DNS คืออะไร
ระบบ Domain Name System (DNS) คือการจับคู่โดเมนกับ IP address เพื่อให้การติดต่อทางอินเทอร์เน็ตเกิดขึ้นได้โดยไม่ต้องจำเลข IP address โดยข้อมูลของชื่อโดเมนและ IP address จะถูกเก็บเป็นไฟล์ที่เรียกว่า zone file
DNSSEC คืออะไร
เนื่องจาก DNS ยังมีช่องว่างที่บรรดา hacker สามารถปลอมแปลง IP address ระหว่างทางที่ผู้ใช้งานเรียกใช้ระบบ DNS จึงได้มีการคิดค้นระบบ Domain Name System Security Extensions (DNSSEC) เพื่อเพิ่มความปลอดภัยให้กับระบบ DNS โดยระบบ DNSSEC จะมีการ Sign (ใส่รหัส) zone file และเมื่อมีการอ้างถึงข้อมูลใน zone จะมีการเช็คกลับไปว่าข้อมูลที่ได้รับเป็นข้อมูลที่ถูกต้องหรือไม่
ตัวอย่างหนึ่งของการปลอมแปลงข้อมูล คือ การที่ cache server ซึ่งเป็น DNS server ในฝั่งของผู้ใช้งาน โดยส่วนมากจะตั้งอยู่ที่ผู้ให้บริการอินเทอร์เน็ต ได้รับข้อมูลจากผู้ไม่ประสงค์ดี ซึ่งเป็นข้อมูลที่ไม่ได้มาจาก DNS server ที่เป็นเจ้าของโดเมนจริง จากนั้น cache server ก็ทำหน้าที่แจกจ่ายข้อมูลนั้นต่อไปยังผู้ใช้งานทำให้ผู้ใช้งานเข้าไปยังเครื่องหรือเว็บไซต์ที่ไม่ถูกต้อง
ในกรณีที่โดเมนใช้งาน DNSSEC เมื่อได้รับคำตอบเป็น IP address สำหรับชื่อโดเมนที่ต้องการ คำตอบนั้นถ้าเป็นข้อมูลที่ถูกต้องจะมีการใส่รหัส (เรียกว่า key ซึ่งการใส่รหัสนี้เกิดขึ้นในขั้นตอนการ sign zone) และเครื่องที่ได้รับคำตอบจะสามารถตรวจสอบรหัสนี้กับเครื่องต้นทางได้ ซึ่งถ้าการตรวจสอบรหัสถูกต้องตามกระบวนการ ก็มั่นใจได้ว่าข้อมูล IP address ที่ได้รับเชื่อถือและนำไปใช้ได้
ทำไมถึงต้องใช้ DNSSEC
หากท่านเป็นเจ้าของเว็บไซต์ หรือเป็นผู้ให้บริการทางด้านอินเทอร์เน็ต ท่านคงเป็นคนหนึ่งที่อยากได้รับความมั่นใจว่าเว็บไซต์หรือโดเมนที่ท่านดูแลนั้นมีความปลอดภัยต่อผู้ใช้งานของท่าน ดังนั้น DNSSEC จึงเป็นอีกทางเลือกหนึ่งสำหรับท่าน
 |
หากมองย้อนกลับไปปลายปีที่แล้ว (2551) ได้มีผู้ไม่ประสงค์ดีเจาะระบบ DNS (Kaminsky DNS Vulnerability) จากนั้นหน่วยงาน US-CERT (The United States Computer Emergency Readiness Team) ได้ออกประกาศเกี่ยวกับช่องโหว่ของการใช้งาน DNS ในส่วนของ cache server (http://www.kb.cert.org/vuls/id/800113) หรือที่เรียกว่า cache poisoning ช่องโหว่นี้เปิดโอกาสให้ผู้ไม่ประสงค์ดี ทำการส่งข้อมูลที่บิดเบือนมาเก็บไว้บนเซิฟเวอร์ (name server ที่ทำหน้าที่ cache หรือ เก็บข้อมูล DNS) ทำให้ผู้ใช้ได้ข้อมูล IP address ที่ไม่ถูกต้อง ส่งผลให้ผู้ใช้หลงเข้าไปยังเครื่องคอมพิวเตอร์ที่ไม่ใช่เครื่องจริง ซึ่งอาจเป็นเครื่องที่ผู้ไม่ประสงค์ดีตั้งใจวางไว้หลอกเก็บข้อมูลที่สำคัญ เช่น ข้อมูลเกี่ยวกับบัญชีธนาคาร, บัตรเครดิต หรือ password เป็นต้น
ตัวอย่างของการถูกโจมตีผ่านช่องโหว่นี้เช่น
|
จากตัวอย่างจะเห็นได้ว่าความปลอดภัยของข้อมูล DNS มีความสำคัญมาก ถ้าปล่อยให้เกิดปัญหา ผลกระทบจะสูงอย่างคาดไม่ถึง การป้องกันเป็นแนวทางที่ดีที่สุด ท่านในฐานะผู้ใช้งานคนหนึ่ง ควรตรวจสอบว่า DNS server ที่ท่านใช้นั้นปลอดภัยหรือไม่ โดยอาจจะติดต่อ ISP เพื่อขอความมั่นใจ ท่านในฐานะผู้ให้บริการ ควรให้ความมั่นใจกับผู้ใช้ในเรื่องความปลอดภัยของ DNS server ที่ท่านให้บริการ โดยการเปิด (turn on) DNSSEC ในระบบของท่าน และสุดท้าย ท่านในฐานะเจ้าของ Domain Name ควรจัดการให้โดเมนของท่านได้รับการ sign zone
โดเมนที่เปิดใช้งาน DNSSEC
Registry หรือผู้ดูแลฐานข้อมูลโดเมนระดับบนสุดแบบทั่วไป (gTLDs) และ แบบรหัสประเทศ (ccTLDs) ได้ให้ความสำคัญกับการเพิ่มความปลอดภัยให้กับระบบโดเมนเป็นอย่างมาก
ทั้งนี้ในปัจจุบันมี ccTLDs หลายประเทศได้เปิดใช้ DNSSEC แล้ว และ .th เองก็เป็น ccTLDs แรกในภาคพื้นเอเชียแปซิฟิกที่เปิดใช้งาน DNSSEC ในขณะที่ยังคงมีเพียง .org เป็นเพียงโดเมนเดียวในกลุ่มโดเมนระดับบนสุดแบบทั่วไป ที่เปิดให้บริการ DNSSEC ทั้งนี้ .com และ .net ให้ข้อมูลว่าน่าจะเปิดให้บริการได้ภายในปี 2010บริการ sign zone ของดอทอะไร (เปิดให้บริการ sign zone เป็นรายแรกในไทย)
|
ดอทอะไรซึ่งเป็นผู้ให้บริการจดทะเบียนโดเมนรายแรกและรายเดียวในไทยที่ได้รับการแต่งตั้งเป็น ICANN Accredited Registrar ได้เห็นถึงความสำคัญของ DNSSEC ในการเพิ่มความปลอดภัยของระบบโดเมนดังกล่าว เพื่อเปิดโอกาสให้เจ้าของโดเมนที่ไม่ต้องการมีภาระยุ่งยากกับขั้นตอนการ sign zone ได้มีโอกาสเพิ่มความปลอดภัยให้กับโดเมนของท่าน ดอทอะไรจึงเปิดให้บริการ sign zone สำหรับโดเมนภายใต้ .org และ .th แล้ววันนี้ หากท่านเป็นผู้หนึ่งที่สนใจจะ sign zone กับเรา สามารถสอบถามรายละเอียดเพิ่มเติมได้ที่
support(at)dotarai.co.th
|
|
