DNS SEC چیست ؟

افزونه‌های امنیتی سیستم نام دامنه (Domain Name System Security Extensions) مجموعه‌ای از مشخصات برنامه‌نویسی توسط گروه وظیفه مهندسی اینترنت (IETF) برای ایمن‌سازی داده‌های مبادله شده در سیستم نام دامنه (DNS) در شبکه‌های پروتکل اینترنت (IP) است. این پروتکل احراز هویت رمزنگاری داده‌ها، انکار احراز هویت، و یکپارچگی داده‌ها را فراهم می‌کند، اما در دسترس بودن یا محرمانگی را ارائه نمی‌دهد.
طراحی اولیه سیستم نام دامنه شامل هیچ ویژگی امنیتی نبود. این فقط به عنوان یک سیستم توزیع شده مقیاس پذیر در نظر گرفته شد. افزونه‌های امنیتی سیستم نام دامنه (DNSSEC) تلاش می‌کنند تا امنیت را اضافه کنند، در حالی که سازگاری با عقب را حفظ می‌کنند. درخواست برای نظرات 3833 برخی از تهدیدات شناخته شده برای DNS و راه حل های آنها را در DNSSEC مستند می کند.
DNSSEC برای محافظت از برنامه های کاربردی با استفاده از DNS در برابر پذیرش داده های DNS جعلی یا دستکاری شده، مانند آنچه که توسط مسمومیت کش DNS ایجاد می شود، طراحی شده است. همه پاسخ‌های مناطق حفاظت‌شده DNSSEC به صورت دیجیتال امضا شده‌اند. با بررسی امضای دیجیتال، یک حل‌کننده DNS می‌تواند بررسی کند که آیا اطلاعات مشابه (یعنی اصلاح نشده و کامل) با اطلاعات منتشر شده توسط مالک منطقه و ارائه شده در یک سرور DNS معتبر است یا خیر. در حالی که محافظت از آدرس‌های IP نگرانی فوری برای بسیاری از کاربران است، DNSSEC می‌تواند از هر داده منتشر شده در DNS، از جمله رکوردهای متنی (TXT) و سوابق تبادل نامه (MX) محافظت کند و می‌تواند برای راه‌اندازی سیستم‌های امنیتی دیگر که ارجاعاتی به رمزنگاری منتشر می‌کنند استفاده شود. گواهی‌های ذخیره‌شده در DNS مانند سوابق گواهی (سوابق CERT، RFC 4398)، اثر انگشت SSH (SSHFP، RFC 4255)، کلیدهای عمومی IPSec (IPSECKEY، RFC 4025)، TLS Trust Anchors (TLSA، RFC 6698)، یا مشتری رمزگذاری‌شده Hello (سوابق SVCB/HTTPS برای ECH).
DNSSEC محرمانه بودن داده ها را ارائه نمی دهد. به طور خاص، تمام پاسخ های DNSSEC احراز هویت می شوند اما رمزگذاری نمی شوند. DNSSEC مستقیماً در برابر حملات DoS محافظت نمی کند، اگرچه به طور غیرمستقیم مزایایی را ارائه می دهد (زیرا بررسی امضا امکان استفاده از طرف های بالقوه غیرقابل اعتماد را می دهد)
استانداردهای دیگر (نه DNSSEC) برای ایمن سازی داده های انبوه (مانند انتقال منطقه DNS) ارسال شده بین سرورهای DNS استفاده می شود. همانطور که در IETF RFC 4367 مستند شده است، برخی از کاربران و توسعه دهندگان مفروضات نادرستی در مورد نام های DNS ایجاد می کنند، مانند فرض اینکه نام مشترک یک شرکت به اضافه “.com” همیشه نام دامنه آن است. DNSSEC نمی تواند در برابر فرضیات نادرست محافظت کند. فقط می‌تواند تأیید کند که داده‌ها واقعاً از مالک دامنه هستند یا در دسترس نیستند.
مشخصات DNSSEC (به نام DNSSEC-bis) پروتکل DNSSEC فعلی را با جزئیات کامل توصیف می کند.
به طور گسترده اعتقاد بر این است که ایمن سازی DNS برای ایمن سازی اینترنت به عنوان یک کل بسیار مهم است، اما استقرار DNSSEC به طور خاص (از 22 ژانویه 2010) به دلیل چندین مشکل با مشکل مواجه شده است:
نیاز به طراحی یک استاندارد سازگار با عقب ماندگی که بتواند به اندازه اینترنت مقیاس شود
جلوگیری از “شمارش مناطق” در صورت تمایل
استقرار پیاده سازی های DNSSEC در طیف گسترده ای از سرورها و حل کننده های DNS (کلاینت)
اختلاف بین پیاده‌کننده‌ها بر سر اینکه چه کسی باید مالک کلیدهای ریشه دامنه سطح بالا باشد
غلبه بر پیچیدگی درک شده از استقرار DNSSEC .

DNSSEC چگونه کار می کند؟

• ماموریت DNSSEC تقویت اعتماد به اینترنت، محافظت از کاربران در برابر هدایت مجدد به وب سایت های جعلی و آدرس های ناخواسته است. از فعالیت‌های مخربی مانند مسمومیت حافظه پنهان، داروسازی و حملات انسان در میانه جلوگیری می‌کند.
• DNSSEC از تهدیدات سایبری جعل DNS جلوگیری می کند، که کاربران را به مقصدهای دیگر هدایت می کند.
• DNSSEC امنیت بیشتری را برای سوابق متنی (TXT) و رکوردهای ایمیل ارائه می دهد.
• DNSSEC برای راه‌اندازی سیستم‌های امنیت سایبری مانند سوابق گواهی، اثر انگشت SSH، کلید عمومی IPSec و لنگرهای اعتماد TLS استفاده می‌شود.
• DNSSEC از جعل سوابق توسط اشخاص ثالث جلوگیری می کند و با جلوگیری از مسمومیت کش DNS و مناطق نادرست، هویت دامنه را احراز هویت می کند.

DNSSEC چرا مهم است؟

DNS یک دفترچه تلفن اینترنتی در نظر گرفته می شود و به رایانه می گوید که کجا داده ارسال یا دریافت کند. DNS نمی تواند آدرس ها را احراز هویت و ارزیابی کند و این به معنای ضعف در برابر حملات سایبری است.
هنگامی که یک حل‌کننده بازگشتی درخواستی را به یک سرور نام ارسال می‌کند، حل‌کننده تنها می‌تواند بررسی کند که آیا پاسخ از همان آدرس IP درخواست اصلی می‌آید یا خیر. از آنجایی که IP را می توان جعل کرد، این روش احراز هویت معیوب است. این امکان را برای مهاجمان فراهم می‌کند تا کاربران را بدون اینکه بدانند از مقصد مورد نظر خود هدایت کنند.
هنگامی که حل‌کننده‌های بازگشتی داده‌های DNS را در حافظه پنهان ذخیره می‌کنند، داده‌ها از قبل در حافظه پنهان/ذخیره شده‌اند، و وضوح تصویر سرعت بیشتری خواهد داشت. درخواست ها به سرور نام ارسال نمی شوند. اما مشکل اینجاست که اگر مهاجمان پاسخ‌های DNS را جعل کنند، که توسط حل‌کننده بازگشتی نیز قابل قبول است، وضعیت DNS Cache Poisoning نامیده می‌شود. بنابراین، هر کاربری که با آن حل‌کننده تعامل داشته باشد، داده‌های DNS جعلی ارسال می‌شود تا زمانی که TTL (زمان تا زنده بودن) منقضی شود. DNSSEC تلاشی برای افزودن یک لایه امنیتی اضافی به DNS است.

پیروز و سربلند باشید ?

✔ گروه فنی و مهندسی تلاش ✔