क्या डीएनएस को सुरक्षित माना जा सकता है?

लेखक: Judy Howell
निर्माण की तारीख: 26 जुलाई 2021
डेट अपडेट करें: 6 मई 2024
Anonim
DNS Zones
वीडियो: DNS Zones

विषय


ले जाओ:

DNS सुचारू रूप से चलना चाहिए ताकि इंटरनेट सही ढंग से काम करता रहे।

अप्रैल में, एक डच हैकर को गिरफ्तार किया गया था जिसे सेवा हमले का सबसे बड़ा वितरित इनकार कहा जा रहा है। स्पैम-विरोधी संगठन स्पैममॉस पर हमला किया गया था, और ईएनआईएसए के अनुसार, यूरोपीय यूनियनों की आईटी सुरक्षा एजेंसी, स्पैमहास के बुनियादी ढांचे पर लोड 300 गीगाबिट प्रति सेकंड, पिछले रिकॉर्ड के तीन गुना तक पहुंच गया। इसने प्रमुख इंटरनेट भीड़ भी पैदा की, और दुनिया भर में इंटरनेट के बुनियादी ढांचे को जाम कर दिया।

बेशक, डीएनएस हमले शायद ही दुर्लभ हैं। लेकिन जबकि स्पैमहास मामले में हैकर केवल अपने लक्ष्य को नुकसान पहुंचाने के लिए था, हमले के बड़े प्रभाव ने यह भी इंगित किया कि कई लोग इंटरनेट के बुनियादी ढांचे में एक बड़ी खामी कह रहे हैं: डोमेन नाम प्रणाली। नतीजतन, कोर DNS बुनियादी ढांचे पर हाल के हमलों ने तकनीशियनों और व्यापारियों को समाधान के लिए समान रूप से छोड़ दिया है। तो अपने बारे में बताओ? यह जानना महत्वपूर्ण है कि आपके पास अपने स्वयं के व्यवसाय डीएनएस बुनियादी ढांचे के साथ-साथ डीएनएस रूट सर्वर कैसे काम करते हैं, इसके विकल्प क्या हैं। तो कुछ समस्याओं पर एक नज़र डालते हैं, और खुद को बचाने के लिए कौन से व्यवसाय कर सकते हैं। (डीएनएस में डीएनएस के बारे में अधिक जानें: एक प्रोटोकॉल नियम सभी के लिए।)

मौजूदा इन्फ्रास्ट्रक्चर

डोमेन नेम सिस्टम (DNS) उस समय से है जब इंटरनेट भूल गया है। लेकिन वह यह पुरानी खबर नहीं है। साइबरबैटैक्स के लगातार बदलते खतरे के साथ, डीएनएस पिछले कुछ वर्षों में जांच के दायरे में आया है। अपनी प्रारंभिक अवस्था में, DNS ने DNS प्रश्नों के एर या रिसीवर की पहचान को सत्यापित करने के लिए प्रमाणीकरण के किसी भी प्रकार की पेशकश नहीं की।

वास्तव में कई वर्षों के लिए, बहुत मूल नाम सर्वर, या रूट सर्वर, व्यापक और विविध हमलों के अधीन रहे हैं। इन दिनों वे भौगोलिक रूप से विविध हैं और अपनी अखंडता को बनाए रखने के लिए सरकारी निकायों, वाणिज्यिक संस्थाओं और विश्वविद्यालयों सहित विभिन्न प्रकार के संस्थानों द्वारा संचालित हैं।

चिंताजनक रूप से, कुछ हमले अतीत में कुछ हद तक सफल रहे हैं। उदाहरण के लिए, रूट सर्वर इन्फ्रास्ट्रक्चर पर गंभीर हमले 2002 में हुए (इसके बारे में एक रिपोर्ट पढ़ें)। यद्यपि इसने अधिकांश इंटरनेट उपयोगकर्ताओं के लिए ध्यान देने योग्य प्रभाव पैदा नहीं किया, लेकिन इसने एफबीआई और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी का ध्यान आकर्षित किया क्योंकि यह 13 पेशेवर रूट सर्वरों में से नौ को प्रभावित करते हुए अत्यधिक पेशेवर और उच्च लक्षित था। अगर यह एक घंटे से अधिक समय तक बना रहता, तो विशेषज्ञ कहते हैं, परिणाम भयावह हो सकते थे, जो इन्टनेट्स डीएनएस बुनियादी ढांचे के तत्वों को प्रस्तुत कर रहे थे, लेकिन बेकार।

इंटनेट के बुनियादी ढांचे के ऐसे अभिन्न अंग को हराने के लिए एक सफल हमलावर को बहुत बड़ी शक्ति मिलेगी। नतीजतन, महत्वपूर्ण समय और निवेश के बाद से रूट सर्वर के बुनियादी ढांचे को सुरक्षित करने के मुद्दे पर लागू किया गया है। (आप रूट सर्वर और उनकी सेवाओं को दिखाने वाले नक्शे की जांच कर सकते हैं।)

डीएनएस को सुरक्षित करना

मुख्य बुनियादी ढांचे के अलावा, यह भी उतना ही महत्वपूर्ण है कि अपने खुद के व्यवसायों को डीएनएस बुनियादी ढांचे पर हमला और विफलता दोनों के खिलाफ कितना मजबूत हो। उदाहरण के लिए इसका सामान्य (और कुछ RFC में कहा गया है) नाम सर्वर पूरी तरह से अलग सबनेट या नेटवर्क पर रहते हैं। दूसरे शब्दों में, यदि ISP A में पूर्ण आउटेज है और आपका प्राथमिक नाम सर्वर ऑफ़लाइन है, तो ISP B अभी भी अनुरोध करने वाले किसी व्यक्ति को आपका मुख्य DNS डेटा प्रदान करेगा।

डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन (DNSSEC) सबसे लोकप्रिय तरीकों में से एक है जो व्यवसाय अपने स्वयं के नाम सर्वर बुनियादी ढांचे को सुरक्षित कर सकते हैं। ये सुनिश्चित करने के लिए एक ऐड-ऑन हैं कि आपके नाम सर्वर से जुड़ने वाली मशीन क्या कहती है। DNSSEC यह भी पता लगाने के लिए प्रमाणीकरण की अनुमति देता है कि अनुरोध कहां से आ रहे हैं, साथ ही यह सत्यापित करने के लिए भी कि डेटा ही नहीं बदला गया है। हालांकि, डोमेन नेम सिस्टम की सार्वजनिक प्रकृति के कारण, उपयोग की जाने वाली क्रिप्टोग्राफी डेटा की गोपनीयता को सुनिश्चित नहीं करती है, और न ही इसकी उपलब्धता की कोई अवधारणा है कि बुनियादी ढांचे के कुछ हिस्सों को कुछ विवरण की विफलता का सामना करना चाहिए।

आरआरएसआईजी, डीएनएसकेवाई, डीएस और एनएसईसी रिकॉर्ड प्रकार सहित इन तंत्रों को प्रदान करने के लिए कई कॉन्फ़िगरेशन रिकॉर्ड का उपयोग किया जाता है। (अधिक जानकारी के लिए, 12 DNS रिकॉर्ड की व्याख्या करें।)

RRSSG का उपयोग तब किया जाता है जब भी DNSSEC दोनों मशीन को क्वेरी सबमिट करने के लिए उपलब्ध होता है और जो इसे सम्मिलित करता है। यह रिकॉर्ड अनुरोधित रिकॉर्ड प्रकार के साथ हाथ में भेजा जाता है।

एक DNSKEY हस्ताक्षरित जानकारी इस तरह लग सकता है:

ripe.net एक DNSKEY रिकॉर्ड है 257 3 से 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =

डीएस, या प्रत्यायोजित हस्ताक्षरकर्ता, रिकॉर्ड का उपयोग विश्वास की श्रृंखला को प्रमाणित करने में मदद करने के लिए किया जाता है ताकि एक माता-पिता और एक बच्चे के क्षेत्र में आराम की एक अतिरिक्त डिग्री के साथ संवाद हो सके।

NSEC, या अगली सुरक्षित, प्रविष्टियाँ अनिवार्य रूप से DNS प्रविष्टियों की सूची में अगली वैध प्रविष्टि के लिए कूदती हैं। यह एक ऐसी विधि है जिसका उपयोग गैर-मौजूद डीएनएस प्रविष्टि को वापस करने के लिए किया जा सकता है। यह महत्वपूर्ण है ताकि केवल कॉन्फ़िगर की गई DNS प्रविष्टियों को वास्तविक होने के रूप में भरोसा किया जाए।

NSEC3, शब्दकोश-शैली के हमलों को कम करने में मदद करने के लिए एक बेहतर सुरक्षा तंत्र, मार्च 2008 में RFC 5155 में पुष्टि की गई थी।

DNSSEC रिसेप्शन

हालांकि कई समर्थकों ने DNSSEC को तैनात करने में निवेश किया है लेकिन यह इसके आलोचकों के बिना नहीं है। इन-मैन-इन-मिडिल हमलों जैसे हमलों से बचने में मदद करने की अपनी क्षमता के बावजूद, जहां प्रश्नों को हाइजैक किया जा सकता है और गलत तरीके से फीड किया जा सकता है, जो अनौपचारिक रूप से DNS प्रश्नों को उत्पन्न करने वाले लोगों के लिए हैं, मौजूदा इंटरनेट इन्फ्रास्ट्रक्चर के कुछ हिस्सों के साथ कथित संगतता मुद्दे हैं। मुख्य मुद्दा यह है कि डीएनएस आमतौर पर कम बैंडविड्थ-भूखे उपयोगकर्ता डेटाग्राम प्रोटोकॉल (यूडीपी) का उपयोग करता है जबकि डीएनएसएसईसी अपने डेटा को आगे और अधिक विश्वसनीयता और जवाबदेही के लिए पास करने के लिए भारी ट्रांसमिशन कंट्रोल प्रोटोकॉल (टीसीपी) का उपयोग करता है। पुराने DNS इन्फ्रास्ट्रक्चर के बड़े हिस्से, जो लाखों DNS अनुरोधों के साथ 24 घंटे एक सप्ताह में सात दिन मिलते हैं, यातायात में वृद्धि के लिए सक्षम नहीं हो सकते हैं। फिर भी, कई लोग मानते हैं कि DNSSEC इंटरनेट के बुनियादी ढांचे को सुरक्षित करने की दिशा में एक बड़ा कदम है।

जबकि जीवन में कुछ भी गारंटी नहीं है, अपने स्वयं के जोखिमों पर विचार करने के लिए कुछ समय लेने से भविष्य में कई महंगे सिरदर्द हो सकते हैं। उदाहरण के लिए, DNSSEC को तैनात करके, आप अपने प्रमुख DNS बुनियादी ढांचे के कुछ हिस्सों में अपना आत्मविश्वास बढ़ा सकते हैं।