Split-brain DNS

لدينا تقنية Dynamic DNS وهي تقنية تقدم خدمة ممتازة وتوفر الكثير من الوقت والجهد على مدير الشبكة ولكن هل تعلموا ان هذه التقنية لها نقطة ضعف وهي تتمثل في ان اي جهاز يقوم لاستخدام DNS SUFFIX معين في إعداداته فإنه قوم بتسجيل نفسه في DNS ديناميكيا حتى لو لم يكن ينتمي لنفس المجال , بمعنى أننا لوافترضنا أننا قمنا في أحد أجهزتنا المتصلة بالانترنت بوضع DNS SUFFIX له وليكن مثلا ibm.com فإن جهازنا يقوم بالفعل بالاتصال بسيرفر ال DNS المسؤول عن المجال ibm.com ويقوم بتسجيل نفسه في سجلاته وكأنه تابع لهذا المجال! , ولكن هل لهذا الأمر مساوئ ؟ بشكل مباشر لا , ولكن يسبب إزعاج لمدير ذلك النظام عندما يجد سجلات غريبة قامت بالتسجيل في سيرفره , كما أن هذا الأمر قد يستخدمه المخترقون للتضليل على مصدر الاختراق الحقيقي , حيث يقومون بتسجيل الجهاز الذي يحاولون الاختراق عن طريقه بسيرفر DNS بعيدا جدا عن عنهم وبالتالي فإنهم عندما يقومون بالاختراق فإنهم سيتركون ورائهم أثرا يشير إلى المجال الذي ينتمون إليه والذي سيكون بعيدا كل البعد عن موقعهم الحقيقي. وليش ذلك فحسب , بل يستطيع المخترقون بكل بساطة الاتفاق على وضع DNS SUFFIX معين بحيث إذا كان عدد المخترقين بالمئات مثلا أو أكثر فإنهم عند التسجيل في سيرفر DNS معين يؤدي ذلك إلى تحميله بعبء زائد وثقيل وبالتالي إيقاف عمله.

بعد أن تعرفنا على نقطة الضعف هذه هل من حل ؟ نعم وذلك باستخدام تقنية Active Directory Integrated Zone فهذا النوع من النطاقات يستخدم تقنية ال DNS ولكنه بنفس الوقت يشترط ان يكون الجهاز الذي يسجل بياناته في ال DNS أن يكون عضوا في الدليل النشط وأن يسجل الدخول إليه وذلك بإدخال الاسم وكلمة المرور وبالتالي فإن أي محاولات بائسة من أي أجهزة غريبة للتسجيل في DNS ستبوء بالفشل لأن هذه الأجهزة لا تنتمي للدليل النشط. ولكن في المقابل قد تبرز لنا مشكلة إضافية وهي أننا هل نريد فعلا أن يكون الدليل النشط ومجاله متصلا بالانترنت مباشرة وبالتالي يكون معرضا للأخطار من كل مكان ؟ إذا ما الحل وكيف نستطيع عزل المتحكمات بالمجال عن الانترنت الخارجي بحيث تتصل بالانترنت ولكن لا تتعرض لمخاطره .

هنا يأتي دور فكرة ال Split – Brain DNS وهي تتمثل بالتالي : ان يكون لدينا سيرفر DNS خارجي متصل مباشرة بالانترنت ومسئول عن المجال الذي نود للعالم الوصول إليه بمعنى أننا سنقوم بإعداد سيرفر DNS غير ديناميكي ويحتوي فقعلى سجلين أحدهما يشير إلى عنوان موقع الانترنت المرتبط بالمجال (أي أننا نشئ سجل A باسم WWW ونربطه بعنوان موقع الانترنت كي يتمكن الزوار من الوصول إليه) أما السجل الآخر فيشير إلى السيرفر المسئول عن خدمة البريد الالكتروني , ثم نقوم بإعداد سيرفر DNS آخر يكون ديناميكيا وتتصل به أجهزة الشبكة الداخلية لدينا عن طريق الدليل النشط ثم نقوم بوصل السيرفرين معا وبالتالي نكون قد عزلنا شبكتنا الداخلية عن المخاطر الخارجية وفي نفس الوقت يستطيع زوارنا الدخول إلى مواقع الانترنت الخاصة بنا.

تمّ الاسترجاع من "https://www.marefa.org/w/index.php?title=Split-brain_DNS&oldid=1083771"