پرش به مطلب اصلی

تنظیم DNSSEC

در اینترنت، تبدیل نام دامنه به IP بر عهده‌ سیستم DNS است. اما DNS به‌تنهایی هیچ‌گونه سازوکار امنیتی برای تأیید اعتبار اطلاعاتی که ارائه می‌دهد ندارد. این یعنی ممکن است کاربران به‌جای سایت واقعی شما، به نسخه‌ جعلی هدایت شوند، بدون آن‌که متوجه شوند.

برای حل این مشکل، پروتکل DNSSEC طراحی شده است. این فناوری با استفاده از امضای دیجیتال رکوردهای DNS و زیرساخت کلید عمومی (PKI)، اطمینان حاصل می‌کند که رکوردها دست‌کاری نشده‌اند و از منبع اصلی آمده‌اند. توجه داشته باشید که DNSSEC داده‌ها را رمزنگاری نمی‌کند؛ بلکه تنها اعتبار آن‌ها را تضمین می‌کند.

DNSSEC در آبالون

آبالون به‌عنوان DNS سرور معتبر (Authoritative)، این امکان را فراهم می‌کند که با دریافت رکورد DS از پنل کاربری، DNSSEC را برای دامنه‌ خود فعال کرده و از حملات سطح DNS جلوگیری کنید.

مکانیزم عملکرد DNSSEC چگونه است؟

زمانی که DNSSEC برای دامنه‌ای فعال باشد، روند تبدیل نام دامنه به IP (فرایند Resolve) به‌شکل زیر انجام می‌شود:

  • کاربر آدرس example.com را در مرورگر وارد می‌کند. مرورگر ابتدا Cache سیستم را بررسی می‌کند. اگر IP را پیدا نکرد، درخواست را به DNS Resolver ارسال می‌کند.

  • DNS Resolver (که معمولاً از سوی ISP شما تعیین شده) هم Cache خودش را بررسی می‌کند. در صورت عدم وجود رکورد، درخواست را به Root Server می‌فرستد.

  • Root Server پاسخ می‌دهد و IP مربوط به دامنه‌ سطح بالا (مثلاً com.) را به همراه رکورد DS ارسال می‌کند.

  • Resolver با استفاده از این IP، به TLD Server درخواست می‌فرستد.

  • TLD پاسخ می‌دهد و IP مربوط به DNSهای آبالون را به همراه رکورد DS به Resolver می‌فرستد.

  • Resolver حالا درخواست را برای DNS سرور آبالون ارسال می‌کند تا رکورد اصلی دامنه را دریافت کند.

  • آبالون در پاسخ، علاوه بر رکورد اصلی، رکوردهای امضای دیجیتال (RRSIG) و کلید عمومی (DNSKEY) را هم ارسال می‌کند.

  • Resolver با استفاده از این اطلاعات، اعتبار رکوردها را بررسی می‌کند. اگر همه چیز تأیید شد، IP نهایی را به مرورگر برمی‌گرداند تا کاربر به سایت اصلی متصل شود.

فعال‌سازی DNSSEC در پنل کاربری آبالون

پیش از شروع، به این نکته توجه داشته باشید که فعال‌سازی DNSSEC تنها در صورتی امکان‌پذیر است که رجیسترار دامنه (فروشنده دامنه) و TLD از این قابلیت پشتیبانی کنند.

برای فعال‌سازی DNSSEC:

Alt text

۱. وارد پنل کاربری آبالون شوید.

۲. از منوی اصلی، دامنه‌ مورد نظر را در بخش CDN انتخاب کنید.

۳. به بخش رکوردهای DNS بروید.

۴. در پایین صفحه، گزینه‌ DNSSEC را پیدا کرده و آن را فعال کنید.

پس از فعال‌سازی، کادری ظاهر می‌شود که شامل اطلاعات DS Record دامنه‌ شماست. این رکورد برای ثبت در رجیسترار دامنه استفاده می‌شود و نقش کلیدی در فرآیند اعتبارسنجی DNS دارد.

Alt text

داده‌هایی که پس از فعال‌سازی DNSSEC در پنل آبالون نمایش داده می‌شوند، به‌صورت شماره‌گذاری‌شده هستند و شامل اطلاعات زیر هستند:

  • Key Tag – شناسه‌ای عددی برای شناسایی کلید امضا

  • Algorithm – الگوریتم رمزنگاری مورد استفاده

  • Digest Type – نوع الگوریتم هش

  • Digest – خروجی هش شده از اطلاعات DNS برای اعتبارسنجی

این اطلاعات را باید عیناً در پنل رجیسترار دامنه وارد کنید تا اتصال DNSSEC به درستی برقرار شود.

 در نهایت، پس از دریافت رکورد DS، باید وارد پنل رجیسترار دامنه‌ خود شوید (سایتی که دامنه را از آن خریداری کرده‌اید) و مقادیر دریافتی را دقیقاً مطابق فرمت خواسته‌شده وارد کنید تا تنظیمات به‌درستی اعمال شوند.