DNSSEC چیست و چگونه عمل می‌کند؟

در مقاله‌ی «تاریخچه DNS: پیش‌درآمدی بر ظهور DNSSEC» در رابطه با عملکرد DNS، تهدیدات و مشکلاتی که بر سر راه آن وجود داشت، به‌طور مفصل توضیح داده شد. روشی که درنهایت برای حل مشکل امن نبودن DNS به‌وسیله‌ی جامعه‌ی اینترنت به رسمیت شناخته شد، DNSSEC نام داشت. اما پیش از پرداختن به این موضوع که DNSSEC چیست و چگونه عمل می‌کند، بهتر است ابتدا مروری بر مفاهیم رمزنگاری و امضای دیجیتال داشته باشیم.

رمزنگاری (Cryptography)

Cryptography روشی برای رمزنگاری داده‌ها است. با استفاده از رمزنگاری می‌توان امنیت و یا تایید و تصدیق داده‌ها را فراهم کرد. گاهی هدف از رمزنگاری، تنها مخفی کردن محتوای پیام‌ها نیست. برای نمونه در DNSSEC از رمزنگاری در فرآیند احراز هویت رکوردها استفاده می‌شود.

روش‌های مختلفی برای رمزنگاری وجود دارند که رایج‌ترین آن‌ها، رمزنگاری کلید عمومی یا Public Key Cryptography  است. در این روش از یک جفت کلید، یعنی کلید خصوصی (Private key) و کلید عمومی (Public key)، استفاده می‌شود. اطلاعاتی که به‌وسیله‌ی یک کلید رمزنگاری می‌شوند، فقط با جفت کلید دیگر رمزگشایی می‌شوند. به بیان بهتر اگر اطلاعاتی به‌وسیله‌ی کلید عمومی رمزنگاری شده باشند، تنها به‌وسیله‌ی کلید خصوصی رمزگشایی می‌شوند.

امضای دیجیتال

در امضای دیجیتال، داده‌ها نخست به یک تابع هش داده می‌شوند. خروجی حاصل از این تابع به همراه داده‌ی اصلی به‌وسیله‌ی Private key، امضا (Sign) و سپس این امضا برای دریافت‌کننده‌ ارسال می‌شود. دریافت‌کننده‌ی امضا اگر Public key را در اختیار داشته باشد قادر به رمزگشایی پیام و دست‌یابی به داده‌های اصلی است. حال اگر داده‌های اصلی را به تابع هش بدهد و هش خروجی با هشی که دریافت کرده یکسان باشد، به معنای دست‌کاری نشدن داده‌ها به‌وسیله‌ی شخص سوم و احراز هویت موفق است.

DNSSEC چیست: اصطلاحات و مفاهیم پایه‌

DNSSEC با امضای دیجیتال رکوردهای DNS یک دامنه، امکان احراز هویت این رکوردها و در امان بودن آن دامنه از حمله‌ی DNS Spoofing را فراهم می‌کند. این امضاهای دیجیتال یا در اصطلاح Digital Signatureها مانند سایر انواع رکوردهای DNS (مانند A،  AAAA یا CNAME) در سرورهای DNS ذخیره می‌شوند. با بررسی امضای اختصاص یافته به یک رکورد می‌توان مطمین شد که رکورد DNS دریافت شده از یک DNS سرور مجاز است، یا رکوردی جعلی است که به‌وسیله‌ی یک حمله‌ی man-in-the-middle تزریق شده است.

DNSSEC برای انجام عملکرد خود، RRهای جدیدی را تعریف می‌کند که مهم‌ترین آن‌ها عبارت‌اند از:

• RRset
  رکوردهایی با نام، نوع و class یک‌سان درون یک RRset قرار می‌گیرند. برای نمونه تمام رکوردهای NS موجود برای یک دامنه داخل یک RRset قرار می‌گیرند.
• RRSIG
  دربردارنده‌ی امضای دیجیتال یک RRset
• DNSKEY
  حاوی کلید عمومی مربوط بهZSK یا KSK
• ZSK
  مسوول امضای رکوردهایی جز رکوردهای DNSKEY مرتبط با یک Zone
• DS
  دربردارنده‌ی hash رکورد DNSKEY حاوی public KSK است. از رکوردهای DS برای ایجاد زنجیره‌ای از اعتبارسنجی در ساختار سلسله مراتبی DNS استفاده می‌شود.
• KSK
  مسوول امضای رکوردهای DNSKEY مرتبط با یک Zone

عملکرد DNSSEC

نخستین گام در امن‌سازی یک Zone، قرار گرفتن رکوردهایی با نوع (type) یکسان داخل یک RRset است. برای نمونه اگر داخل یک Zone چهار NS Record وجود داشته باشد، همه‌ی آن‌ها داخل یک RRset قرار می‌گیرند.

به‌جای آن‌که رکوردهای DNS به‌شکل جداگانه امضا شوند، RRset  که به آن تعلق دارند امضا می‌شود. به این ترتیب، زمان اعتبارسنجی یک رکورد، کل رکوردهای مشابه آن رکورد که داخل RRset قرار دارند نیز، تایید اعتبار می‌شوند.

Zone Signing Key (ZSK)

در DNSSEC برای هر Zone یک جفت کلید وجود دارد که به آن ZSK گفته می‌شود؛ از Private ZSK، برای امضای RRsetهای داخل Zone و از Public ZSK برای تایید این امضاها استفاده می‌شود.

امضای مربوط به هر RRset، درون یک رکورد RRSIG قرار می‌گیرد. دریافت‌کننده‌ی رکوردهای RRSIG (برای نمونه Recursive Resolver)، تا زمانی‌که راهی برای رمزگشایی آن‌ها نداشته باشد، نمی‌تواند به داده‌های این رکوردها دست پیدا کند. پس کلید عمومی ZSK نیز باید برای دریافت‌کننده ارسال شود. این کلیدها داخل DNSKEY Recordها ذخیره و برای Recursive Resolver ارسال می‌شوند.

زمانی‌که Recursive Resolver درخواست دسترسی به یک نوع رکورد خاص را می‌دهد، Name Server برای آن، RRSIG مربوط به آن رکورد را ارسال می‌کند. Recursive Resolver با دریافت این رکورد از Name Server رکورد DNSKEY را درخواست می‌کند. مجموع RRSet ،RRSIG و رکوردهای DNSKEY با هم، یک پاسخ معتبر را تشکیل می‌دهند.

اگر Public ZSK موجود در یک DNSKEY Record تایید شود، تمام رکوردهای داخل آن Zone تایید می‌شوند. پس به راهی برای تایید اعتبار Public ZSK نیاز است.

Key Signing Key (KSK)

وظیفه‌ی KSK، امن کردن رکوردهای DNSKEY حاوی Public ZSK است. KSK نیز مشابه ZSK یک جفت کلید است: Private KSK و Public KSK. باز هم مشابه آن‌چه برای ZSK شرح داده شد، Public KSKها درون رکوردهای DNSKEY ذخیره می‌شوند.

مانند انواع رکوردها، رکوردهای DNSKEY (که شامل Public ZSK یا Public KSK هستند) نیز در یک RRset قرار می‌گیرند. RRset مربوط به رکوردهای DNSSKEY به‌وسیله‌ی Private KSK امضا و این امضا درون یک رکورد RRSIG ذخیره می‌شود. Recursive Resolver از Public KSK برای تایید اعتبار Public ZSK استفاده می‌کند.

به‌شکل خلاصه مراحل تایید اعتبار یک رکورد برای یک Resolver به شرح زیر است:

1. ابتدا RRset مربوط به رکورد مورد نظر از Name Server درخواست می‌شود و Name Server در پاسخ، رکورد RRSIG مربوط به آن RRset را برای Resolver ارسال می‌کند.
2. Resolver با دریافت این امضاها برای تایید اعتبار آن‌ها نیازمند کلیدهای عمومی است. پس از Name Server رکورد DNSKEY حاوی Public ZSK و Public KSK را درخواست می‌کند و Name Server نیز در پاسخ، رکورد RRSIG مربوط به رکوردهای DNSKEY را ارسال می‌کند.
3. در گام بعد Resolver با استفاده از Public KSK، اعتبار RRSIGهای مربوط به DNSKEY RRset را بررسی می‌کند.
4. اگر DNSKEY RRset تایید اعتبار شود، در واقع اعتبار Public ZSK تایید می‌شود و به این ترتیب Resolver با استفاده از Public ZSK، اعتبار RRSIG مربوط به RRset درخواست‌شده را بررسی می‌کند.

اما چگونه Resolver قادر خواهد بود که رکورد RRSIG مربوط به رکوردهای DNSKEY را تایید اعتبار کند؟ به بیان بهتر، Resolver چگونه می‎تواند Public KSK را اعتبارسنجی کند؟

آن‌چه تا به این‌جا بررسی شد، شیوه‌ی ایجاد Trust در یک Zone بود، اما DNS دارای ساختاری سلسله مراتبی است و به‌ندرت پیش می‌آید که یک Zone به‌شکل مستقل عمل کند.

راهکار DNSSEC برای ایجاد Trust بین Child Zoneها و Parent Zoneهای مربوط به آن‌ها، استفاده از رکورد DS است. در واقع DNS با استفاده از رکوردهای DS، Public KSKها را تایید اعتبار می‌کند. بدون وجود رکوردهای DS ،DNS Resolverها باید میلیون‌ها Public Key را ذخیره کنند!

رکورد Delegation Signer (DS)

هر زمان Resolver قصد ارجاع به یک Child Zone را داشته باشد، از جانب Parent Zone مربوط به آن Child Zone، یک رکورد DS دریافت می‌کند. در این رکورد، hash مربوط به Public KSK قرار دارد و برای Resolver مشخص‌کننده‌ی آن است که برای Child Zone مورد درخواست، DNSSEC فعال شده است.

Resolver برای آن‌که بتواند اعتبار Public KSKهای مربوط به Child Zone را مورد بررسی قرار دهد، رکورد DNSKEY دریافت کرده از جانب Child Zone که حاوی Public KSKها است را hash کرده و آن را با محتوای رکورد DS که از Parent Zone دریافت و مقایسه می‌کند. اگر این دو مقدار با هم یکسان باشند، به‌معنای معتبر بودن Public KSK است و تمام رکوردهای Child-Zone تایید اعتبار می‌شوند. به‌این‌ترتیب DNSSEC زنجیره‌ای از اعتماد را در دامنه‌ی DNS فراهم می‌کند.

چون KSK و DS Record کاملن به هم وابسته هستند، هر تغییری در KSK نیازمند تغییر در رکورد DS مربوط به Parent Zone است. تغییر رکورد DS در Parent Zone یک فرآیند چند مرحله‌ای است که اگر به‌درستی انجام نشود، می‌تواند سبب تفکیک یک Zone شود. به همین دلیل، تغییر ZSK بسیار آسان‌تر از KSK است.

تا به این‌جا شیوه‌ی برقراری ارتباط و اطمینان از معتبر بودن رکوردها در یک Zone و مابین یک Child Zone و Parent Zzone بررسی شد. اما چه‌طور می‌توان مطمین شد که DS Record ارسالی از جانب Parent Zone معتبر است؟

رکورد DS نیز مانند سایر RRSetها امضا می‌شود و دارای RRSIG Record ویژه‌ی خود است. تمامی مراحل اعتبارسنجی تا زمانی‌که Public KSK از Parent دریافت شود، تکرار خواهد شد. پس به بیان بهتر، برای اعتبارسنجی یک رکورد، یک زنجیره از ارتباطات با سطوح بالاتر برقرار می‌شود. در نهایت آخرین سطح اعتبارسنجی در این زنجیره، بررسی DS Record مربوط به root DNS server است. اما مشکلی که در این‌جا وجود دارد آن است که هیچ Parent DS Record برای root DNS server به‌منظور انجام این اعتبارسنجی وجود ندارد، چراکه DNS Serverهای root هیچ Parent یا سطح بالاتری ندارند.

برای حل این مشکل، نشستی تحت‌عنوان Root Signing  (یا Root Signing Ceremony) برای امضای DNSKEY RRset مربوط به root DNS Serverها، به‌وسیله‌ی ICANN برگزار می‌شود. در این مراسم یک رکورد RRSIG تولید می‌شود که با استفاده از آن Public KSK  و  Public ZSK مربوط به root Name Server را می‌توان اعتبارسنجی کرد.

نکته‌ی مهم: اگر در هر مرحله‌ای در طول این اعتبارسنجی زنجیره‌وار، اعتبار کلیدی تایید نشود، این زنجیره شکسته و کل عمل اعتبارسنجی با شکست روبه‌رو می‌شود. به همین دلیل DNSSEC نمی‌تواند از حمله‌های Man-In-The-Middle جلوگیری کند.

ابر آروان و DNSSEC

ابر آروان در جایگاه یک Authoritative DNS Server یک رکورد DS در اختیار مشتریانی که از محصول DNS ابری آروان استفاده می‌کنند، قرار می‌دهد. بنابراین اگر Registrar و TLD که مشتری دامنه‌ی خود را از آن تهیه کرده، از DNSSEC پشتیبانی کند، ساختار سلسله مراتبی اعتبارسنجی رکوردها برای آن دامنه لحاظ و به‌این‌ترتیب آن دامنه در برابر حملات DNS spoofing امن می‌شود.

برای درک بهتر روندی که اتفاق می‌افتد، تصویر زیر را در نظر بگیرید:

1. کاربر در مرورگر خود نشانی example.com را وارد می‌کند. مرورگر نخست Cache خود را برای یافتن آدرس IP متناظر با آن بررسی می‌کند. اگر این IP را در Cache خود پیدا نکند، درخواستی را برای DNS Server که برای آن تنظیم شده (Recursive Resolver) می‌فرستد.
2. Recursive Resolver که می‌تواند DNS Server باشد که ISP برای شما فراهم کرده است، نخست Cache خود را برای یافتن آدرس IP متناظر با آن نام جست‌وجو می‌کند. اگر آدرسی پیدا نکند، درخواستی را برای Root Server می‌فرستد.
3. Root Server با دریافت این درخواست، در پاسخ، آدرس IP مربوط به TLD آن دامنه به همراه DS Record مرتبط با آن را برای Recursive Resolver می‌فرستد.
4. Recursive Resolver با دریافت این IP، درخواستی را مبن بر دریافت آدرس IP دامنه، برای TLD می‌فرستد.
5. TLD با دریافت این درخواست، آدرس IP مربوط به DNS Serverهای ابر آروان که رکوردهای دامنه‌ی مورد نظر در آن ذخیره شده‌اند، به همراه DS Record مرتبط با آن را برای Recursive Resolver می‌فرستد.
6. Recursive Resolver برای DNS Server ابر آروان درخواستی را برای دسترسی به رکوردهای دامنه‌ی موردنظر می‌فرستد.
7. DNS server ابر آروان نیز در پاسخ برای Recursive Resolver، رکوردهای RRSIG  و DNSKEY را می‌فرستد.
8. Recursive Resolver که اکنون به تمام رکوردهای مورد نظر خود دست یافته و تمام سرورهای بالادستی را نیز احراز هویت کرده است، درنهایت آدرس IP دامنه‌ی example.com را برای مرورگر می‌فرستد و به‌این‌ترتیب مرورگر می‌تواند به محتوای دامنه دسترسی داشته باشد.

اگر از محصول DNS ابری ابر آروان استفاده می‌کنید و قصد فعال‌سازی DNSSEC برای دامنه‌ی خود را دارید، راهنمای زیر به شما در این زمینه کمک می‌کند:

• فعال‌سازی DNSSEC در پنل ابر آروان