ذكري المظهر

مشروع مفتوح المصدر يهدف إلى جعل نظام أسماء النطاقات آمن أسهل

What Next? (Session 3 - ICVA's Virtual Annual Conference 2020)

What Next? (Session 3 - ICVA's Virtual Annual Conference 2020)
Anonim

قامت مجموعة من المطورين بإصدار برنامج مفتوح المصدر يعطي المديرين يد المساعدة في جعل نظام العنونة للإنترنت أقل عرضة للمخترقين.

يقوم البرنامج ، الذي يسمى OpenDNSSEC ، بأتمتة العديد من المهام يرتبط استخدام DNSSEC (ملحقات أمان نظام أسماء النطاقات) ، وهي مجموعة من البروتوكولات التي تسمح لسجلات DNS (نظام أسماء النطاقات) بحمل توقيع رقمي ، كما قال جون إيه ديكنسون ، مستشار DNS يعمل في المشروع.

تسمح سجلات DNS بترجمة مواقع الويب من اسم إلى عنوان IP (بروتوكول إنترنت) ، والذي يمكن الاستعلام عنه بواسطة جهاز كمبيوتر. لكن نظام DNS لديه العديد من العيوب التي يرجع تاريخها إلى تصميمه الأصلي والتي يتم استهدافها بشكل متزايد من قبل المتسللين. [المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

من خلال العبث بخادم DNS ، من الممكن المستخدم لكتابة اسم موقع ويب صحيح ولكن يتم توجيهه إلى موقع احتيالي ، وهو نوع من الهجوم يُسمى التسمم بالذاكرة المؤقتة. هذا هو أحد الاهتمامات العديدة التي تدفع حركة لمقدمي خدمات الإنترنت والكيانات الأخرى التي تقوم بتشغيل خوادم DNS لاستخدام DNSSEC.

مع DNSSEC ، يتم توقيع سجلات DNS ، ويتم التحقق من تلك التوقيعات لضمان دقة المعلومات. غير أن تبني DNSSEC قد توقف بسبب تعقيد التنفيذ وعدم وجود أدوات أبسط.

للتوقيع على سجلات DNS ، يستخدم DNSSEC التشفير بالمفتاح العمومي ، حيث يتم إنشاء التوقيعات باستخدام المفتاح العام والخاص. وتنفيذها على مستوى المنطقة. وقال ديكنسون إن جزءا من المشكلة هو إدارة تلك المفاتيح ، لأنه يجب تحديثها بشكل دوري للحفاظ على مستوى عال من الأمن. يمكن أن يتسبب خطأ في إدارة هذه المفاتيح في حدوث مشكلات كبيرة ، وهو أحد التحديات التي يواجهها المسؤولون.

تتيح OpenDNSSEC للمسؤولين إنشاء سياسات ثم أتمتة إدارة المفاتيح وتوقيع السجلات ، حسب قول ديكنسون. ينطوي على عملية الآن تدخل أكثر اليدوي، مما يزيد من فرصة للأخطاء.

OpenDNSSEC "يعتني التأكد من تلك المنطقة يبقى وقعت بشكل صحيح وبشكل صحيح وفقا للسياسة على أساس دائم"، وقال ديكنسون. "كل ذلك هو مؤتمتة بالكامل بحيث يمكن للمسؤول التركيز على القيام DNS وترك العمل الأمني ​​في الخلفية." لديها

البرنامج أيضا ميزة التخزين الرئيسية التي تسمح للمسؤولين حفاظ على مفاتيح إما في الأجهزة أو البرامج الأمنية وحدة وطبقًا لما قاله ديكنسون ، فإن هناك طبقة إضافية من الحماية تكفل عدم وصول المفاتيح إلى الأيدي الخطأ. يتوفر برنامج OpenDNSSEC للتنزيل ، على الرغم من أنه يتم عرضه كمعاينة تقنية ويجب عدم استخدامه بعد الإنتاج ، وقال ديكنسون. ومطوري جمع ردود الفعل على أداة وإطلاق إصدارات محسنة في المستقبل القريب.

وفي وقت سابق من هذا العام، ومعظم نطاقات المستوى الأعلى، مثل تلك التي تنتهي في "كوم"، لم تكن وقعت مشفر، ولا كانت تلك في منطقة جذر DNS ، القائمة الرئيسية حيث يمكن لأجهزة الكمبيوتر الانتقال للبحث عن عنوان في مجال معين. VeriSign ، وهو سجل لـ ".com" ، قال في فبراير إنه سيقوم بتنفيذ DNSSEC عبر نطاقات المستوى الأعلى بما في ذلك.com بحلول عام 2011.

تسير منظمات أخرى أيضًا نحو استخدام DNSSEC. لقد التزمت حكومة الولايات المتحدة باستخدام DNSSEC لنطاقها ".gov". تستخدم مشغلي ccTLD (نطاقات المستوى الأعلى لرمز الدولة) في السويد (.se) والبرازيل (.br) وبورتوريكو (.pr) وبلغاريا (.bg) أيضًا DNSSEC

يجادل خبراء الأمن بأن يجب استخدام DNSSEC عاجلاً وليس آجلاً بسبب الثغرات الموجودة في DNS. واحدة من الأكثر خطورة والتي كشفت عنها الباحث الأمني ​​دان كامينسكي في يوليو 2008. وأوضح أن خوادم DNS يمكن أن تملأ بسرعة مع المعلومات غير الدقيقة، والتي يمكن استخدامها لمجموعة متنوعة من الهجمات على أنظمة البريد الإلكتروني، ونظم برنامج التحديث وكلمة المرور أنظمة الاسترداد على مواقع الويب.

في حين تم نشر بقع مؤقتة ، فإنه ليس حلاً طويل الأمد لأنه يستغرق وقتًا أطول لإجراء هجوم ، وفقًا لورقة بيضاء نُشرت في وقت سابق من هذا العام من قبل شركة SurfNet ، وهي منظمة بحث وتعليم هولندية. SurfNet هو من بين مؤيدي OpenDNSSEC ، والذي يتضمن أيضًا سجل Nominet و NLnet و SIDN ، و.Nl التسجيل.

ما لم يتم استخدام DNSSEC ، "العيب الأساسي في نظام اسم المجال - أن هناك وقالت الصحيفة انه لا توجد وسيلة لضمان أن تكون إجابات الاستعلامات حقيقية