پروتکل DNSSEC چیست و چه کاربردی دارد؟

استفاده از اینترنت در هر دستگاهی تنها با کمک DNS امکان پذیر است. به این صورت که شما نام سایت را در مرورگر گوشی و یا رایانه خود وارد می کنید. مرورگر با دریافت نام سایت آن را در بانک اطلاعاتی موجود در اینترنت جست و جو می کند و IP متناظر با این نام را پیدا میکند و به سراغ IP می رود.

در آنجا سایت مد نظر را شناسایی کرده و سایت را فراخوانی می کند. با فراخوانی سایت اطلاعات سایت روی مرورگر بارگذاری نمی شود و شما محتویات سایت را مشاهده می کنید. امروزه تقریباً تمامی دستگاه هایی که به اینترنت متصل می شوند از این فرایند برای باز کردن سایت ها استفاده می کنند

اخیراً آسیب پذیری های زیبای در پروتکل DNS کشف شده است که نیاز به ارتقا و بهبود این پروتکل را الزامی کرده است. هکر ها و افراد خراب کردن با در اختیار گرفتن اطلاعاتی که در زمان ارسال درخواست ها برای DNS ها استفاده می شود، اطلاعات مهمی از سیستم و رایانه فرد مورد نظر پیدا می کنند فرایند های خرابکاری خود را از طریق این اطلاعات به دست آمده انجام می دهند.

این آسیب پذیر باعث شده است که پروتکل DNSSEC به وجود بیاید. امروزه استفاده از این پروتکل رشد بسیار زیادی داشته است. پروتکل DNSSEC با قرار دادن یک امضای دیجیتال در اطلاعات ارسال شده در DNS امکان احراز هویت دامنه ها و در امان بودن آن‌ها را در برابر حملات مختلف امکان پذیر می کند.

امضاهای دیجیتال استفاده شده در پروتکل DNSSEC در سرور های DNS ذخیره می شوند. با بررسی امضا ها مشاهده شده در سرور ها، رکورد های مختلف DNS ها بررسی شده و هر کدام از آن‌ها که دارای امضای مشابه و مورد تائید قرار می گیرد. با این کار اطلاعات و رکورد های ناشناس مورد تائید واقع نمی شوند.

شرح DNSSEC و فرایند های معروف آن

پروتکل DNSSEC برای انجام فرایند امنیتی خود عملکرد های جدید را تعریف می کند. از معروف ترین این فرایند ها می توان به موارد زیر اشاره کرد:

• RRset

اطلاعات و رکود هایی با نام، نوع و class یکسان که درون یک RRset قرار می‌گیرند. برای نمونه تمام رکوردهای NS موجود برای یک دامنه داخل یک RRset قرار می‌گیرند.

• RRSIG

دربردارنده‌ی امضای دیجیتال یک RRset

• DNSKEY

حاوی کلید عمومی مربوط به ZSK یا KSK

• ZSK

مسوول امضای رکوردهای در تمامی فرآیند است البته رکوردهای DNSKEY مرتبط با یک zone در این عملکرد قرار نمی گیرند.

• KSK

مسئول امضای رکوردهای DNSKEY مرتبط با یک zone است.

• DS

دربردارنده‌ی hash رکورد DNSKEY حاوی public KSK است. از رکوردهای DS برای ایجاد زنجیره‌ای از اعتبارسنجی در ساختار سلسله مراتبی DNS استفاده می‌شود.

DNSEC چگونه کار می‌کند؟

DNSSEC با استفاده از امضاهای دیجیتال (Digital signatures) و کلیدهای رمزنگاری (cryptographic keys) دی‌ان‌اس‌هایی که معتبر هستند را اعتبار سنجی می‌کند.

هنگامی که DNSSEC بر روی یک DNS zone فعال می‌شود، دو جفت کلید که key-pairs نامیده می‌شوند تولید می‌کند. این کلیدها اساس یک رمزنگاری می‌باشند. یک کلید عمومی (Public key) و دیگری کلید خصوصی (Private key) نامیده می‌شوند. کلید خصوصی به منظور رمزگذاری درخواست‌های dns استفاده می‌شود که این رمزگذاری تنها توسط کلید عمومی قابل بازگشایی می‌باشد.

کلیدهای عمومی در DNS zoneها و در رکوردی با عنوان DNSKEY لیست شده و کلیدهای خصوصی در نیم‌سرورهای معتبر (authoritative Nameserver) نگهداری می‌شوند.

هنگامی که یک زون دی‌ان‌اس آپدیت می‌شود، تمامی رکوردها (اعم از رکوردهای نوع A – MX و … ) توسط رکورد جدیدی به نام RRSIG که کوتاه شده عبارت Resource record signature می‌باشد امضای دیجیتالی می‌شوند.

RRSIG بوسیله کدکردن رکوردهای منبع و به منظور کد کردن نتایج ایجاد می‌شود. سپس هنگامی که درخواست‌های DNS ارسال می‌شوند، سرور DNS درخواست‌ها و RRSIG را دریافت می‌کند و سپس موارد دریافتی به نیم‌سرور برای بازگشایی کلید خصوصی توسط کلید عمومی بازگردانی می‌شوند. اگر کلید عمومی امکان بازگشایی کلید خصوصی را داشته باشد، پس امضای دیجیتالی ارسال شده معتبر است و به dns zone درستی هدایت شده‌ایم.