DNSSEC چیست و چرا استفاده از آن اهمیت دارد؟

0 1,005
Telegram_GEEKBOY

برای دسترسی به دیگران بر روی اینترنت شما مجبور خواهید بود که یک آدرس در داخل مرورگرکامپیوتر خود تایپ کنید (یک نام یا یک شماره) .

این آدرس منحصربه فرد است بنابراین کامپیوترها می دانند که دیگر کامپیوترها را از کجا پیدا کنند . موسسه ICANN این شناسه ها را در سراسر جهان مدیریت می کند . بدون هماهنگی این شناسه ها ما یک شبکه اینترنت جهانی نخواهیم داشت . وقتی یک نام را تایپ می کنید ، این نام قبل از ایجاد ارتباط توسط سیستمی به یک شماره ترجمه می شود . این سیستم DNS(Domain Name System) نام دارد که کار آن ترجمه نام ها به یک سری اعداد می باشد که این اعداد ، آدرس های IP نام دارند . برای اطمینان از اینکه همه آدرس ها باید منحصر به فرد باشند ICANN سیستم آدرس دهی را مدیریت می کند .

اخیرا آسیب پذیری هایی در DNS کشف شده اند که به هکرها اجازه می دهد که، از فرایند جست و جو اشخاص و  یا سایت ها بر روی اینترنت سوء استفاده کنند .هدف این حملات در اختیار گرفتن کنترل این Session های ایجاد شده می باشد. برای مثال هکر جهت بدست آوردن نام کاربری و رمزعبور کاربران وب سایت جعلی خود را برای این کاربران ارسال می کند .

این آسیب پذیری ها انگیزه معرفی یک تکنولوژی به نام DNSSEC(DNS Security Extensions) را افزایش داد که هدف این تکنولوژی امن کردن این بخش از زیرساخت اینترنت می باشد .

پرسش و پاسخ های زیر مشخص می کنند که DNSSEC چیست و چرا راه اندازی آن مهم می باشد .

  1. Root Zone چیست؟

سرویس DNS نام دامنه ها را ترجمه می کند که افراد می توانند این نام ها را به جای شماره های استفاده شده توسط کامپیوترها جهت جست و جوی مقصد ،را به خاطر بسپارند . (تقریبا شبیه یک دفترچه تلفن می باشد که شماره تلفن را جست و جو می کنند ) . در این فرایند اولین جایی که  بررسی می شود دایرکتوری سطح بالایی یا همان Root Zone می باشد . برای مثال هنگامی که آدرس www.google.com  را در مرورگر خود وارد می کنید کامپیوتر شما از دایرکتوری Root Zone  برای یافتن اطلاعات دامنه .COM سوال می پرسد پس از آن ، یک پاسخ دریافت می شود و سپس سرویس دایرکتوری ” com.” را که توسط ریشه شناسایی شده است را برای یافتن اطلاعات جستجو می کند .

  1. چرا ما به عمل “Sign the root” نیاز داریم ؟

آسیب پذیری های اخیر کشف شده در DNS با پیشرفت های تکنولوژی ترکیب شده است که تا حد زیادی زمانی که طول می کشد تا یک هکرکنترل فرایند سرویس DNS  را به دست گیرد ، کاهش می دهد برای مثال هدایت کردن کاربر به یک سایت جعلی جهت به دست آوردن نام کاربری و رمزعبور کاربر . تنها راه حل برای این آسیب پذیری استقرار یک پروتکل امنیتی به نام DNSSEC می باشد .

  1. DNSSEC چیست ؟

DNSSEC یک تکنولوژی می باشد که برای محافظت در برابر حملات توسعه پیدا کرده است . با این وجود برای از بین بردن آسیب پذیری ها از اینترنت DNSSEC باید در هر مرحله از فرایند تحلیل نام، توسعه پیدا کند. Sign کردن Root Zone یک قدم ضروری در فرایند تحلیل نام می باشد نکته  مهم درباره DNSSEC این است که این تکنولوژی داده ها را رمزگذاری نمی کند و تنها اعتبار آدرس سایت را مورد بررسی قرار میدهد.

  1. چه چیزی باعث متوقف شدن بخش های دیگر آدرس دهی می شود وقتی که از DNSSEC استفاده میکنیم؟

هیچ چیز مانند دیگر زنجیره ها که هربخش از آن به قدرت بخش های دیگر تکیه دارد اگر Root Zone  فاقد امضاء (Sign) باشد شما یک ضعف امنیتی جدی دارید . بعضی از بخش های زنجیره می توادن مورد اعتماد قرارداد  و بخش دیگرنه .

  1. DNSSEC چگونه امنیت کاربران را فراهم می کند ؟

استقرار کامل DNSSEC این اطمینان را می دهد که کاربران نهایی متصل به یک وب سایت واقعی یا سایر سرویس های متناظر به یک Domain Name خاص هستند . اگرچه این کار  به تنهایی باعث حل شدن همه مشکلات امنیتی نمی شود اما بهرحال یک بخش حیاتی از امنیت به شمار می رود . تکمیل تکنولوژی های دیگر مانند SSL نیز باعث بهبود امنیت کاربران شده و یک بستر مناسب برای توسعه و بهبود امنیت فراهم می کنند .

    6.هنگامی که شما Root Zone را Sign می کنید چه اتفاقی می افتد ؟

Sign کردن Root به وسیله DNSSEC ، برای هر سطح بالایی دامنه ، رکوردهای بیشتری را به فایل Root Zone  اضافه می کند . آنچه که اضافه می شود یک کلید و یک امضا برای اعتبارسنجی آن کلید می باشد .

DNSSEC یک مسیر را برای برای اعتبارسنجی رکوردها فراهم می کند و رمزنگاری و تغییر مدیریت داده را انجام نمی دهد و با DNS و برنامه ها سازگار است . بدین معنی که بر روی پروتکل هایی که در سیستم آدرس دهی اینترنت استفاده می شوند تغییری را ایجاد نمی کند . DNSSEC یک زنجیره از امضاء های دیجیتال در ساختار سلسله مراتبی DNS را باهم ترکیب می کند که هر سطح دارای کلیدهای تولید کننده امضاء دیجیتال خود است .. در طول فرایند اعتبارسنجی ، DNSSEC از این زنجیره ی قابل اعتماد  تا سطح Root پیروی می کند به طور خودکار کلیدهای سطح Child توسط کلیدهای سطح Parent اعتبارسجی می شوند . زمانی که هر کلیدی توسط سطح بالایی خود تایید شد تنها کلیدی که نیاز به اعتبارسنجی دارد بالاترین Parent یا کلید  Root  می باشد .

این سلسله مراتب به این معناست که با وجود اینکه ریشه امضا شده است، اما استقرار کامل DNSSEC در تمام Domian Name ها، فرایندی است که زمان می گیرد، زیرا هر دامنه زیرین باید توسط اپراتورهای مربوطه نیز تایید شوند تا یک زنجیره اعتماد بین سطوح ایجاد شود.

 Sign کردن Root  با اینکه فقط یک شروع است اما انجام آن حیاتی می باشد . اخیرا اپراتورهای TLD در تلاش هستند تا DNSSEC را بر روی Zone های خود توسعه دهند .

   7.چگونه فایل root zone مدیریت می شود ؟

مدیریت Root بین چهار نهاد به اشتراک قرار داده می شود :

  1. ICANN ، شرکت بین المللی غیر انتفاعی تحت قرارداد وزارت بازرگانی ایالات متحده، عملکرد “IANA” را انجام می دهد. IANA مخفف Internet Assigned Numbers Authrity می باشد. ICANN  اطلاعات را از اپراتورهای TLD دریافت می کند .
  2. NTIA که یک اداره در United States Department of Commerce می باشد که اجازه تغییرات در root را می دهد
  3. VeriSign که یک شرکت آمریکایی می باشد و فعالیت های گوناگونی در زمینه زیرساخت های شبکه دارد . این شرکت طبق قراردادی که با دولت آمریکا دارد وظیفه ویرایش RootZone را دارد .
  4. یک گروه بین المللی از اپراتورهای سرور Root به صورت داوطلبانه بیش از 200 سرور در سراسر جهان را اداره می کنند و اطلاعات root را از فایل پرونده Root Zone در اینترنت پخش می کنند. اپراتورهای سرورهای Root بر طبق لیست زیر می باشند :

A)VeriSign Global Registry Services;
B) Information Sciences Institute at USC;
C) Cogent Communications;
D) University of Maryland;
E) NASA Ames Research Center;
F) Internet Systems Consortium Inc.;
G) U.S. DOD Network Information Center;
H) U.S. Army Research Lab;
I) Autonomica/NORDUnet, Sweden;
J) VeriSign Global Registry Services;
K) RIPE NCC, Netherlands;
L) ICANN;
M) WIDE Project, Japan

    8. چرا بررسی ، ویرایش و تایید امنیت DNSSEC مهم است ؟

برای DNSSEC، قدرت هر لینک در زنجیره اعتماد ، بر اساس اعتماد کاربر در بررسی کلید سازمان و سایر اطلاعات DNS برای آن لینک است .به منظور تضمین صحت اطلاعات و حفظ این اعتماد هنگامی که داده ها تایید اعتبار می شوند  باید بلافاصله در برابر خطاها محافظت شوند . داشتن یک سازمان و سیستم یکپارچه ، رکوردهایی احراز هویت شده  را داخل Zone های امضاء شده نگه داری می کند . که باعث افزایش اعتماد می شود

  1. در DNSSEC سازوکار کلیدهای KSK و ZSK چگونه است ؟

KSK مخفف Key Signing Key و ZSK مخفف Zone Signing key می باشد . با توجه به زمان و اطلاعات کافی کلیدهای رمزنگاری ممکن است در معرض خطر قرار بگیرند . در شرایطی در DNSSEC از کلیدهای رمزنگاری نا متقارن و یا عمومی استفاده می شود . بدین معنی که یک هکر با استفاده از Brute Force و یا سایر متدها ، نیمی از Public Key ویا Private Key ها را که در  ایجاد  امضاء های تایید اعتبار برای رکوردهای DNSاستفاده می شوند ، را مشخص  میکند . این کار به هکر اجازه می دهد امنیت فراهم شده توسط DNSSEC را از بین ببرد . DNSSEC این تلاش های خرابکارانه را با استفاده از ZSK خنثی می کند . ZSK به طور معمول امضاء ها را برای رکوردهای DNS محاسبه می کند و KSK برای محاسبه یک امضاء بر روی  ZSK اجازه می دهد که این کلید تایید اعتبار شود .

ZSK به طور مرتب تغییر می کند تا امکان “حدس زدن” برای هکر دشوار باشد در حالی که درKSK تغییرات در مدت زمان بیشتری انجام می شود . چون KSK کلید ZSK را Sign می کند و خود ZSK نیز رکوردهای DNS را Sign می کند پس بنابراین تنها کلید KSK برای اعتبارسنجی یک رکورد DNS در یک Zone لازم است . این نمونه ای از KSK است که به صورت یک رکورد DS(Delegation Signer) می باشد  و به Parent Zone منتقل می شود.

Parent Zone با استفاده از کلید ZSK رکورد DS را برای Child Zone تایید می کند(خود ZSK توسط کلید KSK مربوط به Zone  خودش Sign (امضاء) می شود).

بنابراین با توجه به مطالب گفته شده اگر DNSSEC به طورکامل تایید شود ، KSK برای Root Zone بخشی از زنجیره تایید اعتبار برای هر دامنه تایید شده DNSSEC خواهد بود .

   10 .چه کسی کلیدها را مدیریت می کند ؟

ICANN کلیدها را مدیریت می کند اما در واقع گواهی نامه ها جهت ایجاد KSK توسط گروه های دیگر نگه داری می شود . این یک عنصر مهم برای پذیرش کلی این فرایند می باشد . ICANN راهکار خاصی را برای نگه داری اعتبارها توسط نهادها ارائه نمی دهد و این نهادها با عملکرد خود بر روی DNS اغلب معماری کلی اینترنت را بین مرزهای ژئوپولیتیک و سازمانی بازتاب می دهند.

Sign کردن Root Zone همچنین استقرار در لایه های پایین تر DNS را ساده می کند و به همین دلیل استقرار DNSSEC را تسریع می کند .

ارسال یک نظر

آدرس ایمیل شما منتشر نخواهد شد.

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.