برخی از حملات معمول DNS چیست؟
DNSSEC یک پروتکل امنیتی قدرتمند است، اما متأسفانه در حال حاضر به طور جهانی پذیرفته نشده است. این عدم تصویب همراه با سایر آسیب پذیری های احتمالی، علاوه بر این واقعیت که DNS بخشی جدایی ناپذیر در بیشتر درخواست های اینترنتی است، DNS را به عنوان هدف اصلی حملات مخرب قرار می دهد. مهاجمان چندین روش برای هدف قرار دادن و سواستفاده از سرورهای DNS پیدا کرده اند. در زیر برخی از رایج ترین موارد ذکر شده است:
DNS spoofing: در این حمله داده های جعلی DNS به حافظه کش DNS وارد می شوند و در نتیجه resolver یک آدرس IP نادرست برای یک دامنه بازمی گرداند. به جای مراجعه به وب سایت صحیح، می توان ترافیک را به سمت یک دستگاه مخرب یا هر جای دیگر که مهاجم تمایل دارد هدایت کرد. اغلب این یک کپی از سایت اصلی است که برای اهداف مخربی مانند توزیع بدافزار یا جمع آوری اطلاعات ورود به سیستم استفاده می شود.
DNS tunneling : این حمله از پروتکل های دیگری برای تونل زدن از طریق پرس و جوها و پاسخ های DNS استفاده می کند. مهاجمان می توانند از SSH ، TCP یا HTTP برای انتقال بدافزار یا اطلاعات سرقت شده به کوئری های DNS استفاده کنند که توسط اکثر فایروال ها قابل شناسایی نیست.
DNS hijacking: در DNS hijacking مهاجم کوئری ها را به domain name server دیگری هدایت می کند. این کار را می توان با بدافزار یا با تغییر غیر مجاز سرور DNS انجام داد. اگرچه نتیجه مشابه DNS spoofing است، اما این یک حمله کاملاً متفاوت است زیرا رکورد DNS وب سایت را در nameserver هدف قرار می دهد، نه در resolver’s cache.
برخی از حملات دیگر به DNS که باعث ایجاد مشکلات امنیتی جدی در سرور می شود، عبارتند از:
- NXDOMAIN attack
- Phantom domain attack
- Random subdomain attack
- Domain lock-up attack
- Botnet-based CPE attack
چه تفاوتی بین DNSSEC و DNS Security وجود دارد؟
تفاوت بین DNSSEC و DNS security این است که DNSSEC بخشی از امنیت DNS است، در حالی که DNS security یک مفهوم بزرگتر و کلی تر است که طیف گسترده ای از فن آوری ها و راه حل ها را پوشش می دهد.
DNS به خودی خود ایمن نیست
DNS در دهه 1980 طراحی شد که اینترنت بسیار کوچکتر بود و امنیت در طراحی آن از اهمیت اساسی برخوردار نبود. در نتیجه، وقتی یک recursive resolver کوئری را به یک سرور نا معتبر می فرستد، resolver راهی برای تأیید صحت پاسخ ندارد. resolver فقط می تواند بررسی کند، پاسخی از همان آدرس IP که resolver مدنظرش است باشد. اما اتکا به منبع پاسخ آدرس IP یک مکانیسم احراز هویت قوی نیست، زیرا آدرس IP منبع یک بسته پاسخ DNS می تواند به راحتی جعل شود.
DNSSEC
DNSSEC مخفف Domain Name System Security Extensions است. در سطح ابتدایی، DNSSEC روشی برای ایمن سازی و تأیید یک رکورد DNS است بدون اینکه نیازی به درک کوئری باشد.
.png)
تصویر(1)
توضیح تصویر :روند اعتبار سنجی DNSSEC
DNSSEC یک راه حل استاندارد برای افزودن احراز هویت به پاسخ های DNS، تأیید اعتبار فرستنده و یکپارچگی پیام است. اگرچه همه مشکلات امنیتی مرتبط با DNS را برطرف نمی کند، اما قطعاً باید بخشی از جعبه ابزار امنیتی DNS باشد زیرا از وقوع آسیب زننده ترین حملات مانند cache poisoning جلوگیری می کند.
.png)
تصویر(2)
DNSSEC با استفاده از نوعی امضای دیجیتال روی داده های DNS، پاسخ به درخواست های DNS را قبل از اینکه به مشتری برگردانده شود، تأیید می کند. مشتری از طریق رمزنگاری کلید عمومی، یک کوئری DNS ارسال می کند و آدرس IP را درخواست می کند.
وقتی DNSSEC اجرا می شود، همه zone های DNS دارای یک کلید عمومی و یک کلید خصوصی هستند. کلید عمومی، همانطور که از نامش پیدا است، برای همه در دسترس است و وسیله ای برای رمزگشایی پیام های امضا شده توسط کلید خصوصی مربوطه می باشد(به همین دلیل است که آنها به عنوان "key pair" شناخته می شوند). سپس DNS resolver مشتری پاسخ را بازیابی کرده و با استفاده از رکورد رمزنگاری شده دیگر، DNSkey آن را تأیید می کند. پس از تأیید پاسخ، آن را به مشتری باز می گرداند، اما فقط در صورتیکه که کوئری به طور کامل resolve شود، نه قبل از اینکه دو کلید در سرور اصلی به هم متصل شوند.
اجزای DNS security
DNS Security مفهوم عمومی ایمنی سرویس DNS است، DNS security شامل ایمن سازی سرویس، پروتکل و سایر اقدامات احتیاطی و تدابیری است که در این مقاله مورد بحث قرار گرفته است.
امنیت و سیستم کنترل
مواردیکه می بایست برای تامین امنیت DNA مدنظر قرار داده شود: ایمن نگه داشتن سیستم عامل، به روز نگه داشتن نرم افزار، در اختیار داشتن سیستم های Redundant برای اطمینان از در دسترس بودن سرویس، حفظ اقدامات به روزرسانی ایمن برای اطمینان از اینکه فقط افراد مجاز می توانند ورودی های DNS را تغییر دهند و غیره.
این لایه اساسی (و بعضا خسته کننده) اغلب هنگام بررسی "DNS security" نادیده گرفته می شود، اما اگر به درستی نگهداری نشود، عواقب فاجعه بار به دنبال خواهد داشت.
در اوایل سال 2019 دپارتمان امنیت داخلی (DHS) یک هشدار فوری درباره "ربودن" احتمالی DNS صادر کرد. این گزارش جزئیات تلاش برای هک توسط یک گروه جاسوسی سایبری را که در نظر داشت سوابق DNS دامنه شرکت های خصوصی و سازمان های دولتی را دستکاری کند، منتشر نمود. این اخطار تاکید می کند که یک آسیب پذیری اصلی در امنیت DNS و عدم محافظت از فرآیند به روزرسانی اطلاعات است. به دلیل این مشکل امنیتی، مهاجمان مخرب توانستند به داده های معتبر سرور DNS دسترسی پیدا کنند و سوابق را اصلاح کنند تا کاربران را به آدرس های IP اشتباه سوق دهند.
این رویداد همچنین به لزوم در نظر گرفتن پیکربندی سرورهای DNS اشاره داشت. انجام اقداماتی مانند غیرفعال کردن open recursion و اجرای Response Rate Limiting هر دو در کاهش حملات DDoS مفید هستند.
DNSSEC تأیید اعتبار و یکپارچگی داده را به داده های DNS که sign شده هستند اضافه می کند، اما این تنها بخش کوچکی از کل فضای امنیتی DNS است. پیشرفت های دیگری نیز وجود دارد مانند DNS over TCP و DNS over HTTPS که باعث ایجاد حریم خصوصی برای اطلاعات در ارتباطات DNS می شود.
شما هم به امنیت DNSSEC و هم به DNS نیاز دارید!
DNSSEC و DNS security گرچه جنبه های مختلفی از یک طرح امنیتی شبکه دارند ، اما هر دو برای ایمن نگه داشتن اطلاعات بسیار مهم هستند. برای اطمینان از یکپارچگی داده ها، در عین تجزیه و تحلیل داده های DNS که از طریق آن پروتکل عبور می کنند، باید پروتکل DNS را ایمن کنید. معماری های متمرکز DNS عموماً به سادگی توسط DNSSEC پشتیبانی می شود، اما در حالی که پیاده سازی ابزارهای امنیتی جامع تر DNS از اهمیت قابل توجه تری برخوردار است این کار بی فایده است. هنگام بررسی نحوه محافظت از داده های خود، باید تصویر بزرگتری را در نظر گرفت. به گفته تام هولینگسورث از The Networking Nerd، وقتی صحبت از DNSSEC به عنوان بخشی از امنیت DNS می شود:
DNSSEC که به درستی تنظیم شده باشد، قطعه ای از امنیت عالی DNS است و دقیقاً مانند قفل ها و برچسب های سیستم هشدار، دارائی شما را به هدفی غیر جذاب برای افراد خرابکار تبدیل می کند. "
نتیجه
DNSSEC و Secure DNS تا حدودی با یکدیگر هم پوشانی دارند، اما از جایی به بعد از هم جدا می شوند. DNSSEC از روش های مختلف برای محافظت از سرورها، داده ها و سرویس گیرنده های DNS در برابر استراق سمع غیرقانونی و درز اطلاعات استفاده می کند. اما Secure DNS یک روش برای اجرا و عملی نمودن متد های DNSSEC می باشد.
Secure DNS را می توان آخرین فناوری در زمینه محافظت در برابر ضد بدافزار و ابزاری ضروری در هوش تهدید (threat intelligence) دانست. کارشناسان امنیت باید این واقعیت را بخاطر بسپارند که Secure DNS باید در کنار اقدامات متداولی که برای جلوگیری از تهدید سایبری مانند استفاده از آنتی ویروس، ضد بدافزار، فایروال، محافظت از ایمیل و موارد دیگر نیاز است، پیاده سازی شود.