DNSSEC
DNSSEC چیست؟
به منظور آشنایی و درک بهتر پروتکل DNSSEC ، ابتدا به شرح مختصری از پروتکل DNS پرداخته و سپس در ادامه پروتکل DNSSEC و سرویس جدیدی که در همین رابطه توسط این مرکز ارائه میگردد را بطور کامل معرفی نماییم.کاربران و استفاده کنندگان شبکه اینترنت برای استفاده از خدمات اینترنت به عنوان مثال برای مراجعه و بازدید از صفحات وب سایتها کافیست نام وب سایت مورد نظر خود را در نرم افزارهای پیمایش وب (همانند اینترنت اکسپرور IE، فایرفاکس Firefox، .... ) وارد نموده و صفحه وب سایت مورد نظر در صفحه رایانه نمایان میشود. به عبارت دیگر رایانه کاربران، درخواست بازدید خود از آن وبسایت را به کارگزار (سرور) فرستاده و پاسخ آن کارگزار وب را که شامل اطلاعات درخواستی است دریافت کرده و نمایش میدهد. برای برقراری این ارتباط مابین رایانه کاربران و کارگزاران، رایانهها از شماره نشانیها در اینترنت موسوم به IP استفاده میکنند. (همانند شماره تلفن در شبکههای مخابراتی) با استفاده از این نشانیها که به صورت شماره با قالب خاص است، کاربران و کارگزاران اینترنتی میتوانند همدیگر را در اینترنت یافته و با یکدیگر به تبادل اطلاعات بپردازند.
با توجه به اینکه به خاطر سپردن این شمارهها کار مشکلی است آن چیزی که در این هنگام مهم میباشد این است که رایانهها (اعم از رایانههای شخصی و سایر کارگزاران ارائه دهنده خدمات متنوع اینترنتی) چگونه از نشانی اینترنتی (IP) یکدیگر با خبر میشوند، به عبارت دیگر هر رایانه در شبکه اینترنت پیش از آنکه نرم افزار پیمایش وب در رایانه درخواست بازدید یک وب سایت را برای کارگزار آن وب سایت (وب سرور) ارسال کند چگونه نشانی یا همان شماره IP آنرا پیدا میکند!!؟ در ابتدای راهاندازی شبکه اینترنت هر رایانه دارای یک فایل بود که در آن فایل، نام هر رایانه (یا وب سایتها) و شماره IP کارگزار آن، در آن ذخیره میگردید و رایانه ها از آن فایل برای تبدیل نامها به نشانیها استفاده میکردند. (چیزی دقیقا شبیه یک دفترچه تلفن که با داشتن نام افراد میتوان به شماره تلفن آنها دسترسی پیدا کرد).
بدیهی است با گسترش و توسعه شبکه اینترنت و افزایش تعداد وب سایتها دیگر امکان ذخیره نمودن چنین فایلی و همچنین به روز بودن آن که بتواند حاوی تمامی نامها و شماره IP آنها باشد نیست. به همین دلیل سرویسی به نام DNS (Domain Name Service) در اینترنت راهاندازی شد. که هدف از ایجاد و راهاندازی آن روشی برای یافتن نشانی IP یک رایانه یا کارگزار از روی نام آن بود.
نحوه عملکرد دیاناس بدین گونه است که رایانهها ابتدا و پیش از برقراری اتصال به شبکه اینترنت، نشانی IP یک کارگزار سرویس دهنده DNS ( دیاناس resolver) را (که معمولا توسط شرکت محلی ارائه دهنده سرویس اینترنت قبلا راهاندازی شده ) به عنوان DNS سرور خود معین مینماید. (در اغلب مواقع این کار به شکل اتوماتیک انجام میشود). از این لحظه به بعد رایانه هر نام نشانی اینترنتی را که میخواهد با آن مراجعه کند ابتدا به کارگزار DNS (DNS Resolver) خود میدهد تا نشانی IP کارگزار را برایش بیابد. کارگزار DNS پاسخ را پس از تعدادی پرسشهای زنجیرهای ( recursion ) که از سایر کارگزارهای DNS میپرسد، یافته و به رایانه کاربر برمیگرداند. در حقیقت گویی نام وب سایت را به نشانی IP ترجمه میکند.
جزئیات این پرسشهای زنجیرهای و نحوه دقیق چگونه یافتن پاسخ این سئوالات خارج از حوصله این نوشتار است. آنچیزی که باعث بوجود آمدن پروتکل DNSSEC گردید این بود که کارگزاران DNS ممکن است در هنگام دریافت پاسخ به پرسشهای زنجیرهای خود (که به منظور یافتن نشانی IP انجام میدهند.) اطلاعات غلط دریافت نمایند. این اطلاعات ناصحیح و غلط معمولا توسط هکرها و افراد سودجو بوجود آمده و در اینترنت پخش میشود. نتیجه وجود چنین اطلاعات نادرستی این است که نشانی IP غلط به رایانه کاربران متقاضی مشاهده یک وب سایت داده میشود و آنها به جای اتصال به کارگزار صحیح یک وب سایت به کارگزار وب سایت دیگری هدایت میشوند. بطور مثال متقاضیان مشاهده وب سایت یک بانک به جای مشاهده وب سایت اصلی آن بانک ، یک وب سایت جعلی را مشاهده مینمایند که بدیهی است میتواند آن متقاضیان را در حال مشاده یک وب سایت جعلی هستند را در معرض هر گونه سو استفاده احتمالی بعدی هکرها قرار دهد.
استفاده از پروتکل DNSSEC به جای روش قدیمی و معمول DNS میتواند پاسخ مناسبی برای چنین مشکلاتی بوده و موجب جلوگیری از دریافت اطلاعات از منابع نادرست و غلط در اینترنت گردیده و به طبع میتواند جلوی چنین سوء استفادههایی را بگیرد. البته ذکر نکتهای بسیار مهم در این جا لازم است و آن اینکه این پروتکل صحت خود اخبار را در هنگام رد و بدل شدن اطلاعات در زمان انجام پرسش و پاسخهای زنجیرهای تضمین نمیکند، بلکه در این پروتکل آنچیزی که قابل بررسی شدن است، نه صحت خود خبر بلکه فقط صحت هویت گوینده خبر است. بدین ترتیب هر کارگزار DNS میتواند مطمئن شود کسی که به او پاسخ پرسشی را میدهد همانی است که باید باشد و نه یک کارگزار جعلی و تقلبی. به عبارتی اگر بر اثر اشتباهات انسانی و سهوی اطلاعات نادرستی در خصوص نام وب سایتی در اینترنت پخش شود، این پروتکل قادر به تشخیص این اشتباه نیست بلکه این پروتکل فقط میتواند هویت گوینده خبر را تایید کند، که آیا این همان گوینده ای است که باید انتظار شنیدن پاسخ از او باشد و یا خیر . نحوه عملکرد پروتکل در راهنمای فنی آن بطور کامل تشریح گردیده است.
به منظور آشنایی بیشتر کاربران، مرکز ثبت دامنه نقطهآیآر تصمیم به راهاندازی آزمایشی این پروتکل نموده است. جزئیات این طرح در نشانی http://www.nic.ir/DNSSEC قابل دسترسی است.بطور خلاصه، صاحب امتیاز هر دامنه، کلید عمومی (Public Key) دامنه خود را در هنگام تعیین نام کارگزاران آن دامنه به مرکز ثبت دامنه معرفی میکند و از این لحظه صحت پرسش و پاسخ ها با بررسی این کلید و مقایسهٔ آن با کلید خصوصی معادل ( Private Key ) آن انجام میگیرد .
راهاندازی آزمایشی DNSSEC توسط ایرنیک
مرکز ثبت دامنه آیآر به منظور آشنایی و تسلط کاربران گرامی به پروتکل DNSSEC، تضمیم به اجرای آزمایشی آن گرفتهاست.- شرایط این دورهٔ ازمایشی به قرار زیر میباشد :
- ۱) مدت زمان استفاده از دامنههای ثبت شده از تاریخ هشتم شهریور لغایت هفتم اسفند ۱۳۸۸ میباشد.
- ۲) ثبت دامنهها رایگان و صرفاً به منظور کاربری آزمایشی میباشد لذا کاربر به هیچ وجه مجاز به انتقال یا واگذاری دامنه به دیگری نبوده و مرکز ثبت دامنه هیچ مسؤولیتی در قبال مسایل ناشی از انتقال احتمالی نخواهد داشت.
- ۳) دامنههای آزمایشی تحت پسوند .dnssec.ir ثبت میشوند.
- ۴) با تذکر این نکته که قبول یا ردّ درخواست ثبت دامنههای آزمایشی فقط به تشخیص مرکز ثبت دامنه میباشد، هر کاربر میتواند حداکثر ثبت پنج دامنهٔ آزمایشی را درخواست نماید و رد هر درخواست موجب کسر یک سهمیه از مجموع پنج سهم خواهد بود.
- ۵) مرکز ثبت دامنه در هر زمانی با تشخیص خود و بدون اعلام قبلی میتواند بطور کلی دورهٔ آزمایش را معلق و کانلمیکن یا ثبت دامنه آزمایشی خاصی را منتفی و ملغی اعلام نماید.
- ۶) پس از اتمام دورهٔ استفاده آزمایشی دامنههای ثبت شده، هیچ حقی برای کاربران موقت حتی حق تقدم نسبت به ثبت مجدد آن ایجاد نکرده و مالکیت و حقوق مربوط به دامنه بطور کلی متعلق به مرکز ثبت دامنه خواهد بود.
- کلید عمومی برای دامنهٔ .dnssec.ir را باید در تنظیمات مربوط به resolver خود قرار دهید. اگر شما ار نرمافزار BIND به عنوان resolver استفاده میکنید عبارت زیر را در فایل تنظیمات آن که معمولاً named.conf است قرار دهید.
trusted-keys { "dnssec.ir." IN DNSKEY 257 3 5 "AwEAAZz0N4mQylmksechdvqmnZv3U7oqVrgLwV1QdHb8FKrto12FVKxR uRnA7JpHylByAtoBCEPq4GbVxjeuTBnVlmkc4eGiLQvQz5RgMTG9UhHe nIhDk5UDC+rH6jbc9KU2txOvjKp4CReBPgrrpK3SdncvvjcKVUpNiWsa 2oluSIvmg3cnlESUf89SwDrjQG+XhB/uCKolFvRcS55wlwvcmE+Bd/8A S4l0nb5f8MRxqKRFrwsiaWrwg4yBlDVdsReM0RvS2TIXvXEUgGNZNAon Ta7ltpk5p/7TryPXNHeutQljWElqCq3xRFBRPumdh7PeCSm3E1+eA2cq bzNorxkfkXM="; // Key ID= 18043 };
شما میتوانید سئوالات و مشکلات احتمالی خود را به یکی از طرق زیر با ما درمیان بگذارید:
- بصورت برخط : همه روزه از ساعت ۱۰ الی ۱۱ با مراجعه به آدرس http://support.irnic.ir میتوانید با متخصصان فنی ایرنیک برای طرح مشکلات خود چت کنید.
- پست الکترونیک : میتوانید سئوالات خود را با قید کردن ":DNSSEC" در ابتدای Subject به آدرس الکترونیکی info@nic.ir ایمیل کنید.
راهنمای فنی جهت تنظیمات لازم DNS
دریافت فایل راهنمااطلاعات تماس با ایرنیک
آدرس پست الکترونیک: info@nic.ir
تلفن : (+۹۸ ۲۱) ۲۳۵۸ ۷۰۰۰
(فقط در روزهای کاری از شنبه تا چهارشنبه بین ساعت ۸:۰۰ تا ۱۵:۴۵ پاسخگو میباشد.)
نمابر : (+۹۸ ۲۱) ۲۲۲۹ ۵۷۰۰