इंटरनेट (डीएनएस) की “फोनबुक” सुरक्षित नहीं है। लेकिन एक समाधान (DNSSEC) है जो इसमें सुरक्षा जोड़ता है, वर्षों से है, और है आईसीएएनएन के शीर्ष-स्तरीय डोमेन (टीएलडी) के 90% से अधिक पर उपलब्ध है.

DNS और सुरक्षा के महत्व को देखते हुए, आप उम्मीद करेंगे कि DNSSEC को अपनाना भारी होगा, है ना? खैर, यह नहीं हुआ। 2021 में, DNSSEC सत्यापन विश्व स्तर पर 50% से कम है। ऐसे लोग भी हैं जो DNSSEC के खिलाफ बहस करते हैं।

तो, क्या आपको DNSSEC का उपयोग करना चाहिए? खैर… तकनीक में ज्यादातर चीजों की तरह, यह निर्भर करता है। एक सूचित निर्णय लेने में मदद करने के लिए, यहाँ मैं DNSSEC क्या है, यह कैसे काम करता है, और इसके पक्ष और विपक्ष के मामले को कवर करूँगा।

यदि आप पहले से ही डोमेन नेम सिस्टम (डीएनएस) की बुनियादी बातों से सहज हैं, तो आप इस लेख का अधिक से अधिक लाभ उठा पाएंगे। यदि आप नहीं हैं, तो देखें आप सभी को डीएनएस के बारे में जानना आवश्यक है पहले यहां वापस जाएं। यदि आप पहले से ही DNS के साथ गति करने के लिए तैयार हैं, तो आइए DNSSEC में कूदें…

डीएनएसएसईसी क्या है?

DNSSEC एक्सटेंशन का एक सेट है जो पीछे की ओर संगत तरीके से DNS में सुरक्षा जोड़ता है।

“इंटरनेट की फोनबुक” के रूप में डीएनएस इंटरनेट कैसे काम करता है इसका एक मूलभूत हिस्सा है। यह एक पुराना प्रोटोकॉल भी है जिसे अधिक सुरक्षा के साथ डिज़ाइन नहीं किया गया था। परिणामस्वरूप, ऐसे कई तरीके हैं जिनसे DNS से ​​समझौता किया जा सकता है।

संबोधित करना कुछ डीएनएस के साथ सुरक्षा चुनौतियों के मद्देनजर, इंटरनेट इंजीनियरिंग टास्क फोर्स (आईईटीएफ) के इंजीनियरों ने डीएनएसएसईसी का निर्माण किया। डीएनएसएसईसी के साथ, क्रिप्टोग्राफिक हस्ताक्षरों का उपयोग डीएनएस रिकॉर्ड की प्रामाणिकता और अखंडता को मान्य करने के लिए किया जाता है।

समस्या को समझना DNS हल करता है

यह समझने के लिए कि क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित डीएनएस प्रतिक्रियाएं डीएनएसएसईसी मामले को क्यों प्रदान करती हैं, आइए देखें कि इसके बिना चीजें कैसे काम करती हैं।

मान लीजिए आप अपने पीसी से एक वेबसाइट (example.com) एक्सेस करना चाहते हैं। आम तौर पर, वह प्रक्रिया कुछ इस तरह काम करती है:

  1. आप अपने वेब ब्राउजर में example.com टाइप करें।
  2. यदि example.com के लिए कोई प्रविष्टि कैश्ड नहीं है, तो आपका DNS रिज़ॉल्वर बाहर चला जाता है और example.com के IP पते का पता लगाने के लिए इंटरनेट पर नाम सर्वर से पूछताछ करता है।
  3. आपके समाधानकर्ता को एक प्रतिक्रिया मिलती है कि 203.0.113.11 example.com का IP पता है।
  4. आपका रिज़ॉल्वर आपके पीसी को बताता है example.com 203.0.113.11 पर है।
  5. सर्वर से 203.0.113.11 पर एक वेबपेज आपके वेब ब्राउज़र में लोड होता है।

ज्यादातर मामलों में, यह सब बढ़िया काम करता है। लेकिन, क्या होगा यदि कोई हमलावर किसी नाम सर्वर से समझौता करता है या आपके DNS कैश को जहर देता है? अकेले पारंपरिक डीएनएस के साथ, आप नहीं जान पाएंगे। आप जिस वैध वेबसाइट को चाहते थे, उसके बजाय आपको हमलावर के सर्वर पर निर्देशित किया जाता है।

डीएनएसएसईसी क्या है?इन हमलों के कई प्रकार और नाम हैं (जैसे डीएनएस स्पूफिंग, डीएनएस कैश पॉइजनिंग, कमिंसकी अटैक और डीएनएस हाईजैकिंग), लेकिन वे सभी इस तथ्य का फायदा उठाते हैं कि डीएनएस प्रतिक्रियाओं को सत्यापित करने का कोई तरीका वैध नहीं है।

तो, DNSSEC कैसे मदद करता है? DNSSEC के साथ, रिज़ॉल्वर क्रिप्टोग्राफ़िक हस्ताक्षरों का उपयोग प्रतिक्रिया को मान्य करने के लिए “आँख बंद करके” विश्वास करने के बजाय करेगा। यदि सत्यापन विफल हो जाता है – जैसा कि हमारे उदाहरण में होता है – उपयोगकर्ता को दुर्भावनापूर्ण साइट पर नहीं भेजा जाता है।

डीएनएसएसईसी कैसे मदद करता है?

समस्याएँ DNSSEC हल नहीं करता

इससे पहले कि हम आगे बढ़ें, यह बताना महत्वपूर्ण है कि DNSSEC क्या नहीं करता है। ऊपर के उदाहरण में, हम देखते हैं कि DNSSEC DNS प्रतिक्रियाओं की प्रामाणिकता और अखंडता की पुष्टि करता है। यह महत्वपूर्ण है क्योंकि यह मैन-इन-द-मिडिल (एमआईटीएम) हमलों को रोकता है।

हालाँकि, यह कोई गोपनीयता नहीं जोड़ता है। DNS ट्रैफ़िक एन्क्रिप्टेड नहीं है और DNSSEC इसमें एन्क्रिप्शन नहीं जोड़ता है। यदि आप DNS को एन्क्रिप्ट करने की समस्या को हल करना चाहते हैं यातायात अकेले DNSSEC मदद नहीं करेगा (चिंता न करें, हम नीचे कुछ DNS गोपनीयता प्रोटोकॉल पर एक नज़र डालेंगे)।

डीएनएसएसईसी कैसे काम करता है?

ठीक है, तो हम जानते हैं कि डीएनएसएसईसी को हस्ताक्षरों को मान्य करके डीएनएस स्पूफिंग जैसी समस्याओं को हल करना है … लेकिन यह कैसे काम करता है? इसे समझने के लिए, हमें डीएनएस जोन और डीएनएसएसईसी के भरोसे की श्रृंखला को समझने की जरूरत है।

DNS मूल बातें पर वापस जा रहे हैं, हम जानते हैं कि सब कुछ रूट डोमेन पर वापस जाता है। फिर, हमारे पास .com, .net, और .org जैसे TLD हैं। TLD के नीचे, हमारे पास example.com या mediatemple.net जैसे डोमेन हैं। इनमें से प्रत्येक विशिष्ट नामस्थान एक DNS ज़ोन है।

डीएनएसएसईसी कैसे काम करता है?

जिस तरह उन क्षेत्रों में से प्रत्येक DNS डेटा प्रकाशित करता है जो लुकअप में मदद करता है, वे DNSSEC डेटा प्रकाशित कर सकते हैं जो सार्वजनिक/निजी कुंजी जोड़े का उपयोग करके क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित है। DNS रिज़ॉल्वर जो DNSSEC का समर्थन करते हैं, तब DNS अनुरोधों को मान्य करने के लिए डेटा का उपयोग कर सकते हैं।

लेकिन, हम कैसे जानते हैं कि डेटा पर भरोसा किया जा सकता है? उच्च-स्तरीय “पैरेंट” ज़ोन के साथ जाँच करके। DNSSEC के साथ, एक पैरेंट ज़ोन अपने “चाइल्ड” ज़ोन के लिए क्रिप्टोग्राफ़िक रूप से वाउच करता है।

उदाहरण के लिए, example.com के रिकॉर्ड को मान्य करने के लिए, हम .com ज़ोन में संबंधित डेटा को देखते हैं। फिर, .com के रिकॉर्ड को मान्य करने के लिए, हम रूट ज़ोन में संबंधित डेटा को देखते हैं।

लेकिन अब जब हम रूट ज़ोन में हैं, तो हम इसके रिकॉर्ड्स को कैसे मान्य कर सकते हैं? खैर हम मान लीजिए हम रूट ज़ोन पर भरोसा कर सकते हैं। इंटरनेट कॉरपोरेशन फॉर असाइन्ड नेम्स एंड नंबर्स (ICANN) द्वारा रूट ज़ोन की देखरेख की जाती है और इसकी कुंजियों को सत्यापन योग्य तरीके से हस्ताक्षरित किया जाता है। विशेष सार्वजनिक रूप से प्रसारित समारोह. रूट कुंजी साइनिंग के आसपास की सावधानियों और प्रक्रियाओं को देखते हुए, “हर कोई” मानता है कि वे उन चाबियों पर भरोसा कर सकते हैं।

उस विश्वसनीय हस्ताक्षर से निर्माण करके, सभी चाइल्ड ज़ोन पर भरोसा किया जा सकता है। नतीजतन, अब हमारे पास विश्वास की एक श्रृंखला है जहां एक रिज़ॉल्वर जो DNSSEC का समर्थन करता है, उसे प्राप्त होने वाले आईपी पते के रिकॉर्ड को मान्य कर सकता है।

DNSSEC DNS रिकॉर्ड प्रकार

DNS प्रतिक्रियाओं के प्रमाणीकरण और सत्यापन की सुविधा के लिए, DNSSEC कई संसाधन रिकॉर्ड (RRs) का उपयोग करता है। वे:

  • आरआरएसआईजी– रिसोर्स रिकॉर्ड डिजिटल सिग्नेचर (आरआरएसआईजी) रिकॉर्ड में एक क्रिप्टोग्राफिक सिग्नेचर और डेटा शामिल होता है जैसे कि डीएनएस रिकॉर्ड का प्रकार जिस पर सिग्नेचर लागू होता है, क्रिप्टोग्राफिक एल्गोरिदम का उपयोग किया जाता है, टीटीएल वैल्यू और इश्यू/समाप्ति तिथियां। एक DNSKEY का उपयोग करके एक RRSIG को मान्य किया जा सकता है।
  • डीएनएसकी– DNSKEY एक सार्वजनिक कुंजी है जिसका उपयोग RRSIG को मान्य करने के लिए किया जा सकता है।
  • डी एस– पैरेंट ज़ोन से चाइल्ड ज़ोन में ट्रस्ट ट्रांसफर करने के लिए डेलिगेशन साइनर (DS) रिकॉर्ड का उपयोग किया जाता है। इसमें एक हैशेड DNSKEY होता है और DNSSEC ट्रस्ट की श्रृंखला में अगली कुंजी की ओर इशारा करता है।
  • एनएसईसी और एनएसईसी3– अगला सुरक्षित (NSEC) रिकॉर्ड और अगला सुरक्षित संस्करण 3 (NSEC3) रिकॉर्ड DNSSEC का यह साबित करने का तरीका है कि रिकॉर्ड मौजूद नहीं है।
  • सीडीएस और सीडीएनएसकी चाइल्ड DS (CDS) चाइल्ड DNSKEY (CDNSKEY) रिकॉर्ड चाइल्ड ज़ोन द्वारा प्रकाशित किए जाते हैं ताकि पैरेंट ज़ोन उनके रिकॉर्ड को अपडेट कर सकें। आम तौर पर, इन RRs का उपयोग DNSSEC को सक्षम/अक्षम करने या कुंजी-हस्ताक्षर कुंजियों (KSKs) पर रोल करने के लिए किया जाता है।

आप DNSSEC को कैसे लागू कर सकते हैं?

क्लाइंट-साइड पर, नाम समाधान के लिए DNSSEC का उपयोग करने के लिए, आपको एक ऐसे रिज़ॉल्वर की आवश्यकता होती है जो इसका समर्थन करता हो। आज बहुत सारे DNS रिज़ॉल्वर हैं जो ऐसा करते हैं, इसलिए यह बहुत कठिन नहीं है।

यदि आप चाहते हैं कि आपका डोमेन DNSSEC का समर्थन करे, तो आपके रजिस्ट्रार और DNS होस्टिंग प्रदाता के आधार पर विशिष्ट प्रक्रिया अलग-अलग होगी। आपके रजिस्ट्रार को डीएस रिकॉर्ड का समर्थन करने और आपके टीएलडी द्वारा आपके हस्ताक्षर करने की आवश्यकता होगी। आपके DNS होस्टिंग प्रदाता को आपके DNSKEY रिकॉर्ड पर हस्ताक्षर करने और उसे प्रकाशित करने की आवश्यकता होगी।

DNSSEC बनाम DANE बनाम DoT बनाम DoH

यदि आप DNS सुरक्षा पर शोध कर रहे हैं, तो एक अच्छा मौका है कि आप DANE, DoT और DoH जैसे शब्दों से परिचित हो गए हैं। हालांकि ये सभी आइटम DNS सुरक्षा से संबंधित हैं, लेकिन ये सभी समान नहीं हैं। यहां प्रत्येक का त्वरित अवलोकन दिया गया है और वे DNSSEC से कैसे संबंधित हैं।

  • डेन- नामांकित संस्थाओं का DNS-आधारित प्रमाणीकरण (DANE) प्रशासकों को यह निर्दिष्ट करने की अनुमति देता है कि कौन से प्रमाणपत्र प्राधिकारी (CAs) किसी डोमेन के लिए प्रमाणपत्र बना सकते हैं। DANE के काम करने के लिए, DNSSEC को सक्षम होना चाहिए।
  • डॉट डीएनएस ओवर टीएलएस (डीओटी) ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) एन्क्रिप्शन का उपयोग करके डीएनएस ट्रैफिक को एन्क्रिप्ट करता है। DoT DNS गोपनीयता समस्या को हल करने का एक तरीका है जो DNSSEC नहीं करता है।
  • रवींद्र– एचटीटीपीएस (डीओएच) पर डीएनएस का उद्देश्य उसी सामान्य समस्या को हल करना है जो डीओटी करता है, लेकिन इसके बारे में अलग तरह से जाता है। DoT की तरह, इसे DNSSEC के पूरक के रूप में देखा जा सकता है।

DNSSEC के लिए तर्क क्या हैं?

बहुत सारे स्मार्ट लोग और संगठन हैं जो DNSSEC के लिए सुरक्षा तर्क देने पर गर्व करते हैं। उदाहरण के लिए, CloudFlare वर्षों से DNSSEC का एक बड़ा प्रस्तावक रहा है।

यह देखते हुए कि DNSSEC क्या करता है, इसके लिए तर्कों को समझना बहुत आसान है। वे उबालते हैं:

  • DNSSEC MITM-शैली के हमलों के खतरे को बहुत कम करता है।
  • DNSSEC DANE जैसे कार्यों को सक्षम कर सकता है जो सुरक्षा को और बढ़ा सकते हैं।
  • DNSSEC को लागू करना निषेधात्मक रूप से कठिन नहीं है और DNS के साथ पीछे की ओर संगत है।

DNSSEC के खिलाफ तर्क क्या हैं?

लाभ और स्मार्ट लोगों के इसके पक्ष में तर्क देने के बावजूद, DNSSEC आदर्श से बहुत दूर है। यह भाप भी खो सकता है। उदाहरण के लिए, अमेरिकी सरकार ने एक बार .gov साइटों के लिए DNSSEC को अनिवार्य कर दिया था (मेमो M-08-23 में), लेकिन उन्होंने तब से उस जनादेश को रद्द कर दिया है.

DNSSEC के खिलाफ बारीक तकनीकी तर्क हैं, लेकिन मैं यहां उस खरगोश के छेद से बहुत नीचे नहीं जाऊंगा। इसके बजाय, आइए इसके खिलाफ अधिक व्यावहारिक तर्कों में से एक को देखें। वह है: भले ही आप मान लें कि DNSSEC वह करता है जो वह कहता है, जटिलता इसके लायक नहीं है।

DNSSEC सत्यापन प्रक्रिया DNS में विफलता और जटिलता के अधिक बिंदु जोड़ती है। परिणामस्वरूप, DNSSEC समस्या के कारण किसी साइट का अनुपलब्ध होना अनसुना नहीं है। उदाहरण के लिए, एक समय सीमा समाप्त DNSSEC कुंजी के कारण समस्याएँ होती हैं स्पिकवर्क्स और कई अन्य साइटें जो इस वर्ष की शुरुआत में इम्पर्वा/इनकैप्सुला का उपयोग करती हैं। आपकी साइट को गलत कॉन्फ़िगरेशन के साथ नीचे लाने के जोखिम को देखते हुए, कुछ लोगों का मानना ​​है कि DNSSEC प्रयास के लायक नहीं है। इसके अतिरिक्त, DNSSEC के साथ कुछ (हालांकि अक्सर नगण्य) प्रदर्शन प्रभाव पड़ता है।

अंतिम विचार: क्या आपको DNSSEC का उपयोग करना चाहिए या नहीं?

इस प्रश्न का उत्तर आपकी जोखिम सहनशीलता और आप DNSSEC को कितनी अच्छी तरह से प्रबंधित कर सकते हैं, इस पर निर्भर करता है। यदि आप इसे बहुत अधिक समस्याओं के बिना तैनात और प्रबंधित कर सकते हैं (जो कि कई लोगों के लिए मामला है), तो यह इसके लायक है। यदि आप बढ़ी हुई जटिलता को उचित ठहराने के लिए अतिरिक्त सुरक्षा को पर्याप्त महत्व नहीं देते हैं, तो ऐसा नहीं है।



Source link

By admin

Leave a Reply

Your email address will not be published. Required fields are marked *