विषयसूची:
अप्रैल में, एक डच हैकर को गिरफ्तार किया गया था जिसे सेवा हमले का सबसे बड़ा वितरित इनकार कहा जा रहा है। स्पैम-विरोधी संगठन Spamhaus पर हमला जारी था, और ENISA के अनुसार, यूरोपीय संघ की IT सुरक्षा एजेंसी, Spamhaus के बुनियादी ढांचे पर लोड 300 गीगाबिट प्रति सेकंड, पिछले रिकॉर्ड के तीन गुना तक पहुंच गया। इसने प्रमुख इंटरनेट भीड़ भी पैदा की, और दुनिया भर में इंटरनेट के बुनियादी ढांचे को जाम कर दिया।
बेशक, डीएनएस हमले शायद ही दुर्लभ हैं। लेकिन जबकि स्पैमहास मामले में हैकर केवल अपने लक्ष्य को नुकसान पहुंचाने के लिए था, हमले के बड़े असर ने यह भी बताया कि कई लोग इंटरनेट के बुनियादी ढांचे में एक बड़ी खामी कह रहे हैं: डोमेन नाम प्रणाली। नतीजतन, कोर DNS बुनियादी ढांचे पर हाल के हमलों ने तकनीशियनों और व्यापारियों को समाधान के लिए समान रूप से छोड़ दिया है। तो अपने बारे में बताओ? यह जानना महत्वपूर्ण है कि आपके पास अपने स्वयं के व्यवसाय के DNS बुनियादी ढांचे के साथ-साथ DNS रूट सर्वर कैसे संचालित होते हैं, इसके लिए क्या विकल्प हैं। तो आइए कुछ समस्याओं पर एक नज़र डालते हैं, और खुद को बचाने के लिए कौन से व्यवसाय कर सकते हैं। (डीएनएस में डीएनएस के बारे में अधिक जानें: एक प्रोटोकॉल नियम सभी के लिए।)
मौजूदा बुनियादी ढाँचा
डोमेन नेम सिस्टम (DNS) उस समय से है जब इंटरनेट भूल गया है। लेकिन वह इसे पुरानी खबर नहीं बनाता है। साइबरबैटैक्स के लगातार बदलते खतरे के साथ, डीएनएस पिछले कुछ वर्षों में जांच के दायरे में आया है। अपनी प्रारंभिक अवस्था में, DNS ने DNS प्रश्नों के प्रेषक या रिसीवर की पहचान को सत्यापित करने के लिए प्रमाणीकरण के किसी भी प्रकार की पेशकश नहीं की।
वास्तव में कई वर्षों के लिए, बहुत मूल नाम सर्वर, या रूट सर्वर, व्यापक और विविध हमलों के अधीन रहे हैं। इन दिनों वे भौगोलिक रूप से विविध हैं और अपनी अखंडता को बनाए रखने के लिए सरकारी निकायों, वाणिज्यिक संस्थाओं और विश्वविद्यालयों सहित विभिन्न प्रकार के संस्थानों द्वारा संचालित हैं।
चिंताजनक रूप से, कुछ हमले अतीत में कुछ हद तक सफल रहे हैं। उदाहरण के लिए, रूट सर्वर इन्फ्रास्ट्रक्चर पर गंभीर हमले 2002 में हुए (इसके बारे में एक रिपोर्ट पढ़ें)। यद्यपि यह अधिकांश इंटरनेट उपयोगकर्ताओं के लिए ध्यान देने योग्य प्रभाव पैदा नहीं करता था, लेकिन इसने एफबीआई और यूएस डिपार्टमेंट ऑफ होमलैंड सिक्योरिटी का ध्यान आकर्षित किया क्योंकि यह 13 पेशेवर रूट सर्वरों में से नौ को प्रभावित करते हुए अत्यधिक पेशेवर और उच्च लक्षित था। अगर यह एक घंटे से अधिक समय तक बना रहता, तो विशेषज्ञ कहते हैं, परिणाम भयावह हो सकते थे, जो इंटरनेट के डीएनएस बुनियादी ढांचे के तत्वों को प्रस्तुत कर रहे थे, लेकिन बेकार।
इंटरनेट के बुनियादी ढांचे के इस तरह के एक अभिन्न अंग को हराने के लिए एक सफल हमलावर को बहुत बड़ी शक्ति मिलेगी। नतीजतन, महत्वपूर्ण समय और निवेश के बाद से रूट सर्वर के बुनियादी ढांचे को सुरक्षित करने के मुद्दे पर लागू किया गया है। (आप रूट सर्वर और उनकी सेवाओं को दिखाने वाले नक्शे की जांच कर सकते हैं।)
डीएनएस को सुरक्षित करना
मुख्य अवसंरचना के अलावा, यह विचार करना भी उतना ही महत्वपूर्ण है कि आपके व्यवसाय की DNS अवसंरचना आक्रमण और विफलता दोनों के प्रति कितनी मजबूत हो सकती है। यह उदाहरण के लिए आम है (और कुछ RFC में कहा गया है) कि नाम सर्वर को पूरी तरह से अलग सबनेट या नेटवर्क पर रहना चाहिए। दूसरे शब्दों में, यदि ISP A में पूर्ण आउटेज है और आपका प्राथमिक नाम सर्वर ऑफ़लाइन है, तो ISP B अभी भी अनुरोध करने वाले किसी व्यक्ति को आपका मुख्य DNS डेटा प्रदान करेगा।
डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन (DNSSEC) सबसे लोकप्रिय तरीकों में से एक है जो व्यवसाय अपने स्वयं के नाम सर्वर बुनियादी ढांचे को सुरक्षित कर सकते हैं। ये सुनिश्चित करने के लिए एक ऐड-ऑन हैं कि आपके नाम सर्वर से जुड़ने वाली मशीन क्या कहती है। DNSSEC यह भी पहचानने के लिए प्रमाणीकरण की अनुमति देता है कि अनुरोध कहां से आ रहे हैं, साथ ही यह सत्यापित करने के लिए कि डेटा को स्वयं परिवर्तित नहीं किया गया है। हालांकि, डोमेन नेम सिस्टम की सार्वजनिक प्रकृति के कारण, उपयोग की जाने वाली क्रिप्टोग्राफी डेटा की गोपनीयता सुनिश्चित नहीं करती है, और न ही इसकी उपलब्धता की कोई अवधारणा है कि बुनियादी ढांचे के कुछ हिस्सों को कुछ विवरण की विफलता का सामना करना चाहिए।
आरआरएसआईजी, डीएनएसकेवाई, डीएस और एनएसईसी रिकॉर्ड प्रकार सहित इन तंत्रों को प्रदान करने के लिए कई कॉन्फ़िगरेशन रिकॉर्ड का उपयोग किया जाता है। (अधिक जानकारी के लिए, 12 DNS रिकॉर्ड की व्याख्या करें।)
जब भी DNSSEC क्वेरी सबमिट करने वाली मशीन और इसे भेजने वाले दोनों के लिए उपलब्ध है, तो RRISG का उपयोग किया जाता है। यह रिकॉर्ड अनुरोधित रिकॉर्ड प्रकार के साथ हाथ में भेजा जाता है।
एक DNSKEY हस्ताक्षरित जानकारी इस तरह लग सकता है:
ripe.net एक DNSKEY रिकॉर्ड है 257 3 से 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK + gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
डीएस, या प्रत्यायोजित हस्ताक्षरकर्ता, रिकॉर्ड का उपयोग विश्वास की श्रृंखला को प्रमाणित करने में मदद करने के लिए किया जाता है ताकि एक अभिभावक और एक बच्चे के क्षेत्र में आराम की एक अतिरिक्त डिग्री के साथ संवाद हो सके।
NSEC, या अगली सुरक्षित, प्रविष्टियाँ अनिवार्य रूप से DNS प्रविष्टियों की सूची में अगली वैध प्रविष्टि के लिए कूदती हैं। यह एक ऐसी विधि है जिसका उपयोग गैर-मौजूद डीएनएस प्रविष्टि को वापस करने के लिए किया जा सकता है। यह महत्वपूर्ण है ताकि केवल कॉन्फ़िगर की गई DNS प्रविष्टियों को वास्तविक होने के रूप में भरोसा किया जाए।
NSEC3, शब्दकोश-शैली के हमलों को कम करने में मदद करने के लिए एक बेहतर सुरक्षा तंत्र, मार्च 2008 में RFC 5155 में पुष्टि की गई थी।
DNSSEC रिसेप्शन
हालांकि कई समर्थकों ने DNSSEC को तैनात करने में निवेश किया है लेकिन यह इसके आलोचकों के बिना नहीं है। इन-मैन-इन-मिडिल हमलों जैसे हमलों से बचने में मदद करने की अपनी क्षमता के बावजूद, जहां प्रश्नों को हाइजैक किया जा सकता है और गलत तरीके से फीड किया जा सकता है, जो अनौपचारिक रूप से DNS प्रश्नों को उत्पन्न करने वाले लोगों के लिए हैं, मौजूदा इंटरनेट इन्फ्रास्ट्रक्चर के कुछ हिस्सों के साथ कथित संगतता मुद्दे हैं। मुख्य मुद्दा यह है कि डीएनएस आमतौर पर कम बैंडविड्थ-भूखे उपयोगकर्ता डेटाग्राम प्रोटोकॉल (यूडीपी) का उपयोग करता है जबकि डीएनएसएसईसी अपने डेटा को आगे और अधिक विश्वसनीयता और जवाबदेही के लिए पास करने के लिए भारी ट्रांसमिशन कंट्रोल प्रोटोकॉल (टीसीपी) का उपयोग करता है। पुराने DNS इन्फ्रास्ट्रक्चर के बड़े हिस्से, जो लाखों DNS अनुरोधों के साथ 24 घंटे एक सप्ताह में सात दिन मिलते हैं, यातायात में वृद्धि के लिए सक्षम नहीं हो सकते हैं। फिर भी, कई लोग मानते हैं कि DNSSEC इंटरनेट के बुनियादी ढांचे को सुरक्षित करने की दिशा में एक बड़ा कदम है।
जबकि जीवन में कुछ भी गारंटी नहीं है, अपने स्वयं के जोखिमों पर विचार करने के लिए कुछ समय लेने से भविष्य में कई महंगा सिरदर्द हो सकते हैं। उदाहरण के लिए, DNSSEC को तैनात करके, आप अपने प्रमुख DNS बुनियादी ढांचे के कुछ हिस्सों में अपना आत्मविश्वास बढ़ा सकते हैं।
