DNS filtering یا فیلترینگ DNS به سازمان ها کمک می کند تا با مسدود کردن دسترسی به وب سایت های مخرب و مضر، شبکه ها و کاربران را ایمن نگه دارند. همچنین به سازمانها اجازه میدهد تا سیاستهای دسترسی را به صورت دلخواه تنظیم کرده، سرعت کاربر را افزایش دهند و اطمینان حاصل کنند که شبکه آنها با الزامات فناوری اطلاعات تطابق دارد. در این مقاله، نحوه عملکرد فیلترینگ DNS، مزایا و تفاوت آن با فیلترینگ وب، بررسی خواهد شد.
تعریف DNS
برای درک نحوه عملکرد فیلترینگ DNS، باید هدف سیستم نام دامنه را بدانید. DNS مخفف «Domain Name System» است و نام وب سایت ها را به آدرس های IP تبدیل می کند که برای مرورگرها قابل تشخیص خواهد بود. در نتیجه، هر زمان که از یک وب سایت بازدید می کنید، مرورگر شما نوع خاصی از سرور DNS را درخواست می کند. این سرور، پس از بررسی نام دامنه درخواستی، آدرس IP مربوطه را برمی گرداند. سپس می توانید صفحه را در کسری از ثانیه لود نموده و دسترسی کاملی به اطلاعات داشته باشید.
فیلترینگ DNS چیست؟
DNS filtering یا DNS blocking، یک تکنیک امنیتی است که از دسترسی به دامنهها یا آدرسهای IP مخرب، غیرقابل اعتماد یا سایر موارد نامطلوب، جلوگیری میکند. هنگامی که کاربر سعی دارد تا به یک آدرس اینترنتی دسترسی پیدا نماید، درخواست DNS با لیستی از دامنه های نامطلوب یا آدرس های IP مقایسه می شود و در صورت تطابق با یکی از آنها، دامنه ترجمه نشده و دسترسی مسدود می گردد.
تصویر(1)
DNS filtering چگونه کار می کند؟
روش کار آن ساده است. تمام درخواستهای DNS از طریق یک سرور Recursive DNS (مترجم DNS) مسیریابی می شوند. برخی از مترجمهای DNS که بهطور خاص پیکربندی شدهاند نیز میتوانند با امتناع از پاسخ به درخواست دامنههای موجود در یک بلاک لیست، مانند فیلتر عمل کنند و از دسترسی کاربران به آن دامنهها جلوگیری به عمل آورند. سرویس های فیلترینگ DNS می توانند از یک لیست مجاز نیز به جای بلاک لیست استفاده کنند.
فرض کنید یکی از کارمندان سازمان ایمیل فیشینگ دریافت می نماید و با ترفندی مجاب به کلیک روی لینکی می شود که او را وارد وب سایت مخرب example.com می کند. سرویس ترجمه DNS این شرکت که از فیلترینگ DNS استفاده می نماید، قبل از لود صفحه وب، درخواستی را از رایانه کارمند دریافت خواهد کرد. اگر وب سایت مخرب در لیست بلاک شرکت موجود باشد، مترجم DNS درخواست را رد میکند. این کار لود وب سایت example.com و حمله فیشینگ را متوقف می نماید.
DNS filtering می تواند وب سایت ها را از طریق آدرس IP یا نام دامنه مسدود کند:
- بر اساس آدرس IP: مترجم DNS سعی میکند تا تمامی دامنهها را ترجمه نماید اما اگر آدرس IP دستگاه درخواستکننده در لیست بلاک قرار داشته باشد، مترجم نتیجه را برگشت نمی دهد.
- بر اساس دامنه: برای برخی از دامنه ها، مترجم DNS حتی ترجمه آدرس های IP یا جستجوی آنها را آغاز نمی کند و پاسخی ارسال نخواهد کرد.
سرور DNS ایمن
سرور DNS ایمن، یک مترجم DNS است که صفحات وب ناامن و محدود شده را به عنوان بخشی از سرویس DNS filtering، فیلتر می کند. برخی از سرورهای DNS ایمن نیز برای محافظت از دادههای کاربر، حریم خصوصی پیشرفتهتری را ارائه میدهند، مانند سرورهای DNS خصوصی که پس از مدتی تمام رکوردهای درخواستهای DNS را حذف میکنند.
تصویر(2)
DNS از ابتدا با در نظر گرفتن امنیت ایجاد نشده بود به همین دلیل علاوه بر فیلترینگ DNS، تکنیکهای دیگری نیز برای ایمنتر کردن فرآیند DNS به وجود آمده است. به عنوان مثال، DNSSEC تضمین می کند که DNS Resolver اطلاعات دقیقی را ارائه می دهد و در معرض خطر قرار ندارد. علاوه بر این، DNS از طریق TLS و HTTPS، درخواستهای DNS را رمزگذاری میکند که ردیابی درخواستهای DNS کاربر را برای مهاجمان دشوار خواهد کرد.
چرا باید DNS را فیلتر کرد؟
جهت سازگاری با شرایط مختلف، فیلترینگ DNS قابلیت سفارشی سازی پیشرفته ای را در اختیار مشتریان قرار می دهد. میتوانید انتخاب کنید که چه نوع محتوایی بر اساس الزامات سازمان شما مجاز است و کدام یک باید مسدود شود. همچنین با اجرای انسداد محتوای مخرب وب مبتنی بر DNS، از کاربران خود در برابر محتوای مضر محافظت خواهید کرد. فیلترینگ DNS مزایای بیشتری را نیز ارائه می دهد، مانند:
- بازدیدکنندگان را از بازدید وب سایت های خطرناک یا مضر باز می دارد.
- شامل فیلترهای ساده مبتنی بر دسته بندی، لیست سیاه و لیست سفید است.
- از ورود بازدیدکنندگان به وب سایت های فیشینگ جلوگیری می کند.
- دانلود فایل های مخرب را متوقف خواهد کرد.
- استفاده از اینترنت را برای کاربران شبکه، Wi-Fi و بازدیدکنندگان ایمن می نماید.
- از دانلود بدافزار توسط کاربران جلوگیری می کند.
اگر فیلترینگ DNS وجود نداشته باشد، چه نوع حملاتی می تواند شما را مورد هدف قرار دهد؟
- DNS cache poisoning یا DNS spoofing: هدف این حمله آسیب رساندن به سرورهای بازگشتی (recursive servers)، به ویژه پاسخ های کش شده است. در صورت موفقیت آمیز بودن این حمله، تمامی درخواست ها یک پاسخ آلوده دریافت خواهند کرد.
- DNS hijacking یا سرقت DNS: هدف این حمله ارسال پیامهای DNS به سروری متفاوت با اطلاعات کاملا جعلی است تا کاربران را به صفحات وب مخرب هدایت کند.
- DNS tunneling یا تونل سازی DNS: در این نوع حمله، هکر با نفوذ به پیام های DNS، بدافزار را از طریق SSH، TCP یا HTTP ارسال می کند. تونل سازی DNS مستلزم رمزگذاری ارتباطات در درخواست ها و پاسخ های DNS است. در این حمله DNS، اطلاعات حساسی نشت پیدا خواهد کرد و تغییر دائم نام دامنه، مقابله با آن را بسیار چالش برانگیز می کند.
مقایسه فیلترینگ DNS و فیلترینگ وب
دو نوع مختلف از فیلتر محتوا وجود دارد که یکی از آنها فیلترینگ DNS و دیگری فیلتر وب است. فیلترینگ DNS، دسترسی به وب سایت را بر اساس درخواستهای DNS محدود می کند. از طرف دیگر، فیلترینگ وب مانع از دسترسی به وب سایت های خاص بر اساس URL آنها می شود. از آنجایی که فیلترینگ DNS می تواند دسترسی به وب سایت ها را حتی قبل از لود آنها مسدود کند، اغلب مؤثرتر از فیلترینگ وب است.
تصویر(3)
به طور کلی، فیلترینگ وب نسبت به فیلترینگ DNS دقت کمتری دارد. زیرا درخواستهای DNS اغلب دقیق تر از URL ها هستند. به عنوان مثال، یک درخواست DNS برای "example.com" همواره آدرس IP خاصی را بر می گرداند اما آدرس example.com با توجه منطقه شما می تواند تغییر کند. اینکه وارد سایت موردنظر شده باشید یا خیر نیز می تواند بر آدرس آن تأثیر گذار باشد.
بررسی فیلترینگ وب معمولاً بیشتر از فیلترینگ DNS زمان می برد. زیرا درخواستهای DNS اغلب سریعتر از URL ها پاسخ داده می شوند. همچنین فیلترینگ DNS می تواند دسترسی به وبسایتهایی را که از اتصالات امن (HTTPS) استفاده میکنند، مسدود کند.
نتیجه گیری
فیلترینگ DNS برای سازمانهایی که میخواهند شبکه و کاربران خود را امن نگه دارند، ضروری است. این قابلیت، امکانات سفارشیسازی دقیقی را برای تنظیم سیاستهای دسترسی کاربر، انسداد محتوای نامناسب و بهبود وضعیت حریم خصوصی، فراهم میکند. با گسترش تهدید حملات مبتنی بر DNS، اجرای یک سرویس فیلترینگ مطمئن، ایجاد اتصالی ایمن را برای همه کاربران تضمین خواهد کرد.