4/1

42

DNSSEC چیست و چرا اهمیت دارد؟

آخرین بروزرسانی: یکشنبه 29 خرداد 1401

اگر شما هم شرکتی هستید که مانند بسیاری از شرکت‌های دیگر عمل می‌کنید، احتمالاً کار با DNS خود را به ISP خود واگذار کرده‌اید. اما می‌دانید که بسیاری از کارمندان از VPN استفاده می‌کنند و حتی در بسیاری از شرکت‌ها دسترسی مستقیم به اینترنت وجود دارد. در نتیجه، به احتمال زیاد یک نقطه کور DNS (DNS blind spot) دارید.

نویسنده: پرناز آزاد
مدت زمان مطالعه: 5 دقیقه

اگر شما هم شرکتی هستید که مانند بسیاری از شرکت‌های دیگر عمل می‌کنید، احتمالاً  کار با DNS خود را به ISP خود واگذار کرده‌اید. اما می‌دانید که بسیاری از کارمندان از VPN استفاده می‌کنند و حتی در بسیاری از شرکت‌ها دسترسی مستقیم به اینترنت وجود دارد. در نتیجه، به احتمال زیاد یک نقطه کور DNS (DNS blind spot) دارید. 

با این تفاسیر، چه باید بکنید تا مطمئن شوید که قابلیت دید برای شما رایگان و شفاف است؟

یکی از ساده‌ترین کارهایی که می‌توانید انجام دهید، این است که اطلاعات DNS خود را استخراج کنید. هر بار که یک مرورگر با یک نام دامین (domain name) ارتباط برقرار می‌کند، ابتدا با سرور DNS تماس می‌گیرد. با توجه به این‌که درخواست‌های DNS جلوتر از ارتباط با IP ارسال می‌شوند،سرورهای DNS resolvers، دامین‌های درخواست‌شده را بدون توجه به این‌که از چه پروتکل یا پورت ارتباطی استفاده شده است، به صورت لاگ ثبت می‌کنند. این کار عملاً یک استخراج طلای اطلاعات به حساب می‌آید! فقط با پایش و کنترل بر روی درخواست‌های DNS و ارتباطات بعدی با IP می‌توانید نقطه کور را از بین ببرید. به این ترتیب، به سادگی به دقت بیشتری دست پیدا کرده، سیستم‌هایی که به خطر افتاده‌اند را پیدا نموده و قابلیت دید امنیتی بیشتری داشته و در نهایت، از شبکه خود بهتر محافظت می‌کنید. 

DNSSEC چیست

اما برای حملات پردردسر مسموم‌سازی حافظه ی کش (pesky cache poisoning attack) که به آن‌ها جعل DNS یا (DNS spoofing) هم می‌گویند، چه باید کرد؟

در حملات مسموم‌سازی کش DNS، آسیب‌پذیری‌های موجود در DNS هدف قرار گرفته و از آن‌ها سوء استفاده می‌شود تا ترافیک زنده از یک سرور مشروع (legitimate) به سمت یک سرور جعلی کشانده شود. این نوع حمله بسیار خطرناک است، زیرا کلاینت ریدایرکت (redirect) می‌شود و با توجه به این‌که حمله بر روی سرور DNS اتفاق افتاده، تعداد بسیار زیادی از کاربران متأثر می‌شوند. 

در اوایل دهه نود میلادی که عصر وب جهان‌گستر (world-wide-web)، دستگاه‌های پخش دیسک سونی (Sony Discmans) و (beeper) بود (بچه‌ها، خیلی به عقب برگشتیم!)، گروه کاری مهندسی اینترنت (Internet Engineering Task Force) یا همان IETF سعی کرد تا روش‌هایی را برای امن‌سازی DNS ارائه کند. این گروه کاری روش‌هایی را برای مقاوم‌سازی DNS ارائه کرد و سرانجام در سال 2005، اکستنشن امنیت سیستم نام دامین (Domain Name System Security Extensions) یعنی DNSSEC را برای اولین بار معرفی نمود. 

اکستنشن‌های امنیت DNS که بیشتر تحت عنوان DNSSEC شهرت دارد، فناوری‌ای است که توسعه یافته تا علاوه بر کارهای دیگری که انجام می‌دهد، از شما در برابر حملات [مسموم‌سازی کش] محافظت کند. در این فناوری از داده‌های «امضا»ی دیجیتال استفاده می‌شود و شما با خیالی آسوده مطمئن می‌شوید که [پاسخ DNS] معتبر است. در DNSSEC از امضاهای رمزنگاری مشابه با آن‌چه در GPG برای ورود به ایمیل به کار می‌رود، استفاده می‌شود؛ این روش هم اعتبار پاسخ و هم هویت امضاکننده را اثبات می‌کند. رکوردهای خاصی نیز در DNS منتشر می‌شوند که امکان ریزالو تکراری (recursive resolver) یا امکان اعتبارسنجی امضا برای کاربران را فراهم می‌آورند. هیچ مقام متمرکزی برای صدور گواهینامه وجود ندارد، بلکه زون‌های والدی (parent zones) وجود دارند که اطلاعات هش گواهینامه (certificate hash information) را از طرف فراهم نموده و امکان اثبات اعتبار را ارائه می‌نمایند.

سیسکو آمبرلا (Cisco Umbrella) در حال حاضر از DNSSEC پشتیبانی نموده و کوئری‌هایی که از سوی ریزالورهای آمبرلا (Umbrella resolver) به مقامات بالادستی ارسال می‌شوند را اعتبارسنجی می‌کند. کاربران می‌توانند مطمئن باشند که سیسکو آمبرلا از سازمان آن‌ها در برابر حملات مسموم‌سازی محافظت می‌کند و نیازی نیست که خودشان در محل اعتبارسنجی انجام دهند. 

Cisco Umbrella supports DNSSEC

سیسکو آمبرلا بهترین، قابل‌اطمینان‌ترین و سریع‌ترین تجربه اینترنت را برای تمام کاربران ما که بیش از 100 میلیون کاربر هستند، فراهم نموده است. ما تأمین‌کننده راهبر در زمینه امنیت شبکه و خدمات DNS هستیم و امکان اتصال به اینترنت، با اطمینان خاطر و بر روی هر دستگاهی را برای جهانیان فراهم آورده‌ایم. 

 

منابع

محتواهای مرتبط

نظرات کاربران:

برچسب ها

شرکت مهندسی افق داده ها ایرانیان
استمرارقدم ها، تحقق رویاها
تماس با ما:
آدرس: تهران - خیابان مفتح شمالی - خیابان شهید ملایری پور - پلاک 100 واحد 10
تلفن: 58152000-021
فکس: 58152300-021
ایمیل: info@ofoghdadeha.com
دسترسی سریع:
 
logo-samandehi
تمامی حقوق این وبسایت برای شرکت مهندسی افق داده ها ایرانیان محفوظ است.
Copyright 2020 - 2022, Ofoghdadeha. All rights reserved