آسیب پذیری های امنیتی در DNS (سیستم نام دامنه) و DNSSEC (توسعه امنیت سیستم نام دامنه) Security vulnerabilities in DNS and DNSSEC

1. مقدمه

DNS به عنوان یک مکانیسم استاندارد برای نامگذاری مجزای آدرس IP ( پروتکل اینترنتی) می باشد. به دلایل امنیتی و قایلیت دسترسی این مسئله حائز اهمیت می باشد که DNS قادر به تحمل نقص ها و حملات باشد. این موارد از حملات اخیر گسترده که با آلوده کردن حافظه نهان DNS اطلاعات مالی حساس را سرقت کرده است، مشخص می گردد.

برای بر طرف کردن مشکلات امنیتی شناخته شده با DNS، مجموعه ای از موارد توسعه یافته امنیتی مطرح شده است. DNSSEC منجر به یکپارچگی داده ها و تایید منشاء آن ها با استفاده از علائم دیجیتالی از پیش ساخته برای هر داده که در پایگاه داده DNS ذخیره می شوند، می گردد. به هر حال همان طور که ما در این مقاله نشان می دهیم، DNSSEC به معرفی موضوعات امنیتی جدید همانند زنجیره ای از موضوعات مربوط به اعتماد، و حملات همزمان و زمان بندی شده، عدم پذیرش تقویت سیستم، افزایش ظرفیت محاسبه، و دامنه موضوعات مدیریت کلیدی می پردازد.

DNS نام دامنه ها را به آدرس IP، و بلعکس تبدیل می کند. DNS به عنوان یک پایگاه داده توزیع شده جهانی بوده که از ساختارهای زنجیره ای پشتیبانی می کند. شناسه کلاینت که به عنوان یک تصمیم گیرنده شناخته می شود به عنوان یک کلاینت ( ایستگاه پردازش) جستجو را انجام داده و پاسخی را از سرور DNS دریافت می کند. این پاسخ ها شامل موارد ثبت شده منابع (RRS) و حاوی اطلاعات تفکیک شده نام/ آدرس مورد نظر می باشد. دسترس پذیری و عملکرد DNS از طریق مکانیسم تکرار و ذخیره سازی بالاتر می رود. شرح مفصل عملکرد DNS در بسیاری از کتاب ها وجود دارد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

2. سرور های نامگذاری و تصمیم گیرنده ها

سرور های نامگذاری معمولا به حفظ اطلاعات کامل نام/ آدرس در مورد یک قلمرو خاص در فایلی به نام فایل ناحیه ای می پردازند. هر ناحیه می بایست سرور نام اولیه و ثانویه ای را برای بالا بردن انعطاف پذیری و توازن ظرفیت ها ایجاد کند. سرور مستر اصلی داده های مربوط به این نواحی را در فایل ناحیه حفظ می کند. تمام تغییرات در داده های ناحیه ای در پایگاه داده سرور اصلی روی می دهد. سرور ثانویه در فواصل معین به جستجوی سرور اصلی برای بروزرسانی رونوشت پایگاه داده می پردازد، و از اطلاعت برگشتی برای بروزرسانی پایگاه داده خود استفاده می کند. این فرایند به نام انتقال ناحیه ای می باشد پروتکل اولیه برای ارتباط DNS به نام UDP می باشد. به هر حال TCP ( پروتکل کنترل انتقال)برای انتقال در ناحیه مورد استفاده قرار می گیرد و سرور های نامگذاری از UDP و پورت 53 TCP برای جستجوی DNS پیروی می کنند.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

2.2 تفکیک پذیری جستجوی DNS

سرور نامگذاری به دو روش عمل می کند، بازگشتی و تکراری. جستجوی بازگشتی توسط علائم RD ( برگشت مطلوب) ارسال شده که مرتبط به سرانداز جستجوی DNS می باشد. در روش بازگشتی سرور نامگذاری در بین زنجیره DNS در پاسخ به درخواست های دیگر به جستجو پرداخته و خطا یا پاسخ را برگشت می دهد، اما اشاره ای به سرورهای نامگذاری دیگر ندارد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

2.3 فرمت پروتکل DNS

شکل 1 فرمت جستجوی DNS و پیام های پاسخ داده شده را نشان می دهد. ما در زیر به بحث حوزه های مربوطه می پردازیم.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

2.4 بایگانی منابع

بایگانی منابع (RRS) که در فایل های قلمرو سرور نامگذاری ذخیره می شوند، دارای فرمتی که در شکل 2 نشان داده شده است می باشند.

شکل2. فرمت بایگانی منابع

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

جدول1. فرمت بایگانی منابع

طول RDL مشخص کننده طول حوزه RDADA می باشد. در نهایت RDADA به شرح منابع با استفاده از فرمت مشخص شده توسط نوع و دسته می پردازد. RRSet به عنوان مجموعه ای از RRs صفر و یا بیشتر می باشد، که تمام آن ها دارای نان، دسته و نوع DNS یکسان می باشند.

3 آسیب پذیری DNS

ما اکنون مختصرا به شرح چند نمونه از مهمترین حملات بر روی DNS می پردازیم. اکثر این مشکلات قبلا مورد بحث قرار گرفته اند.

حملات کاربری (MITM)

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

تصمیم گیرنده تنها می تواند به تایید اصل بسته اطلاعاتی پاسخ داده شده DNS با استفاده از آدرس IP با استفاده از منبع DNS ،؛ مقصد و تعداد پورت منبع و شناسه تبادل DNS بپردازد. حمله کننده می تواند به راحتی بسته پاسخ سرور DNS را برای تطبیق این پارامترها ایجاد کند. کلاینت دارای هیچ انتخابی به غیر از اعتماد به داده های ایجاد شده توسط فرد مهاجم ندارد. مهاجم به تحلیل جستجوهای قانونی پرداخته، و با اطلاعات نادرست پاسخ می دهد.

3.1.1 دریافت بسته

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

3.1.2 تخمین شناسایی مبادلات

مهاجم می تواند با پاسخ های نادرست نسبت به درخواست های پیش بینی شده بدون قرار گرفتن بر روی LAN( شبکه محلی) برای دریافت بسته ها، واکنش نشان دهد. این پاسخ ها توسط تصمیم گیرند یا سرور نام مورد نظر دریافت می گردد. حوزه شناسه مبادلات DNS یک میدان 16 بیتی بوده و پورت UDP سرور که مرتبط با DNS می باشد، 53 است. برای کلاینت تنها (نیاز به دانلود ترجمه) ترکیب احتمالی از شناسه (نیاز به دانلود ترجمه) و پورت UDP کلاینت (نیاز به دانلود ترجمه) برای کلاینت مورد نظر و سرور وجود دارد. عملا پورت UDP کلاینت و شناسه مبادله از جستجوهای قبلی پیش بینی می گردد. برای پورت کلاینت معمول می باشد تا مقدار ثابت شناخته شده ای بوده که این به دلیل محدودیت فایروال می باشد، یا تعداد پورت به طور فزاینده ای به دلیل عملکرد مجموعه افزایش می یابد. شناسه مبادله DNS توسط کلاینت معمولا به صورت پله ای افزایش می یابد. این باعث کاهش فضای جستجو در محدوده کمتر از (نیاز به دانلود ترجمه) می گردد.

به این ترتیب، تخمین شناسه به اندازه ای نمی باشد که این امکان را برای مهاجم ایجاد کند تا داده های جعلی را رد کند. این فرایند با اطلاعات و تخمین ها در مورد جستجو (QNAME) و نوع جستجو (QTYPE) ادغام گشته که تصمیم گیرنده در حال جستجو می باشد. برای مثال این مورد، از طریق جستجوی حافظه نهان حاصل می گردد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

از طریق استفاده از حافظه نهان، DNS انطباق را قربانی کاهش زمانی دسترسی می کند. ذخیره سازی DNS نگرانی هایی را در مورد ناسازگاری ذخایر و بی ثباتی داده ها ایجاد می کند.

داده های قدیمی شامل اطلاعات حساس امنیتی می باشد. برای مثال موارد مهم در معرض خطر. پروتکل کنونی DNS از ابزارهای توزیع بروزرسانی داده یا باطل سازی سرور DNS یا موارد ذخیره سازی به روش سریع و ایمن پشتیبانی نمی کند.

3.2.1 آلوده سازی حافظه نهان با استفاده از زنجیره نامگذاری

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

داده های نادرست مرتبط به این نام ها، به درون حافظه نهان قربانی از طریق بخش ها مازاد واکنش وارد می شود. مهاجم می تواند نام های DNS اختیاری را وارد کرده و اطلاعات بیشتری را فراهم کند که در ارتباط با ان نام ها می باشد.

3.2.2 آلوده سازی حافظه نهان با استفاده از پیش بینی شناسه

در این حمله، تعداد زیادی از درخواست ها به سرور قربانی ارسال می شود (ns1.victim.com, say). که آدرس IP منبع را تغییر داده تا به تفکیک نام برای مثال به صورت www.mybank.com بپردازد. هر یک از این درخواست ها در ارتباط با شناسه تبادل خاصی بوده و به طور مستقل پردازش می شوند. زمانی که ns1.victim.com در تلاش برای تجزیه هر یک از این درخواست ها می باشد، سرور در انتظار تعداد زیادی از درخواست ها از ns1.mybank.com می باشد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

3.3 حمله DDoS

DDOS دارای تاثیر قابل توجهی بر روی پایگاه DNS جهانی و کاربران ان دارد. آن ها معمولا در سرورهای اصلی قرار می گیرند. این موارد با حملات DDOS اخیر در ژوئن 2004 نشان داده می شود، که تکرار حملات مشابه اکتبر 2002 می باشد. این حملات منجر به عدم دسترسی پذیری سرویس تفکیک نام نسبت به جوامع اینترنتی می گردد.

3.4 حملات DNS مهم دیگر.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

انتقال موفق توسط فرد مهاجم بر مبنای حمله شناسایی می باشد، که به صورت بلقوه اطلاعات حساس را در مورد پیکره بندی شبکه داخلی ، برای مثال، آدرس های IP رابط فایروال اینترنتی نشان می دهد. برای مثال نام DNS، نشان دهنده نام پروژه می باشد که برای فرد مهاجم دارای مزایایی بوده، یا نشان دهنده هویت سیستم عامل اجرایی بر روی دستگاه می باشد.

3.4.2 آسیب پذیری بروزرسانی پویای DNS

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

مد نظر قرار دادن امنیت پیوند

سرور های DNS در اینترنت که از پیوند اجرایی نرم افزار DNS استفاده می کنند همیشه با وصله های امنیتی و بروزرسانی نرم افزار همگام نمی باشند. در نتیجه، در هر زمان، بخش قابل توجهی از سرور DNS اینترنت آسیب پذیر می باشد. اکثر این آسیب پذیری ها در نتیجه اجرای ضعیف و بررسی محدود می باشد. بهره برداری از آن به طور بلقوه ای این امکان را به فرد مهاجم می دهد تا کدهای اختیاری را به اجرا در آورده یا داده ها را در محل های اختیاری در حافظه بنویسد.

3.6 آسیب پذیری کاربرد

استفاده از DNS شرایطی برابر با حملات DDOS را تحریک می کند. نسبت جستجوی DNS در سرور اصلی از یک جستجو در هر ثانیه به تقریبا 10000 جستجو در ثانیه در سال 2004 می رسد. اندازه گیری در سرورهای اصلی تعداد قابل توجهی ازجستجوهای جعلی را نشان می دهد: 60 تا 85% از جستجوهای مورد نظر از میزبان مشابهی در فاصله اندازه گیری تکرار می گردد. بیش از 14% از ظرفیت جستجوی سرور اصلی بر مبنای جستجوهایی می باشد که باعث نقص خصوصیات DNS می گردد.

سرور اصلی تعداد زیادی از درخواست را دریافت می کند، زیرا تصمیم گیرنده پاسخ ها را دریافت کرده، و این به دلیل فیلترهای بسته و موضوعات مسیریابی می باشد. کاربرد و رمزگذاری نامناسب کلاینت تصمیم گیرنده منجر به تاثیر DDoS بر روی سرورهای اصلی DNS می گردد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

DNSSEC امنیت را به پروتکل DNS با ایجاد تایید اصل، یکپارچگی داده و عدم پذیرش مشخص وجود داده های DNS ایجاد شده توسط سرور نام اضافه می کند. تمام پاسخ های حاصل از سرور DNSSEC به صورت دیجیتالی تعیین می گردند. با بررسی این علائم، تصمیم گیرنده DNSSEC قادر به بررسی این موضوع می باشد که آیا اطلاعات حاصل از سرور قانونی می باشد و اینکه داده ها مشابه داده ها در سرور DNS تایید شده می باشد. اگر داده ها بر روی سرور نشان داده نشود، عدم پذیرش بوجود می آید.

برای حفظ سازگاری برگشتی با DNS، DNSSEC تنها نیازمند تغییرات جزئی بر روی پروتکل DNS می باشد. که به نام های علائم ثبت منابع ( RRSIG)، کلید عمومی DNS ( DNSKEY)، امضای تایید کننده (DS)، و امنیت بعدی ( NSEC) می باشند. DNSSEC از دو بیت نشانه استفاده نشده قبلی در جستجوی DNS و سرپایم پاسخ ها استفاده می کند. (AD و CD). بیت AD ( داده های معتبر) در پاسخ نشان دهنده این می باشد که تمام داده های قرار گرفته در پاسخ و بخش تایید شده پاسخ ها توسط سرور تایید می شوند. بیت CD ( بررسی های نامشخص) نشان می دهد مکه اطلاعات نامعتبربرای تصمیم گیرنده ای که این درخواست ها را ارسال می کند قابل قبول است. چون پروتکل UDP دارای محدودیت اندازه بسته512 بیت می باشد، DNSSEC نیازمند استفاده از تعمیم EDNS0 می باشد که بر روی این محدودیت ها غلبه می کند. بنابراین اندازه های کلیدی بزرگتر مورد قبول می باشد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

4.1 موارد کلیدی در DNSSEC

هر منطقه امنیتی دارای زوج کلیدی می باشد که متشکل از کلید خصوصی منطقه و کلید عمومی منطقه می باشد. کلید عمومی منطقه به عنوان ثبت منابع ذخیره می گردد. کلید عمومی توسط سرورهای DNS و تصمیم گیرنده برای تایید علائم دیجیتال منطقه مورد استفاده قرار می گیرند.

تمام منابع ثبت شده در منطقه امنیتی توسط ملید خصوصی منطقه نشان داده می شوند. برای اینکه نشان گذاری منطقه و گردش کلیدها را آسان تر کنیم، این امکان وجود دارد تا از یک یا چند کلید بر مبنای کلیدهای علامتگذاری (KSKs) استفاده کنیم.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

4.2 علائم در DNSSEC

DNSSEC موارد تایید شده متغیری را از مجموعه RR با مرتبط ساختن آن با ثبت منابع مشخص ایجاد می کند که باعث پیوند اطلاعات DNS با فاصله زمانی و نام دامنه تایید کننده می شود.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

این ترکیبات با استفاده از MD5 یا SHA-1 ایجاد می گردند. علائم با استفاده از MD5/RSA، DSA یا الگوریتم نهفته منحنی بیضی شکل ایجاد می شود. این علائم بر مبنای ثبت منابع ( نوع RRSIG) ذخیره شده و در کلید خصوصی محدوده برای تایید ثبت منابع مورد استفاده قرار می گیرند.

4.3 ثبت NSEC

هر نام مشخص بر مبنای منطقه امن می باشد که بر مبنای ثبت منابع NSEC مشابه مد نظر قرار می گیرد، که اشاره ای به نام های بعدی نشان داده شده در منطقه دارد. زنجیره متوالی ثبت منابع NSEC برای یک منطقه نشان می دهد که چه منابع ثبت شده ای در واقع وجود دارد. ثبت منابع NSEC توسط کلید خصوصی آن منطقه تعیین شده، و از در معرض خطر افتادن منطقه از طریق شرایط تایید نشده یا حذف شدن ثبت منابع در منطقه جلوگیری می کند. ثبت منابع NSEC برای یک ناحیه به صورت اتوماتیک زمان ایجاد می گردد که ثبت ناحیه مد نظر قرار گیرد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

تمام زمان ها در DNS نسبی می باشند. تایید منابع ثبت شده (SOA) تقویت شده، بررسی مجدد و زمان انقضا بر مبنای شمارشگرهایی می باشند که برای تعیین زمان سپری شده شناسایی شده، از این رو سرور پیرو هماهنگ با سرور اصلی می گردد. مقدار زمان تعیین شده (TTL) برای تعیین این مورد به کار می رود که چگونه یک فرستنده می بایست اطلاعات را بعد از اینکه از یک سرور مشخص ارسال شدند، ذخیره کند. DNSSEC زمان مطلق را در DNS معرفی می کند.

دوره اعتبار علائم دوره ای می باشد که یک علامت تایید می شود. آن در زمانی شروع می شود که در بخش ابتدایی علائم RRSIG شروع شده و در زمان مشخصی به انقضا می رسد. دوره انتشار این تایید ها زمانی می باشد که یک علامت جایگزین موارد منتشر شده RRSIG در فایل اصلی می گردد.

5 آسیب پذیری DNSSEC

DNSSEC در برابر پیکره بندی ضعیف و اطلاعات نادرست در سرور نامگذاری تایید شده حمایت نمی شود، و در برابر حملات بافر یا DDOS حمایت نمی شود. افزایش قابل توجه در ظرفیت محاسباتی بر روی سرور و تصمیم گیرنده، مدل زنجیره ای اعتماد، فقدان ابزار مدیریتی، و نیاز برای سطح بالای هماهنگی بین سرور ها به عنوان یکی از مهمترین موانع برای کاربرد می باشد.

جهت مشاهده متن کامل، فایل ترجمه را دانلود نمایید.

5.1 زنجیره اعتماد

DNSSEC دارای مدل اعتماد زنجیره ای می باشد. برای تفکیک امنیتی نام در DNSSEC,، کلید عمومی اصلی می بایست در تصمیم گیرنده موجود باشد. کلید عمومی با پیکره بندی آماری در سرور DNS یا تصمیم گیرنده یا از طریق کلید های خصوصی ناحیه ای تعیین می گردند.

زنجیره فعالیت های مدیریت شده با در نظر گرفتن بخش های امنیتی به نام علائم وکالتی (DSs) می باشند. ثبت DS اعتماد را از بخش های مادر به بخش های کلیدی ثانویه می برد. موارد ثبت شده DS باعث نگه داشتن کلیدهای عمومی SHA-1 می گردد. با بررسی علائم ثبت شده DS ، تصمیم گیرنده می تواند به تایید موارد ادغام شده کلید عمومی بپردازد و به این ترتیب می تواند به تایید کلیدهای عمومی بپردازد.