DNS مخفف عبارت Domain Name System است و به عنوان یک سیستم نام دهی، برای ترجمه نام دامنه های اینترنتی به آدرس IP مورد استفاده قرار میگیرد. به عبارت دیگر، DNS به عنوان یک دفترچه تلفن اینترنتی عمل می کند که نام های مستعار از جمله “google.com” یا “facebook.com” را به آدرس IP متناظر آنها که به صورت عددی هستند مانند “۱۷۲٫۲۱۷٫۱٫۱۷۴” یا “۶۹٫۶۳٫۱۷۶٫۱۳” ترجمه می کند.
DNS یک سیستم توزیع شده است که توسط بسیاری از کامپیوترها و سرورها در سراسر جهان اجرا می شود. وظیفه اصلی DNS، ارائه خدمات ترجمه نام دامنه به آدرس IP است. وقتی یک کاربر اینترنتی به یک نام دامنه دسترسی می یابد، دستگاهش ابتدا به DNS سروری که مربوط به شبکه اش متصل است، درخواست ارسال می کند تا آدرس IP متناظر با آن نام دامنه را برایش ترجمه کند. سپس DNS سرور به کاربر درخواست شده را بازگردانده و به دستگاه کاربر برمی گرداند.
DNSSEC (Domain Name System Security Extensions) به دلیل نیاز به افزایش امنیت در سیستم نام دهی دامنه ها (DNS) ایجاد شد. ساختار DNS از زمانی که ایجاد شد، همیشه ضعف هایی در امنیت خود داشته است و به راحتی میتوان با تغییرات در سیستم DNS به اطلاعات نادرست دسترسی پیدا کرد. به عنوان مثال، یک حمله اسپوفینگ DNS (DNS Spoofing) میتواند به شکلی که سرور DNS مجبور شود برای یک نام دامنه خاص، آدرس IP نادرستی برگرداند، از این ضعف استفاده کند.
DNSSEC این مشکلات را با امضای دیجیتالی رکوردهای DNS و احراز هویت آنها با استفاده از کلیدهای رمزنگاری حل میکند. با استفاده از DNSSEC، هر کامپیوتر می تواند مطمئن باشد که آدرس IP درخواست شده برای نام دامنه، به درستی توسط سرور DNS برگردانده شده است و توسط هیچ فرد یا سازمان دیگری تغییر داده نشده است.
با این حال، برای استفاده از DNSSEC، همه اجزای سیستم DNS باید از این فناوری پشتیبانی کنند. به عبارت دیگر، DNSSEC تنها زمانی موثر است که تمامی سرورها و دستگاهها در شبکه از آن پشتیبانی کنند.
DNSSEC یک فناوری امنیتی برای حفاظت از اطلاعات DNS است که در سال ۱۹۹۷ توسط یک گروه از محققان امنیتی اولین بار مطرح شد. این گروه ایده ایجاد یک سیستم امضای دیجیتالی برای ساختار DNS را مطرح کردند که به صورتی می توانست از حملاتی مانند جعل وسوسههای DNS و انواع حملات DNS توزیع شده (DDoS) محافظت کند.
در سال ۲۰۰۵، آزمایشهای اولیه DNSSEC در زیرساخت DNS انجام شد که توسط اکثر بزرگترین شرکتهای ارائه دهنده خدمات اینترنتی جهان پشتیبانی شد. در سال ۲۰۱۰، سازمان ICANN (شرکت بین المللی اختصاص دهنده نام دامنه های اینترنتی) تصمیم به رسمیت شناختن DNSSEC گرفت و آن را به عنوان یک استاندارد امنیتی در اینترنت تأیید کرد.
اکنون بسیاری از نامزدهای انتخابات اینترنتی، بانکها، سازمانهای دولتی و خصوصی، شرکتهای بزرگ اینترنتی و سایر سازمانها از DNSSEC برای افزایش امنیت خدمات خود استفاده میکنند.
DNSSEC یک استاندارد امنیتی است که برای حفاظت از اطلاعات DNS استفاده می شود. با استفاده از DNSSEC، اطمینان حاصل می شود که اطلاعات DNS اصلی و صحیح هستند و از تغییر یا دخل و تصرف توسط حملات مختلف مانند جعل وسوسههای DNS و انواع حملات DNS توزیع شده (DDoS) محافظت می شود.
DNSSEC امضای دیجیتالی روی رکوردهای DNS ایجاد می کند که تضمین می کند که اطلاعاتی که در دیتابیس DNS ذخیره شده اند، از منابع معتبر بوده و دخل و تصرف نشده اند. به این ترتیب، DNSSEC به برقراری اعتماد در شبکه اینترنت کمک می کند.
با DNSSEC، کاربران و سازمان های اینترنتی می توانند از سیستم های امنیتی DNS استفاده کنند که قبلاً در دسترس نبوده و تضمین می کند که هیچ کس نمی تواند به راحتی درخواست های DNS را مخرب کند یا دسترسی به اطلاعات خصوصی را که به وسیله DNS انتقال می یابد، به دست آورد.
معایب dnssec
DNSSEC یک فناوری مطمئن و ایمن است و میتواند بسیاری از حملات امنیتی را به سیستم DNS کاهش دهد. با این حال، همانند هر فناوری دیگر، DNSSEC هم دارای معایبی است که در زیر به برخی از آنها اشاره میکنم:
۱. پیچیدگی: DNSSEC نسبتاً پیچیده است و برای پیکربندی و مدیریت آن، نیاز به دانش فنی خاص و تخصصی دارد. برای افراد غیرفنی و مدیران سیستمهای کوچک ممکن است سخت باشد تا DNSSEC را پیاده کنند.
۲. حجم انتقال داده: DNSSEC میتواند حجم انتقال دادهها را افزایش دهد، به خصوص در شبکههایی با پهنای باند کم. همچنین اضافه کردن امضاهای دیجیتالی به هر نام دامنه، می تواند موجب افزایش حجم دادهها در جوابهای DNS شود.
۳. پشتیبانی: هنوز بسیاری از سرورها و دستگاهها در سراسر جهان از DNSSEC پشتیبانی نمیکنند و این باعث میشود که پیاده سازی DNSSEC برای برخی از نام دامنه ها و سیستمهایی که با سرورهای قدیمی کار میکنند، مشکل باشد.
۴. کارایی: در برخی موارد، اجرای DNSSEC میتواند کارایی سیستم DNS را کاهش دهد و موجب افزایش زمان پاسخدهی شود. این مشکل معمولاً در شبکههایی با حجم بالای پرسوجو و سرورهای با کارایی پایین رخ میدهد.
به طور کلی، DNSSEC از لحاظ امنیتی بسیار حائز اهمیت است، اما برای پیادهسازی آن نیاز به توجه به مشکلاتی که احتمالا برای کاربران ممکن است پیچیده باشد دارد.
Shortlink for this post: https://blog.talahost.com/?p=862