنیای امنیت اینترنت شباهت بسیاری با بازی شطرنج می یابد. در یک طرف هکرها و تبهکارانی هستند که دائما در جستجوی نقاط ضعف می گردند و در طرف دیگر متخصصان امنیتی که دائما تاکتیک هایی را برای پشتیبانی و حفاظت از منابع تهیه می بینند. گاهی مانند یک مبارزه مسلحانه می شود، یک جنگ پایان ناپذیر که در آن هر طرف به دیگری حمله کرده و از خود دفاع می کند تا تاکتیک های هوشمندانه تری را به کار برده و به طور مداوم استراتژی های خود را ارتقا دهد.اگر هر دو طرف از نقص ها و نقاط آسیب پذیر آگاه باشند، سوء استفاده از این نقص و یا از بین بردن آن بسیار مشکل می شود.

DNSSEC

با تکامل اینترنت در میان محققان و دانشگاهیان در محدوده مورد نیاز در تجارت، برخی محققان امور امنیتی به نحو هوشمندانه ای فعالیت های تخصصی خود را معطوف به کشف نقاط آسیب پذیری اینترنت نمودند تا اجازه ندهند که اول هکرها این نقایص را پیدا کنند. بدین ترتیب بود که یکی از این محققان راهی را پیدا کرده و به نمایش گذاشت که به وسیله آن امکان هدف قرار دادن آسیب پذیری پروتکل DNS وجود داشت. با سرعت و سهولتی که هم اکنون آسیب پذیری ها مورد سوء استفاده قرار می گیرند و تبلیغات ناشی از آن، تمایل فزاینده و آگاهی از نیاز به استفاده از DNSSEC را نشان می دهد.

DNSSEC چگونه کار می کند؟

در برابر چه آسیب پذیری هایی از شبکه پشتیبانی می کند؟ حرکت بعدی که صنایع تکنولوژی و امنیتی باید برای تضمین امنیت و پشتیبانی کافی انجام دهند چیست؟ بر طبق گزارش تحقیقاتی نوامبر ۲۰۱۰ IDG در بررسی ۴۰۰ متخصص فنی و امنیتی، تنها ۵۰ درصد پاسخگویان با DNSSEC آشنایی داشتند. پایان بازی تا حدی آشکار است، در آن گسترش DNSSEC نیازمند تلاش هماهنگ میان گروه های مختلف است. این شامل چه تلاش هایی است و چه کسانی آن را انجام می دهند و از به کارگیری صحیح آن صنایع می توانند چه مزیت هایی را انتظار داشته باشند؟

DNSSEC چگونه از DNS حفاظت می کند؟

در اینجا ابتدا به اندکی توضیحات درباره پیش زمینه DNS پرداخته می شود DNS از مدل کلاینت/سرور با به کارگیری عناصر زیر استفاده می کند.
STUB RESOLVER.‎ این نقطه جایی است که کلاینت DNS در آن اطلاعات DNS را جستجو می کند. می توانید آن را تقریبا در تمام دستگاه هایی که به اینترنت متصل می شوند پیدا کنید.

AUTHORITATIVE NAME SERVER این مورد ارگانی را که اطلاعات DNS را در اختیار دارد به جهان معرفی می کند.
RECURSIVE NAME SERVER Stub resolver کوئری های DNS خود را به یک recursive name server ارسال می کند که لزوما جابجایی های DNS را انجام می دهد. کوئری های DNS را از تمام انواع دستگاه ها پذیرفته و پاسخ ها را با ارسال کوئری های DNS خود به چندین authoritative server پیگیری می کند. از آنجایی که مراجعاتی را که به جای کلاینت ها انجام می دهد ممکن است نیازمند چندین مرحله تکراری باشند.

recursive name server نتایج همه پاسخ ها را به خاطر سپرده یا ذخیره می کند بدین ترتیب می تواند از این اطلاعات ذخیره شده برای بالا بردن سرعت پاسخگویی استفاده کند.recursive neme server ها در هر جایی که دستگاه های بسیاری برای اتصال به اینترنت وجود داشته باشد که نیاز به رزولوشن DNS داشته باشند، یافت می شوند.

برای مثال ISP ها recursive name server ها را به کار می برند تا کوئری های کاربران broadband خود را کنترل نمایند و شرکت ها آنها را اجرا می کنند تا به سوالات دستگاه های شبکه های خود پاسخ دهند.

برای بالا بردن امنیت، DNSSEC یک امضای دیجیتال به اطلاعات ذخیره شده داخل DNS اضافه می کند. این امضای دیجیتالی به منظور تایید اعتبار اطلاعات، بررسی و اعتبار سنجی می شود – مثلا، برای بررسی اینکه آدرس IP بدست آمده پس از پیگیری اسم وبسایت در DNS ، کاربر را به مقصدهای مورد نظر هدایت می کند DNSSEC اطمینان حاصل می کند که داده DNS صحیح است.

بدین ترتیب ترافیک اینترنت (ای- میل، تبادلات میان یک سایت تجارت الکترونیک یا سایر سرویس های اینترنت) به سرورهای مناسب مسیردهی شده و به سمت سایت های غیرمجاز منحرف نمی شود DNSSEC دربرابر حملات شخص واسط و مسموم نمودن کش ، نمونه هایی که در آنها یک تبهکار سعی در وارد نمودن داده های مضر، یا مسموم، برای گمراه نمودن کاربران نهایی دارد، پشتیبانی می کند.

به کارگیری DNSSEC:

یک تلاش همگانی
برای اینکه به کارگیری DNSSEC موفقیت آمیز باشد، تمام کسانی که در اینترنت و اکوسیستم DNS حضور دارند باید در این تلاش گروهی شرکت کنند. این افراد بیشتر از رجیستریها هستند – اپراتورهایی که بر دامین های خاص سطح بالا مانندeduو org نظارت می کنند. در میان دیگر شرکت کنندگان ، ثبت کنندگانی حضور دارند که اسامی دامین سطح دو را رجیستر و مدیریت می کنند مانند ISP هایی که با کاربران نهایی در تعاملند. ولی این تمام ماجرا نیست، برای کاربردهایی با اهمیت به روز رسانی های امنیتی سایر اجزای اصلی از جمله سازندگان دستگاه های شبکه و شرکت های نرم افزاری که ابزارهای مدیریتی و مرورگرها را تولید می کنند نیز وارد این جریان می شوند.
مانند هر برنامه شبکه ای – یا حتی خود اینترنت – هر چه افراد بیشتری وارد شوند، اطلاعات ارزشمند بیشتری منتقل می شود؛ این “تاثیر شبکه” است.

ICANN ‪(Internet Corporation for Assigned Names and NumbersVerisign)‬ و اتحادیه تجارت الکترونیک ایالات متحده با همکاری با اتحادیه فعالیت های اینترنتی در جولای ۲۰۱۰ با امضای اساس نامه این پروسه را آغاز کردند. حداقل ۵۰ دامین سطح بالا از کشورهای خاص تا به امروز DNSSEC را امضا کرده اند و بسیاری دیگر در راهند.

در قسمت های پایین تر زنجیره همان طور که انتظار می رفت، پیشرفت کمتر بود. طبق گزارش Forrester Research در ژوئن ۲۰۱۰ هنوز چند دغدغه تکنیکی باقی است

– اینکه سازمان ها چگونه اطلاعات DNS خود را امضا کرده و کلیدهای لازم برای DNSSEC را مدیریت می کنند. در حقیقت گسترش و استفاده از DNSSEC یک شبه انجام نمی شود. برخی شرکت کنندگان اصلی، به خصوص سازندگان سخت افزار اظهار نگرانی کرده اند که DNSSEC باعث می شود که برخی بسته های پاسخ DNS از محدوده اندازه  استاندارد پیام DNS که ۵۱۲ بایت است، بیشتر شوند. در چنین شرایطی بسته های DNSSEC احتمالا از بین می روند.

آزمایش کردن برای گسترش و استعمال موفقیت آمیز، یک اصل کلیدی است. در دانشگاه CMU ‪(Carnegie Mellon University)‬ تیمی در مورد DNSSEC آزمایشی انجام دادند که در آنEducauseرجیستری وVersignخدمات پشتیبانی محدوده .eduرا انجام می داد. هدف این آزمایش بررسی این مورد بود که هنگام تغییر کلید دیجیتالی اشکالی پیش خواهد آمد یا خیر.

برخی استدلال کرده اند که DNSSEC برای فعال سازی و تضمین اعتبار، پیچیدگی بیشتری ایجاد می کند و برای DNS قابلیت یکپارچگی به همراه می آورد، همچنین تاکید می کنند که ارتقای امنیت هیچ گاه بدون صرف هزینه میسر نخواهد بود.
در مقاله ای در ژانویه ۲۰۱۰، Educauseتاکید می کند. که پاده سازی و به کار گیری کامل DNSSEC نیازمند حجم زیاد کاری در هر گوشه اینترنت خواهد بود – امضا نمودن اساس نامه و TLD ها تنها قسمت کوچکی از ماجرا هستند.

دلایلی برای استفاده از DNSSEC

بنابراین چرا شرکت ها باید از DNSSEC استفاده کنند؟ این موضوع دلایل بسیاری دارد. یکی از این دلایل این است که DNSSEC دربردارنده کاربران خوب شبکه است، کاربرانی که اولویت را در به کارگیری و استفاده از تکنولوژی ها و سیستم هایی قرار می دهند که در حالت کنونی امنیت اینترنت، پیشرفتی ایجاد کند. متخصصانی نیز هستند که برای تفریح و افتخار تخصصی از آن استفاده می کنند.

شرکت ها مایلند برای مشتریانشان اعتماد را به تصویر کشند. و کلاینت ها را قادر سازند که به دارایی ها و سرویس های اینرتنت آنها با همان سطح اعتماد دسترسی داشته باشند. طبق گزارش IDG Research 71 درصد از پاسخ دهندگان تحقیق احساس کرده اند که بسیار حیاتی (۲۴ درصد) یا بسیار مهم (۴۷ درصد) است. که سایت هایی که با آن تجارت خود را می گردانند قادر به استفاده از DNSSEC باشند. تنها ۶ درصد آن را بی اهمیت ارزیابی کرده اند.

در گزارشی از Bloor Research در سپتامبر ۲۰۱۰ این طور آمده است که کاربرد گسترده DNSSEC به وضوح امنیت اینترنت را افزایش خواهد داد و برای مشتریان سطوح بالاتری از اعتماد در سرویس های ارائه شده و برای سازمان ها توانایی پشتیبانی از برندها و عملیاتشان را فراهم خواهد نمود.
با افزایش شتاب  DNSSEC به کار گیری آن ساده تر خواهد شد. فروشندگان بیشتری را خواهید دید که بسته های آن را ارائه می کنند و حتی قابلیت های open source ای را که توسط تهیه کنندگان ارزان قیمت تری ارائه می شوند، مشاهده می کنید. برخی تهیه کنندگان محصولات امنیتی DNSSEC را به عنوان سرویسی در مدل cloud ارائه خواهند نمود و مانع ورود را بیشتر کاهش خواهند داد.

چمع بندی

در نهایت باید گفت که به کارگیری DNSSEC قسمتی از بازی شطرنج همیشگی است. تهدید کاربر نهایی در حال افزایش است و دستگاه های مبتنی بر وب بیشتری روز به روز تولید می شوند و برنامه های بیشتری سرویس ها را ارائه می نمایند. در کنار آنها اشخاص بسیاری هستند که مایلند از آنها استفاده نمایند. جهت از دست ندادن کاربران باید در جلب و حفظ اعتماد آنها کوشید و این مزیتی است که می توان از امنیت انتظار داشت.

 

امتیاز ما
برای امتیاز به این پست کلیک کنید
[کل: 0 میانگین: 0]

Leave a Reply