استراتيجيات الحد من ثغرات DNS

اقرأ في هذا المقال


كيفية الحد من ثغرات DNS

فهم مشكلات الخادم

أول شيء يجب فهمه حول (DNS) هو أنه، يوجد 13 خادم اسم جذر مسؤول في النهاية عن تفويض كل مجال على حدة، فبمجرد انتهاء صلاحية تواريخ مدة البقاء (TTL) للنطاقات ‏وهي قيمة في ترويسة بروتوكول الإنترنت، يكون نظام اسم المجال معطلاً، مثل تاريخ انتهاء الصلاحية الذي يخبر المحلل المحلي أو الخادم التكراري بمدة الاحتفاظ بسجل (DNS) في ذاكرة التخزين المؤقت الخاصة به.

  • “DNS” اختصار ل”Domain Name System”.
  • “TTL” اختصار ل”time to live”.

اتخاذ نهجًا وقائيًا لتجنب مشكلات التجديد

عند انتهاء صلاحية اسم المجال الخاص بالمستخدم، فقد يؤدي ذلك إلى مجموعة متنوعة من المشكلات الأخرى التي تسبب الضرر وضياع الوقت، على سبيل المثال، عادة ما تكون هناك فترة سماح مدتها شهر تقريبًا حيث يمكن متابعة التجديد، ومع ذلك، إذا لم يتم القيام بذلك، يمكن لشخص آخر شراء النطاق بمجرد انتهاء صلاحيته، حيث يصبح من غير ممتلكات المستخدم، لذلك من السهل للاستيلاء عليه، قد يعني ذلك أن موقع الويب الذي ربطه الأشخاص بوجهة الإنترنت الخاصة بالمستخدم لسنوات لم يعد تحت السيطرة، وبالتالي، فإن كل الوقت والمال الذي يتم إنفاقه في بناء العلامة التجارية واكتساب شهرة في السوق يصبح عديم الفائدة.

تنصح (Google) مستخدم الإنترنت بالعودة إلى الأمان، ومع ذلك، يمكنهم تجاوز هذا الخيار ومواصلة البحث في موقع الويب عن طريق تحديد خيار متقدم متوفر في نفس الصفحة، كما يشعر الكثير من الناس بالخوف بشكل مفهوم ويقررون عدم المتابعة، خاصةً إذا كان الموقع يجمع معلومات الدفع أو غيرها من التفاصيل الحساسة، حيث تمثل انتهاء الصلاحية نوعًا من فشل (DNS) يمكن منعه تمامًا، شريطةالبقاء على اطلاع على التواريخ ذات الصلة وتقرر تجديدها في الوقت المناسب، من ناحية أخرى، تكون المخاطرة كبيرة إذا لم تأخذ تواريخ انتهاء الصلاحية والأطر الزمنية للتجديد على محمل الجد.

المحافظة على محلل (DNS) خاصًا ومحميًا

اقتصار استخدام محلل (DNS) على المستخدمين فقط على الشبكة وعدم تركه مفتوحًا للمستخدمين الخارجيين أبدًا، كما يمكن أن يمنع هذا ذاكرة التخزين المؤقت الخاصة بها من التعرض للتسمم من قبل الجهات الخارجية.

القيام بتكوين DNS الخاص ضد افساد ذاكرة التخزين المؤقت

القيام بتكوين الأمان في برنامج (DNS) الخاص  لحماية المؤسسة من إفساد ذاكرة التخزين المؤقت، حيث يمكن إضافة تنوع للطلبات الصادرة من أجل جعل من الصعب على الجهات المهددة الانزلاق في استجابة زائفة وقبولها، كما يجب محاولة إجراء عملية عشوائية لمعرف الاستعلام، على سبيل المثال، أو استخدام منفذ مصدر عشوائي.

إدارة خوادم DNS الخاصة بأمان

يمكن استضافة الخوادم الموثوقة داخليًا أو بواسطة مزود الخدمة أو من خلال مساعدة مسجل المجال، إذا كان لدى المستخدم المهارات والخبرات المطلوبة للاستضافة الداخلية، فيمكنه التحكم الكامل، إذا لم تكن لديه المهارات والنطاق المطلوب، فقد يستفيد من الاستعانة بمصادر خارجية في هذا الجانب.

المصادقة الثنائية

يمكن للمهاجم الوصول إلى اسم المستخدم وكلمة المرور الخاصين، ولكن لا يزال بإمكان المستخدم التحكم في حسابه إذا كان يستخدم مصادقة ثنائية، حيث يجب القيام بإعداد حماية مصادقة ثنائية على مزود خادم (DNS) الخاص به، كما يجب تجنب المكالمات الهاتفية قدر الامكان أو التحقق من الرسائل القصيرة، واستخدام (Google Authenticator) بدلاً من ذلك وهو احد تطبيقات المصادقة ويقوم على إنشاء رموز التحقق بخطوتين على الهاتف، كما يوفّر ميزة التحقق بخطوتين مستوى أمان أعلى الحساب على (Google) من خلال طلب خطوة ثانية للتحقق عند تسجيل الدخول وهذا أكثر أمانًا.

تقييد عمليات نقل المنطقة

يعد نقل منطقة (DNS) مجرد نسخة من منطقة (DNS)، وبينما يتم استخدام هذه التقنية غالبًا بواسطة خوادم أسماء الرقيق للاستعلام عن خوادم (DNS) الرئيسية، حيث يمكن للمهاجمين في بعض الأحيان محاولة إجراء نقل منطقة (DNS) من أجل الحصول على فهم أفضل للشبكة، كما ان أحد الأشياء التي يمكن القيام بها لمنع هذه الأنواع من الحيل هو تقييد خوادم (DNS) المسموح لها بإجراء نقل المنطقة، أو على الأقل الحد من عناوين (IP) المسموح بها التي يمكنها تقديم مثل هذه الطلبات.

  • “IP” اختصار ل”Internet Protocol”.

إخفاء نسخة BIND

هو برنامج نظام أسماء النطاقات ويستخدم على نطاق واسع في الإنترنت، في حين أن بعض الأشخاص لا يمكنهم اعتبار ذلك ممارسة أمنية، فإن الأمان من خلال التعتيم هو مجرد طريقة أخرى لإخفاء المعلومات من المهاجمين عندما يقومون بإجراء تدقيق الأمان الأولي الخاص بهم ضد الخادم الخاص.

تحديث خوادم DNS باستمرار

يمنح تشغيل خوادم الأسماء الخاصة بالمستخدم القدرة على تكوين واختبار وتجربة الأشياء التي قد لا يتمكن من القيام بها على خوادم (DNS) الخاصة مثل تلك التي يوفرها مزود الاستضافة، أو عند التسجيل للحصول على حساب في (Cloudflare)، وهي خدمة شبكة توصيل المحتوى ونظام أسماء النطاقات تعمل على توفير أداء وسرعة اعلى لمواقع الويب وتوفير حماية لها، عندما يقرر تشغيل خوادم (DNS) الخاصة به، ربما باستخدام برامج مثل (BIND) أو (Microsoft DNS)، وكباقي برامج نظام التشغيل، فمن الضروري الحفاظ على تحديث هذه الحزم من أجل منع الخدمة مآثر تستهدف الخلل ونقاط الضعف.

تدقيق مناطق DNS الخاصة

أهم شيء يجب على المستخدم مراجعته بصرف النظر عن التكوين الرئيسي لخادم (DNS) هو منطقة (DNS) الخاصة به، مع مرور الوقت، يميل المستخدم إلى نسيان أسماء نطاقات الاختبار أو المجالات الفرعية التي تشغل أحيانًا برامج قديمة أو مناطق غير مقيدة عرضة للهجوم، أو إذا كان أحد السجلات يعرض منطقة إنترانت داخلية محجوزة عن طريق الخطأ.

اختبار تطبيقات الويب وواجهات برمجة التطبيقات بحثًا عن نقاط ضعف DNS

وذلك من خلال برنامج (Bright) وهو برنامج يقوم تلقائيًا بفحص التطبيقات وواجهات برمجة التطبيقات بحثًا عن مئات الثغرات الأمنية، بما في ذلك مشكلات أمان (DNS)، حيث يتحقق (Bright) من صحة كل اكتشاف قبل الإبلاغ، تأتي التقارير مع إرشادات علاجية واضحة للفريق، بفضل تكامل (Bright) مع أدوات إصدار التذاكر، من السهل تعيين المشكلات مباشرة إلى المطورين، من أجل المعالجة السريعة وذلك من خلال:

  • استخدام التوقيعات الرقمية والشهادات لمصادقة الجلسات من أجل حماية البيانات الخاصة.
  • القيام بالتحديث بانتظام واستخدم أحدث إصدارات البرامج، مثل (BIND) هو برنامج مفتوح المصدر يحل استفسارات (DNS) للمستخدمين، يتم استخدامه على نطاق واسع من قبل الغالبية العظمى من خوادم (DNS) على الإنترنت.
  • القيام بتثبيت التصحيحات المناسبة وإصلاح الخلل بشكل منتظم.
  • القيام بنسخ البيانات في عدد قليل من الخوادم الأخرى، بحيث إذا تعرضت البيانات للتلف او الضياع في أحد الخوادم ، فيمكن استعادتها من الخوادم الأخرى، كما قد يمنع هذا أيضًا فشل نقطة واحدة.
  • منع الاستعلامات الزائدة عن الحاجة لمنع الانتحال.
  • تحديد عدد الاستفسارات الممكنة.

المصدر: Five strategies to remove single points of DNS failure8 tips to prevent DNS attacksHow to Prevent DNS AttacksWhat is DNS? | How DNS works


شارك المقالة: