DNSSEC چیست؛ 6 مدل RR تعریف شده در آن
برای اینکه پاسخ روشنی به اینکه DNSSEC چیست و چرا اهمیت دارد، بیایید معنای اصلی آن را تعریف کنیم. افزونههای امنیتی سیستم نام دامنه، که با نامهای DNSSEC یا DNS Security Extensions نیز شناخته میشود، مجموعهای از مشخصات نیروی کار مهندسی اینترنت (IETF) برای محافظت و ایمن کردن انواع مشخصی از اطلاعات ارائهشده توسط Domain Name System (DNS) است که در پروتکل اینترنت استفاده میشود. در این مقاله به شما خواهیم گفت DNSSEC چیست و در ادامه با مزیتهای آن آشنا خواهیم شد.
معرفی DNSSEC
DNSSEC مجموعه ای از پروتکلهای ویژه است که یک لایه امنیتی به فرآیندهای جستجو و تبادل سیستم نام دامنه (DNS) اضافه میکند. در دسترسی به وب سایتها در اینترنت یکپارچه میشود. DNSSEC قادر به محافظت از نحوه توزیع دادهها یا افرادی که به آنها دسترسی دارند، نیست. DNSSEC مبدا دادههای ارسال شده از سرور DNS را تأیید میکند، یکپارچگی آن را تأیید میکند و دادههای DNS موجود را ارزیابی میکند.
در فرایند ثبت دامنه، DNSSEC DNS را با استفاده از امضاهای دیجیتالی خاص در رمزنگاری کلید عمومیتأیید میکند. پیادهسازی DNSSEC به جای خواندن پرسشها و پاسخهای DNS، امضای خود دادههای DNS توسط مالک آن را ممکن میسازد. پاسخهای DNSSEC که احراز هویت میشوند، رمزگذاری نشدهاند.
به طور کلی، افزونههای امنیتی سیستم نام دامنه (DNSSEC) مجموعهای از برنامههای افزودنی است که با فعال کردن اعتبارسنجی پاسخهای DNS، امنیت را به پروتکل سیستم نام دامنه (DNS) اضافه میکند. به طور خاص، DNSSEC اعتبار مبدا، یکپارچگی دادهها و انکار وجود تایید شده را فراهم میکند. با DNSSEC، پروتکل DNS بسیار کمتر در معرض انواع خاصی از حملات، به ویژه حملات جعل DNS است.
عملکرد DNSSEC به چه صورت است؟
هنگام استفاده از DNSSEC، هر پاسخ به درخواست DNS حاوی یک رکورد RRSIG و نوع رکورد است. این امضای دیجیتال با تعیین کلید عمومیصحیح تأیید میشود. سپس NSEC و NSEC3 شواهد رمزنگاری مبنی بر عدم وجود هرگونه درخواست و ایمنی در برابر جعل ارائه خواهند کرد. (Authenticated Denial of Existence) DS از یک زنجیره رانش برای احراز هویت DNSKEY استفاده میکند.
برای اطمینان بیشتر صاحبان دامنه جفت کلید عمومی/خصوصی خود را ایجاد میکنند و با استفاده از کنترل پنل DNS خود آنها را آپلود میکنند. کلیدهای دارای secDNS را به اپراتور zone پاس میدهد، آنها را امضا میکند و در DNS منتشر میکند. این امر از هرگونه ذخیره سازی جعلی/دستکاری دادههای DNS و مسمومیت کش جلوگیری میکند.
علاوه بر همه اینها، DNSSEC دو لایه امنیتی برای DNS ارائه میدهد:
- احراز هویت مبدا دادهها: این امکان را برای حل کنندهها فراهم میکند تا دادهها را از منطقه درخواست شده به صورت رمزنگاری تأیید کنند.
- حفاظت از یکپارچگی داده: این کار به یک حلکننده اجازه میدهد تا مشخص کند دادهها توسط کلید خصوصی مالک منطقه تغییر نکرده و امضا نشده است.
ماموریت DNSSEC تقویت اعتماد به اینترنت، محافظت از کاربران در برابر هدایت مجدد به وب سایت های جعلی و آدرس های ناخواسته است. از فعالیتهای مخربی مانند مسمومیت حافظه پنهان، داروسازی و حملات انسان در میانه جلوگیری میکند.
- DNSSEC از تهدیدات سایبری جعل DNS ، که کاربران را به مقصدهای دیگر هدایت میکند، جلوگیری میکند.
- DNSSEC امنیت بیشتری را برای سوابق متنی (TXT) و رکوردهای ایمیل ارائه میدهد.
- DNSSEC برای راهاندازی سیستمهای امنیت سایبری مانند سوابق گواهی، اثر انگشت SSH، کلید عمومیIPSec و لنگرهای اعتماد TLS استفاده میشود.
- DNSSEC از جعل سوابق توسط اشخاص ثالث جلوگیری میکند و با جلوگیری از مسمومیت کش DNS و مناطق نادرست، هویت دامنه را احراز هویت میکند.
6 نوع RR در DNSSEC
هدف DNSSEC این است که به ریزالورها اجازه دهد منشا و یکپارچگی پاسخ DNS را بررسی کنند. DNSSEC
با محدودیت های زیر طراحی شده است:
- باید یک افزونه DNS باشد تا یک کلاینت غیر DNSSEC بتواند با سرور DNSSEC کار کند و بالعکس.
- داده ها محافظت میشوند، اما کانال های ارتباطی محافظت نمیشوند.
- باید بر اساس رمزگذاری کلید عمومیباشد
- از آنجایی که DNSSEC، بنا به طراحی، نباید پروتکل DNS را تغییر دهد، انواع جدیدی از رکوردهای DNS، Resource Records، برای مدیریت رمزنگاری اضافه شده است.
RRset .1
یک RRset گروهی از رکوردهای منبع است که از یک مالک، کلاس و نوع هستند. کلید عمومیجفت ZSK را در یک رکورد DNSKEY ذخیره میکند. سپس سرور نام از کلید خصوصی جفت KSK برای امضای تمام رکوردهای DNSKEY از جمله رکوردهای خود استفاده میکند و کلید عمومیمربوطه را در یک رکورد دیگر DNSKEY ذخیره میکند.
RRSIG .2
RRSIG برای هر RR وجود دارد و حاوی امضای دیجیتال یک رکورد است.
DNSKEY .3
DNSKEY کلید عمومیرا نگه میدارد که ریزالورها از آن برای تأیید استفاده میکنند.
ZSK .4
کلید امضای منطقه (ZSK) برای امضا و اعتبارسنجی مجموعه رکوردهای فردی در منطقه استفاده میشود. به بیان دیگر هر منطقه امضا شده با DNSSEC دارای یک کلید به نام ZSK است که برای امضای کل مجموعه رکورد استفاده میشود.
KSK .5
کلید امضای کلید (KSK) برای امضای رکوردهای DNSKEY در منطقه استفاده میشود. همانطور که از ZSK برای امضای مجموعه رکورد استفاده میشود، DNSSEC از کلید KSK استفاده میکند، که برای امضای ZSK DNSKEY استفاده میشود.
بنابراین بیایید تصور کنیم که میخواهیم یک رکورد A را برای نام دامنه dnstests.ovh بازیابی و تأیید کنیم.
DS .6
DS یا Delegation Signer این رکورد در سرورهای نام TLD وجود دارد. بنابراین اگر نام دامنه شما example.com باشد، TLD “com” است و سرورهای نام آن a.gtld-servers.net.، b.gtld-servers.net تا m.gtld-servers.net. هستند. هدف از این رکورد تأیید صحت خود DNSKEY است.
کلام آخر
در این مقاله به این پرداختیم که DNSSEC چیست؟ چرا DNSSEC مهم است؟ و DNSSEC چگونه کار میکند؟
همانطور که گفته شد، DNSSEC یک بخش اساسی از امنیت اینترنت است که باید توسط حلکنندههای بازگشتی و صاحبان نام دامنه پیادهسازی شود. DNSSEC به این دلیل وجود دارد که اطمینان حاصل شود که وقتی کاربران یک نام دامنه را تایپ میکنند، به مقصدهای دقیق هدایت میشوند.
اگر به تازگی صاحب استارت آپ یا یک تجارت/برند معتبر هستید که از یک راه حل قابل اعتماد میزبانی DNS مانند میزبانی ArvanCloud Cloud DNS استفاده میکنید، DNSSEC به شما کمک میکند تا با قرار گرفتن در خط مقدم امنیت اینترنت و مراقبت از مشتریان خود، شهرت و اعتبار خود را بسازید و قوی کنید.
در صورت نیاز به هرگونه راهنمایی و مشاوره میتوانید با کارشناسان مجرب وبرمز تماس حاصل نمایید.