DNSSEC چیست؟

[moam]

DNSSEC چیست؟
کاربران و استفاده کنندگان شبکه اینترنت برای استفاده از خدمات اینترنت به عنوان مثال برای مراجعه و بازدید از صفحات وب سایت‌ها کافیست نام وب سایت مورد نظر خود را در نرم افزار‌های پیمایش وب (همانند اینترنت اکسپرور IE‌، فایرفاکس Firefox، .... ) وارد نموده و صفحه وب سایت مورد نظر در صفحه رایانه نمایان می‌شود. به عبارت دیگر رایانه کاربران، درخواست بازدید خود از آن وب‌سایت را به کارگزار (سرور) فرستاده و پاسخ آن کارگزار وب را که شامل اطلاعات درخواستی است دریافت کرده و نمایش می‌دهد. برای برقراری این ارتباط مابین رایانه کاربران و کارگزاران، رایانه‌ها از شماره نشانی‌ها در اینترنت موسوم به IP استفاده می‌کنند. (همانند شماره تلفن در شبکه‌های مخابراتی) با استفاده از این نشانی‌ها که به صورت شماره با قالب خاص است، کاربران و کارگزاران اینترنتی می‌توانند همدیگر را در اینترنت یافته و با یکدیگر به تبادل اطلاعات بپردازند.

با توجه به اینکه به خاطر سپردن این شماره‌ها کار مشکلی است آن چیزی که در این هنگام مهم می‌باشد این است که رایانه‌ها (اعم از رایانه‌های شخصی و سایر کارگزاران ارائه دهنده خدمات متنوع اینترنتی) چگونه از نشانی اینترنتی (IP) یکدیگر با خبر می‌شوند، به عبارت دیگر هر رایانه در شبکه اینترنت پیش از آنکه نرم افزار پیمایش وب در رایانه درخواست بازدید یک وب سایت را برای کارگزار آن وب سایت (وب سرور) ارسال کند چگونه نشانی یا همان شماره IP آن‌را پیدا می‌کند!!؟ البته قبلا در تاپیکهای دیگر تالار گفتگوی سایت میکرو رایانه در این مورد مفصلا بحث شده است. در ابتدای راه‌اندازی شبکه اینترنت هر رایانه دارای یک فایل بود که در آن فایل، نام هر رایانه (یا وب سایت‌ها) و شماره IP کارگزار آن، در آن ذخیره می‌گردید و رایانه ها از آن فایل برای تبدیل نام‌ها به نشانی‌ها استفاده می‌کردند. (چیزی دقیقا شبیه یک دفترچه تلفن که با داشتن نام افراد می‌توان به شماره تلفن آنها دسترسی پیدا کرد).

بدیهی است با گسترش و توسعه شبکه اینترنت و افزایش تعداد وب سایت‌ها دیگر امکان ذخیره نمودن چنین فایلی و همچنین به روز بودن آن که بتواند حاوی تمامی نام‌ها و شماره IP آنها باشد نیست. به همین دلیل سرویسی به نام DNS (Domain Name Service) در اینترنت راه‌اندازی شد. که هدف از ایجاد و راه‌اندازی آن روشی برای یافتن نشانی IP یک رایانه یا کارگزار از روی نام‌‌ آن بود.

نحوه عملکرد دی‌ان‌اس بدین گونه است که رایانه‌ها ابتدا و پیش از برقراری اتصال به شبکه اینترنت، نشانی IP یک کارگزار سرویس دهنده ‌DNS ( دی‌ان‌اس resolver) را (که معمولا توسط شرکت محلی ارائه دهنده سرویس اینترنت قبلا راه‌اندازی شده ) به عنوان DNS سرور خود معین می‌نماید. (در اغلب مواقع این کار به شکل اتوماتیک انجام می‌شود). از این لحظه به بعد رایانه هر نام نشانی اینترنتی را که می‌خواهد با آن مراجعه کند ابتدا به کارگزار DNS (DNS Resolver) خود می‌دهد تا نشانی IP کارگزار را برایش بیابد. کارگزار DNS پاسخ را پس از تعدادی پرسش‌های زنجیره‌ای ( recursion ) که از سایر کارگزار‌های DNS می‌پرسد، یافته و به رایانه کاربر برمی‌گرداند. در حقیقت گویی نام وب سایت را به نشانی IP ترجمه می‌کند.

جزئیات این پرسش‌های زنجیره‌ای و نحوه دقیق چگونه یافتن پاسخ این سئوالات خارج از حوصله این نوشتار است. آنچیزی که باعث بوجود آمدن پروتکل DNSSEC گردید این بود که کارگزاران DNS ممکن است در هنگام دریافت پاسخ به پرسش‌های زنجیره‌ای خود (که به منظور یافتن نشانی IP انجام می‌دهند.) اطلاعات غلط دریافت نمایند. این اطلاعات ناصحیح و غلط معمولا توسط هکرها و افراد سودجو بوجود آمده و در اینترنت پخش می‌شود. نتیجه وجود چنین اطلاعات نادرستی این است که نشانی IP غلط به رایانه کاربران متقاضی مشاهده یک وب سایت داده می‌شود و آنها به جای اتصال به کارگزار صحیح یک وب سایت به کارگزار وب سایت دیگری هدایت می‌شوند. بطور مثال متقاضیان مشاهده وب سایت یک بانک به جای مشاهده وب سایت اصلی آن بانک ، یک وب سایت جعلی را مشاهده می‌نمایند که بدیهی است می‌تواند آن متقاضیان را در حال مشاده یک وب سایت جعلی هستند را در معرض هر گونه سو استفاده احتمالی بعدی هکرها قرار دهد.

استفاده از پروتکل DNSSEC به جای روش قدیمی و معمول DNS می‌تواند پاسخ مناسبی برای چنین مشکلاتی بوده و موجب جلوگیری از دریافت اطلاعات از منابع نادرست و غلط در اینترنت گردیده و به طبع می‌تواند جلوی چنین سوء استفاده‌هایی را بگیرد. البته ذکر نکته‌ای بسیار مهم در این جا لازم است و آن اینکه این پروتکل صحت خود اخبار را در هنگام رد و بدل شدن اطلاعات در زمان انجام پرسش و پاسخ‌های زنجیره‌ای تضمین نمی‌کند، بلکه در این پروتکل آن‌چیزی که قابل بررسی شدن است، نه صحت خود خبر بلکه فقط صحت هویت گوینده خبر است. بدین ترتیب هر کارگزار DNS‌ می‌تواند مطمئن شود کسی که به او پاسخ پرسشی را می‌دهد همانی است که باید باشد و نه یک کارگزار جعلی و تقلبی. به عبارتی اگر بر اثر اشتباهات انسانی و سهوی اطلاعات نادرستی در خصوص نام وب سایتی در اینترنت پخش شود، این پروتکل قادر به تشخیص این اشتباه نیست بلکه این پروتکل فقط می‌تواند هویت گوینده خبر را تایید ‌کند، که آیا این همان گوینده ای است که باید انتظار شنیدن پاسخ از او باشد و یا خیر . نحوه عملکرد پروتکل در راهنمای فنی آن بطور کامل تشریح گردیده است.

به منظور آشنایی بیشتر کاربران، مرکز ثبت دامنه نقطه‌آی‌آر تصمیم به راه‌اندازی آزمایشی این پروتکل نموده است. جزئیات این طرح در نشانی http://www.nic.ir/DNSSEC قابل دسترسی است.بطور خلاصه، صاحب ‌امتیاز هر دامنه، کلید عمومی (Public Key) دامنه خود را در هنگام تعیین نام کارگزاران آن دامنه به مرکز ثبت دامنه معرفی می‌کند و از این لحظه صحت پرسش و پاسخ ها با بررسی این کلید و مقایسهٔ آن با کلید خصوصی معادل ( Private Key ) آن انجام می‌گیرد .