تخيّل لو كان عليك حفظ الأرقام 66.102.7.105 من أجل زيارة غوغل أو 72.30.2.43 لتصفح موقع ياهو ثمّ تخيّل لو قررت غوغل لسبب ما تغيير هذه الأرقام بالتّاكيد سيكون من الصعب جدّاً التعامل مع الأنترنت. شكراً لخدمة DNS لسنا بحاجة إلى حفظ هذه الأرقام.
DNS هو عبارة عن خدمة تحويل الأسماء إلى عناوين رقميّة. تقريباً كل شيء على الأنترنت يعتمد على ال DNS في ارجاع الرّقم الصحيح (العنوان) للطّلب الصحيح (مثلاً www.google.com).
في 2008 كشف الباحث الأمني دان كامنسكي عن ثغرة في ال DNS تسمح للمهاجم بتقمّص عنوان موقع من خلال توقع رقم الاستعلام الخاص ب DNS. (تفاصيل الثغرة يمكن قراءتها هنا) طبعاً هذا كان دافعاً قويّاً للشّركات لجعل عمليّة التوقع صعبة ولكن ليست مستحيلة. هذا الكشف أدى إلى زيادة الضغط من أجل استخدام خدمة نطاق أسماء آمنة والتي تعرف ب DNSSEC. يمكن الاطلاع على معلومات أخرى حول الهجمات التي تستهدف DNS هنا
ما هو DNSSEC؟
هو محاولة لتوفير بعض الأجراءات الأمنيّة لحقول DNS. وذلك من خلال محاولة التّأكد من أن مصدر الرّد على استعلام هو مصرّح به وأنّ الاستعلام لم يتمّ التّلاعب به(مثلاً طلبك لياهو يأتي من مصدر مصرّح به أو يتبع بالتّأكيد لياهو أو لم يتمّ تغيره أثناء حركته في الانترنت إلى evil.com)
عملية استبدال ال DNS العادي ب DNS الآمن بدأت بالفعل ومن المتوقع أن ينتهي الاستبدال التّام في خوادم الخدمة الرئسيّة (الجذور) في يوليو 2010 أمّا نطاقات .com فمتوقع أن تستغرق وقتاً أطول (حتى 2012)
فائدة DNSSEC هو التّأكد من سلامة وصحة حقول ال DNS وذلك باستخدام Public Key Cryptography لتوقيع الاستجابات رقميّاً. هذا يتم من خلال حقلين جديدين تمّت إضافتهما إلى سجل ال DNS وهما SIG و KEY
SIG يحتوي على التوقيع على الحقول.
KEY يحتوي على المفتاح العام لمنطقة ال DNS (DNS Zone)
هناك العديد من الجوانب التي يتم معالجتها في DNSSEC ولكن هذه التدوينة ستركز فقط على موثوقيّة مصدر المعلومات (Data Origin Authentication) ينصح بالرّجوع الى RFC 2535 لمن يريد المزيد من المعلومات كذلك هناك دراسة ممتازة حول ال DNSSEC يمكن الاطلاع عليها هنا.
الشكل التالي يوضّح عمليّة التّأكد من موثوقيّة مصدر البيانات
مصدر الشّكل هو معهد SANS
عندما يطلب المستخدم موقع ما تقوم خدمة DNSSEC (في الجهة التي يتمّ استعلامها مثلاً ياهو) بتضمين التوقيع SIG مع كل مجموعة حقل المصدر. الحقول الأصليّة سيتم ارسالها (مثلاً العنوان) ولكن بالإضافة إلى هذه الحقول يتم إضافة SIG. يتم تمرير هذه المعلومات على دالّة أحاديّة الطريق (One Way Hash) والنّاتج يتم تشفيره بالمفتاح الخاص (private key) الخاص بالمنطقة ( لنفرض yahoo.com).
عندما يستقبل المستخدم هذه البيانات يقوم بتطبيق المفتاح العام (Public Key) الخاص بالمنطقة (مثلاً yahoo.com) هذا المفتاح يتم تضمينه في حقل KEY في الاستجابة. بعد فك التّشفير يتم تطبيق نفس الدّالة الأحاديّة على الاستجابة الأصلية وفي حالة التّطابق بين الHash الجديد وال Hash الأصلي يتأكد المستقبل من أن الاستجابة صحيحة وبالتّالي يمكنه الوثوق بالبيانات التي حصل عليها وأنّه لم يتمّ التّلاعب بها (هذا يعني أنّه تأكّد من أن yahoo.com هو بالفعل yahoo.com وليس evil.com)
هذا يفترض أن المستخدم يثق بالمصدر الذي زوّده بالمفتاح العام (مثل ال DNS المحلي بالنّسبة للمستخدم) وال DNS المحلي يثق أن من زوّده بالمفتاح العام الخاص بياهو هو موثوق به أيضاً وهكذا . هذا ممكن من خلال الشهادات التي يتم اصدارها من طرف ثالث مثلا Verisign.
شرح جميل أخي الحبيب
دمت بود
هذه الخدمة موجودة ، لكن بمبلغ مادي
شكراً على الإضافة أخي الكريم.
السلام عليكم
شكرا لك أخي على هدا لمقال و المعلومات اللي فيه
ممكن أخي أسئلك
ما هي فائدة التشفير ؟
و هل ادا تم المخترق من اجاد معلومة مشفر هل يستطيع فك التشفير عنها ؟
وادا كان دالك ما هي النتيجة المنتضرة ؟
وشكرا لك أخي
شكراً لك على هذه المعلومات القيمة في مجال DNS