DNS SEC چیست؟و چرا مهم است؟

DNS SEC چیست؟

افزونه‌های امنیتی سیستم نام دامنه، که با نام‌های DNS SEC یا DNS Security Extensions نیز شناخته می‌شوند، مجموعه خاصی از قوانین ویژه مهندسی اینترنت (IETF) برای محافظت و ایمن کردن انواع مشخصی از اطلاعات ارائه‌شده توسط Domain Name System (DNS) در پروتکل ip شبکه است.

DNS SEC برای محافظت از client های اینترنتی در برابر داده های جعلی از نوع DNS طراحی شده است. همچنین احراز هویت مبدا داده‌های DNS، را تأیید و یا نقض می کند و یکپارچگی داده را فراهم می سازد.

DNS SEC با استفاده از امضاهای دیجیتالی خاصی در رمزنگاری کلید عمومی (Public-key cryptography) احراز هویت مبدا داده‌های DNS تأیید می کند. پیاده‌سازی DNS SEC این امکان را فراهم می سازد تا داده های DNS به جای DNS کوئری ها توسط خود DNS SEC احراز هویت شوند.

بطور کلی ،DNS SEC مجموعه ای از پروتکل های ویژه است که یک لایه امنیتی به فرآیندهای جستجو و تبادل دامنه (DNS) اضافه می کند. که سبب دسترسی یکپارچه به وب سایت ها در اینترنت  می شود. DNS SEC قادر به محافظت از نحوه توزیع داده ها یا افرادی که به آنها دسترسی دارند نیست. DNS SEC منشاء  و مبداُ داده های ارسال شده از سرور DNS را تأیید می کند، یکپارچگی آن را تأیید می کند و داده های DNS موجود را ارزیابی می کند.

DNS چیست؟

سیستم نام دامنه (DNS) یک سیستم نامگذاری و مترجمی سلسله مراتبی و غیرمتمرکز برای منابع مختلف (سرویس ها، رایانه ها) متصل به اینترنت است. DNS مستقیماً با نام دامنه مرتبط است و نام دامنه های قابل خواندن توسط انسان (مانند vestaserver.com) را به آدرس های IP عددی برای مکان یابی و شناسایی خدمات ترجمه می کند.

DNS مسئول نام سرورهای معتبر دامنه ها است و می تواند آنها را به آدرس های IP اختصاص داده و نقشه برداری کند. DNS یک سرویس توزیع شده و حیاتی ایجاد می کند که به صورت مرکزی میزبانی نمی شود. DNS همچنین برای تعیین ساختارهای داده و تبادل داده در پروتکل های DNS استفاده شده است.

DNS چگونه کار می کند؟

تمام فعالیت های اینترنتی به عملکرد صحیح DNS بستگی دارند. DNS نام دامنه را به آدرس های IP مورد استفاده توسط سرورها، روترها و سایر دستگاه های شبکه ترجمه می کند.

هنگامی که یک کاربر یک نام دامنه، به عنوان مثال، vestaserver.com را در مرورگر خود وارد می کند، از stub resolver، که بخش اساسی سیستم عامل است، برای ترجمه نام دامنه به یک آدرس IP خاص استفاده می کند.  بسیاری از سیستم عامل ها DNS Resolver  های داخلی به نام  Resolver Stub دارند که درخواست‌های زیادی را برای داده‌های DNS به  Resolver بازگشتی پیچیده‌تر مورد استفاده در بسیاری از شبکه‌ها منتشر می‌کند.

اکنون که Resolver  بازگشتی (Recursive resolver) درخواست صادر  می کند، درخواست DNS خود را به سرورهای معتبر مختلف ارسال می‌کند. داده های DNS دامنه در سرورهایی در اینترنت ذخیره می شوند. مرسوم است که این کار را به شخص ثالثی مانند یک شرکت میزبانی وب، شرکت های ذخیره ساز ابری یا ارائه دهنده خدمات اینترنتی سپرده شوند.

DNS Zone

معماری سلسله مراتبی DNS شامل بسیاری از مناطق مختلف است. هر یک از این مناطق مسئول یک ناحیه خاص در فضای  DNS هستند. یک مدیر مصمم این مناطق را مدیریت می کند. مناطق مختلف  DNS Zone بر اجزای DNS کنترل دارند. در واقع، فضای دامنه حاوی یک دامنه DNS Root است که تمام مناطق DNS موجود را مدیریت می کند. هر منطقه از این ساختار شروع می شود و می تواند به زیر دامنه ها گسترش یابد. مناطق DNS را می توان با بیش از یک نام دامنه، سرور DNS و زیر دامنه مرتبط کرد.

ذخیره اطلاعات DNS

چرا DNS SEC مهم است؟

هنگامی که یک resolver بازگشتی درخواستی را به یک name سرور ارسال می‌کند، resolver فقط می‌تواند بررسی کند که آیا پاسخ (responses) از همان آدرس IP درخواست اصلی می‌آید یا خیر. از آنجایی که IP قابل جعل است هنگامی که resolver بازگشتی داده‌های DNS را در حافظه پنهان ذخیره می‌کنند، از قبل داده‌ها را در حافظه پنهان ذخیره شده اند، که باعث افزایش سرعت در تجزیه و تفکیک داده  ها می شود.

درخواست ها به name سرورها ارسال نمی شوند. اما مشکل اینجاست که اگر مهاجمان پاسخ‌های DNS را جعل کنند، که توسط resolver بازگشتی نیز قابل قبول است،این وضعیت DNS Cache Poisoning  یا جعل سامانه نام دامنه نامیده می‌شود. بنابراین، برای هر کاربری که با آن resolver تعامل داشته باشد، داده‌های DNS جعلی ارسال می‌شود تا زمانی که TTL  منقضی شود.

سخن آخر

بطور کلی ،DNS SEC مجموعه ای از پروتکل های ویژه است که یک لایه امنیتی به فرآیندهای جستجو و تبادل دامنه (DNS) اضافه می کند. که سبب دسترسی یکپارچه به وب سایت ها در اینترنت  می شود. پس DNS SEC روشی برای افزودن یک لایه امنیتی اضافی به DNS است.