نظام أسماء النطاقات DNS – Domain Name System هو خدمة شبكة تسمح بترجمة عناوين النطاقات إلى عناوين IP المقابلة لها. ويتم ذلك من خلال قاعدة بيانات موزعة تتألف من سيرفرات على مستويات متعددة. و منها سيرفرات الروت و سيرفرات النطاقات العليا. و بسبب أهميته ، فقد كان DNS هدفاً لمستغلي نقاط الضعف و منفذي الهجمات السيبرانية. إن المشكلة الرئيسية في DNS هي افتقاره إلى المصادقة في شكلها الأساسي. و بذلك يمكن للمهاجم سرقة النطاق من خلال رسائل أو ردود DNS وهمية. من هنا تأتي أهمية استخدام الامتداد الآمن لنظام النطاقات DNSSEC التي توفر استجابة مصدق عليها لاستعلامات DNS من شأنها أن تزود المستخدمين بدليل على مالك هذا النطاق. ومع تطور و انتشار الهجمات ضد الـ DNS أصبح من المهم تأمين الحماية لهذه الخدمة من الهجمات المختلفة وهذا ما سنحدث عنه في هذا المقال.
ما هي حماية DNS:
يشير مصطلح حماية الـ DNS إلى كل الإجراءات التي تضمن تأمين الحماية للبرتوكول DNS. السبب الرئيس لهذا الجهد أن عملية تصميم هذا البرتوكول لم تأخذ بعين الاعتبار الحماية أثناء التصميم. فعند اختراع هذا البرتوكول لم تكن التهديدات الأمنية كما هي في يومنا الحالي. كما أن بنية شبكة الانترنت لم تكن بالحجم التي هي عليه اليوم. ومع مرور الوقت أجريت إضافات متعددة على البنية التحتية لنظام DNS. كان لكل ما سبق تأثير سلبي على مستوى الأمان في DNS مما يعتبر تهديد خطير على الشركات والأشخاص.
وفقاً لبعض التقارير الخاصة بالتهديدات الأمنية على DNS والصادرة في عام 2021:
- 87% من المنظمات كانت ضحية لهجمات مبنية على DNS
- بمعدل متوسط فإن كل منظمة قد تعرضت ل 7.6 هجوم DNS
- متوسط تكلفة الهجوم 950 ألف دولار
- 42% من المنظمات لا تستخدم أي حلول امنية لحماية DNS
يوجد العديد من الهجمات المتعلقة ب DNS كهجمات رجل في المنتصف MitM وهجمات سرقة النطاق DNS hijacking وهجمات التسميم DNS Poisoning والعديد من الهجمات الأخرى. و من هنا تأتي أهمية الـ DNSSEC والتي تعتبر أقدم طبقة حمايةلـ DNS
ما هو الامتداد الآمن لنظام النطاقات DNSSEC؟
باختصار، هو عبارة عن طريقة حماية تعمل على ضمان أمان وسرية البيانات الخاصة ببرتوكول DNS. كما أسلفنا، إن معايير الأمان الافتراضي منخفضة في الـ DNS. وتمنع الـ DNSSEC هجمات DNS المختلفة مثل هجمات DNS Cache Poisoning. حيث تقوم سيرفرات DNSSEC بالتوقيع رقمياً على جميع إجابات السيرفر . ومن خلال التحقق من التوقيع الرقمي يمكن التحقق من أن الإجابات القادمة من السيرفر هي إجابات قادمة من سيرفر DNS موثوق وليست إجابات قادمة من سيرفر مخادع وإلا سيتم رفض هذه الإجابات. كما يمكن لـ DNSSEC اكتشاف هجمات رجل في المنتصف MitM ،من خلال القيام بعملية مصادقة لأصل البيانات (يمكنها كشف الهجوم ولكن لا يمكنها منعه).
الامتداد الآمن لنظام النطاقات:
إن السبب الأبرز لمشاكل الحماية الخاصة بآلية عمل البرتوكول DNS هو عدم وجود عمليات للمصادقة. بدأ العمل على إيجاد حل لهذه المشاكل والحل كان متمثل بإضافات الحماية DNSSEC والتي تعمل على تأمين المصادقة و استخدام التوقيعات الرقمية القائمة على التشفير باستخدام المفتاح العام. و بالتالي فإن كل طلبات وإجابات DNS ستكون موقعة ومشفرة كما أن بيانات DNS بحد ذاتها ستكون مشفرة من قبل مالك البيانات.
كل DNS Zone يحوي على زوج من المفاتيح عام و خاص. حيث يُستخدام المفتاح الخاص من قبل المالك لتوقيع بيانات DNS وإنشاء توقيعات رقمية لتلك البيانات. بينما يتم نشر المفتاح العام ليتم استخدامه للتحقق من صحة بيانات DNS من خلال التأكد من صحة التوقيع الرقمي الخاص بها. وإذا تمت هذه العملية بنجاح فهذا يعني أن بيانات DNS هي بيانات شرعية. أما إذا لم يتم التحقق من صحة التوقيع الرقمي فيتم افتراض حدوث هجوم ويتم تجاهل البيانات وإرسال رسالة خطأ للمستخدم.
يضيف DNSSEC ميزتين مهمتين إلى برتوكول DNS:
- مصادقة أصل البيانات والذي يسمح بالتأكد من أن البيانات قادمة من جهة شرعية وليس من جهة مزورة.
- آلية للتأكد من سلامة البيانات والتي تسمح باكتشاف حدوث أي تعديل على البيانات حيث يتم التوقيع عليها قبل عملية الإرسال باستخدام المفتاح الخاص لكل منطقة DNS.
فائدة استخدام DNSSEC:
- تعمل على حماية بيانات DNS من خلال التحقق منها
- تقلل من التعرض للهجمات
- تساعد في حماية المستخدم والشركات
بالمحصلة، و بشكل مشابه لـ HTTPS والذي يعتبر الشكل الآمن للبرتوكول HTTP فإن DNSSEC يمكن أن تعتبر الشكل الآمن لبرتوكول DNS حيث تعمل على توقيع الإجابات الخاصة بطلبات DNS لكشف أي عملية تزوير ومنع العديد من الهجمات التي تستهدف البرتوكول DNS.
