تاریخچه و آینده امنیت DNS

اعلام نتایج استفاده آزمایشی فیس بوک از DNS امن CloudFlare بهانه ای شد که مقاله ای درباره تاریخچه تلاش های جامعه آی تی در جهت امنیت هرچه بیشتر این سرویس حیاتی در شبکه منتشر کنیم.

DNS over TLS یا DoT

می دانیم که DNS مکانیزمی ست که از ابتدا به صورت Clear Text  عمل می کرد. به این معنا که درخواست کاربر و پاسخ آن بدون هیچ نوع رمزنگاری بین سرورها و کلاینت ها جا به جا می شود. اخیرا CloudFlare و فیس بوک در یک اقدام مشترک تصمیم گرفتند که با استفاده از TLS یا Transport Layer Security که امکان Authentication را در لایه Transport فراهم می آورد ، امکان جدیدی را در جهت بهبود امنیت DNS که توسط IETF معرفی شده بود ، آزمایش کنند.

این راه حل که به آن DNS over TLS یا DoT می گویند ، اعتبار سنجی و رمزنگاری را برای DNS  به صورت هم زمان محیا می کند. وقتی از این پروتکل در جهت ارتباط با یک وب سایت مجهز به HTTPS استفاده کنیم ، نه تنها ترافیک رد و بدل شده مابین کامپیوتر ما و وب سایت مورد نظر امن می شود ، بلکه درخواست DNS ما نیز در جهت دریافت آی پی وب سایت مقصد ، به صورت رمز شده ارسال می گردد. اما حتی این پروتکل نیز بدون مشکل نیست !

تاریخچه امنیت DNS

در سال ۲۰۱۰ پروتکل DNS به منظور افزودن قابلیت Authentication راه حلی به نام DNSSEC را ارائه داد. این ویژگی تنها در صورتی قابل استفاده است که در شبکه ای خاص به طور کامل پیاده سازی شده باشد. DNSSEC سرنام واژه های Domain Name System Security Extension است. اما مشکل DNSSEC این بود که اگرچه امکان اعتبار سنجی یا Authentication به آن افروده شده بود ، اما همچنان درخواست های DNS به صورت Clear Text ارسال و دریافت می شدند.

در اکتبر ۲۰۱۴ سازمان IETF یا Internet Engineering Task Force گروهی را با نام DNS PRIVate Exchange Working Group یا همان DPRIVE را تشکیل داد. همین گروه در سال ۲۰۱۶ طی RFC 7858 پروتکل DoT را تصویب کرد. در نهایت ، اکنون Open Resolver هایی مانند کلودفلر و Quad9 از DoT پشتیبانی می کنند. DoT بر خلاف DNSSEC هم زمان از رمزنگاری و Authentication بهره می برد. در ابتدا DoT تنها ارتباطات دی ان اس را مابین Resolver و کامپیوتر کاربر نهایی رمزنگاری می کرد.

در می ۲۰۱۸ گروه DPRIVE فرمان منشور جدیدی را برای رمزنگاری ترافیک بین Public Resolver ها و Name Server ها تصویب نمود.

آیا استفاده از DoT باعث تاخیر و مشکل در تجربه کاربران می شود؟

همان طور که گفته شد ، فیس بوک و کلودفلر به صورت پایلوت و آزمایشی این پروتکل را مورد آزمون قرار دادند. در بررسی های اولیه که به تازگی در وب لاگ مهندسی فیس بوک منتشر شده است ، با مرور نتایج مشخص می شود که اجرای DoT تاثیر منفی بر روی تجربه کاربران نداشته است و باعث تاخیر ( Latency ) بیشتر نمی شود. البته مقدار کمی تاخیر وجود دارد که توسط کاربران احساس نخواهد شد. اما محققان در تلاشند که همین تاخیر اندک را نیز با یهره گیری از امکانات TLS نسخه ۱.۳ و TCP Fast Open کاهش دهند.

فیس بوک و کلود فلر امیدوارند که پس از نتایج رضایت بخش پایلوت DoT شرکای تجاری بیشتری به آزمایش DoT بپردازند.

لطفا جهت حمایت از ما کانال یوتیوب را در آدرس سابسکرایب نمایید.