مدونات ICANN

اقرأ مدونات ICANN لتبقى على اطلاع على آخر أنشطة وضع السياسات والمحافل الإقليمية وغيرها.

سنتان من دعم انتشار DNSSEC في إفريقيا والشرق الأوسط

27 أكتوبر 2022
بقلم

يعد نظام اسم النطاق (DNS) خدمة مهمة على الإنترنت. نظرًا لأن المزيد والمزيد من الهجمات تستغل نقاط ضعف DNS، أصبح الأمان مصدر قلق متزايد. تدعم ICANN نشر امتدادات أمان DNS (DNSSEC) لسنوات عديدة من خلال العديد من المبادرات وبرامج بناء القدرات. وقد تكثفت هذه الجهود خلال العامين الماضيين مع إضفاء الطابع الإقليمي على تغطية مشاركتها التقنية.

DNSSEC هو أحد الحلول المستخدمة للمساعدة في حل DNS الآمن. يوقع مسجلي النطاق أو مسؤولي النظام أو مشغلي DNS سجلات موارد DNS في ملفات المنطقة التي تخدمها خوادم الأسماء الرسمية باستخدام تشفير المفتاح العام وخوارزميات التجزئة. أدوات الحل المتكررة الآمنة، الموجود عادةً في البنية التحتية لمزود خدمة الإنترنت (ISP) أو داخل شبكات الشركة، يتحقق من صحة وسلامة إجابات DNS التي يتلقونها للنطاقات الموقعة. تسمى هذه العملية التحقق من DNSSEC. تساعد أدوات الحل المتكررة الآمنة في منع إدخال السجلات المزيفة في ذاكرات التخزين المؤقت الخاصة بهم (تسمم ذاكرة التخزين المؤقت) وتأكيد أن بيانات DNS التي يتلقونها للنطاقات الموقعة تأتي من خوادم أسماء موثوقة ولم يتم تعديلها. يعد توقيع النطاقات والتحقق من صحة بيانات DNS مكملة لبعضها البعض. يجب اعتماد كلاهما كأفضل ممارسة لنظام DNS. لمعرفة المزيد حول DNSSEC، انقر هنا.

نود أن نشارك بعض جهودنا وخبراتنا الأخيرة في تعزيز ودعم اعتماد DNSSEC في إفريقيا ومنطقة الشرق الأوسط، بدءًا من نشر دليل نشر DNSSEC لـ ccTLDs (OCTO-029) باللغات الرسمية الست للأمم المتحدة. في منطقتنا، نتعامل مع أولئك الذين يتحدثون مجموعة من اللغات، ونعتقد أن هذا الدليل التدريجي سيفيد جمهورًا كبيرًا.

لقد أكدنا أيضًا على مساعدة نطاقات المستوى الأعلى لرمز الدولة (ccTLDs) لاستخدام DNSSEC لتأمين مناطقهم. نقوم بذلك من خلال توجيههم خلال تقييم استعداد DNSSEC، وتزويدهم بمزيج من التدريب والدعم الفني للمساعدة في تعريفهم بعمليات توقيع DNSSEC. باستخدام بيئة اختبار، نسلط الضوء أيضًا على تحديات إعدادهم المحدد ونساعدهم على تحسين توثيق عملياتهم.

يسعدنا أن نرى أن بعض ccTLD قد استخدم أدوات وعمليات تنمية القدرات هذه لتحسين مهاراتهم والمضي قدمًا في مشاريعهم. على سبيل المثال، هذا يجعلنا فخورين برؤية ccTLD الجديدة مثل .ci و .rw مؤخرًا تستخدم DNSSEC لتوقيع مناطقها. كما تعمل ccTLD الأخرى بنشاط على عملية نشر DNSSEC. نحن أيضًا نواصل تشجيع وتقديم مساعدتنا للعديد من الأشخاص الآخرين الذين لم يقوموا بعد بتأمين DNS الخاص بهم ونتطلع إلى رؤيتهم يبدؤون العملية.

إلى جانب التوقيع على مناطقهم، قمنا أيضًا بمساعدة عشرات من مشغلي الشبكات (بشكل أساسي مزودي خدمة الإنترنت) ومشغلي شبكات الهاتف المحمول في إفريقيا والشرق الأوسط لتفعيل التحقق من DNSSEC في أدوات الحل التكراري الخاصة بهم. اليوم، يعد تنشيط التحقق من صحة DNSSEC أمرًا سهلاً للغاية لجميع أدوات الحل التكراري تقريبًا. ومع ذلك، يوصى ببعض عمليات التحقق من صحة ما قبل التنشيط مثل دعم EDNS (0) و TCP 53 ومزامنة الوقت وأساس الثقة الصحيحة للجذر وما إلى ذلك. هذا هو الحال بشكل خاص في بيئة الإنتاج.

لقد ساعد دعمنا المشغلين بشكل أساسي ليس فقط على فهم أهمية التحقق من صحة DNSSEC، ولكن أيضًا الانتباه إلى الفحوصات المطلوبة مسبقًا. نحن ندعمهم في عملية التحقق، ونساعدهم في تنشيط واختبار هذه العملية على كل من أدوات الحل التكراري لديهم. في البداية، كان البعض مترددًا في إجراء تغييرات، مما قد يؤدي إلى تعطيل خدماتهم للعملاء. ومع ذلك، عندما بدأوا العمل معنا، أصبحوا أكثر راحة وثقة في إجراء هذه التحسينات لأن لديهم رؤية أوضح للمكونات المعنية وتدابير التخفيف في حالة ظهور مشكلات.

تمتلك إفريقيا والشرق الأوسط بعضًا من أقل معدلات تبني DNSSEC في العالم. لا يزال أمامنا الكثير لنفعله، حتى بعد أن أحرزنا تقدمًا. وفقًا لمختبرات مركز معلومات شبكة آسيا والمحيط الهادئ، فقد ارتفع معدل التحقق من صحة DNSSEC في إفريقيا في العامين الماضيين من أقل من 25٪ إلى 30٪، ولا يزال حوالي 50٪ في الشرق الأوسط. نواصل العمل مع شركائنا لزيادة اعتماد DNSSEC في إفريقيا والشرق الأوسط.

سنواصل تقديم التدريب والدعم للمشغلين في المنطقة لنشر توقيع DNSSEC والتحقق منه. بهذه الطريقة، يساعد فريقنا في تحسين أمان الإنترنت ومرونته. يعد برنامج KINDNS الجديد الذي أطلقته ICANN الشهر الماضي أداة إضافية في مجموعة أدواتنا لمساعدة المشغلين على تحسين أمان عمليات DNS الخاصة بهم.

كتالوج دوراتنا متاح على الإنترنت. إذا كانت لديكم أي أسئلة أو مخاوف أو تحتاجون إلى دعم بشأن DNS بشكل عام ونشر DNSSEC بشكل خاص، فلا تترددوا في الاتصال بنا على octo@icann.org وسنكون سعداء لتقديم المساعدة.

Authors

Yazid Akanho

Yazid Akanho

Technical Engagement Sr. Specialist