كيف يختلف DNSSEC عن التشفير؟
إنه سؤال كثيرًا ما نسمعه: "أليس DNSSEC هو نفسه DNS المشفرة؟"
ليس حقًا. في حين أن DNSSEC يحمي الشبكات من هجوم الوسيط، إلا أنه يقوم بذلك من خلال تشفير المفتاح العام، وهو أمر مختلف عن التشفير. بمعنى آخر، توفر DNSSEC شكلاً من أشكال المصادقة، ولكن ليس شكلاً من أشكال السرية.
يستخدم DNSSEC تشفير المفتاح العام "للتوقيع" رقميًا على استعلامات DNS أو المصادقة عليها. وعند تمكين DNSSEC على سجل منطقة، يمكن للجهاز المستقبل مقارنة المعلومات التي يتلقاها بالمعلومات الأصلية المرسلة بواسطة الخادم الموثوق. ويتم تمكين ذلك من خلال توقيع رقمي يستخدم المفاتيح العامة لمصادقة البيانات.
في DNSSEC، تتم حماية مفاتيح المصادقة من خلال التشفير، ولكن البيانات نفسها غير محمية. لا يزال من الممكن اعتراض حركة المرور المحمية بـ DNSSec وقراءتها. إذا تم التلاعب بالبيانات في مكان ما على طول مسار البيانات وإرسالها إلى وجهتها، فسيكون خادم الاستقبال قادرًا على معرفة وجود خطأ ما لأن المفاتيح العامة لن تتطابق.
التشفير، من ناحية أخرى، يستخدم الشفرة لترميز البيانات نفسها. ويضمن التشفير السرية من خلال تغيير ما قد يراه المهاجم إذا اعترض استعلامًا في مكان ما على طول مسار البيانات. إنه يجعل هذه البيانات غير مفهومة ما لم يتمكن المهاجم من فك الشفرة باستخدام مفتاح التشفير. نظرًا لأن هذا المفتاح غير مشترك علنًا، فإن التشفير يحمي البيانات من التلاعب.
DNS هو أحد البروتوكولات القديمة على الإنترنت. عندما تم إنشاؤه، كان الإنترنت مكانًا أصغر بكثير حيث يعرف الجميع بعضهم البعض إلى حد كبير. كان الأمن أمرًا ثانويًا.
بحلول الوقت الذي أصبح فيه أمن الإنترنت مصدر قلق، تم استخدام DNS على نطاق واسع لدرجة أن أي تغيير كبير كان من شأنه أن يؤدي إلى توقف النظام بأكمله. بدلاً من محاولة تطوير بروتوكول مشفر بالكامل ليحل محل DNS، تقرر تثبيت آلية مصادقة على النظام الحالي.
كان DNSSEC حلاً وسطًا. لقد جعل مصادقة الاستعلامات والبيانات ممكنة، ما يزيد من أمان البروتوكول. ولكنه فعل ذلك دون تغيير النظام الأساسي، بحيث يمكن للإنترنت الاستمرار في النمو دون الحاجة إلى إعادة هندسة أي شيء. تم جعل نشر DNSSEC اختياريًا حتى تتمكن المجموعة من الانتقال إذا أرادت ذلك.
يُعدّ تسميم ذاكرة التخزين المؤقت لنظام DNS (المعروف أيضًا باسم انتحال نظام DNS) سببًا رئيسيًا لتنفيذ DNSSEC. في هجوم انتحال DNS، يتم استبدال إجابة غير مصادق عليها بالاستجابة المشروعة لاستعلام DNS. ثم تعلق هذه الإجابة في ذاكرة التخزين المؤقت، وتستمر في إرجاع إجابة خاطئة وتوجيه المستخدمين إلى مواقع خبيثة حتى انتهاء "فترة الصلاحية".
يحمي DNSSEC من هذه الأنواع من الهجمات من خلال مصادقة استجابات DNS، ما يضمن إرجاع الإجابات الصحيحة فقط. قد يحمي التشفير البيانات الأساسية في اتصال DNS، لكنه لن يحمي من هجوم انتحال DNS.
لسوء الحظ، يتم التحقق من صحة حوالي 20% فقط من حركة المرور على الإنترنت (يوجد الرابط خارج ibm.com) من خلال DNSSEC. في حين أن هذه زيادة كبيرة عما كانت عليه قبل بضع سنوات فقط، إلا أنها لا تزال بعيدة كل البعد عن المكان الذي يجب أن تكون عليه. مزيج من مشكلات قابلية الاستخدام ونقص المعلومات والكسل المطلق يفسر هذه الفجوة الكبيرة.
تشجع NS1 بقوة جميع عملائها على نشر DNSSEC، وتشجع على استخدامه من خلال عملية نشر بسيطة. على عكس مقدمي الخدمة الآخرين، يدعم NS1 أيضًا DNSSEC كمقدم خدمة ثانوي أو خيار DNS مكرر من خلال عرض DNS المخصص لدينا.
الموارد
IBM NS1 Connect هي خدمة سحابية مُدارة بالكامل لإدارة DNS، وDHCP، وعناوين IP للمؤسسات، وتوجيه حركة مرور التطبيقات.
توفِّر حلول الشبكات السحابية من IBM اتصالًا عالي الأداء لتشغيل تطبيقاتك وأعمالك.
دمج دعم مركز البيانات مع خدمات IBM Technology Lifecycle Services للشبكات السحابية وغيرها.