پروتکل DNSSEC

شرح مختصری از نحوه کار DNS

برای درک برنامه های افزودنی امنیتی سیستم نام دامنه (DNSSEC)، به داشتن درک اولیه از سیستم نام دامنه (DNS) کمک می کند.

عملکرد صحیح اینترنت به شدت به DNS وابسته است. هر صفحه وب بازدید شده، هر ایمیل ارسال شده، هر تصویر بازیابی شده از یک رسانه اجتماعی: همه آن تعاملات از DNS برای ترجمه نام های دامنه انسان پسند (مانند icann.org) به آدرس های IP (مانند ۱۹۲.۰.۴۳.۷ و ۲۰۰۱) استفاده می کنند: ۵۰۰:۸۸:۲۰۰::۷) مورد نیاز سرورها، روترها و سایر دستگاه های شبکه برای هدایت ترافیک در سراسر اینترنت به مقصد مناسب است.

استفاده از اینترنت در هر دستگاهی با DNS شروع می شود. به عنوان مثال، زمانی را در نظر بگیرید که کاربر نام یک وب سایت را در مرورگر گوشی خود وارد می کند. مرورگر از حل کننده خرد، که بخشی از سیستم عامل دستگاه است، برای شروع فرآیند ترجمه نام دامنه وب سایت به آدرس پروتکل اینترنت (IP) استفاده می کند. حل‌کننده خرد یک سرویس گیرنده DNS بسیار ساده است که درخواست برنامه برای داده‌های DNS را به یک کلاینت DNS پیچیده‌تر به نام حل‌کننده بازگشتی رله می‌کند. بسیاری از اپراتورهای شبکه، حل‌کننده‌های بازگشتی را برای رسیدگی به درخواست‌های DNS، یا پرس‌وجوهایی که توسط دستگاه‌های موجود در شبکه‌شان ارسال می‌شود، اجرا می‌کنند. (اپراتورها و سازمان‌های کوچک‌تر گاهی اوقات از حل‌کننده‌های بازگشتی در شبکه‌های دیگر، از جمله حل‌کننده‌های بازگشتی که به عنوان یک سرویس برای عموم استفاده می‌شوند، مانند Google Public DNS، OpenDNS، و Quad9 استفاده می‌کنند.)

حل‌کننده بازگشتی پاسخ پرسش‌های DNS ارسال شده توسط خرد را ردیابی یا حل می‌کند. این فرآیند حل به حل‌کننده بازگشتی نیاز دارد تا پرس‌وجوهای DNS خود را، معمولاً به چندین سرور نام معتبر مختلف ارسال کند. داده های DNS برای هر نام دامنه در یک سرور نام معتبر در جایی در اینترنت ذخیره می شود. داده های DNS برای یک دامنه، منطقه نامیده می شود. برخی از سازمان ها برای انتشار مناطق خود از سرورهای نام خود استفاده می کنند، اما معمولاً سازمان ها این عملکرد را به اشخاص ثالث برون سپاری می کنند. انواع مختلفی از سازمان‌ها وجود دارند که مناطق DNS را از طرف دیگران میزبانی می‌کنند، از جمله ثبت‌کننده‌ها، رجیستری‌ها، شرکت‌های میزبانی وب، ارائه‌دهندگان سرور شبکه، فقط به نام چند.

DNS به خودی خود امن نیست

DNS در دهه ۱۹۸۰ طراحی شد، زمانی که اینترنت بسیار کوچکتر بود و امنیت در طراحی آن ملاحظات اولیه نبود. در نتیجه، هنگامی که یک حل‌کننده بازگشتی یک پرس و جو را به یک سرور نام معتبر ارسال می‌کند، حل‌کننده راهی برای تأیید صحت پاسخ ندارد. حل‌کننده فقط می‌تواند بررسی کند که به نظر می‌رسد یک پاسخ از همان آدرس IP است که حل‌کننده درخواست اصلی را ارسال کرده است. اما تکیه بر آدرس IP منبع یک پاسخ، مکانیزم احراز هویت قوی نیست، زیرا آدرس IP منبع یک بسته پاسخ DNS را می توان به راحتی جعل یا جعل کرد. همانطور که DNS در ابتدا طراحی شده بود، یک حل کننده نمی تواند به راحتی پاسخ جعلی به یکی از پرس و جوهای خود را تشخیص دهد. یک مهاجم به راحتی می تواند به عنوان سرور معتبری که یک حل کننده در ابتدا با جعل پاسخی که به نظر می رسد از آن سرور معتبر آمده است، پرس و جو کند. به عبارت دیگر یک مهاجم می تواند بدون اینکه کاربر متوجه شود کاربر را به یک سایت بالقوه مخرب هدایت کند.

حل‌کننده‌های بازگشتی، داده‌های DNS را که از سرورهای نام معتبر دریافت می‌کنند، ذخیره می‌کنند تا فرآیند تفکیک را تسریع کنند. اگر حل‌کننده‌ی خرد، داده‌های DNS را که حل‌کننده بازگشتی در حافظه پنهان خود دارد، بخواهد، حل‌کننده بازگشتی می‌تواند فوراً بدون تأخیر معرفی‌شده با پرس‌وجوی اول از یک یا چند سرور معتبر، پاسخ دهد. این اتکا به کش یک جنبه منفی دارد، با این حال: اگر یک مهاجم یک پاسخ DNS جعلی را ارسال کند که توسط یک حل‌کننده بازگشتی پذیرفته شده است، مهاجم حافظه پنهان حل‌کننده بازگشتی را مسموم کرده است. سپس حل‌کننده به بازگرداندن داده‌های جعلی DNS به سایر دستگاه‌هایی که برای آن درخواست می‌کنند، ادامه می‌دهد.

به عنوان مثالی از تهدید ناشی از حمله مسمومیت حافظه پنهان، در نظر بگیرید که وقتی کاربر از وب سایت بانک خود بازدید می کند چه اتفاقی می افتد. دستگاه کاربر سرور نام بازگشتی پیکربندی شده خود را برای آدرس IP وب سایت بانک جستجو می کند. اما یک مهاجم می‌توانست حل‌کننده را با یک آدرس IP که نه به سایت قانونی، بلکه به وب‌سایتی که توسط مهاجم ایجاد شده است، مسموم کند. این وب‌سایت جعلی جعل هویت وب‌سایت بانک است و ظاهری مشابه دارد. کاربر ناآگاه طبق معمول نام و رمز عبور خود را وارد می کرد. متأسفانه، کاربر به طور ناخواسته اعتبار بانکی خود را در اختیار مهاجم قرار داده است، که سپس می تواند به عنوان آن کاربر در وب سایت قانونی بانک برای انتقال وجه یا انجام سایر اقدامات غیرمجاز وارد سیستم شود.

مزایای DNSSEC

هدف DNSSEC تقویت اعتماد به اینترنت با کمک به محافظت از کاربران در برابر هدایت مجدد به وب سایت های جعلی و آدرس های ناخواسته است. به این ترتیب، می‌توان از فعالیت‌های مخربی مانند مسمومیت حافظه پنهان، داروسازی و حملات انسان در میانه جلوگیری کرد.

DNSSEC وضوح آدرس‌های IP را با امضای رمزنگاری تأیید می‌کند تا مطمئن شود که پاسخ‌های ارائه‌شده توسط سرور DNS معتبر و معتبر هستند. در صورتی که DNSSEC به درستی برای نام دامنه شما فعال شده باشد، بازدیدکنندگان می توانند مطمئن شوند که به وب سایت واقعی مربوط به یک نام دامنه خاص متصل می شوند.

چگونه DNSSEC کار می کند

هدف اولیه DNSSEC محافظت از مشتریان اینترنتی در برابر داده های DNS تقلبی با تأیید امضای دیجیتالی تعبیه شده در داده ها بود.

هنگامی که یک بازدید کننده نام دامنه را در مرورگر وارد می کند، حل کننده امضای دیجیتال را تأیید می کند.

اگر امضاهای دیجیتال موجود در داده ها با امضاهای ذخیره شده در سرورهای DNS اصلی مطابقت داشته باشند، داده ها مجاز به دسترسی به رایانه مشتری درخواست کننده هستند.

امضای دیجیتال DNSSEC تضمین می کند که شما با سایت یا مکان اینترنتی که قصد بازدید از آن را داشتید در ارتباط هستید.

DNSSEC از سیستمی از کلیدهای عمومی و امضاهای دیجیتال برای تأیید داده ها استفاده می کند. به سادگی رکوردهای جدید را در کنار رکوردهای موجود به DNS اضافه می کند. این انواع رکوردهای جدید مانند RRSIG و DNSKEY را می توان به همان روشی که رکوردهای رایج مانند A، CNAME و MX بازیابی کرد.

این رکوردهای جدید برای "امضای" دیجیتالی یک دامنه، با استفاده از روشی به نام رمزنگاری کلید عمومی استفاده می شود.

یک سرور نام امضا شده دارای یک کلید عمومی و خصوصی برای هر منطقه است. هنگامی که شخصی درخواستی ارائه می دهد، اطلاعات امضا شده با کلید خصوصی خود را ارسال می کند. سپس گیرنده آن را با کلید عمومی باز می کند. اگر شخص ثالثی سعی کند اطلاعات غیرقابل اعتماد ارسال کند، قفل آن به درستی با کلید عمومی باز نمی شود، بنابراین گیرنده متوجه می شود که اطلاعات جعلی است.