ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت اول

امروزه راهکارهای ارائه‌ی End-to-End DNS که توسط F5 ارائه شده است، علاوه بر اینکه بهره‌برداری از منابع سازمانی را به حداکثر رسانده، چابکی و هوشمندی لازم برای توسعه و پشتیبانی از تجهیزات، برنامه‌های کاربردی و معماری شبکه فعلی و آینده را نیز دارا می‌باشد. در این مقاله سعی بر آن داریم تا به بررسی ابعاد این تکنولوژی نوین بپردازیم. ابتدا چند مفهوم اساسی در مقوله DNS ارائه می‌گردد و سپس به مشکلات امنیتی این حوزه و بررسی راهکارهای گوناگون جهت پیاده‌سازی آن پرداخته می‌شود.

مفهوم DNS و اهمیت استفاده از آن

Domain Name System یا به اختصار DNS در سال 1983 ایجاد شد تا بتوان براحتی تمامی رایانه‌ها، خدمات و منابع متصل به اینترنت را از طریق نام شناسایی کرد. این امر موجب می‌گردد که افراد بجای به خاطر سپردن آدرس IP از کلمات واضح و با مفهومی مشخص استفاده نمایند. تصور کنید که مجبور بودید برای انجام هر کاری در اینترنت ده‌ها ترکیب عددی را حفظ کنید. درواقع DNS مانند دفترچه تلفن اینترنت عمل می‌کند. یک سرور DNS نام‌های دامینی را که در یک مرورگر اینترنت تایپ می‌شود به آدرس IP ترجمه می‌کند و در نتیجه به دستگاه کاربران این توانایی را می‌دهد که سرویس یا سایتی که کاربر به دنبالش است را در اینترنت پیدا کند.

می‌توان گفت که DNS تکنولوژی اصلی است که استفاده از اینترنت را ممکن می‌سازد، و در واقع یکی از اجزای مهم شبکه محسوب می‌گردد. DNS علاوه بر ارائه‌ی محتوا و برنامه‌های کاربردی، یک معماری توزیع‌شده و HA را نیز مدیریت می‌کند تا از دسترس‌پذیری بالا و زمان پاسخگویی مناسب به کاربر اطمینان حاصل گردد، در نتیجه داشتن یک زیرساخت DNS به صورت HA، هوشمند، ایمن و انعطاف‌پذیر، امری بسیار مهم و ضروری در سازمان ها محسوب می‌گردد. اگر DNS دچار اختلال گردد، اکثر برنامه‌های کاربردی وب نمی‌توانند به درستی عمل کنند و این مسئله روی کسب‌و‌کار (و نام تجاری) یک سازمان تاثیر خواهد گذاشت.

معماری مرجع DNS Scale هوشمند End-to-End متعلق به F5، به سازمان‌ها توانایی ساخت یک ساختار DNS پایدار را می‌دهد که استفاده از منابع را به حداکثر رسانده و مدیریت سرویس را افزایش می‌دهد و در‌همین‌حال چابکی لازم برای پشتیبانی از معماری‌ها، دستگاه‌ها و برنامه‌های کاربردی کنونی و آینده را حفظ می‌نماید.

اهمیت سرورهای DNS در دسترس‌پذیری وب‌سایت‌ها

زمانی که کاربری یک صفحه‌ی وب را درخواست می‌دهد، آن درخواست به یک سرور Local DNS منتقل می‌شود که با سرور DNS اصلی ارتباط برقرار می‌نماید؛ در این صورت همه‌چیز به درستی کار می‌کند تا وقتی که موجی از ترافیک فرا می‌رسد یا مهاجمی مدام با درخواست‌های DNS Query به سرور حمله می‌نماید. اگر سرور DNS اصلی دچار بار اضافی شود، دیگر پاسخ نخواهد داد و این امر می‌تواند وب‌سایت کاربر را از دسترس مشاهده‌کنندگان خارج کند.

خرابی‌های DNS معمولا 41 درصد از Downtime زیرساخت وب را تشکیل می‌دهد، در نتیجه در دسترس نگه داشتن DNS در هر سازمانی امری ضروری است. بنابر نتایج یک نظرسنجی که توسط Aberdeen Group انجام شده، سازمان‌ها به ازای هر ساعت قطع بودن دیتاسنترهای خود، 138.000 دلار ضرر می‌کنند، علاوه بر آن Downtime روی مشتریان تاثیر منفی می‌گذارد و ممکن است به از دست رفتن درآمد منجر شود و حتی روی کارمندانی که سعی دارند به منابع سازمانی خود، مانند ایمیل دسترسی پیدا کنند نیز تاثیر بگذارد. به همین دلیل است که اهمیت وجود یک DNS قدرتمند، به هیچ وجه نباید دست کم گرفته شود. بدون وجود آن، ممکن است مشتری نتواند به محتوا و برنامه‌های کاربردی سازمان دسترسی پیدا کند و اگر مشتریان نتوانند خواسته‌شان را از سازمان خود بگیرند، به سراغ سازمان‌های دیگر می‌روند.

گسترش استفاده از DNS سرورها

دلایل زیادی برای افزایش سرعت پاسخگویی سرویس DNS وجود دارد. در پنج سال گذشته شمار وب‌سایت‌های فعال 180 درصد رشد داشته است؛ شمار کاربران فعال دو برابر شده و شمار Queryهای DNS صد درصد رشد پیدا کرده است.

به علاوه، تقریبا 60 درصد از کاربران وب می‌گویند انتظار دارند یک وب‌سایت در کمتر از سه ثانیه در گوشی‌های موبایل‌شان لود شود؛ همچنین سازمان‌ها از نظر برنامه‌های کاربردی و همچنین حجم ترافیکی که به آن برنامه‌های کاربردی دسترسی دارند، رشد چشم‌گیری داشته‌اند. علاوه بر مورد فوق، برنامه‌های کاربردی وب نیز در حال رشد هستند و روز‌به‌روز پیچیده‌تر می‌گردند. هر آیکون، URL و هر جزء از محتوای کارگذاری شده روی یک صفحه‌ی وب نیازمند جستجوی DNS است. بارگذاری سایت‌های پیچیده ممکن است نیازمند صدها DNS Query باشد و حتی برنامه‌های کاربردی تلفن‌های هوشمند ساده هم برای بارگذاری نیازمند چندین DNS Query هستند.

در پنج سال اخیر، حجم Queryهای DNS برای آدرس‌های com. و net. بیش از دو برابر شده و در سه ماه آخر سال 2012 به متوسط روزی 77 میلیارد بارگذاری Query در روز رسید و در همین زمان، بیش از 6 میلیون نام دامین به اینترنت اضافه شد. پیش‌بینی می‌شود که با اجرای پیاده‌سازی‌های Cloud بیشتر، سرعت این رشد در آینده افزایش پیدا کند.

مشکلات امنیتی در DNS سرورها

DNS با پاسخ به تمام Queryها و Resolve کردن تمام اعداد به جای نام سایت‌ها و سرویس‌ها، یکی از ستون‌های اصلی اینترنت و آسیب‌پذیرترین سرویس شبکه محسوب می‌گردد به همین دلیل DNS هدف ارزشمندی برای حملات امنیتی می‌باشد. حملات DNS DDoS می‌توانند سرور‌های DNS را با انجام Flood از دسترس خارج نمایند، یا اینکه درخواست DNS را Hijack کرده و آن را به سرور مخربی هدایت نمایند. برای پیشگیری از این موضوع، می‌توان یک معماری DNS ایمن، توزیع شده (Distributed) و دارای عملکرد بالا و قابلیت‌های DNS Offload که با شبکه یکپارچه‌سازی شده است، را استفاده نمود.

سازمان‌ها به طور کلی دارای مجموعه‌ای از سرورهای DNS هستند، که هر کدام از این سرورها توانایی پاسخگویی به 150.000 DNS Query در ثانیه را دارند. سرورهای DNS با عملکرد بالا (High Performance) می‌توانند در ثانیه به حدود 200.000 Query رسیدگی نمایند. مجرمان سایبری به سادگی می‌توانند از این عددها فراتر بروند. برای مثال می‌توان از دسترس خارج شدنِ سایت‌های New York Times، LinkedIn، Network Solutions و Twitter را نام برد.

شرکت‌ها برای پاسخگویی به حملات DNS DDoS، سرورهای DNS بیشتری را اضافه می‌نمایند که در فرآیند‌های معمولی کسب‌و‌کار به آن‌ها نیازی نیست. این راهکار پرهزینه، معمولا برای ایجاد تغییر نیاز به مداخله‌ی دستی دارد. به علاوه، سرور‌های DNS قدیمی (به خصوص در مقابل آسیب‌پذیری‌های جدید) نیازمند Maintenance و Patching مداوم می‌باشند.

راهکار قدیمی رفع مشکلات DNS

بسیاری از سازمان‌ها، زمانی که به دنبال راهکارهای DNS می‌گردند، (BIND (Berkeley Internet Naming Daemon که اولین راه‌حل مشکلات DNS در اینترنت است را انتخاب می‌نمایند. BIND که حدودا روی 80 درصد از سرورهای DNS دنیا نصب شده است، پروژه‌ای متن باز می‌باشد که توسط ISC حفظ می‌شود. ISC سازمانی غیرخصوصی است که دارای یک شاخه‌ی مشاوره‌ای خصوصی به نام DNS-CO می‌باشد، این شاخه 5 نوع اشتراک را ارائه می‌نماید که قیمت آن‌ها از سالانه 10.000 تا 100.000 دلار متغیر است.

BIND با وجود محبوبیتی که دارد، سالانه نیازمند چندین شرایط نگهداری است و دلیل اصلی این موضوع، آسیب‌پذیری‌ها، Patchها و ارتقاها می‌باشند. BIND را می‌توان به صورت رایگان دانلود کرد، اما نیازمند سروری با هزینه‌ی اضافی و شامل قرارداد‌های پشتیبانی  و همچنین سیستم‌عامل می‌باشد. به علاوه، BIND معمولا تنها قابلیت 50.000 پاسخ در ثانیه را دارد و این باعث می‌شود که نسبت به Queryهای عادی و همچنین مخرب آسیب‌پذیر باشد.

ـــــــــــــــــــــ

ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت اول

ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت دوم

ارتقاء امنیت سرورهای DNS با محصولات F5 – قسمت سوم (پایانی)