ما أمن DNS؟
يوفر أمن نظام أسماء المجالات (DNS) حماية للمستخدمين من التهديدات السيبرانية من خلال ضمان استقرار استعلامات DNS—وهي العملية التي يستخدمها النظام لتحويل أسماء مواقع الويب إلى عناوين IP.
يحافظ أمن DNS على "الجهات الضارة" ومجالاتها الخبيثة بعيدًا عن طريق فرض التشفير والمصادقة وأساليب استعلامات التهديدات.
لماذا هناك حاجة إلى أمن DNS؟ يرجع ذلك إلى حد كبير إلى الدور المركزي والرئيسي الذي تؤديه خدمات DNS Services في الاتصالات الحديثة. ويعمل DNS بمنزلة "دفتر الهاتف" (أو قائمة الدليل) للإنترنت، ما يساعد على مطابقة طلبات المجال مع عناوين IP.
للتعرف حقًا على مدى أهمية هذا النشاط، ما عليك سوى التفكير للحظة في عدد المرات التي من المحتمل أن تحتاج فيها إلى خدمات البحث هذه خلال يوم عادي. والآن ضاعف هذا الرقم لتمثيل الأسابيع والشهور والسنوات، ويمكنك أن ترى بوضوح ما الجزء الثابت والمستمر من الحوسبة الحديثة هذا النشاط.
نظام أسماء المجلات (DNS) هو أيضًا نشاط غني بعناوين IP، والتي تشكل بيانات قد تكون ذات قيمة وحساسة. بالإضافة إلى ذلك، تعاني تقنية طبقة DNS من العديد من الثغرات الأمنية التي تجعلها عرضة لأشكال مختلفة من الهجمات السيبرانية.
النشرة الإخبارية الخاصة بالمجال
أحدث الأخبار التقنية، مدعومة برؤى خبراء
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
الجهات الضارة (وتُسمى أيضًا عنصر التهديد) هي كيانات لديها وسائل لتنفيذ هجمات سيبرانية أو إجراءات ضارة أخرى. لكن من هؤلاء الأفراد أو المجموعات؟ في هذه الأيام، الاحتمالات لا حصر لها:
- يأمل المتسللون في الحصول على فدية ضخمة من الضحايا.
- الفصائل السياسية التي لديها "حساب قديم" يريدون تصفيته.
- مُخرِّبون دون أي دافع فلسفي واضح.
- الأنشطة الإرهابية التي ترعاها دولة من الدول المارقة.
الأمر المخيف حقًا حول كل هؤلاء المجرمين المحتملين هو مدى قدرتهم على إخفاء هوياتهم الخاصة، بينما ينتهكون هويات الآخرين من دون رحمة.
يمكن أن تنشأ الهجمات من أي مكان يقدم فيه مزودو الخدمة خدمة wifi—بدءًا من الأفراد الذين يعملون في قبو سكني في شارعك، إلى مجموعات من المجرمين الإلكترونيين المخصصين الذين يعملون في أماكن خفية حول العالم. وهذه القدرة الفائقة على الإخفاء تخفيهم بغطاء كافٍ لتجنب كشفهم، حتى يتمكنوا من استمرار تنفيذ مخططاتهم الشائنة.
يدور أمن نظام أسماء المجالات (DNS) حول أربع عمليات مستقلة للأمن السيبراني .
يُعرف اختصارًا باسم DNS عبر HTTPS (أو DoH)، ويؤدي التشفير دورًا محوريًا في حماية كل من استعلامات DNS واستجابات DNS. ويقوم بذلك عن طريق حمايتها من الرؤية، مما يسمح بالحفاظ على خصوصية الوصول إلى نشاط التصفح والسجل ويقتصر على العميل وخادم DNS المحدد الذي يستخدمونه. من خلال منع فرص "التنصت"، يساعد التشفير على الحد من الثغرات الأمنية في النظام، ما يساعد على منع الاستخدام اللاحق لبرامج الفدية.
تستخدم امتدادات أمان DNS (DNSSEC) التوقيعات الرقمية لتأكيد صحة بيانات DNS. ويساعد على ضمان تلقي البيانات الواردة من مصدر شرعي يمكن التحقق منه. كما يساعد استخدام DNSSEC على منع نجاح مخططات تسميم ذاكرة التخزين المؤقت لنظام أسماء المجالات DNS، حيث تقوم عناوين IP المزيفة بإعادة توجيه المستخدمين إلى مواقع ويب خبيثة. ويُعد التسمم بذاكرة التخزين المؤقت لنظام أسماء المجالات أحد الأنواع الرئيسية لهجمات انتحال DNS.
تُمكّن استخبارات التهديدات مسؤولي الأنظمة من قلب الموازين ضد المخترقين المحتملين، وذلك بتزويدهم بقواعد بيانات تحتوي على معلومات موثوقة حول عناوين IP المشبوهة والنطاقات الخبيثة. المعرفة المُسبقة هي عُدة الدفاع. باستخدام هذه البيانات، يمكن لأمن DNS التأكد من إيقاف طلبات DNS التي قد تفتح الباب أمام أنشطة سيبرانية غير مرغوب فيها، مثل هجمات التصيد الاحتيالي أو الإدخال المنهجي لبرنامج ضار.
هناك طريقة أخرى يعمل بها أمن DNS وهي من خلال الاستخدام المكثف لمنهجية التصفية. ويمكن ضبط سياسات تصفية DNS خصوصًا لتتناسب مع احتياجات المستخدم. لذلك، فإن التصفية تمنح المستخدمين الكثير من الخيارات. ويمكنهم حظر بعض المواقع الإلكترونية والمجالات (والمجالات الفرعية) التي تظهر خصائص خطرة أو فئات كاملة من المحتوى.
زيادة الأمن وتعزيز الخصوصية هي الفائدة الأساسية لاتباع المبادئ العامة لأمن نظام أسماء المجالات (DNS)، كما يتجلى في الطرق الآتية.
يساعد على الحماية من هجوم موزع لحجب الخدمة (DDoS)
تم تصميم هجمات الهجوم الموزع لحجب الخدمة (DDoS) لتخريب التدفق الطبيعي لحركة مرور DNS. من خلال إغراق الهدف المقصود بالكثير من حركة مرور الويب، يصبح النظام المُستهدف مُعطَّلاً بالكامل.
تخيل أنك تشعر بالإرهاق الشديد، كما لو كنت تدير مطعمًا صغيرًا على جانب الطريق وفجأة يتزاحم آلاف الزبائن الجائعين—جميعهم يطالبون بخدمتك في تلك اللحظة. تعمل هجمات الهجوم الموزع لحجب الخدمة (DDoS) بالطريقة نفسها، وذلك بفضل القوة الهائلة لأعدادها.
هناك أيضًا هجمات تضخيم DNS، والتي تنتهك أمن الشبكة من خلال استخدام خوادم DNS المفتوحة والمتاحة لتضخيم حركة المرور، وكل ذلك على أمل التغلب على خدمة إنترنت أو مجال مستهدف. (يُشار إليها باسم شبكة الروبوتات عند استخدام العديد من أجهزة الكمبيوتر المخترقة بهذه الطريقة.) تستخدم هجمات التضخيم عنوان IP مصدريًا مُزيفًا (الذي يعود لضحية مقصودة) لتوجيه كميات هائلة من حركة المرور الشبكية غير المرغوب فيها نحو تلك الضحية.
يعمل أمن DNS على مواجهة هجوم موزع لحجب الخدمة (DDoS) بعدة طرق. أولاً، يفرض أمن نظام أسماء المجالات (DNS) استخدام التوقيعات الرقمية كمقدمة لقبول عمليات نقل بيانات DNS. كما أنه يستخدم خاصية كشف الشذوذ لتحديد تهديدات نظام أسماء المجالات (DNS) من خلال الاستفادة من الخوارزميات المدعومة بالذكاء الاصطناعي.
هناك طريقة أخرى، هي تحديد المعدل، التي تقيّد عدد طلبات نظام أسماء المجالات (DNS) التي يمكن لعميل واحد إجراؤها، بناءً على الفترة الزمنية المنقضية. وتفرض عملية التحقق من نطاق نظام أسماء المجالات (DNS)، أنه لا يُسمح بالانضمام إلى تدفق حركة مرور DNS العادي إلا لسجلات DNS المؤكدة والصحيحة فقط.
يعزز مبادئ "الثقة الصفرية"
لإنشاء نظام DNS آمن حقًا، من الضروري أن يتوافق مع مبدأ الأمن السيبراني القائم على الثقة الصفرية ويدعمه، الذي ينص على "عدم الثقة أبدًا، والتحقق دائمًا". وهذا يعني أنه لا يتم منح حق الوصول إلى أي مورد (مهما بدا ضئيلاً) دون تحقق من هوية طالب الوصول أولاً ثم التصريح له بالوصول.
تتمتع الشركات التي تتبنى بشكل كامل مبدأ الثقة الصفرية بميزات مشتركة ملحوظة، كما هو موضح في تقرير حول أمن الثقة الصفرية الصادر عن Institute for Business Value التابع لـ IBM. ويناقش هذا التقرير "الشركات الرائدة في تبني الثقة الصفرية" والإجراءات المحددة التي تتخذها حوالي 23% من الشركات لتحقيق الاستفادة الكاملة من المبادئ العملية للثقة الصفرية.
تؤدي أدوات حل DNS دورًا رئيسيًا في فرض المبادئ العملية للثقة الصفرية. ويعمل القائمون على الحل كوسطاء. وبمجرد أن يطلب المستخدم موقعًا إلكترونيًا معينًا، يقوم محلل DNS بمعالجة هذا الطلب. ثم يقوم بمسح البنية التحتية لنظام أسماء المجالات (DNS) بأكمله ويفحص خوادم DNS، بحثًا عن عنوان IP الصحيح.
إذا فشل نظام أسماء المجالات (DNS) في العثور على عنوان IP هذا، فإن محللي DNS يصلون خارج النظام لخوادم الأسماء الموثوقة. وتوفر خوادم الأسماء هذه "الكلمة الأخيرة" على عنوان IP المطلوب عن طريق إصدار عنوان IP مؤكد. ثم يقوم محلل DNS المتكرر بتخزين عنوان IP هذا في ذاكرة التخزين المؤقت لحفظه بأمان والوصول الداخلي السريع إليه في المرة التالية عندما تكون هناك حاجة إليه.
يستخدم أدوات أمان قوية
يستفيد أمن DNS من العديد من خدمات الأمان وأدوات الأمان. توفر أنظمة كشف التهديدات المدعومة بالذكاء الاصطناعي الأتمتة. وينطبق الأمر نفسه على حلول DNS وحلول الأمان الأخرى التي تحصل على فائدة من التعلم الآلي وموجزات استعلامات التهديدات.
لا تقوم هذه الأنظمة والحلول بأتمتة العمليات الضرورية فحسب، بل إنها أيضًا تراقب بشكل استباقي حركة مرور DNS في الوقت الفعلي. ويساعد DNSSEC أيضًا في أتمتة عمليات الأمن من خلال حماية بروتوكولات الإنترنت من الهجمات من خلال اختطاف DNS والتصيد الاحتيالي والأنفاق—وهي هجمات سيبرانية يمكن أن تؤدي إلى تعطيل حركة مرور DNS بشكل خطير وإلحاق الضرر بتجربة المستخدم.
بالإضافة إلى ذلك، يساعد أمن DNS على توفير الحماية للأشياء التي تتمتع بقدرات إنترنت الأشياء (IOT). ويحمي أمن DNS أُطر عمل إنترنت الأشياء (IOT) بعدة طرق، مثل منع أجهزة إنترنت الأشياء (IOT) من التفاعل مع خوادم الأوامر والتحكم وتجنيدها كأجزاء جديدة من شبكات الروبوتات.
يعد الحفاظ على الأمن السيبراني مهمة بدوام كامل، مع الأخذ في الحسبان أن هجمات DNS المعقدة والمتطورة يبدو أنها تحتفظ بقدرتها على التكيف بنجاح باستمرار. وتُستخدم الأنواع الآتية من حلول أمن DNS في المقام الأول لمواجهة مثل هذه الهجمات وتعزيز الأمن السيبراني:
- جدران حماية DNS: كلما تم إنشاء طلب DNS، يتم إيقافه عند جدران الحماية الأمنية، والتي تقوم بتقييم الطلب مقابل قوائم عناوين IP المرتبطة بمواقع الويب والمجالات الضارة. وتوفر جدران الحماية أيضًا الحماية ضد محاولات التصيد والبرنامج الضار.
- كشف أنفاق DNS: تشمل جهود أنفاق DNS نقل غير مصرح للبيانات السرية، حيث يتتبع المجرمون البيانات السرية والحساسة ويستخرجونها من شبكة أو نظام عن طريق إخفائها على أنها بيانات يتم نقلها ببراءة. وهناك نوع آخر من الجهود يتمثل في اتصالات القيادة والتحكم، التي تساعد على تفعيل عملية اختطاف نظام أسماء النطاقات المجالات (DNS).
- خدمات DNS Services الوقائية: تمكّن خدمات DNS Services الوقائية إدارة الحماية الاستباقية من التهديدات التي تحمي مواقع الويب الضارة. وتحقق ذلك من خلال تقييم طلبات DNS مقابل موجزات التهديدات والسياسات المعمول بها.
الموارد
IBM NS1 Connect هي خدمة سحابية مُدارة بالكامل لإدارة DNS، وDHCP، وعناوين IP للمؤسسات، وتوجيه حركة مرور التطبيقات.
توفِّر حلول الشبكات السحابية من IBM اتصالًا عالي الأداء لتشغيل تطبيقاتك وأعمالك.
دمج دعم مركز البيانات مع خدمات IBM Technology Lifecycle Services للشبكات السحابية وغيرها.