Internet Corporation for Assigned Names and Numbers

ما هي DNSSEC وما أهميتها؟

للوصول إلى شخص آخر على الإنترنت، يجب عليك كتابة عنوان على جهاز الكمبيوتر الخاص بك - اسم أو رقم. وينبغي أن يكون هذا العنوان فريدًا لكي تعرف أجهزة الكمبيوتر مكان العثور على بعضها البعض. وتقوم ICANN بتنسيق هذه المعرفات الفريدة عبر العالم. وبدون هذا التنسيق، لن يتوفر لنا إنترنت عالمي واحد. وعند كتابة اسم، تجب ترجمة هذا الاسم أولاً إلى رقم بواسطة أحد النظم قبل تنفيذ الاتصال. ويُسمى هذا النظام بنظام أسماء النطاقات ( DNS ) ويقوم بترجمة أسماء مثل www.icann.org إلى أرقام تسمى عناوين برتوكول الإنترنت ( IP ). وتقوم ICANN بتنسيق نظام العناوين للتأكد من أن جميع العناوين فريدة.

ومؤخرًا، تم اكتشاف مناطق سريعة التأثر في DNS تتيح للمهاجم اختطاف هذه العملية الخاصة بالبحث عن شخص ما أو البحث عن موقع على الإنترنت باستخدام الأسماء الخاصة بهم. والهدف من الهجوم هو السيطرة على الجلسة بغرض -على سبيل المثال- إرسال المستخدم إلى موقع الويب الخداعي الخاص بالمهاجم لجمع بيانات الحساب وكلمة المرور.

وتتمتع هذه المناطق سريعة التأثر بأهمية متزايدة في تقديم تقنية تُسمى امتدادات أمان DNS ( DNSSEC ) لتأمين هذا القسم من البنية الأساسية للإنترنت.

وتُمثل الأسئلة والإجابات التالية محاولةً لتوضيح ماهية DNSSEC وأهمية تنفيذه.

1) أولاً،ما هي منطقة الجذر؟

يقوم DNS بترجمة أسماء النطاق -التي يتذكرها الأفراد- إلى الأرقام التي تستخدمها أجهزة الكمبيوتر للبحث عن وجهتها (ويشبه هذا إلى حد ما استخدام دليل الهاتف للبحث عن رقم هاتف). ويقوم بذلك على مراحل. ويقوم بـ "البحث" أولاً في المستوى الأعلى لخدمة الدليل - أو "منطقة الجذر". ولذلك عند استخدام www.google.com كمثال، يقوم جهاز الكمبيوتر بـ "سؤال" دليل منطقة الجذر (أو المستوى الأعلى) عن مكان العثور على معلومات على " .com ". وبعد حصوله على رد، يقوم بسؤال خدمة دليل " .com " التي حددها الجذر عن مكان العثور على معلومات على .google.com (المستوى الثاني)، ثم يقوم أخيرًا بسؤال خدمة دليل google.com التي حددها " .com " عن عنوان www.google.com (المستوى الثالث). وبعد انتهاء هذه العملية -التي تتم بشكل فوري تقريبًا- يتم تقديم العنوان الكامل إلى جهاز الكمبيوتر. تقوم هيئات مختلفة 1 بإدارة كل خدمة من خدمات الدليل هذه: تقوم Google بإدارة google.com وتقوم شركة VeriSign بإدارة " .com " (تقوم منظمات أخرى بإدارة نطاقات المستوى الأعلى الأخرى) وتقوم ICANN بإدارة منطقة الجذر.


2) ما سبب حاجتنا إلى "توقيع الجذر"؟

لقد أدى الاكتشاف الحديث للمناطق سريعة التأثر في DNS بالإضافة إلى التقدم التكنولوجي الكبير إلى تقليل الفترة الزمنية التي يستغرقها المهاجم في اختطاف أية خطوة من عملية بحث DNS ويتمكن بذلك من السيطرة على الجلسة بغرض -على سبيل المثال- توجيه المستخدمين إلى موقع الويب الخداعي الخاص به لجمع بيانات الحساب وكلمة المرور. والحل الوحيد طويل الأجل لسرعة التأثر هذه هو النشر الطرفي لبروتوكول أمان يُسمى امتدادات أمان DNS - أو DNSSEC .

3) ما هي DNSSEC ؟

DNSSEC هي تقنية تم تطويرها بهدف توفير الحماية -بالإضافة إلى أشياء أخرى- ضد هذه الهجمات من خلال "توقيع" البيانات رقميًا، وبالتالي التأكد من صحتها. ومع ذلك، فمن أجل التخلص من المناطق سريعة التأثر في الإنترنت، يجب نشرها في كل خطوة في البحث من منطقة الجذر إلى اسم النطاق النهائي (مثل، www.icann.org ). فتوقيع الجذر (نشر DNSSEC في منطقة الجذر) هو خطوة نهائية في هذه العملية الإجمالية 2. وفي الأساس، لا يقوم بترميز البيانات. ولكنه يقوم فقط بالتأكد من صحة عنوان الموقع الذي تقوم بزيارته.

4) ما الذي يمنع جميع الأجزاء الأخرى لسلسلة العنوان من تشغيل DNSSEC ؟

لا شيء. ولكن على غرار أية سلسلة تعتمد على جزء آخر لتعزيز قوتها، إذا لم يتم توقيع منطقة الجذر الموجودة لديك، فسيكون لديك ضعفًا خطيرًا. ويمكن الثقة في بعض الأجزاء بينما لا يمكن ذلك بالنسبة لأجزاء أخرى.

5) كيف سيؤدي إلى تحسين الأمان بالنسبة للمستخدم العادي؟

سيضمن النشر الكامل لـ DNSSEC اتصال المستخدم النهائي بموقع الويب الحقيقي أو أية خدمة أخرى مماثلة لاسم نطاق خاص. وعلى الرغم من أن هذا لن يؤدي إلى حل جميع مشاكل أمان الإنترنت، غير أنه يعمل على حماية جزء هام منه -البحث في الدليل- ويكون مكملاً لتقنيات أخرى، مثل طبقة المنفذ الآمن ( SSL ) ( https: ) التي تعمل على حماية "المحادثة" وتوفر برنامجًا لتحسينات الأمان المطلوب تطويرها.


6) ماذا يحدث فعليًا عند توقيع الجذر؟

يعمل "توقيع الجذر" باستخدام DNSSEC على إضافة بضعة سجلات إضافية لكل اسم نطاق من نطاقات المستوى الأعلى إلى ملف منطقة الجذر. والسجلات التي تتم إضافتها هي عبارة عن مفتاح وتوقيع للتأكيد على صحة هذا المفتاح.

وتوفر DNSSEC مسار تحقق للسجلات. ولا تقوم بترميز إدارة البيانات أو تغييرها وتتميز "بالتوافق مع الإصدارات السابقة" لـ DNS والتطبيقات الحالية. وهذا بعني أنها لا تقوم بتغيير البروتوكولات الحالية التي يعتمد عليها نظام عناوين الإنترنت. حيث تقوم بدمج سلسلة من التوقيعات الرقمية في التسلسل الهرمي لـ DNS بحيث يحتوي كل مستوى على مفاتيح وضع التوقيع الخاصة به. وهذا يعني أنه بالنسبة لاسم نطاق مثل www.icann.org ، يجب على كل منظمة على طول المسار أن تقوم بتوقيع المفتاح للمنظمة التي تحتها. فعلى سبيل المثال، تقوم .org بتوقيع المفتاح الخاص بـ icann.org ويقوم الجذر بتوقيع المفتاح الخاص بـ .org . وأثناء عملية التحقق، تتتبع DNSSEC سلسلة الثقة هذه حتى الجذر بطريقة آلية مما يعمل على التحقق من المفاتيح "الفرعية" مقارنةً بالمفاتيح "الأصلية" على مدار العملية. ونظرًا لأنه يمكن التحقق من كل مفتاح من خلال المنظمة التي تتحكم به، فإن المفتاح الوحيد المطلوب للتحقق من اسم النطاق بالكامل هو المفتاح الأصل أو المفتاح الجذر.

وعلى الرغم من ذلك، فإن هذا التسلسل الهرمي يعني -حتى مع توقيع الجذر- أن النشر الكامل لـ DNSSEC عبر جميع أسماء النطاقات سيكون بمثابة عملية تستغرق بعض الوقت نظرًا لأنه يجب أيضًا توقيع كل نطاق تحته من قِبل مُشغليه الخاصين لإكمال سلسلة ثقة خاصة. فتوقيع الجذر هو مجرد بداية. ولكنه هام جدًا. وقد قام مشغلو TLD مؤخرًا بزيادة سرعة جهودهم لنشر DNSSEC في المناطق الخاصة بهم ( .se , .bg , .br , .cz , .pr الموجودة حاليًا مع .gov , .uk , .ca ومناطق أخرى ستتم إتاحتها قريبًا) ومناطق أخرى متوقعة أيضًا. 3

7) كيف تتم إدارة ملف منطقة الجذر؟

تنقسم إدارة الجذر بين أربع هيئات:

1) ICANN وهي شركة دولية غير ربحية تشترك في عقد مع وزارة التجارة الأمريكية، وتعمل على تنفيذ وظيفة " IANA ". يشير الاختصار IANA إلى هيئة أرقام الإنترنت المُخصصة. وتقوم ICANN بجمع المعلومات من مُشغلي نطاق المستوى الأعلى ( TLD ) (مثل، " com ") ومعالجتها،

2) الإدارة الوطنية للاتصالات والمعلومات ( NTIA ) -وهي عبارة عن قسم داخل وزارة التجارة الأمريكية- يُقدِّم التصريحات الخاصة بالتغييرات التي تتم في الجذر،

3) شركة VeriSign وهي شركة ربحية مقرها الولايات المتحدة استخدمتها الحكومة الأمريكية من خلال عقد لتعديل منطقة الجذر من خلال المعلومات التي تم تغييرها والتي قدمتها ICANN وصدقت عليها كما صرحت بها وزارة التجارة الأمريكية، وتقوم بتوزيع ملف منطقة الجذر الذي يحتوي على معلومات خاصة بمكان العثور على معلومات حول TLDs (مثل، " com ") و

4) مجموعة دولية من مُشغلي خدمة خادم الجذر الذين يقومون بشكل تطوعي بتشغيل وامتلاك أكثر من 200 خادم منتشرين حول العالم حيث يقومون بتوزيع معلومات الجذر من ملف منطقة الجذر عبر الإنترنت. ومُشغلو خدمات خوادم الجذر -تم تعيينهم بحروف- هم:

أ) شركة فيري ساين لخدمات مزود الامتداد العالمية ( VeriSign Global Registry Services )،

ب) معهد علوم المعلومات ( Information Sciences Institute ) بجامعة جنوب كاليفورنيا ( USC )،

ج) شركة كوجينت للاتصالات ( Cogent Communications )،

د) جامعة ماريلاند ( University of Maryland )،

هـ) مركز بحث أميس التابع لناسا ( NASA Ames Research Center )،

و) شركة اتحاد نظم الإنترنت ( Internet Systems Consortium Inc. )،

ز) مركز معلومات شبكة وزارة الدفاع بالولايات المتحدة ( U.S. DOD Network Information Center )،

ح) معمل بحوث الجيش الأمريكي ( U.S. Army Research Lab )،

ط) شبكة أوتونوميكا/نوردو نت ( Autonomica/NORDUnet ) بالسويد،

ي) شركة فيري ساين لخدمات مزود الامتداد العالمية ( VeriSign Global Registry Services )،

ك) مركز تنسيق شبكة عناوين بروتوكول الإنترنت الأوروبية ( RIPE NCC )، بهولندا،

م) شركة الإنترنت للأرقام والأسماء المُخصصة ( ICANN

ن) مشروع بيئة التوزيع المدمج الواسع ( WIDE Project )، باليابان.

المرجع: http://www.root-servers.org


8) ما سبب أهمية قيام منظمة واحدة بالمعالجة والتعديل والتوقيع بالنسبة لأمان DNSSEC ؟

بالنسبة لـ DNSSEC ، تعتمد قوة كل رابط في سلسلة الثقة على ثقة المستخدم في المنظمة التي تقوم بمعالجة المفتاح ومعلومات DNS الأخرى الخاصة بهذا الرابط. ولضمان نزاهة هذه المعلومات والمحافظة على هذه الثقة بمجرد التصديق على البيانات 4، تجب حمايتها على الفور من الأخطاء -سواءً أكانت ضارة أم عرضية- والتي يمكن تقديمها في أي وقت يتم فيه تغيير بيانات المفتاح عبر حدود تنظيمية. ووجود منظمة واحدة ونظام واحد يقومان بدمج المادة المُصدَّق عليها في المنطقة المُوقَّعة، يحافظ على تلك الثقة حتى النشر. وببساطة، فإنه يتسم بأمان أكبر.

ومع تزايد الثقة الني ستوفرها DNSSEC في أمان DNS ، أصبح الأمر أكثر أهمية مما سبق أن يتم الاحتفاظ بالثقة التي تم توفيرها من خلال عمليتي التحقق والمصادقة الخاصتين بـ ICANN لمواد استقرار الثقة في TLD حتى ملف منطقة جذر مُوقَّع.

9) ما هي دلالات كل من KSK و ZSK في DNSSEC ؟

يشير الاختصار KSK إلى مفتاح توقيع المفتاح (مفتاح طويل الأجل)، بينما يشير الاختصار ZSK إلى مفتاح توقيع المنطقة (مفتاح قصير الأجل). عند توفر وقت وبيانات كافيين، يمكن الإضرار بمفاتيح الترميز في النهاية. وفي حالة الترميز اللاتناظري أو ترميز المفتاح العام المستخدمَين في DNSSEC 5، فإن هذا يعني أن المهاجم يحدد -عبر قوة وحشية أو أية طريقة أخرى- النصف الخاص من زوج المفتاح العام-الخاص المُستخدَم في إنشاء التوقيعات الخاصة بالتأكد من صحة سجلات DNS . وهذا يسمح له بالتغلب على الحماية التي توفرها DNSSEC . وتعمل DNSSEC على إبطال محاولات الإضرار هذه من خلال استخدام مفتاح قصير الأجل -مفتاح توقيع المنطقة ( ZSK )- للقيام بشكل منتظم بحساب توقيعات سجلات DNS ، ومفتاح طويل الأجل -مفتاح توقيع المفتاح ( KSK )- لحساب التوقيع على ZSK للسماح بالتحقق من صحته. يتم تغيير ZSK أو تدويره بشكل متكرر لوضع صعوبة أمام المهاجم في "التقدير"، بينما يتم تغيير المفتاح الأطول KSK على مدار فترة زمنية أطول (تضع أفضل الممارسات الحالية هذا على الطلب الخاص بالسنة). ونظرًا لقيام KSK بالتوقيع على ZSK وقيام ZSK بالتوقيع على سجلات DNS ، فإن KSK هو المطلوب فقط للتحقق من صحة سجل DNS في المنطقة. وعند النظر إلى مثال من KSK ، في شكل سجل مُوقِّع التفويض ( DS ) الذي تم تمريره إلى المنطقة "الأصل". تقوم المنطقة الأصل (مثل، الجذر) بتوقيع سجل DS الخاص بالفرع (مثل، .org ) من خلال ZSK الخاص بها والذي تم توقيعه باستخدام KSK .

وهذا يعني أنه إذا تم تبني DNSSEC بالكامل، فسيكون KSK الخاص بمنطقة الجذر جزءًا من سلسلة التحقق الخاصة بكل اسم نطاق تم التحقق من صلاحيته باستخدام DNSSEC (أو كل طلب اشتراك مطلوب تطويره).


10) من يقوم بإدارة المفاتيح؟

وفقًا لهذا الاقتراح، ستحتفظ ICANN بالبنية الأساسية للمفتاح، بينما ستحتفظ أطراف أخرى ببيانات الاعتماد الخاصة بالوضع الفعلي
لـ KSK . ويُمثل هذا عنصرًا هامًا للموافقة العالمية الإجمالية لهذه العملية. ولا تقترح ICANN حلاً خاصًا لاحتفاظ الهيئات ببيانات الاعتماد، وتعتقد أن ذلك -على غرار جميع هذه المشاكل- هو أحد المجالات التي ينبغي طرحها للمشاورة العامة وأنه ينبغي على وزارة التجارة الأمريكية وضع قرار بشأنه.


1 تعكس هذه الهيئات وعمليات تشغيل DNS الخاصة بها دائمًا النظام الإجمالي لبناء الإنترنت من خلال توزيعه عبر حدود ذات سياسة طبيعية وتنظيمية.

2 يؤدي توقيع الجذر أيضًا إلى تسهيل عملية النشر في الطبقات السفلى في DNS ، ولذلك فإنه سيساعد على تسريع النشر الكلي لـ DNSSEC .

3http://ccnso.icann.org/surveys/dnssec-survey-report-2007.pdf

4 بالإضافة إلى تجنب عمليات فشل الخدمة

5 بالنسبة لمن هم على اطلاع بطرق ترميز المفتاح العام، فإن DNSSEC بمثابة أحد أشكال البنية الأساسية للمفتاح العام ( PKI )

Stay Connected

  • News Alerts:
  • Newsletter:
  • Compliance Newsletter:
  • Policy Update: