برای اینکه پاسخ روشنی به اینکه DNSSEC چیست و چرا اهمیت دارد، بیایید معنای اصلی آن را تعریف کنیم. افزونه‌های امنیتی سیستم نام دامنه، که با نام‌های DNSSEC یا DNS Security Extensions نیز شناخته می‌شود، مجموعه‌ای از مشخصات نیروی کار مهندسی اینترنت (IETF) برای محافظت و ایمن کردن انواع مشخصی از اطلاعات ارائه‌شده توسط Domain Name System (DNS) است که در پروتکل اینترنت استفاده می‌شود. در این مقاله به شما خواهیم گفت DNSSEC چیست و در ادامه با مزیت‌های آن آشنا خواهیم شد.

معرفی DNSSEC

DNSSEC مجموعه ای از پروتکل‌های ویژه است که یک لایه امنیتی به فرآیندهای جستجو و تبادل سیستم نام دامنه (DNS) اضافه می‌کند. در دسترسی به وب سایت‌ها در اینترنت یکپارچه می‌شود. DNSSEC قادر به محافظت از نحوه توزیع داده‌ها یا افرادی که به آنها دسترسی دارند، نیست. DNSSEC مبدا داده‌های ارسال شده از سرور DNS را تأیید می‌کند، یکپارچگی آن را تأیید می‌کند و داده‌های DNS موجود را ارزیابی می‌کند.

در فرایند ثبت دامنه، DNSSEC DNS را با استفاده از امضاهای دیجیتالی خاص در رمزنگاری کلید عمومی‌تأیید می‌کند. پیاده‌سازی DNSSEC به جای خواندن پرسش‌ها و پاسخ‌های DNS، امضای خود داده‌های DNS توسط مالک آن را ممکن می‌سازد. پاسخ‌های DNSSEC که احراز هویت می‌شوند، رمزگذاری نشده‌اند.

به طور کلی، افزونه‌های امنیتی سیستم نام دامنه (DNSSEC) مجموعه‌ای از برنامه‌های افزودنی است که با فعال کردن اعتبارسنجی پاسخ‌های DNS، امنیت را به پروتکل سیستم نام دامنه (DNS) اضافه می‌کند. به طور خاص، DNSSEC اعتبار مبدا، یکپارچگی داده‌ها و انکار وجود تایید شده را فراهم می‌کند. با DNSSEC، پروتکل DNS بسیار کمتر در معرض انواع خاصی از حملات، به ویژه حملات جعل DNS است.

 عملکرد DNSSEC به چه صورت است؟

هنگام استفاده از DNSSEC، هر پاسخ به درخواست DNS حاوی یک رکورد RRSIG و نوع رکورد است. این امضای دیجیتال با تعیین کلید عمومی‌صحیح تأیید می‌شود. سپس NSEC و NSEC3 شواهد رمزنگاری مبنی بر عدم وجود هرگونه درخواست و ایمنی در برابر جعل ارائه خواهند کرد. (Authenticated Denial of Existence) DS از یک زنجیره رانش برای احراز هویت DNSKEY استفاده می‌کند.

برای اطمینان بیشتر صاحبان دامنه جفت کلید عمومی/خصوصی خود را ایجاد می‌کنند و با استفاده از کنترل پنل DNS خود آنها را آپلود می‌کنند. کلیدهای دارای secDNS را به اپراتور zone پاس می‌دهد، آنها را امضا می‌کند و در DNS منتشر می‌کند. این امر از هرگونه ذخیره سازی جعلی/دستکاری داده‌های DNS و مسمومیت کش جلوگیری می‌کند.

علاوه بر همه اینها، DNSSEC دو لایه امنیتی برای DNS ارائه می‌دهد:

• احراز هویت مبدا داده‌ها: این امکان را برای حل کننده‌ها فراهم می‌کند تا داده‌ها را از منطقه درخواست شده به صورت رمزنگاری تأیید کنند.

 

• حفاظت از یکپارچگی داده: این کار به یک حل‌کننده اجازه می‌دهد تا مشخص کند داده‌ها توسط کلید خصوصی مالک منطقه تغییر نکرده و امضا نشده است.

ماموریت DNSSEC تقویت اعتماد به اینترنت، محافظت از کاربران در برابر هدایت مجدد به وب سایت های جعلی و آدرس های ناخواسته است. از فعالیت‌های مخربی مانند مسمومیت حافظه پنهان، داروسازی و حملات انسان در میانه جلوگیری می‌کند.

•     DNSSEC از تهدیدات سایبری جعل DNS ، که کاربران را به مقصدهای دیگر هدایت می‌کند، جلوگیری می‌کند.
•     DNSSEC امنیت بیشتری را برای سوابق متنی (TXT) و رکوردهای ایمیل ارائه می‌دهد.
•     DNSSEC برای راه‌اندازی سیستم‌های امنیت سایبری مانند سوابق گواهی، اثر انگشت SSH، کلید عمومی‌IPSec و لنگرهای اعتماد TLS استفاده می‌شود.
•     DNSSEC از جعل سوابق توسط اشخاص ثالث جلوگیری می‌کند و با جلوگیری از مسمومیت کش DNS و مناطق نادرست، هویت دامنه را احراز هویت می‌کند.

 

6 نوع RR در DNSSEC

هدف DNSSEC این است که به ریزالورها اجازه دهد منشا و یکپارچگی پاسخ DNS را بررسی کنند. DNSSEC

با محدودیت های زیر طراحی شده است:

 

• باید یک افزونه DNS باشد تا یک کلاینت غیر DNSSEC بتواند با سرور DNSSEC کار کند و بالعکس.
• داده ها محافظت می‌شوند، اما کانال های ارتباطی محافظت نمی‌شوند.
• باید بر اساس رمزگذاری کلید عمومی‌باشد
• از آنجایی که DNSSEC، بنا به طراحی، نباید پروتکل DNS را تغییر دهد، انواع جدیدی از رکوردهای DNS، Resource Records، برای مدیریت رمزنگاری اضافه شده است.

RRset .1

یک RRset گروهی از رکوردهای منبع است که از یک مالک، کلاس و نوع هستند. کلید عمومی‌جفت ZSK را در یک رکورد DNSKEY ذخیره می‌کند. سپس سرور نام از کلید خصوصی جفت KSK برای امضای تمام رکوردهای DNSKEY از جمله رکوردهای خود استفاده می‌کند و کلید عمومی‌مربوطه را در یک رکورد دیگر DNSKEY ذخیره می‌کند.

RRSIG .2

RRSIG برای هر RR وجود دارد و حاوی امضای دیجیتال یک رکورد است.

DNSKEY .3

DNSKEY کلید عمومی‌را نگه می‌دارد که ریزالورها از آن برای تأیید استفاده می‌کنند.

ZSK .4

کلید امضای منطقه (ZSK) برای امضا و اعتبارسنجی مجموعه رکوردهای فردی در منطقه استفاده می‌شود. به بیان دیگر هر منطقه امضا شده با DNSSEC دارای یک کلید به نام ZSK است که برای امضای کل مجموعه رکورد استفاده می‌شود.

KSK .5

کلید امضای کلید (KSK) برای امضای رکوردهای DNSKEY در منطقه استفاده می‌شود. همانطور که از ZSK برای امضای مجموعه رکورد استفاده می‌شود، DNSSEC از کلید KSK  استفاده می‌کند، که برای امضای ZSK DNSKEY استفاده می‌شود.

بنابراین بیایید تصور کنیم که می‌خواهیم یک رکورد A را برای نام دامنه dnstests.ovh بازیابی و تأیید کنیم.

DS .6

DS  یا Delegation Signer  این رکورد در سرورهای نام TLD وجود دارد. بنابراین اگر نام دامنه شما example.com باشد، TLD “com”  است و سرورهای نام آن a.gtld-servers.net.، b.gtld-servers.net تا m.gtld-servers.net.  هستند. هدف از این رکورد تأیید صحت خود DNSKEY است.

کلام آخر

در این مقاله به این پرداختیم که DNSSEC چیست؟ چرا DNSSEC مهم است؟ و DNSSEC چگونه کار می‌کند؟

همانطور که گفته شد، DNSSEC یک بخش اساسی از امنیت اینترنت است که باید توسط حل‌کننده‌های بازگشتی و صاحبان نام دامنه پیاده‌سازی شود. DNSSEC به این دلیل وجود دارد که اطمینان حاصل شود که وقتی کاربران یک نام دامنه را تایپ می‌کنند، به مقصدهای دقیق هدایت می‌شوند.

اگر به تازگی صاحب استارت آپ یا یک تجارت/برند معتبر هستید که از یک راه حل قابل اعتماد میزبانی DNS مانند میزبانی ArvanCloud Cloud DNS استفاده می‌کنید، DNSSEC به شما کمک می‌کند تا با قرار گرفتن در خط مقدم امنیت اینترنت و مراقبت از مشتریان خود، شهرت و اعتبار خود را بسازید و قوی کنید.

در صورت نیاز به هرگونه راهنمایی و مشاوره میتوانید با کارشناسان مجرب وب‌رمز تماس حاصل نمایید.