منو

DNSSEC چیست؟

Domain Name System Extensions Security System (DNSSEC) یک فناوری امنیتی است که به شما کمک می کند تا یکی از نقاط ضعف اینترنت را اصلاح کنید.

DNSSEC امنیت حیاتی را به مکانی اضافه می کند که اینترنت در واقع از آن استفاده نمی کند. سیستم نام دامنه (DNS) به خوبی کار می کند، اما در هیچ مرحله ای تأیید صحت وجود ندارد، که این شیوه کارکرد سوراخ هایی را برای مهاجمان باز می گذارد.

نحوه کارکرد DNS

ما در گذشته نحوه کار DNS را توضیح داده ایم. به طور خلاصه، هر زمان که به یک نام دامنه مانند «google.com» یا «cynetco.com» متصل می شوید، سیستم شما با سرور DNS خود تماس گرفته و آدرس IP مربوط به آن نام دامنه را جستجو می کند. سپس سیستم شما به آن آدرس IP متصل می شود.

نکته مهم، هیچ فرآیند تأیید در جستجوی DNS وجود ندارد. سیستم شما از سرور DNS خود آدرس مرتبط با یک وب سایت را می پرسد ، سرور DNS با یک آدرس IP پاسخ می دهد و سیستم شما می گوید: “خوب!” و با خوشحالی به آن وب سایت متصل می شود. سیستم شما چک نمی کند که آیا این یک پاسخ معتبر است؟!!

این امکان برای مهاجمان وجود دارد که این درخواست های DNS را تغییر مسیر دهند یا سرورهای DNS مخربی را تنظیم کنند که برای پاسخ با جواب های اشتباه طراحی شده اند. به عنوان مثال ، اگر به یک شبکه Wi-Fi عمومی متصل هستید و سعی در اتصال به test.com دارید ، یک سرور DNS مخرب در آن شبکه Wi-Fi عمومی می تواند آدرس IP دیگری را به طور کامل برگرداند. آدرس IP می تواند شما را به یک وب سایت فیشینگ هدایت کند. مرورگر وب شما هیچ راهی برای بررسی اینکه آیا آدرس IP واقعاً با test.com در ارتباط است ندارد. فقط باید به پاسخی که از سرور DNS دریافت می کند اعتماد کند.

رمزگذاری HTTPS صحت ارتباط را تأیید می کند. به عنوان مثال، بگذارید بگوییم شما سعی می کنید به وب سایت بانک خود متصل شوید و HTTPS و نماد قفل را در نوار آدرس خود مشاهده می کنید. شما می دانید که یک مرجع صدور گواهینامه تأیید کرده است که وب سایت متعلق به بانک شما است.

اگر از طریق یک Access-Point آلوده به وب سایت بانک خود دسترسی پیدا کرده باشید و سرور DNS آدرس یک سایت فیشینگ جعلی را بازگرداند، سایت فیشینگ نمی تواند رمزگذاری HTTPS را نمایش دهد. با این حال، ممکن است سایت فیشینگ از HTTP ساده به جای HTTPS استفاده کند در اکثر مواقع کاربران عادی تفاوت را متوجه نشوند و به هر حال اطلاعات بانکی آنلاین خود را وارد می کنند.

بانک شما راهی ندارد که بگوید “اینها آدرسهای IP قانونی وب سایت ما هستند.”

 

چگونه DNSSEC کمک خواهد کرد

جستجوی DNS در واقع در چندین مرحله اتفاق می افتد. به عنوان مثال، وقتی سیستم شما از  www.test.com درخواست می کند، سیستم شما در چندین مرحله این جستجو را انجام می دهد:

  • ابتدا از ” root zone directory” می پرسد که کجا می تواند .com را پیدا کند.
  • سپس از دایرکتوری .com می پرسد که چگونه می تواند com را پیدا کند.
  • سپس از com می پرسد که کجا می تواند www.test.com را پیدا کند.

DNSSEC شامل ” signing the root” است. هنگامی که سیستم شما سراغ منطقه ریشه root zone می رود که کجا می تواند .com را پیدا کند، می تواند root zone’s signing key را بررسی کرده و تأیید کند که root zone با اطلاعات واقعی است. سپس root zone اطلاعات مربوط به signing key یا .com و مکان آن را فراهم می کند سپس به سیستم شما اجازه می دهد تا با دایرکتوری .com تماس گرفته و از قانونی بودن آن اطمینان حاصل کند. دایرکتوری .com کلید امضای و اطلاعات مربوط به test.com را فراهم می کند و به شما این امکان را می دهد که با test.com تماس گرفته و تأیید کند که شما به test.com واقعی متصل هستید، همانطور که توسط مناطق بالای آن تأیید شده است.

وقتی DNSSEC کاملاً راه اندازی شد، سیستم شما قادر به تأیید پاسخ های DNS قانونی و درست است، در حالی که DNS در حال حاضر راهی برای دانستن اینکه کدام یک جعلی و کدام یک واقعی هستند، ندارد.

دسته بندی ها: امنيت

دیدگاه ها