ما هي DNSSEC (امتدادات أمان DNS)؟

بعبارات بسيطة، تساعد DNSSEC على ضمان توجيه المستخدمين إلى موقع الويب الفعلي الذي يبحثون عنه، وليس إلى موقع مزيف. وعلى الرغم من أنها لا تحافظ على خصوصية عمليات البحث (أمان طبقة النقل، أو TLS، هو بروتوكول أمان مصمم لضمان الخصوصية على الإنترنت)، إلا أنها تساعد على منع الكيانات الخبيثة من إدراج استجابات DNS متلاعب بها في طلبات DNS.

تُستخدم DNSSEC (اختصارًا لامتدادات أمان نظام اسم النطاق ) لتوسيع بروتوكول DNS ومعالجة الثغرات الأمنية في DNS التي تجعل النظام عرضة لهجمات إلكترونية مختلفة، مثل انتحال DNS، وإفساد ذاكرة التخزين المؤقت لنظام DNS، والهجمات الوسيطة، وغيرها من التعديلات غير المصرح بها على بيانات DNS. يساعد نشر DNSSEC على تحصين نظام اسم النطاق ضد هذه المخاطر المحتملة، ما يوفر بنية تحتية أكثر أمانًا وموثوقية للإنترنت. عندما يستعلم محلل DNS عن معلومات، يُجرى التحقق من صحة استجابات بحث DNS من خلال التحقق من التوقيعات الرقمية، ما يؤكد صحة البيانات المستلمة وسلامتها.

مع استمرار تطور تهديدات الأمن الإلكتروني، من المرجح أن يزداد الطلب على التدابير الأمنية الصارمة، بما في ذلك DNSSEC. تعمل المؤسسات مثل هيئة الإنترنت للأسماء والأرقام المخصصة (آيكان) بشكل فعال على الترويج لتبنيها عالميًا، ما يعكس تزايد الوعي بدورها الحاسم في أمن نظام أسماء النطاقات.

للمساعدة على تأمين DNS، تضيف امتدادات أمان DNS توقيعات تشفيرية إلى سجلات DNS الموجودة. وتُخزن هذه التوقيعات في خوادم أسماء DNS مع أنواع سجلات DNS أخرى، مثل سجلات A (التي تُنشئ اتصالاً مباشرًا بين عنوان IPv4 واسم النطاق)، وسجلات AAAA (التي تربط أسماء النطاقات بعناوين IPv6)، وسجلات MX (التي توجه رسائل البريد الإلكتروني إلى خادم بريد النطاق)، وسجلات CNAME (التي تربط الأسماء المستعارة بأسماء النطاقات "القانونية").

تتضمن السجلات والمصطلحات الأخرى ذات الصلة والمفيدة لفهم آلية عمل DNSSEC ما يلي:

تُستخدم سجلات DS لإنشاء سلسلة ثقة آمنة بين المنطقة الأصل والمنطقة الفرع. وتحتوي على التجزئة التشفيرية لسجل DNSKEY.

تخزن سجلات DNSKEY (المعروفة أيضًا باسم مفاتيح DNSSEC) المفاتيح العامة المرتبطة بمنطقة DNS معينة. تُستخدم هذه المفاتيح للتحقق من التوقيعات الرقمية وضمان صحة بيانات DNS وسلامتها داخل تلك المنطقة.

تحتوي سجلات RRSIG على توقيع تشفيري مقترن بمجموعة من سجلات موارد DNS.

هذه مجموعة من جميع سجلات الموارد من نوع معين مقترن باسم معين في DNS. على سبيل المثال، إذا كان لديك عنوانا IP مرتبطين بالنطاق "example.com"، فسيُجرى تجميع سجلات A الخاصة بهذه العناوين معًا لتكوين مجموعة RRset.

هذا سجل يسرد أنواع السجلات الموجودة لنطاق معين ويُستخدم للإشارة إلى الإنكار المؤكد لوجود اسم نطاق معين. ويعمل عن طريق إرجاع السجل "الآمن التالي". على سبيل المثال، إذا استعلم محلل متكرر من خادم أسماء عن سجل غير موجود، فسيقدم خادم الأسماء سجلاً آخر—وهو "السجل الآمن التالي" المحدد على الخادم—ما يشير إلى أن السجل المطلوب غير موجود.

يُعد هذا تحسينًا لطريقة NSEC. فهو يحسن الأمان من خلال جعل التنبؤ أو تخمين أسماء النطاقات الموجودة في منطقة ما أكثر صعوبة على المهاجمين. ويعمل بطريقة مشابهة لطريقة NSEC ولكنه يستخدم أسماء سجلات مجزأة بشكل مشفر لتجنب إدراج الأسماء الموجودة في منطقة معينة.

أزواج مفاتيح توقيع المنطقة (مفتاح عام ومفتاح خاص) هي مفاتيح مصادقة تُستخدم لتوقيع RRset والتحقق منه. في DNSSEC، تحتوي كل منطقة على زوج من مفاتيح ZSK. يُستخدم المفتاح الخاص لإنشاء توقيعات رقمية لمجموعات RRSet. وتُخزن هذه التوقيعات كسجلات RRSIG في خادم الأسماء. يتحقق المفتاح العام المرتبط، المخزّن في سجل DNSKEY، من صحة التوقيعات، ما يؤكد صحة مجموعة RRset. ومع ذلك، هناك حاجة إلى تدابير إضافية للتحقق من صحة مفتاح ZSK العام. ولهذا، يُستخدم مفتاح توقيع المفاتيح.

مفتاح توقيع المفاتيح هو زوج مفاتيح عام/خاص آخر ويُستخدم للتحقق من أن مفتاح توقيع المنطقة العام غير مخترق. 

توفر امتدادات أمان نظام أسماء النطاقات إطار عمل آمن تشفيريًا مصممًا لتعزيز أمان نظام أسماء النطاقات وموثوقيته. وفي جوهرها، تستخدم DNSSEC نظامًا من أزواج المفاتيح العامة والخاصة. ولتمكين التحقق من صحة DNSSEC، يُنشئ مدير المنطقة توقيعات رقمية (تُخزن كسجلات RRSIG) باستخدام مفتاح توقيع المنطقة الخاص، ومفتاح عام مطابق يُوزع كسجل DNSKEY. يُستخدم مفتاح توقيع المفاتيح للتوقيع على ZSK والمصادقة عليه، ما يوفر طبقة إضافية من الأمان.

محللات DNS، عند الاستعلام، تسترد RRset المطلوبة وسجل RRSIG المقترن، والذي يحتوي على مفتاح توقيع المنطقة الخاص. ثم يطلب المُحلِّل سجل DNSKEY الذي يحمل مفتاح ZSK العام. تعمل الثلاثة أصول هذه معًا على التحقق من صحة الاستجابة التي يتلقاها المُحلِّل. ومع ذلك، لا تزال هناك حاجة إلى التحقق من صحة مفتاح ZSK العام. وهنا يبرز دور مفاتيح توقيع المفاتيح.

يُستخدم مفتاح توقيع المفاتيح لتوقيع مفتاح ZSK العام وإنشاء RRSIG لسجلات DNSKEY. ينشر خادم الأسماء مفتاح KSK العام في سجل DNSKEY، كما فعل مع مفتاح ZSK العام. وهذا يؤدي إلى إنشاء RRset يحتوي على سجلي DNSKEY. وتُوقع باستخدام مفتاح KSK الخاص، ويُتحقق من صحتها باستخدام مفتاح KSK العام. تتحقق هذه المصادقة من صحة مفتاح ZSK العام—وهذا هو الغرض من KSK—وتتحقق من صحة مجموعة RRset المطلوبة.

تعمل DNSSEC على مبدأ إنشاء "سلسلة ثقة" عبر التسلسل الهرمي لنظام أسماء النطاق، وتوقيع بيانات DNS على كل مستوى لإنشاء مسار موثوق يضمن سلامة البيانات وصحتها. يُجرى تأمين كل رابط في السلسلة بالتوقيعات الرقمية، ما يؤدي إلى إنشاء مرساة ثقة تبدأ من خوادم المنطقة الأصل وتمتد إلى أسفل عبر خوادم النطاق الأعلى مستوى (TLD) وصولاً إلى خوادم أسماء النطاق (DNS) المعتمدة للنطاقات الفردية.

تُستخدم سجلات موقع التفويض (DS) لتمكين نقل الثقة من المنطقة الأصل إلى المنطقة الفرع. عند توجيه المحلل إلى منطقة فرعية، توفر المنطقة الأصل سجل DS يحتوي على تجزئة لسجل DNSKEY بالمنطقة الأصل. يُقارن ذلك بمفتاح KSK العام المجزأ والوارد من المنطقة الفرع. تشير المطابقة إلى صحة مفتاح KSK العام وتتيح للمحلل معرفة أنه يمكن الوثوق بالسجلات الموجودة في النطاق الفرعي (المنطقة الفرع). تعمل هذه العملية من منطقة إلى أخرى، ما يؤدي إلى إنشاء سلسلة الثقة.

أمان DNSSEC وDNS هما مفهومان مرتبطان في مجال أمان الإنترنت، ولكل منهما تركيز ونطاق مختلفان. يشير DNSSEC على وجه التحديد إلى مجموعة من امتدادات DNS المصممة لتحصين أمان نظام أسماء النطاق. هدفها الأساسي هو ضمان سلامة وصحة سجلات DNS من خلال تشفير المفتاح الخاص والعام.

أمان DNS هو مصطلح أوسع يشمل نهجًا شاملاً لتأمين بيئة DNS بأكملها. في حين أن DNSSEC هو عنصر حاسم في أمان DNS، إلا أن نطاق أمان DNS يمتد إلى ما هو أبعد من بروتوكولات DNSSEC الخاصة. يعالج أمان DNS مجموعة واسعة من التهديدات بما في ذلك الهجوم الموزع لحجب الخدمة (DDoS) وسرقة النطاق، ما يوفر إستراتيجية شاملة للحماية من الأنشطة الخبيثة التي قد تعرض البنية التحتية لنظام DNS للخطر.