هل يمكن اعتبار نظام أسماء النطاقات آمنًا؟

في إبريل / نيسان ، قُبض على قراصنة هولنديين لما يُطلق عليه أكبر هجوم موزَّع على الحرمان من الخدمة على الإطلاق. تم تنفيذ الهجوم على Spamhaus ، وهي منظمة لمكافحة البريد العشوائي ، ووفقًا لـ ENISA ، وكالة أمن تكنولوجيا المعلومات التابعة للاتحاد الأوروبي ، بلغ العبء على البنية الأساسية لـ Spamhaus 300 جيجابت في الثانية ، أي ثلاثة أضعاف الرقم السابق. كما تسبب أيضًا في ازدحام كبير للإنترنت وتسبب في تشويش البنية التحتية للإنترنت في جميع أنحاء العالم.

بالطبع ، هجمات DNS نادراً ما تكون نادرة. ولكن في حين أن المتسلل في قضية Spamhaus كان يهدف فقط إلى إلحاق الضرر بهدفه ، فإن التداعيات الأكبر للهجوم تشير أيضًا إلى ما يصفه الكثيرون بوجود خلل كبير في البنية الأساسية للإنترنت: نظام أسماء النطاقات. ونتيجة لذلك ، أدت الهجمات الأخيرة على البنية الأساسية لنظام أسماء النطاقات (DNS) الأساسية إلى ترك الفنيين ورجال الأعمال على حد سواء يبحثون عن حلول. و ماذا عنك؟ من المهم معرفة الخيارات المتاحة لديك لتعزيز البنية التحتية لنظام أسماء النطاقات الخاصة بشركتك وكذلك كيفية عمل خوادم DNS الجذرية. لذلك دعونا نلقي نظرة على بعض المشاكل ، وما يمكن أن تفعله الشركات لحماية نفسها. (تعرف على المزيد حول DNS في DNS: بروتوكول واحد للحكم عليهم جميعًا.)

البنية التحتية الحالية

نظام اسم المجال (DNS) هو من وقت نسيه الإنترنت. لكن هذا لا يجعلها أخبارا قديمة. مع التهديد المتغير باستمرار للهجمات الإلكترونية ، تعرض نظام أسماء النطاقات إلى قدر كبير من التدقيق على مر السنين. في مهدها ، لم تقدم DNS أي أشكال من المصادقة للتحقق من هوية مرسل أو مستقبل لاستعلامات DNS.

في الواقع لسنوات عديدة ، خوادم الأسماء الأساسية ، أو خوادم الجذر ، تعرضت لهجمات واسعة النطاق ومتنوعة. هذه الأيام متنوعة جغرافيا وتشغلها أنواع مختلفة من المؤسسات ، بما في ذلك الهيئات الحكومية والكيانات التجارية والجامعات ، للحفاظ على سلامتها.

بشكل مثير للقلق ، كانت بعض الهجمات ناجحة إلى حد ما في الماضي. حدث هجوم معطل على البنية الأساسية لخادم الجذر ، على سبيل المثال ، في عام 2002 (اقرأ تقريرًا عنها هنا). على الرغم من أنه لم يخلق تأثيرًا ملحوظًا لمعظم مستخدمي الإنترنت ، إلا أنه جذب انتباه مكتب التحقيقات الفيدرالي ووزارة الأمن الداخلي الأمريكية لأنه كان احترافيًا للغاية ومستهدفًا للغاية ، مما أثر على تسعة من خوادم جذر التشغيل الثلاثة عشر. يقول الخبراء إنه لو استمرت لأكثر من ساعة واحدة ، فقد تكون النتائج كارثية ، مما يجعل عناصر البنية الأساسية لنظام أسماء النطاقات على الإنترنت غير مجدية.

إن هزيمة جزء لا يتجزأ من البنية التحتية للإنترنت من شأنه أن يعطي المهاجم الناجح قدراً كبيراً من القوة. نتيجة لذلك ، تم تطبيق وقت كبير واستثمار كبير على مسألة تأمين البنية الأساسية لخادم الجذر. (يمكنك الاطلاع على خريطة توضح خوادم الجذر وخدماتها هنا.)

تأمين DNS

بصرف النظر عن البنية التحتية الأساسية ، من المهم أيضًا التفكير في مدى قوة البنية التحتية لنظام أسماء النطاقات الخاصة بشركتك في مواجهة كل من الهجوم والفشل. من الشائع على سبيل المثال (والمشار إليه في بعض طلبات RFCs) أن خوادم الأسماء يجب أن تتواجد على شبكات فرعية أو شبكات مختلفة تمامًا. بمعنى آخر ، إذا كان مزود خدمة الإنترنت (ISP A) يعاني من انقطاع كامل وكان خادم الاسم الرئيسي غير متصل بالإنترنت ، فسيظل مزود خدمة الإنترنت (ISP B) يخدم بيانات DNS الأساسية لأي شخص يطلبها.

تعد امتدادات أمان نظام أسماء المجالات (DNSSEC) واحدة من أكثر الطرق شيوعًا التي يمكن للشركات من خلالها تأمين البنية الأساسية لخادم الأسماء الخاصة بهم. هذه وظيفة إضافية للتأكد من أن الجهاز المتصل بخوادم الأسماء هو ما يقوله. يسمح DNSSEC أيضًا بالمصادقة لتحديد من أين تأتي الطلبات ، بالإضافة إلى التحقق من عدم تغيير البيانات نفسها في الطريق. ومع ذلك ، نظرًا للطبيعة العامة لنظام اسم المجال ، فإن التشفير المستخدم لا يضمن سرية البيانات ، ولا يوجد لديه أي مفهوم لتوفرها إذا عانت أجزاء من البنية التحتية من فشل بعض الوصف.

يتم استخدام عدد من سجلات التكوين لتوفير هذه الآليات بما في ذلك أنواع سجلات RRSIG و DNSKEY و DS و NSEC. (لمزيد من المعلومات ، راجع 12 سجلات DNS موضحة.)

يتم استخدام RRISG عندما يكون DNSSEC متاحًا لكل من الجهاز الذي يقدم الاستعلام والآخر الذي يرسله. يتم إرسال هذا السجل جنبًا إلى جنب مع نوع السجل المطلوب.

قد يبدو DNSKEY الذي يحتوي على معلومات موقعة كما يلي:

ripe.net لديه سجل DNSKEY 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =

يتم استخدام السجل DS أو الموقّع المفوض للمساعدة في توثيق سلسلة الثقة حتى يتمكن الوالد ومنطقة تابعة من التواصل مع درجة إضافية من الراحة.

تنتقل إدخالات NSEC أو الآمنة التالية بشكل أساسي إلى الإدخال الصحيح التالي في قائمة إدخالات DNS. إنها طريقة يمكن استخدامها لإرجاع إدخال DNS غير موجود. هذا مهم حتى يتم الوثوق فقط في إدخالات DNS التي تم تكوينها باعتبارها أصلية.

تم التصديق على NSEC3 ، وهي آلية أمان محسنة للمساعدة في تخفيف الهجمات على غرار القاموس ، في مارس 2008 في RFC 5155.

استقبال DNSSEC

على الرغم من أن العديد من المؤيدين استثمروا في نشر DNSSEC ، إلا أنه لا يخلو من منتقديه. على الرغم من قدرتها على المساعدة في تجنب الهجمات مثل الهجمات التي تتم في الوسط ، حيث يمكن اختطاف الاستعلامات وتزويدها بطريقة غير صحيحة بإرادتها لأولئك الذين ينشئون استعلامات DNS ، توجد مشكلات مزعومة متعلقة بالتوافق مع أجزاء معينة من البنية التحتية للإنترنت الحالية. المشكلة الرئيسية هي أن DNS يستخدم عادةً بروتوكول مخطط بيانات المستخدم الأقل عرض النطاق الترددي (UDP) ، بينما يستخدم DNSSEC بروتوكول التحكم في الإرسال الأثقل (TCP) لتمرير بياناته ذهابًا وإيابًا من أجل مزيد من الموثوقية والمساءلة. قد لا تتمكن أجزاء كبيرة من البنية التحتية القديمة لـ DNS ، والتي تمتلئ بملايين من طلبات DNS على مدار الساعة وطوال أيام الأسبوع ، من زيادة عدد الزيارات. ومع ذلك ، يعتقد الكثيرون أن DNSSEC هو خطوة رئيسية نحو تأمين البنية التحتية للإنترنت.

بينما لا يوجد شيء مضمون في الحياة ، إلا أن قضاء بعض الوقت في التفكير في المخاطر الخاصة بك قد يمنع حدوث الكثير من الصداع المكلف في المستقبل. من خلال نشر DNSSEC ، على سبيل المثال ، يمكنك زيادة ثقتك في أجزاء من البنية الأساسية لنظام DNS.