DNSSEC چیست؟
Domain Name System Extensions Security System (DNSSEC) یک فناوری امنیتی است که به شما کمک می کند تا یکی از نقاط ضعف اینترنت را اصلاح کنید.
DNSSEC امنیت حیاتی را به مکانی اضافه می کند که اینترنت در واقع از آن استفاده نمی کند. سیستم نام دامنه (DNS) به خوبی کار می کند، اما در هیچ مرحله ای تأیید صحت وجود ندارد، که این شیوه کارکرد سوراخ هایی را برای مهاجمان باز می گذارد.
امنیت DNS چیست؟
امنیت DNS عمل محافظت از زیرساخت DNS در برابر حملات سایبری به منظور حفظ عملکرد سریع و قابل اطمینان آن است. یک استراتژی امنیتی موثر DNS شامل تعدادی دفاع امنیتی میشود، از جمله ایجاد سرورهای DNS اضافی، اعمال پروتکلهای امنیتی مانند DNSSEC، و نیاز به ثبتنام دقیق DNS.
نحوه کارکرد DNS
نحوه کار DNS ساده است. به طور خلاصه، هر زمان که به یک نام دامنه مانند «google.com» یا «cynetco.com» متصل می شوید، سیستم شما با سرور DNS خود تماس گرفته و آدرس IP مربوط به آن نام دامنه را جستجو می کند. سپس سیستم شما به آن آدرس IP متصل می شود.
نکته مهم، هیچ فرآیند تأییدی در جستجوی DNS وجود ندارد. سیستم شما از سرور DNS خود آدرس مرتبط با یک وب سایت را می پرسد، سرور DNS با یک آدرس IP پاسخ می دهد و سیستم شما می گوید: “خوب!” و با خوشحالی به آن وب سایت متصل می شود. سیستم شما چک نمی کند که آیا این یک پاسخ معتبر است؟!!
این امکان برای مهاجمان وجود دارد که این درخواست های DNS را تغییر مسیر دهند یا سرورهای DNS مخربی را تنظیم کنند که برای پاسخ با جواب های اشتباه طراحی شده اند. به عنوان مثال ، اگر به یک شبکه Wi-Fi عمومی متصل هستید و سعی در اتصال به cynetco.com دارید، یک سرور DNS مخرب در آن شبکه Wi-Fi عمومی می تواند آدرس IP دیگری را به شما برگرداند. آدرس IP می تواند شما را به یک وب سایت فیشینگ هدایت کند. مرورگر وب شما هیچ راهی برای بررسی اینکه آیا آدرس IP واقعاً با cynetco.com در ارتباط است ندارد. فقط باید به پاسخی که از سرور DNS دریافت می کند اعتماد کند.
رمزگذاری HTTPS صحت ارتباط را تأیید می کند. به عنوان مثال، بگذارید بگوییم شما سعی می کنید به وب سایت بانک خود متصل شوید و HTTPS و نماد قفل را در نوار آدرس خود مشاهده می کنید. شما می دانید که یک مرجع صدور گواهینامه تأیید کرده است که وب سایت متعلق به بانک شما است.
اگر از طریق یک Access-Point آلوده به وب سایت بانک خود دسترسی پیدا کرده باشید و سرور DNS آدرس یک سایت فیشینگ جعلی را بازگرداند، سایت فیشینگ نمی تواند رمزگذاری HTTPS را نمایش دهد. با این حال، ممکن است سایت فیشینگ از HTTP ساده به جای HTTPS استفاده کند در اکثر مواقع کاربران عادی تفاوت را متوجه نشوند و به هر حال اطلاعات بانکی آنلاین خود را وارد می کنند.
بانک شما راهی ندارد که بگوید “اینها آدرسهای IP قانونی وب سایت ما هستند.”
چرا امنیت DNS مهم است؟
مانند بسیاری از پروتکل های اینترنتی، سیستم DNS با در نظر گرفتن امنیت طراحی نشده است و دارای چندین محدودیت طراحی است. این محدودیتها، همراه با پیشرفتهای فناوری، سرورهای DNS را در برابر طیف گستردهای از حملات، از جمله جعل، تقویت، DoS (انکار سرویس) یا رهگیری اطلاعات شخصی خصوصی آسیبپذیر میکند. و از آنجایی که DNS بخشی جدایی ناپذیر از اکثر درخواست های اینترنتی است، می تواند هدف اصلی حملات باشد.
علاوه بر این، حملات DNS اغلب همراه با سایر حملات سایبری به کار گرفته میشوند تا تمرکز تیمهای امنیتی را از هدف واقعی منحرف کنند. یک سازمان باید بتواند به سرعت حملات DNS را کاهش دهد تا آنقدر شلوغ نباشد که بتواند حملات همزمان را از طریق دیگر بردارها مدیریت کند.
چگونه DNSSEC کمک خواهد کرد
جستجوی DNS در واقع در چندین مرحله اتفاق می افتد. به عنوان مثال، وقتی سیستم شما از www.cynetco.com درخواست می کند، سیستم شما در چندین مرحله این جستجو را انجام می دهد:
- ابتدا از ” root zone directory” می پرسد که کجا می تواند .com را پیدا کند.
- سپس از دایرکتوری .com می پرسد که چگونه می تواند com را پیدا کند.
- سپس از com می پرسد که کجا می تواند www.cynetco.com را پیدا کند.
DNSSEC شامل ” signing the root” است. هنگامی که سیستم شما سراغ منطقه ریشه root zone می رود که کجا می تواند .com را پیدا کند، می تواند root zone’s signing key را بررسی کرده و تأیید کند که root zone با اطلاعات واقعی است. سپس root zone اطلاعات مربوط به signing key یا .com و مکان آن را فراهم می کند سپس به سیستم شما اجازه می دهد تا با دایرکتوری .com تماس گرفته و از قانونی بودن آن اطمینان حاصل کند. دایرکتوری .com کلید امضای و اطلاعات مربوط به cynetco.com را فراهم می کند و به شما این امکان را می دهد که با cynetco.com تماس گرفته و تأیید کند که شما به cynetco.com واقعی متصل هستید، همانطور که توسط مناطق بالای آن تأیید شده است.
وقتی DNSSEC کاملاً راه اندازی شد، سیستم شما قادر به تأیید پاسخ های DNS قانونی و درست است، در حالی که DNS در حال حاضر راهی برای دانستن اینکه کدام یک جعلی و کدام یک واقعی هستند، ندارد.
مطالب زیر را حتما بخوانید
-
اکتیو دایرکتوری (Active Directory) چیست و چگونه کار می کند؟
26 بازدید
-
بخش بندی شبکه (Network Segmentation) چیست؟
103 بازدید
-
۸ راه برای افزایش امنیت شبکه
2.58k بازدید
-
۲۰ اصطلاح مهم امنیت شبکه که باید بدانید
3.01k بازدید
-
SOC چیست؟ تکنولوژی، اهداف و ابزارهای مرکز عملیات امنیت
6.23k بازدید
-
فیشینگ (Phishing) چیست؟ بررسی و نحوه پیشگیری از آن چگونه است
2.51k بازدید
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.