دوشنبه 22 دی 1399
نویسنده: کاظم-فریدی،زینب-مرادیان،مهدی-گلشن
منبع: آسیب پذیری های امنیتی در سیستم نام دامنه و توسعه امنیت سیستم نام دامنه
مدیریت سرور های DNS
Domain Name System یا سیستم نامگذاری دامنه که به صورت اختصاری شما آن را با نام (DNS) می شناسید، یک سرویس توزیع شده از دایرکتوری های اینترنت به شمار می آید. سیستم نامگذاری دامنه روشی سلسله مراتبی و توزیع شده برای تبدیل نامه دامنه به آدرس IP است. پروتکل DNS یکی از پروتکل های پایه شبکه اینترنت است که به دلیل حساسیت وظیفه و استفاده از آن در اغلب تعاملات شبکه، همواره پیاده سازی های آن مورد توجه نفوذگران بوده و به طور ویژه سرویس دهنده های نام در معرض حملات متعددی قرار دارند.
DNS ها دارای دو جنبه مستقل می باشند:
- مشخص نمودن Syntax اسامی و قوانینی برای تفیض اختیار تحت اسامی، که اساس Syntax ها نیز برمبنای سایت، گروه و یا بصورت Local (محلی) می باشد.
- پیاده سازی یک سیستم محاسبات توزیع شده که با استفاده از یک نقشه کارآمد اسامی را به آدرس های متناظر ترجمه خواهد نمود.
DNS نام دامنه ها را به آدرس IP، و بالعکس تبدیل می کند. DNS به عنوان یک پایگاه داده توزیع شده جهانی بوده که از ساختارهای زنجیره ای پشتیبانی می کند. شناسه کلاینت که به عنوان یک کلاینت ( ایستگاه پردازش) جستجو را انجام داده و پاسخی را از سرور DNS دریافت می کند. این پاسخ ها شامل موارد ثبت شده منابع ( RRS) و حاوی اطلاعات تفکیک شده نام/آدرس موردنظر می باشد.
DNS به عنوان یک مکانیسم استاندارد برای نامگذاری مجزای آدرس IP (پروتکل اینترنتی) می باشد. به دلایل امنیتی و قابلیت دسترسی این مسئله حایز اهمیت می باشد که DNS قادر به تحمل نقص ها و حملات باشد.
سرویس دهنده های DNS نیز همانند سرویس دهنده های سایر سرویس ها و پروتکل ها دارای سه نوع آسیب پذیری هستند:
- آسیب پذیری های ذاتی پروتکل مانند عدم احراز اصالت طرفین
- آسیب پذیری های ناشی از ضعف در پیاده سازی محصول ارائه دهنده سرویس مانند خطاهای برنامه نویسی
- آسیب پذیری های ناشی از پیکربندی نامناسب سرویس دهنده
طی مطالعات انجام شده نسخه ی بسیاری از DNS ها قدیمی است. این نسخه های قدیمی دارای آسیب پذیری های شناخته شده ای می باشند. لذا توصیه می شود که به منظور کاهش احتمال سوء استفاده از این آسیب پذیری ها، مدیران سرویس دهنده های DNS به امن سازی سرویس دهنده تحت کنترل خود آگاه گردند. همچنین بایستی با اجرای ارزیابی امنیتی مداوم، از مناسب بودن پیکیربندی چنین سرویس دهنده هایی اطمینان حاصل کرد.
از طرفی، پروتکل DNS به طور ذاتی دارای مشکل امنیتی بوده و بایستی در سطح کلان، با برنامه ریزی مناسب و همگام با سایر کشورها به سوی پیاده سازی DNSSEC و TSIG حرکت نمود. اما در شرایط فعلی که در حال گذار به سمت استفاده از پروتکل های امن تر هستیم، بایستی تا حد امکان جلوی سوء استفاده از آسیب پذیری های مرتبط با پیاده سازی و پیکربندی نامناسب را گرفت. از این توصیه می شود :
- سرویس دهنده های نام Authorative از سرویس دهنده های نام Recursive مجزا و مستقل گردند.
- بر روی سرویس دهنده DNS، سرویس دیگری ارائه نشود.
- از وجود سرویس دهنده DNS پشتیبان و سنکرون با سرویس دهنده DNS اصلی مطمئن شد. پیشنهاد می شود که سرویس DNS اصلی و پشتیبان دارای دو پیاده سازی مختلف باشند که در هنگام اعلان آسیب پذیری در یکی از پیاده سازی ها، تا هنگام ارائه راه حل و برطرف شدن آسیب پذیری، نسخه پشتیبان جایگزین گردد.
- با تدوین سیاست های امنیتی مناسب، راهبران این گونه از سرویس دهنده ها ملزم شوند تا با حداکثر 24 ساعت تاخیر سیستم و سرویس دهنده DNS را به روزرسانی کنند.
- سرویس دهنده های نام برروی نرخ پاسخ های خود محدودیت اعمال کنند ( به تعداد محدودی کوئری درخواست نام از سوی هر آدرس IP خاصل پاسخ گویند.)
سامانه مدیریت سرورهای DNS تولید شرکت شبکه گستر کایر با استفاده از یک پنل مدیریت تحت وب می تواند به شما این امکان را بدهد تا تمامی سرور های DNS خود را بدون هیچ محدودیتی در آن تعریف کرده و عملیات نگه داری این سرور ها را بصورت متمرکز از یک نقطه انجام دهید.