تاکید موسسه امنیتی ICANN بر استفاده از DNSSEC

مؤسسه ICANN اصرار بر پذیرش DNSSEC دارد.

ادامه حملات مخرب به یک خطر مهم برای بخش های کلیدی اینترنت و زیرساخت های امنیتی DNS تبدیل شده است تا آنجا که شرکت ICCAN، خواستار تلاش گسترده برای نصب DNS  با فناوری امنیتی قوی تر شده است.

ICANN خواستار استقرار کامل DNSSEC بر روی تمام Domain Name های ناامن شده است. DNS که اغلب دفترچه تلفن اینترنت نامیده می شود و بخشی از زیرساخت شبکه جهانی اینترنت می باشد ، که نام دامنه را به IP تبدیل می کند و کامپیوتر ها برای دسترسی به وب سایت ها و یا ارسال ایمیل به آن نیاز دارند. DNSSEC یک لایه از امنیت را بر روی DNS اضافه می کند.

فناوری DNSSEC حدودا در سال 2010 ارائه شد اما  این تکنولوژی به طور گسترده مورد استفاده قرار نگرفت بر طبق گزارش APNIC کمتر از 20 درصد از ثبت کنندگان DNS جهان DNSSEC را بر روی سرویس خود به کار می گیرند.

روند پذیرش DNSSEC خیلی کند بوده است زیرا بیشتر به عنوان یک ابزار اختیاری تلقی می شود و به گفته Kris Beevers  استفاده از نیازمند بررسی مزایا و معایب ، بین امنیت و عملکرد ، می باشد .

DNSSEC از حملاتی که باعث کشف یکپارچگی جواب های مربوط به DNS می شوند، جلوگیری می کند .

با این حال اغلب راه اندازی ها به وسیله ملزومات مدرن DNS همچون راه اندازی DNS ثانویه کامل نیستند.

“راه اندازی DNSSEC قدیمی برخی از قابلیت های پایه را نقض می کند همچون Geo-Routing و اجرای آن بر روی برندهای مختلف دشوار می باشد . بدین معنی که کارایی و میزان در دسترس بودن را برای کاربران کاهش می دهد. “

“استقرار کامل DNSSEC این اطمینان را می دهد که کاربران در حال اتصال به یک وب سایت واقعی و یا دیگر سرویس های متناظر برای یک دامنه خاص هستند . ICAAN می گوید :”اگرچه این قابلیت ها تمام مشکلات امنیتی اینترنت را حل نمی کنند اما باعث محافظت از یک بخش اساسی اینترنت می شود  ، DNSSEC با جست وجوی دایرکتوری و اجرای دیگر تکنولوژی ها ،همچون SSL که از محاورات محافظت می کند ، و ارائه یک پلتفرم برای پیشرفت های امنیتی ، از یک بخش حیاتی اینترنت محافظت می کند “.

در فراخوانی جهت استفاده بیشتر ازتکنولوژی DNSSEC ، ICANN به گزارش های عمومی اخیر اشاره می کند که این گزارش ها یک الگو از حملات چندمنظوره با استفاده از متدولوژی های مختلف را نشان می دهد .

ICCAN اعلام کرد :”هدف برخی از حملات سرویس DNS می باشد که در آن تغییرات غیرمجاز برای نمایش ساختار Domain Name ها ایجاد شده است و آدرس سرور اصلی با آدرس سروری که توسط هکر کنترل می شود جابه جا می شود . این نوع خاص از حملات که هدف آنها سرویس DNS است فقط زمانی می توانند مخرب باشند که DNSSEC استفاده نشده باشد” .

در جایی دیگر Beevers اشاره می کند که :”شرکت هایی که مورد هدف حملات قرار می گیرند ( به ویژه حملاتی که اطلاعات کاربر و شرکت را به وسیله برنامه های آنها ضبط و یا در معرض نمایش قرار می دهند ) باید به این هشدار ICANN توجه کرده  و  DNS ها و فروشنده های ثبت کننده خود را تحت فشار قرار دهند تا DNSSEC و دیگر شیوه های امنیتی  DNSSEC را پیاده سازی و استاندارد سازی کنند. آنها می توانند به راحتی DNSSEC و دیگر شیوه های امنیتی را با تکنولوژی های موجود در کسب و کار خود پیاده سازی کنند”.حداقل آنها باید با توجه به چک لیست ICANN و دیگر شیوه ها  و با همکاری فروشندگان و تیم های امنیتی خود، راه اندازی های خود را مورد بازبینی قرار دهند.

ICANN یک سازمان است که به طور معمول به آینده  فکر می کند، آنها بر این اعتقادند که اقدام فوری صنعت و مشتریان زیرساخت دامنه ، برای اطمینان از عملکرد DNSSEC حیاتی است .

ICANN تصمیمات گسترده تری را اتخاذ کرده است و حتی برای سایر رگولاتورها نیز وارد عمل شده است که به نوبه ی خود کار ICANN حائز اهمیت  است. Beevers در جایی گفته است :”ما علاقه داریم که با پافشاری شرکت های فعال در حوزه تکنولوژی همچون فروشندگان مرورگرها ، ISP و دیگر شرکت ها این تغییرات در نظر گرفته شود “

ICANN بر طبق خبری که اعلام کرد به تمام آژانس های فدرال هشدار می دهد که باید سیستم Domain Name خود را در برابر حملات هکرها محافظت کنند.

CISA اعلام کرد که هکرها قادر به رهگیری وب سایت ها،ترافیک ایمیل و دیگر سرویس های شبکه هستند آژانس می گوید که  حملات با نمایش اعتبار حساب کاربری  کاربران آغاز می شود که می تواند رکوردهای DNS را تغییر دهد . سپس هکر رکوردهای DNS  مانند MX و Address را تغییر می دهد. و آدرس های قانونی را با یک آدرس که توسط خود هکر کنترل می شود ، جایگزین می کند.

این اقدامات به هکر اجازه می دهد که ترافیک کاربر را قبل از اینکه به سرور موردنظر برسد ، به سمت زیرساخت خود ، جهت دستکاری و بررسی داده ها هدایت کند. این خطری است که می تواند فراتر از تغییر مسیر ترافیکی باشد . CISA اشاره کرد که محققان FireEye و Cisco Talos گزارش دادند که مخرب ها به حسابهایی دسترسی دارند که رکوردهای  DNS را کنترل کرده و آنها را قبل از انتقال به آدرس واقعی خود ، در اختیار می گیرند . به دلیل اینکه آنها می توانند DNS سازمان را کنترل کنند آنها هم چنین می توانند گواهی نامه های دیجیتالی قانونی را به دست بیاورند و داده ها را رمزگشایی کنند.

ICANN لیستی از اقدامات امنیتی توصیه شده را ارائه می دهد که گروه های مرتبط باید برای محافظت از سیستم های خود این اقدامات توصیه شده را انجام دهند .

مدیریت سرور پشتیبانی و مشاوره – ثبت دامنه

نوشته های مشابه