הגדרת DNSSEC
המאמר הוא בסיסי בלבד וכן יש הגדרות נוספות בDNSSEC שניתן להגדיר .
בכדי לבצע פינג למחשב או להתחבר אליו באופן מרוחק בארגון, נוכל להקיש רק את השם של המחשב ולא את כתובת ה IP שלו, שכן שירות DNS הארגוני אחראי על מציאת אותו מחשב
ברשת העולמית על מנת לגשת למחשב אחר\ שרת אחר יש צורך בכתובת ICANN אשר מייחדת כל כתובת ברשת העולמית
כאשר המחשב רוצה לדעת מה כתובת ה IP של השרת או המחשב אליו הוא רוצה להגיע הוא יתשאל את ה DNS בין אם הכתובת פנימית או חיצונית
עכשיו, תארו לכם מצב בו בתהליך התשאול, רציתם לגשת לאתר Shushan.co.il יוכל אדם לשנות את הניתוב אל האתר ולתת IP שונה ובכך למנוע או להעביר אותך לאתר אחר שאינו Shushan.co.il
הסבר מפורט:
DNSSEC יבצע בדיקה בעזרת תעודת אבטחה או יותר נכון שרת DNS עם Public Key והשרת השני עם Private Key,כאשר משתמש מבקש לדוגמה את כתובת ה IP של השרת Shushan.co.il המחשב של המשתמש יפנה לDNS שלו, הוא יפנה ל Root ואז ל co.il ואז co.il יחזיר תשובה את כתובת השרת של Shushan.co.il עד כה פשוט.
עכשיו נדמיין שתוקף מצליח להשתלט על אחד משרתי ה DNS נאמר ה Root DNS או ה co.il או שרת ה DNS הארגוני ונותן למחשב של המשתמש כתובת IP שונה מהכתובת המקורית?!
הDNSSec יבצע Chain Of Trust, הוא יוודא שהשאילתה נשלחה ותחזור ממקור מוסמך, כל שאילתה חתומה על ידי השרת שמתחת באופן הבא:
ידוע לנו שהכתובת היא
Shushan.co.il
שרת ה DNS הארגוני של המשתמש יתשאל את:
Root =” .”
שרת ה Root יתשאל את .co.il ויחתום על התשאול ואז ישלח אותו ל:
Top Level Domain = .co.il
שרת ה TLD שהוא .co.il יבדוק אצלו מה כתובת ה IP ויחזיר את השאילתה חתונה לשרת ה Root, כך ששרת הRoot יודע שהתשובה מהימנה, שרת הRoot יחתום שוב על התשובה ויעביר אותה לשרת ה DNS של הארגון בו נמצא המחשב של המשתמש ואותו שרת DNS ארגוני יודע שהתשובה חתומה ולכן מהימנה
נתחיל…
פתחו את Server Manager לחצו על Tools
לאחר מכן לחצו על DNS
לחצו על DNS
פתחו את Forward Lookup Zones
לחצו קליק ימני על הדומיין שלכם ואז DNSSEC
אם תרצו לבטל, באותו המקום גם ביטול ה DNSSEC
לחצו על Sign The Zone
לחצו Next
הסבר קצר של מיקרוסופט על DNSSEC
גם פה לחצו Next
ניתן לחתום את הZone עם שרת אחר או Zone אחר שעליהם גם בארגון עם אינטרנט פנימי תוכלו לאבטח שני Zones
לחצו על Add ואז על OK (כן בלי לשנות כלום)
הוסיפו והבא
Next שוב ושוב ואותו דבר גם פה
הוסיפו והבא
וכל גם בכל “הגדרות ההצפנה” הוסיפו, השאירו את ברירת המחדל עד לסיום האשף וזהו, שרת ה DNS שלכם חתום.
