گھر سیکیورٹی کیا Dns کو محفوظ سمجھا جاسکتا ہے؟

کیا Dns کو محفوظ سمجھا جاسکتا ہے؟

فہرست کا خانہ:

Anonim

اپریل میں ، ایک ڈچ ہیکر کو اس لئے گرفتار کیا گیا تھا جسے آج تک دیکھا گیا سروس اٹیک کا سب سے بڑا تقسیم انکار کہا جاتا ہے۔ یہ حملہ اسپام ہاؤس ، ایک اسپیم مخالف انسداد تنظیم پر کیا گیا ، اور یوروسین یونین کی آئی ٹی سیکیورٹی ایجنسی ، این آئی ایس اے کے مطابق ، اسپام ہاؤس کے بنیادی ڈھانچے پر بوجھ پچھلے ریکارڈ سے تین گنا ، فی سیکنڈ 300 گیگابائٹ تک پہنچ گیا۔ اس کی وجہ سے انٹرنیٹ میں بھیڑ بھری ہوئی اور دنیا بھر میں انٹرنیٹ انفراسٹرکچر کو جام کردیا گیا۔


یقینا ، DNS حملے شاید ہی کبھی ہوتے ہوں۔ لیکن جب اسپیم ہاؤس کیس میں ہیکر کا مقصد صرف اپنے ہدف کو نقصان پہنچانا تھا ، حملے کی بڑی افادیت نے اس بات کی نشاندہی بھی کی ہے کہ بہت سے لوگ انٹرنیٹ انفراسٹرکچر میں ایک بہت بڑی خامی قرار دے رہے ہیں: ڈومین نیم سسٹم۔ اس کے نتیجے میں ، بنیادی DNS بنیادی ڈھانچے پر حالیہ حملوں نے تکنیکی ماہرین اور کاروباری افراد کو حل کرنے کے لئے یکساں دبا کھڑا کردیا۔ تو آپ کا کیا ہوگا؟ یہ جاننا ضروری ہے کہ آپ کے پاس اپنے کاروبار کے ڈی این ایس انفراسٹرکچر کو تقویت دینے کے ل what آپ کے پاس کیا اختیارات ہیں اور اسی طرح ڈی این ایس روٹ سرورز کیسے کام کرتے ہیں۔ تو آئیے کچھ دشواریوں پر ایک نظر ڈالیں ، اور کاروبار اپنی حفاظت کے ل to کیا کرسکتے ہیں۔ (DNS میں DNS کے بارے میں مزید معلومات حاصل کریں: ان سب پر حکمرانی کرنے کا ایک پروٹوکول۔)

موجودہ انفراسٹرکچر

ڈومین नेम سسٹم (DNS) اس وقت سے ہے جب انٹرنیٹ بھول گیا ہے۔ لیکن اس سے یہ پرانی خبر نہیں ہے۔ سائبراٹیکس کے بدلتے ہوئے خطرے کے ساتھ ، ڈی این ایس نے گذشتہ برسوں میں کافی حد تک جانچ پڑتال کی ہے۔ ابتدائی دور میں ، ڈی این ایس نے کسی بھیجنے والے یا ڈی این ایس سوالات کے وصول کنندہ کی شناخت کی توثیق کرنے کیلئے توثیق کی کوئی شکلیں پیش نہیں کیں۔


در حقیقت کئی سالوں سے ، انتہائی بنیادی نام سرور ، یا روٹ سرور ، وسیع اور متنوع حملوں کا نشانہ بنے ہیں۔ ان دنوں وہ جغرافیائی طور پر متنوع ہیں اور ان کی سالمیت کو برقرار رکھنے کے لئے سرکاری اداروں ، تجارتی اداروں اور یونیورسٹیوں سمیت مختلف اقسام کے اداروں کے ذریعہ چلائے جاتے ہیں۔


واضح طور پر ، کچھ حملے ماضی میں کسی حد تک کامیاب رہے ہیں۔ مثال کے طور پر ، روٹ سرور کے انفراسٹرکچر پر ایک اپاہج حملہ 2002 میں ہوا (اس کے بارے میں ایک رپورٹ یہاں پڑھیں)۔ اگرچہ اس نے زیادہ تر انٹرنیٹ صارفین کے لئے قابل ذکر اثر پیدا نہیں کیا ، اس نے ایف بی آئی اور امریکی محکمہ ہوم لینڈ سیکیورٹی کی توجہ مبذول کروائی کیونکہ یہ انتہائی پیشہ ورانہ اور انتہائی ہدف تھا جس سے 13 میں سے نو آپریٹنگ روٹ سرور کو متاثر کرتے تھے۔ ماہرین کا کہنا ہے کہ اگر یہ ایک گھنٹہ سے زیادہ وقت تک برقرار رہتا ، تو نتائج تباہ کن ہوسکتے تھے ، جو انٹرنیٹ کے ڈی این ایس انفراسٹرکچر کے عناصر کو بیکار چھوڑ کر پیش کر سکتے تھے۔


انٹرنیٹ کے انفراسٹرکچر کے ایسے لازمی حصے کو شکست دینے سے ایک کامیاب حملہ آور کو بڑی طاقت ملے گی۔ اس کے نتیجے میں ، اس وقت سے جب تک روٹ سرور کے بنیادی ڈھانچے کو محفوظ بنانے کے معاملے پر اہم وقت اور سرمایہ کاری کا اطلاق ہوتا ہے۔ (آپ یہاں روٹ سرورز اور ان کی خدمات کا نقشہ دیکھ سکتے ہیں۔)

ڈی این ایس کو محفوظ کرنا

بنیادی انفراسٹرکچر کے علاوہ ، یہ بھی اتنا ہی اہم ہے کہ آپ کے اپنے کاروبار کا DNS بنیادی ڈھانچہ حملہ اور ناکامی دونوں کے خلاف کتنا مضبوط ہوسکتا ہے۔ مثال کے طور پر یہ عام ہے (اور کچھ آر ایف سی میں بیان کیا گیا ہے) کہ نام سرورز بالکل مختلف سبنیٹس یا نیٹ ورکس پر رہنے چاہئیں۔ دوسرے لفظوں میں ، اگر آئی ایس پی اے میں پوری طرح سے آوٹ ہوچکا ہے اور آپ کا بنیادی نام سرور آف لائن پڑتا ہے تو ، پھر بھی آئی ایس پی بی آپ کے کلیدی ڈی این ایس ڈیٹا کو کسی کو بھی درخواست کرے گا۔


ڈومین نام سسٹم سیکیورٹی ایکسٹینشنز (DNSSEC) ایک انتہائی مقبول طریقوں میں سے ایک ہے کہ کاروباری اپنے نام سرور انفراسٹرکچر کو محفوظ کرسکتے ہیں۔ یہ یقینی بنانے کے ل an ایک اضافہ ہے کہ مشین آپ کے نام سرورز سے منسلک ہوتی ہے۔ DNSSEC درخواستوں کو کہاں سے آرہا ہے اس کی نشاندہی کرنے کی توثیق کرنے کی بھی اجازت دیتا ہے ، اور ساتھ ہی یہ بھی تصدیق کرتا ہے کہ راستے میں ڈیٹا خود ہی تبدیل نہیں ہوا ہے۔ تاہم ، ڈومین نام سسٹم کی عوامی نوعیت کی وجہ سے ، استعمال شدہ خاکہ نگاری سے اعداد و شمار کی رازداری یقینی نہیں ہوتی ہے ، اور نہ ہی اس کی موجودگی کا کوئی تصور ہے جب انفراسٹرکچر کے کچھ حص someوں کو کچھ تفصیل سے ناکامی کا سامنا کرنا پڑتا ہے۔


ان میکانزم کو فراہم کرنے کے لئے متعدد تشکیل ریکارڈ استعمال کیے جاتے ہیں جن میں آر آر ایس آئی جی ، ڈی این ایسکےئ ، ڈی ایس اور این ایس ای سی ریکارڈ کی اقسام شامل ہیں۔ (مزید معلومات کے لla ، بیان کردہ 12 DNS ریکارڈ دیکھیں۔)


RRISG استعمال کیا جاتا ہے جب بھی DNSSEC استفسار پیش کرنے والی مشین اور اسے بھیجنے والی مشین دونوں کے لئے دستیاب ہوتا ہے۔ یہ ریکارڈ مطلوبہ ریکارڈ کی قسم کے ساتھ ساتھ بھیجا جاتا ہے۔


دستخط شدہ معلومات پر مشتمل ایک DNSKEY اس طرح نظر آسکتا ہے:


ripe.net ایک DNSKEY ریکارڈ ہے 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =


DS ، یا تفویض کردہ دستخط کنندہ ، ریکارڈ کو اعتماد کے سلسلے کو مستند کرنے میں مدد کے لئے استعمال کیا جاتا ہے تاکہ والدین اور بچوں کے زون میں اضافی حد تک راحت کے ساتھ بات چیت ہوسکے۔


این ایس ای سی ، یا اگلی محفوظ ، اندراجات لازمی طور پر ڈی این ایس اندراجات کی فہرست میں اگلی درست اندراج پر جائیں۔ یہ ایک ایسا طریقہ ہے جس کا استعمال غیر موجود DNS اندراج کو واپس کرنے کے لئے کیا جاسکتا ہے۔ یہ اس لئے ضروری ہے کہ صرف تشکیل شدہ DNS اندراجات پر ہی اعتبار کیا جائے کہ وہ حقیقی ہیں۔


این ایس ای سی 3 ، لغت طرز کے حملوں کو کم کرنے میں مدد کرنے کے لئے ایک بہتر حفاظتی طریقہ کار ، کو مارچ 2008 میں آر ایف سی 5155 میں منظور کیا گیا تھا۔

DNSSEC استقبال

اگرچہ بہت سارے حامیوں نے ڈی این ایس ایس سی کو تعینات کرنے میں سرمایہ کاری کی ہے لیکن یہ ان کے نقادوں کے بغیر نہیں ہے۔ درمیانی درمیانی حملوں جیسے حملوں سے بچنے میں مدد کرنے کی اہلیت کے باوجود ، جہاں ڈی این ایس کے سوالات پیدا کرنے والوں کو انجانے طور پر سوالات کو ہائی جیک کرکے غلط طریقے سے کھلایا جاسکتا ہے ، وہاں انٹرنیٹ کے بنیادی ڈھانچے کے کچھ حصوں کے ساتھ مبینہ مطابقت کے معاملات ہیں۔ اہم مسئلہ یہ ہے کہ DNS عام طور پر کم بینڈوتھ بھوک ل User صارف ڈیٹاگرام پروٹوکول (UDP) استعمال کرتا ہے جبکہ DNSSEC زیادہ سے زیادہ وشوسنییتا اور احتساب کے ل its اپنے ڈیٹا کو آگے پیچھے کرنے کے ل the بھاری ٹرانسمیشن کنٹرول پروٹوکول (TCP) کا استعمال کرتا ہے۔ ڈی این ایس کے پرانے انفراسٹرکچر کے بڑے حصے ، جو دن میں 24 گھنٹے ، ہفتے میں سات دن لاکھوں DNS درخواستوں کے ساتھ مل جاتے ہیں ، ٹریفک میں اضافے کے اہل نہیں ہوسکتے ہیں۔ اس کے باوجود ، بہت سارے لوگوں کا خیال ہے کہ ڈی این ایس ایس ای سی انٹرنیٹ کے بنیادی ڈھانچے کو محفوظ بنانے کی سمت ایک بڑا قدم ہے۔


اگرچہ زندگی میں کسی بھی چیز کی ضمانت نہیں ہے ، اپنے خطرات پر غور کرنے کے لئے کچھ وقت نکالنا مستقبل میں بہت سارے مہنگے سروں سے بچ سکتا ہے۔ مثال کے طور پر ، DNSSEC کی تعیناتی کرکے ، آپ اپنے کلیدی DNS بنیادی ڈھانچے کے کچھ حصوں پر اپنا اعتماد بڑھا سکتے ہیں۔

کیا Dns کو محفوظ سمجھا جاسکتا ہے؟