DNS Security Extensions (DNSSEC)
چراDNS Security?
دفاع از کاربران در برابر حملات هکرها MITM ، DNS Spoofing ، Cache Poisoning و … است.
چرا امنیت DNS مهم است؟
مانند بسیاری از پروتکل های اینترنتی، سیستم DNS با در نظر گرفتن امنیت طراحی نشده است و دارای چندین محدودیت طراحی است. این محدودیتها، همراه با پیشرفتهای فناوری، سرورهای DNS را در برابر طیف گستردهای از حملات، از جمله جعل، DoS (انکار سرویس) یا رهگیری اطلاعات شخصی خصوصی آسیبپذیر میکند. و از آنجایی که DNS بخشی جدایی ناپذیر از اکثر درخواست های اینترنتی است، می تواند هدف اصلی حملات باشد.
علاوه بر این، حملات DNS اغلب همراه با سایر حملات سایبری به کار گرفته میشوند تا تمرکز تیمهای امنیتی را از هدف واقعی منحرف کنند. یک سازمان باید بتواند به سرعت حملات DNS را کاهش دهد تا آنقدر شلوغ نباشد که بتواند حملات همزمان را از طریق دیگر بردارها مدیریت کند.
برخی از حملات متداول DNS :
مهاجمان چندین راه برای هدف قرار دادن و بهره برداری از سرورهای DNS پیدا کرده اند. در اینجا برخی از رایج ترین آنها آورده شده است:
- DNS spoofing/cache poisoning: این حمله ای است که در آن داده های جعلی DNS به حافظه نهان یک DNS resolver’s وارد می شود و در نتیجه resolver آدرس IP نادرستی را برای یک دامنه برمی گرداند. به جای رفتن به وبسایت صحیح، میتوان ترافیک را به یک ماشین مخرب یا هر جای دیگری که مهاجم بخواهد هدایت کرد.
- DNS tunneling: این حمله از پروتکل های دیگری برای تونل زدن از طریق پرس و جوها و پاسخ های DNS استفاده می کند. مهاجمان می توانند از SSH، TCP یا HTTP برای ارسال بدافزار یا اطلاعات سرقت شده به کوئری های DNS استفاده کنند که توسط اکثر فایروال ها شناسایی نشده است.
- DNS hijacking:در ربودن DNS، مهاجم پرس و جوها را به سرور نام دامنه دیگری هدایت می کند. این می تواند با بدافزار یا با تغییر غیرمجاز سرور DNS انجام شود. اگرچه نتیجه شبیه به جعل DNS است، اما این یک حمله اساسا متفاوت است زیرا به جای حافظه پنهان یک Resolver، رکورد DNS وب سایت در سرور نام را هدف قرار می دهد.
DNSSEC چیست؟
- امکان احراز هویت رکوردها DNS با استفاده از زیرساخت امضای دیجیتال با بررسی امضای اختصاص یافته به یک رکورد می توان مطمین شد که رکورد DNS دریافت شده از یک DNS سرور مجاز است، یا رکوردی جعلی است که ب هوسیله ی یک حمله ی man-in-the-middle تزریق شده است.
- DNSSEC یک خط مشی امضای دیجیتال سلسله مراتبی را در تمام لایه های DNS پیاده سازی می کند.
- DNSSEC یک قطار اعتماد والد-فرزند ایجاد می کند که تمام مسیر را تا منطقه ریشه طی می کند. این زنجیره اعتماد نمی تواند در هیچ لایه ای از DNS به خطر بیفتد، در غیر این صورت درخواست برای حمله در مسیر باز می شود.
عملکرد DNSSEC :
RR های جدیدی را تعریف می کند که مه مترین آن ها عبارت اند از :
- RRset : رکوردهایی با نام، نوع و class یک سان درون یک RRset قرار می گیرند.
- RRSIG : دربردارند هی امضای دیجیتال یک RRset
- DNSKEY : حاوی کلید عمومی مربوط به ZSK یا KSK
- ZSK : مسئول امضای رکوردهایی جز رکوردهای DNSKEY مرتبط با یک zone
- KSK : مسئول امضای رکوردهای DNSKEY مرتبط با یک zone
- DS : دربردارند ه ی hash رکورد DNSKEY حاوی publicKSK است. از رکوردهای DS برای ایجاد زنجیره ای از اعتبارسنجی در ساختار سلسله مراتبی DNS استفاده می شود .
DNSSEC چگونه کار می کند؟
هنگام استفاده از DNSSEC، هر پاسخ به درخواست DNS حاوی یک رکورد RRSIG و نوع رکورد است. این امضای دیجیتال با تعیین کلید عمومی صحیح تأیید می شود. سپس NSEC و NSEC3 شواهد رمزنگاری مبنی بر عدم وجود هرگونه درخواست و مقاومت قوی در برابر جعل ارائه خواهند کرد. (Authenticated Denial of Existence) DS از یک زنجیره رانش برای احراز هویت DNSKEY استفاده می کند.
علاوه بر همه اینها، DNSSEC دو لایه امنیتی برای DNS ارائه می دهد:
- احراز هویت مبدا داده ها: این امکان را برای resolver ها فراهم می کند تا داده ها را از منطقه درخواست شده به صورت رمزنگاری تأیید کنند.
- حفاظت از یکپارچگی داده: این به یک resolver اجازه میدهد تا مشخص کند دادهها توسط کلید خصوصی مالک منطقه تغییر و امضا نشده است.
:DNSSEC امنیت
- ماموریت DNSSEC تقویت اعتماد به اینترنت، محافظت از کاربران در برابر هدایت مجدد به وب سایت های جعلی و آدرس های ناخواسته است.
- DNSSEC از تهدیدات سایبری جعل DNS جلوگیری می کند، که کاربران را به مقصدهای دیگر هدایت می کند.
- DNSSEC امنیت بیشتری را برای سوابق متنی (TXT) و رکوردهای ایمیل ارائه می دهد.
- DNSSEC برای راهاندازی سیستمهای امنیت سایبری مانند سوابق گواهی، اثر انگشت SSH، کلید عمومی IPSec استفاده میشود.
- DNSSEC از جعل سوابق توسط اشخاص ثالث جلوگیری می کند و با جلوگیری از مسمومیت کش DNS و مناطق نادرست، هویت دامنه را احراز هویت می کند.
مزایای DNSSEC:
- DNSSEC از یک برند و مشتریان آن محافظت می کند.
- DNSSEC به کاهش خطرات کمک می کند.
- DNSSEC اعتماد و وفاداری اینترنت را برای مشتریان به ارمغان می آورد.
- DNSSEC مشتریان متمرکز بر امنیت را جذب و حفظ خواهد کرد.
- DNSSEC اعتماد و شهرت یک برند/کسب و کار را افزایش می دهد.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.