امیرحسین کریم پور
مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

DNSSec چیست؟ آموزش راه اندازی DNSSec در ویندوز سرور

DNSSec چیست؟ تفاوت DNS و DNSSec در چیست؟ چگونه در ویندوز سرور DNSSec راه اندازی کنیم؟ آیا استفاده از DNSSec الزامی است؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

DNSSec چیست؟ قسمت 1 : معرفی سرویس DNSSec در ویندوز سرور 

امروز قصد داریم شما رو با DNSSEC در ویندوز سرور ۲۰۱۲ آشنا کنیم.DNSSEC با استفاده از ترکیب کلید رمزنگاری عمومی(PKI) برای امضاء دیجیتال و پنهان سازی کلید رمزنگاری در امضاء و یا اعتبارگذاری DNS Zone و پاسخ های دریافتی از سرور های دیگر و همچنین احراز هویت کردن آنها مورد استفاده قرار می گیرد.شکل زیر فرآیند name resolution را در پیاده سازی dnssec نشان میدهد.که به تشریح مراحل آنها میپردازیم.

وب سایت توسینسو

۱. یک کلاینت دارای ویندوز۸ یک درخواست برای تبدیل نام به آدرس به سرور محلی می فرستد.

۲. dnssec در سرور محلی فعال است اما این سرور برای پرس وجو(query)، یک سرور authoritative یا معتبر برای zone نیست.بنابراین یک درخواست تکراری به dns سرور معتبر بالا دستی میفرستد و پاسخ را دریافت میکند.

۳. این dns server که هم authoritative است و هم dnssec در آن راه اندازی شده دارای اعتبار نامه ای از zone می باشد.وقتی این dns سرور درخواست recursive یا بازگشتی را دریافت کرد آن را به عنوان پاسخ معتبر و رمز شده به سرور محلی بازمیگرداند.این پاسخ معتبر دارای یک و یا چند(resource records) یا رکورد منبع به قرار زیر می باشد:

  • (Resource Record Signature (RRSIG: این رکورد منبع شامل امضاء های دیجیتالی برای تمام رکورد های موجود در zone می باشد.
  • (DNS Public Key (DNSKEY: این رکورد منبع شامل کلید های عمومی برای هر zone خاص است.
  • (Delegation Signer (DS: این رکورد منبع شامل کلید های عمومی برای هر child zone هست.
  • (Next Secure (NSEC or NSEC3: این رکورد منبع اجازه اعتبار سنجی برای پاسخ های negative یا منفی می دهد.

۴. سرور محلی از کلید عمومی zone امضاءشده برای اعتبار سنجی سرور معتبری که پاسخ را به آن فرستاده استفاده میکند.

۵. سرور محلی پاسخ دریافت شده از سرور معتبر را به کلاینت پس میدهد.کلاینت الان میتواند به منابع شبکه دسترسی پیدا کند.

DNSSec چیست؟ قسمت 2 : آموزش راه اندازی DNSSec در ویندوز سرور

در این سری آموزش شما با راه اندازی DNSsec در ویندوز سرور ۲۰۱۲ آشنا میکنم.پس یه راست بریم سراغ راه اندازی...

۱. ابتدا از طریق run با تایپ عبارت dnsmgmt.msc کنسول مدیریتی و امنیتی DNS رو باز میکنیم.

وب سایت توسینسو

۲. بعد روی اسم دامنه مون کلیک راست کرده و مطابق شکل روی Sign the Zone کلیک میکنیم.

وب سایت توسینسو

۳. در این قسمت ویزاردی که مشاهده میکنید توضیحاتی از قبیل صدورمجوز امنیتی و احراز و هویت و .. رو برای این سرویس شرح داده.با زدن دکمه next به قسمت بعد میرویم.

وب سایت توسینسو

۴. در این قسمت با استفاده متد های مختلفی که مایکروسافت در اختیارتان گذاشته میتوانید اقدام به sign کردن zone تان کنید.ما بطور پیشفرض گزینه سوم را برمیگزینیم.

وب سایت توسینسو

۵. این قسمت ویزارد مربوط به پایان توسعه و پیکربندی DNSsec را برایمان به همراه جزئیات به نمایش میگزارد.این جزئیات حاوی نام zone name که اسم دامین ریشه مان هست،key master یا کلید هوشمند،نوع الگوریتم رمزنگاری، طول کلید رمز نگاری و سایر پارامتر هایی که برای sign zone در نظر گرفته است می شود.با زدن next به مرحله بعد میرویم...

وب سایت توسینسو

۶. در این مرحله sign‌ کردنzone در حال انجام است.ویزارد به شما میگوید که پایان یافتن زمان این فرایند به تعداد پارامتر هایی را که برای sign zone برگزیده اید بستگی دارد.

وب سایت توسینسو

۷. این ویزارد نشان می دهد که شما با موفقیت به sign کردن zone شده اید.finish بزنید و تمام.

  • نکته:توجه فرمایید که این کار برای Forward lookup zone انجام دادیم.به همین شیوه برای Reverse lookup zone نیز میتوانید مراحل را دنبال کنید.

حالا اگر بر روی رکورد هایی که در zone شما ثبت شده اند refresh‌کنید مشاهده خواهید کرد که تمام رکورد ها به حالت رمزنگاری شده درآمده اند

(key signing key (KSK چیست؟

این نوع کلید با طول ۲۰۴۸ بیت و با رمزنگاری از نوع RSA/SHA-256 تولید شده است.KSK کلید احراز هویت تمام dns key زون ریشه است.و آن تنها بخشی از زنجیره ی اعتماد است. ksk بطور پیشفرض دارای ۷۵۵ روز فرکانس رتبه بندی می باشد. و هر رکورد dns key توسط کلیدی امضاء شده است که تا مدت ۱۶۸ ساعت اعتبار دارد. رتبه بندی کلید و تاره کردن امضاء آن بطور پیشفرض در dns ویندوز سرور ۲۰۱۲ فعال شده است.

(zone signing key (ZSK چیست؟

کلید امضاء Zone،کلیدی است به طول ۱۰۲۴ بیت که با الگوریتم رمزنگاری RSA/SHA-256 ضمانت شده است.ZSK برای اطلاعات داخل zone استفاده میشود.از قبیل رکورد SOA،A و رکورد NS. ZSK بور پیشفرض دارای ۹۰ روز رتبه بندی فرکانس می باشد.و هر resource record آن با کلیدی که تا مدت ۲۴۰ ساعت اعتبار دارد امضاء می شود.رتبه بندی کلید و تاره کردن امضاء آن بطور پیشفرض در dns ویندوز سرور ۲۰۱۲ فعال شده است.

(Next Secure (NSEC or NSEC3 چیست؟

این ریسورس رکوردها اجازه اعتباردهی را به پاسخ های منفی میدهد.NSEC بطور پیشفرض برای فراهم کردن احراز هویت به انکار وجود پاسخ،استفاده میشود.و الگوریتم hash‌ آن RSA/SHA-1 با ۵۰ بار تکرار و طول salt برابر ۸ می باشد.

Trust anchors چیست؟

Trust anchors ها توزیع نشده اند.یک Trust anchors یک کلید عمومی از پیش تنظیم شده برای یک zone بخصوص است.Trust anchors ها dns سرور ها را قادر میسازند تا ریسورس رکورد dns key را برای zone متناظر با آن اعتبار گذاری کنند و پایدار کنند زنجیره ای از اعتماد را بین child zone ها.

  • پروتکل DNSSEC چیست؟

    پروتکل DNSSec همانطور که از مخفف نامش پیداست یعنی Domain Naming System Security ، یک پروتکل امنیتی و الحاقی به پروتکل DNS برای اطمینان از ارسال و هدایت درخواست های DNS کاربران و سرورها به مبدا و مقصد درست ، با استفاده از الگوریتم های رمزنگاری می باشد. DNSSec باعث شده است که سرویس DNS لایه بالاتری از امنیت را در قالب رمزنگاری اطلاعات با استفاده از PKI تجربه کند.
  • آیا استفاده کردن از DNSSec الزامی است؟

    خیر ، DNSSec یک پروتکل امنیتی و توصیه شده است اما الزامی به پیاده سازی آن وجود ندارد در عین حال پیاده سازی آن با توجه به وابستگی آن به سرویس PKI کمی پیچیده به نظر می رسد و هر کسی توانایی راه اندازی آن را ندارد.

امیرحسین کریم پور
امیرحسین کریم پور

مدیر ارشد توسینسو و متخصص سرویس های مایکروسافت

امیرحسین کریم پور ، مدیر ارشد توسینسو ، متخصص شبکه ، تخصص در حوزه سیستم عامل های کلاینت و سرور مایکروسافت و سرویس های مربوطه ، سیستم عامل لینوکس و... ، سابقه کار با سازمان ها و شرکت های مختلف در زمینه سرویس های مایکروسافت در قالب پروژه ، مشاوره و آموزش. علاقه مند به حوزه امنیت اطلاعات و تست نفوذ سنجی

نظرات