امنیترمزنگاریشبکهمیم تک 9

DNSSEC چیست و چگونه کار می کند ؟

DNSSEC چیست و چگونه کار می کند ؟

وقتی آدرس سایتی رو در مرورگر خود میزنیم فرآیندی طی میشود تا سایت به ما نمایش داده شود تمامی وبسایت ها دارای سروری میباشند که دیتا بیس آن بر روی آن هاست و هر سرور دارای یک آدرس IP منحصربه فرد است که کاربران برای کانکت شدن به اون وبسایت باید Ip اون سرور را به خاطر داشته باشند که این نیز کار دشواریست به همین دلیل از دامنه ها برای ادرس دهی وبسایت ها استفاده میشود و اینجاست که مبحث استفاده از سرویس DNS به میان آورده میشود که وظیفه ی تبدیل اسم به IP و بلعکس را بر عهده دارد. در این مقاله به بررسی DNSSEC که یکی از قابلیت های سرویس DNS هست می پردازیم.

آشنایی با DNSSEC و عملکرد آن :

DNSSEC یا Domain Name System Security Extensions قابلیتی برای استفاده از سرویس DNS است که ضریب امنیت را بالا میبرد بحث ضرورت استفاده از این سرویس وقتی مطرح میشود که حملات DNS Spoofing سرور DNS را تهدید کرده به گونه ایی که درخواست های از سمت کلاینت ها را به سرور فیکی که توسط هکر طراحی شده فرستاده و خسارت های جبران ناپذیری را به افراد متحمل میکند DNSSEC از طریق امضای دیجیتالی یا (Digital Signatures) و با استفاده از کلیدهای رمزنگاری (Cryptographic Keys) سرورهای DNS جعلی را از اصلی متمایز کرده بنابرین باعث بالا رفتن امنیت در شبکه میشود.

رمزنگاری به این صورت اتفاق می افتد که وقتی DNSSEC را روی یکی از Zone های DNS مان فعال کردیم دو جفت کلید Key-pairs که یکی کلید عمومی (public key) و دیگری کلید خصوصی (private key) است ایجاد میشود.

Private key برای رمزنگاری درخواست هایی که از سرور DNS صادر شده و تنها با کلید های public خودش قابل باز شدن است و کلید های public در zoneهای DNS و در رکوردی به اسم DNSKEY لیست شده است و همچنین کلید های Private بر روی سروری دیگر (authoritative Nameserver) نگهداری میشوند.

هنگامی که DNSSEC را فعال میکنیم رکوردها توسط رکورد جدیدی به اسم RRSIG یا Resource record signature امضای دیجیتالی میشود RRSIG برای کدکردن رکورد های منبع و به منظور کدکردن نتایج ایجاد میشود عملکرد آن به این صورت است که سرور DNS درخواست ها و RRSIG را دریافت کرده و سپس آن را به سرور برای بازگشایی کلید private توسط کلید public میفرستد اگر کلید عمومی امکان بازگشایی کلید خصوصی را داشته باشد پس امضای دیجیتالی ارسال شده معتبر بوده و این نشان دهنده ی این است که به DNS معتبر هدایت شدیم.

ارسال پاسخ