ar

أفضل الممارسات الأمنية: تحقق (DNSSEC)

21 يونيو 2016
بقلم Edward LewisEdward Lewis

بالإضافة الى لغات الأمم المتحدة الست، هذا المحتوى متوفر أيضاً باللغات

null

أود أن اشارك بعض النقاط الرئيسية بشأن أهمية التكنولوجيا الأمنية امتدادات أمان نظام اسم النطاق (DNSSEC) وبعض التحديثات المهمة التي سوف يتم تنفيذها في العام القادم. تم استخراج هذه النقاط من عرضي الحديث في قمة أفريقيا للإنترنت لعام 2016 (AIS'16) في غابورون، بوتسوانا.

إن DNS هو نظام سؤال وجواب، وأي شخص يعتمد على البحث عن الخدمات على شبكة الإنترنت يعتمد على استجابات DNS. مع ذلك، فإن استجابات DNS غير المؤمنة يمكن تزويرها مما يمكنه إعادة توجيه حركة المرور للخدمات المؤمنة للمواقع الخبيثة. على سبيل المثال، محاولات الوصول إلى معلومات الحساب المصرفي قد ينتج عنها إعادة توجيه حركة المرور إلى موقع يقوم بسرقة معرفات هوية وكلمة سر المستخدم، وحتى ربما تثبيت برامج ضارة على جهاز الضحية.

يمكن حماية مستخدمي الإنترنت من مثل هذه الهجمات عن طريق نشر DNSSEC، التي تتألف من اثنين من المهام الرئيسية - التوقيع والتحقق من الصحة. في هذه النشرة، أود أن أركز على التحقق من الصحة، وهي تعزيز أمن بروتوكول DNS الذي يتحقق من الإجابات المستلمة للتأكد من صحتها واكتمالها.

حيث أن معظم مستخدمي الإنترنت يثقون ويعتمدون على مزودي خدمة شبكة الاتصال الخاصة بهم، مما يتيح وقوع التحقق من صحة DNSSEC عادة على البنية التحتية لهذا الموفر. يجب على مزود خدمة الإنترنت أو خدمة الاتصال تمكين التحقق من صحة DNSSEC على حلول DNS التي يشغلونها. يقلل التحقق من صحة DNSSEC من خطر المهاجمين باستخدام DNS لإعادة توجيه عملاء مزودي الخدمة إلى المواقع المشبوهة. في حين أن هذه الهجمات نادرة نسبيا، فإنها قد تصبح أكثر شيوعا حيث يتم معالجة نقاط الضعف مما يسمح بأنواع أسهل من الهجمات.

ما وراء حماية البنية التحتية لشبكة مزود الخدمة، فإن التحول إلى التحقق من صحة DNSSEC يوفر آلية يمكن من خلالها للبيانات المخزنة في DNS أن تكون أكثر موثوقية. هذه القدرة تخلق بنية تحتية جديدة يمكن من خلالها بناء خدمات أكثر أمنا.

تكوين ملقمات DNS لإجراء التحقق من الصحة أمر بسيط نسبيا، وتظل عملية التحقق من صحة المحلل هي نفسها مثل تلك التي بدون التحقق من صحة المحلل. بعض الصيانة مستمرة؛ يجب أن يضمن المشغلين للتحقق من الصحة أن يظل تكوين الثقة لمنطقة جذر DNS محدثًا باستمرار. يمكن أن تكون هذه العملية آلية أيضًا.

يتطابق مؤشر الثقة مع مفتاح التشفير العام الذي هو جزء من مفتاح توقيع مفتاح منطقة الجذر (KSK). سوف يتم تغيير ذلك في 2017. للتأكد من أن المجتمع على علم بهذه التغييرات، أنشأنا صفحة الموارد "تغيير المفتاح الرئيسي لمنطقة الجذر KSK" الذي يتضمن تفاصيل حول التغييرات، كيف يمكن لأفراد المجتمع المشاركة والارتباط بموارد إضافية.

ويشجعنا العدد المتزايد من المنظمات التي تعتمد التحقق من صحة DNSSEC. إنه الحد الأدنى من الاستثمار الذي يخلق بنية تحتية أكثر أمنًا وقدر لـDNS.

Authors

Edward Lewis

Senior Technologist
Read biographyRead biography