DNS (Domain Name Server) به زبان ساده دفترچه تلفن اینترنت است، دیاناس به کامپیوترها میگوید که اطلاعات را به کجا ارسال و از کجا دریافت کنند. متأسفانه، هر آدرسی که به آن داده شود را نیز بدون هیچ سوالی میپذیرد.
سرورهای ایمیل از DNS برای مسیریابی پیامهای خود استفاده میکنند، به این معنی که آنها در برابر مشکلات امنیتی در زیرساخت DNS آسیبپذیر هستند. در سپتامبر ۲۰۱۴، محققان دانشگاه کارنگی ملون (CMU) دریافتند که ایمیلهایی که قرار بود از طریق سرورهای یاهو، هات میل و جیمیل ارسال شوند، بهجای آن از طریق سرورهای ایمیل جعلی مسیریابی میشوند. مهاجمان از یک آسیبپذیری قدیمی در DNS سوءاستفاده میکردند. این آسیبپذیری به این صورت بود که دیاناس بهصورت پیشفرض قبل از پذیرش یک درخواست، اعتبار آن را بررسی نمیکرد.
برای حل این آسیبپذیری پروتکلی به نام DNSSEC ارائه شد. پروتکل DNSSEC که با ارائه احراز هویت، لایهای از اعتماد را روی DNS ایجاد میکند. هنگامی که یک پاسخدهنده DNS به دنبال blog.cloudflare.com میگردد، سرورهای نام دامنه .com به پاسخدهنده کمک میکنند تا رکوردهای بازگردانده شده برای Cloudflare را تأیید کنند، و Cloudflare به تأیید رکوردهای بازگردانده شده برای blog کمک میکند. سرورهای ریشه نام دامنه به تأیید .com کمک میکنند و اطلاعات منتشر شده توسط ریشه توسط یکرویه+ امنیتی دقیق، از جمله «امضای ریشه (Root Signing Ceremony)» تأیید میشود.
معرفی DNSSEC
The DNS Security Extensions که مخفف آن DNSSEC است، با افزودن امضاهای رمزنگاری به رکوردهای موجود DNS، یک سیستم نام دامنه امن ایجاد میکند. این امضاهای دیجیتال در کنار انواع رکوردهای رایج مانند A، AAAA، MX، CNAME و غیره در سرورهای نام دامنه ذخیره میشوند. با بررسی امضای مرتبط با یک رکورد DNS، میتوانید تأیید کنید که رکورد درخواستی از سرور معتبر آن آمده است و در مسیر تغییر نکرده و یک رکورد جعلی تزریق شده در حمله “مرد میانی” (Man-in-the-Middle) نیست.
برای تسهیل اعتبارسنجی امضا، DNSSEC چند نوع رکورد DNS جدید اضافه میکند:
- RRSIG: حاوی امضای رمزنگاری
- DNSKEY: حاوی کلید امضای عمومی
- DS: حاوی هش یک رکورد DNSKEY
- NSEC و NSEC3: برای رد صریح وجودنداشتن یک رکورد DNS
- CDNSKEY و CDS: برای یک زیر-زون که درخواست بهروزرسانی رکورد(های) DS در زون والد را دارد.
محدودیتهای DNSSEC
این امر به طور گسترده پذیرفته شده است که ایمنسازی DNS بخش مهمی از ایمنسازی کل اینترنت است، اما استقرار DNSSEC با چندین مشکل روبرو بوده است:
- سازگاری با گذشته: طراحی یک استاندارد سازگار با گذشته که بتواند با اندازه اینترنت مقیاسبندی شود، بسیار دشوار است.
- جلوگیری از شمارش معکوس منطقه: بخش مهمی از DNSSEC توانایی تایید با اعتبار این است که یک نام خاص وجود ندارد.
- مشکلات استقرار: استقرار DNSSEC در طیف گستردهای از سرورهای DNS و پاسخدهندهها زمانبر است.
- اختلافات مالکیت: در مورد اینکه چه کسی باید مالک کلیدهای ریشه دامنه سطح بالا باشد، اختلافنظر وجود داشته است.
- پیچیدگی ادراکی: غلبه بر پیچیدگی درک شده DNSSEC و استقرار DNSSEC دشوار بوده است.
