لقد تحدثنا في تدوينة سابقة عن متهو الامتداد الامن لنظام أسماء النطاقات وفي هذه التدوينة نكمل بقية الموضوع
وفيما يلي عرض لبعض المكونات والمهام الهامة والمساعدة في تفعيل الامتداد الآمن في خادم أسماء النطاقات المعتمد:
1. جهاز التوقيع
بشكل عام وفي معظم الحالات، فإنه لا يمكن الوصول لجهاز التوقيع من خلال شبكة الإنترنت، ويكون تواجده تقريبا بين جهاز توليد ملف النطاق (zone builder) وخادم أسماء النطاقات المعتمد. وعليه فإن جهاز توليد ملف النطاق (zone builder) يقوم بنقل ملف النطاق بعد إنشاءه إلى جهاز التوقيع (signer) باستخدام على سبيل المثال أحد الأوامر التالية: AXFR/IXRF أو SSH/SCP، وبعد التوقيع يقوم جهاز التوقيع (signer) بنقل الملف الموقع إلى الخادم المعتمد بنفس الطريقة.
إذا كان جهاز توليد ملف المنطقة (zone builder) يدعم الامتداد الآمن وقادر على إصدار التواقيع الرقمية فإنه يمكن استخدامه كجهاز توقيع (signer)، وهذا قد يسهل كثيرا من تجهيز البنية التحتية اللازمة. وعلى كل حال فإنه من غير المستحسن على الإطلاق تنفيذ وظيفة التوقيع باستخدام خادم أسماء النطاقات المعتمد والذي قد يعرض الجزء الخاص من مفاتيح التوقيع للانتهاك.
وينصح بشدة توفر نسخة احتياطية لجهاز التوقيع (signer) لمواجهة احتمال تعطله بسبب فشل برمجي أو عتادي أو حتى اختراق أمني. بحيث يتم نقل وظائف ومفاتيح التوقيع يدويا إلى الجهاز الاحتياطي في غضون فترة زمنية مقبولة. ومن المعلوم أن أي خلل في جهاز التوقيع لا يؤثر بشكل مباشر على قدرة الوصول إلى ملف النطاق، ولكن سيمنع أي تحديث له، وبالتالي ستنتهي صلاحية التواقيع في نهاية المطاف إذا لم يتم استعادة جهاز التوقيع خلال فترة معينة من الزمن. ومن هنا تأتي أهمية الاختيار الأصوب للقيم الخاصة بإعدادات نظام التوقيع والتي لها تأثير على مدى أهمية توافر جهاز التوقيع (انظر القسم حول اختيار قيم إعدادات الامتداد الآمن).
هناك برامج من شأنها أن تساعد في أداء هذه المهام، على سبيل المثال، OpenDNSSEC وأحدث الإصدارات من BIND.
2. إنشاء وإدارة مفاتيح التواقيع
يعتبر إنشاء وإدارة مفاتيح التواقيع (ZSK وKSK) نواة لتجهيز وتفعيل بنية الامتداد الآمن، ولذلك يجب الاعتناء عناية خاصة بذلك لضمان ما يلي:
أن تكون هناك عشوائية كافية عند إنشاء المفاتيح. ويمكن زيادة العشوائية باستخدام مولد أرقام عشوائية خارجي، متوفرة على سبيل المثال: كذاكرة USB، أو كجزء من أحدث المعالجات (مثل: RdRand).
حفظ الجزء الخاص من مفاتيح التواقيع وحمايتها من الوصول إليها من غير المصرح لهم.
تشفير الجزء الخاص من مفاتيح التوقيع دائما أثناء التخزين، ويمكن أيضا أن يتم تخزينها على أجهزة مخصصة لذلك ( مثل أجهزة وحدة الأمن - HSM). مع العلم أن هذه الأجهزة عادة ما تكون مكلفة للغاية وتتطلب قدرا كافيا من الخبرة الخاصة، وهي حقيقة ليست ضرورية لمعظم الجهات.
وجود نسخ احتياطية من مفاتيح التواقيع ويجب أن لا يتم تخزينها في شكل نص عادي من دون تشفير.
اختيار خوارزمية تشفير آمنة ومدعومة جيدا، على سبيل المثال (اعتبارا من تاريخ كتابة هذا التقرير)، فإن خوارزمية RSA تعتبر خيارا مناسب ويستحب أن يكون طول المفتاح 2048 خانة ثنائية (bit). وتجدر الإشارة أنه من المفضل التأكد من أن جهاز التوقيع قادر على دعم خوارزميات منحنى إهليلجي (ECDSA) والتي من المحتمل أن تصبح هي المستخدمة في المستقبل القريب.
استخدام خوارزمية قوية لعملية الاختزال (hash)، على سبيل المثال، SHA-256.
استخدام مفتاحين مختلفين لعملية التوقيع: مفتاح توقيع المفاتيح (KSK) ويستخدم فقط لتوقيع سجلات المفاتيح (DNSKEY RRset)، ومفتاح توقيع ملف النطاق (ZSK) ويستخدم لتوقيع جميع السجلات في ملف النطاق. وبهذه الطريقة سوف يسمح باستبدال مفتاح توقيع ملف النطاق (ZSK) دون المساس بملف النطاق التابع للنطاق الأعلى التالي (parent zone). ويمكن تخويل جهاز التوقيع (signer) باستبدال مفتاح توقيع ملف النطاق (ZSK) مرتين أو 4 مرات في السنة، وهي تعتبر ممارسة جيدة. أما استبدال مفتاح توقيع المفاتيح (KSK) فيتطلب التواصل والتنسيق مع مشغل النطاق الأعلى التالي (parent zone)، وعليه هناك طريقتان لاستبداله:
1. استبدال مفتاح توقيع المفاتيح (KSK) فقط عند تحديث نظام التوقيع أو خوارزمية التشفير – هذا يتطلب استخدام مفتاح طويل نسبيا، على سبيل المثال، 4096 خانة ثنائية؛
2. يجب أن تتم عملية الاستبدال بشكل دوري ومنتظم كل سنة أو سنتين.
3. اختيار قيم إعدادات الامتداد الآمن
تعرض كل من الوثائق التالية (RFC 6781 و RFC 7583) مجموعة من التوصيات المفيدة لاختيار بعض قيم الإعدادات والفترات الزمنية الخاصة بالامتداد الآمن. وهذه بعض الأفكار عند تحديد قيم الإعدادات:
الدافع الأهم في اختيار الفترات الزمنية وتحديد قيم الإعدادات هو ضمان أن الأشخاص المسؤولين عن نظام أسماء النطاقات والامتداد الآمن لديهم الوقت الكافي لكشف وتحديد المشاكل قبل أن تنتهي صلاحية التواقيع في ملف النطاق أخذين عطلة نهاية الأسبوع والأعياد في عين الاعتبار. على سبيل المثال: في الوضع المعتاد تكون فترة الصلاحية للتوقيعات 14 يوما، وفترة التجديد تصل إلى 10 أيام، وهذا يعطي 10 أيام لاكتشاف وإصلاح الخطأ.
التوقيع المنتظم يحافظ على تجديد التواقيع.
يجب تعيين وقت انتهاء الصلاحية ملف النطاق (zone’s SOA expiry time) بقيمة أقل من فترة صلاحية التواقيع في الملف. وهذا بدوره يجعل صلاحية ملف النطاق تنتهي من على الخادم المعتمد قبل الرد بتواقيع منتهية الصلاحية. بحيث أنه في حالة انتهاء صلاحية ملف النطاق، فإن الخادم المعتمد يجيب على أجهزة الاستقصاء بالرد SERVFAIL، وعليه يقوم جهاز الاستقصاء بالاستفسار من خادم معتمد أخر . ولكن بالمقابل لو كانت صلاحية ملف المنطقة لا تنتهي قبل انتهاء مدة صلاحية التواقيع، فإن الخادم المعتمد سوف يرد بتواقيع منتهية الصلاحية إلى أجهزة الاستقصاء، مما يوقف عملية الاستفسار وإرجاع SERVFAIL لمقدم الطلب الأصلي.
ينصح (لملفات النطاق الكبيرة) استخدام السجلات NSEC3 بدلا من السجلات NSEC لمنع اكتشاف محتويات ملف النطاق.
4. نشر سجل توثيق توقيع التفويض (DS)
لإنشاء سلسلة الثقة لملف النطاق فإنه يتحتم نشر سجل توثيق توقيع التفويض (DS) الخاص بمفتاح توقيع المفاتيح (KSK) في ملف النطاق الأعلى التالي (parent zone) ويوقع باستخدام مفتاح توقيع ملف النطاق (ZSK) التابع للنطاق الأعلى التالي.
5. المراقبة المستمرة
من المهم جدا مراقبة ملفات النطاقات الموقعة من قبل الامتداد الآمن. وهذه قائمة من الأمثلة التي يستحسن مراقبتها:
التأكد من صحة ملف النطاق و صحة بيانات الامتداد الآمن للملف، وذلك بالاستعانة بنظام مراقبة يستفسر عن بعض النطاقات ويتأكد من أن الخانة AD (Authenticated Data) مفعلة في الردود الواردة إليه من الجهاز المسؤول عن ملف النطاق قبل نشره في الخوادم الرئيسية، ويمكن الاستعانة ببعض الملحقات الاضافية على برامج المراقبة والتي تدعم ذلك (مثل Nagios).
الفترات الزمنية المتبقية لصحة التواقيع ينبغي أن تبدو وكأنها رسم بياني متعرج بنمط ثابت، أي، تكون منخفضة جدا عندما تصل قيمتها مساوية لقيمة تحديث التوقيع (على سبيل المثال، 10 أيام) وترتفع جدا عندما تصل فترة صلاحية التواقيع (على سبيل المثال، 14 يوما) عند حدوث عملية التجديد.
آخر تحديث لملف النطاق: يجب تحديث ملف المنطقة بشكل دوري لضمان عدم انتهاء صلاحية التواقيع (يمكن التحقق من تغيير قيمة التسلسل الرقمي في سجل SOA ).
نقل ملف النطاق بين جهاز التوقيع والخادم المعتمد (أو بين الخادم المعتمد الرئيسي والخوادم المعتمدة الثانوية).
من الضروري، بعد توقيع ملف النطاق وقبل نقله لخوادم الأسماء المعتمدة، القيام بالتحقق الذاتي عن طريق التحقق من صحة السجلات الموقعة وأن سجل المفاتيح تم توقيعه باستخدام مفتاح توقيع المفاتيح (KSK) الذي له نسخة مختزلة على شكل سجل (DS) في ملف النطاق الأعلى التالي.
ب- تفعيل الامتداد الآمن في أجهزة الاستقصاء :
والغرض من تفعيل الامتداد الآمن في أجهزة الاستقصاء (resolvers) هو للتحقق من صحة الردود المستلمة. وهذا ينطوي على التحقق من صحة توقيعات الامتداد الآمن والتحقق من "سلسلة الثقة" بدأ من الجذر (root DNS) ولجميع النطاقات الفرعية على طول الطريق وانتهاء إلى النطاق المعني للتأكد من أنه لم يتم تغيير المعلومات أو العبث بها.
وبشكل عام ودون الخوض في التفاصيل الفنية، فإنه يمكن تقسيم تفعيل الامتداد الآمن في أجهزة الاستقصاء إلى الخطوات التالية:
1. إعداد المتطلبات
وهذا ينطوي على اختيار الإصدار المناسب من برنامج أسماء النطاقات والتي تدعم التحقق من صحة الامتداد الآمن، على سبيل المثال، BIND (الإصدار. 9.7.5 أو أحدث) و Unbound (الإصدار 1.4.16 أو أحدث). وتجدر الإشارة أنه وبسبب استخدام التشفير بالمفتاح العمومي فإن عمليات الامتداد الآمن تعتبر مكثفة حسابيا، لذلك ولغرض سلاسة وسرعة المعالجة يتطلب أن تكون قوة وحدة المعالجة المركزية أعلى من المتوسط، مع العلم بأن أغلب الأجهزة الحديثة للخادمات (والتي لا يزيد عمرها عن 5-7 سنوات) تعتبر قوية بما فيه الكفاية لتشغيل الامتداد الآمن في أجهزة الاستقصاء.
يلاحظ أن سجلات الامتداد الآمن زادت من حجم ردود أسماء النطاق بشكل ملحوظ والذي قد لا يمكن تضمينه في حزمة UDP بحجم 512 بايت. وبالتالي، فإن البنية التحتية للشبكة والجدران النارية تحتاج إلى فحص وضبط لدعم ردود الامتداد الأمن الطويلة على كل من UDP و TCP (وهو ما يعرف بدعم استخدام EDNS0).
2. الحصول والتحقق من صحة رابط الثقة
عند تفعيل خدمة الامتداد الآمن في أجهزة الاستقصاء فإنه ينبغي تزويدها برابط الثقة الجذري (root trust anchor) ليلعب دور نقطة البدء في سلسلة الثقة. وعليه فإنه من الأهمية بمكان التأكد من صحة وسلامة رابط الثقة الجذري قبل تجهيز جهاز الاستقصاء، وذلك من خلال أولا جلب نسخة من رابط الثقة الجذري من موقع آيانا (IANA) مع الحرص على جلبه خلال قناة آمنة (مثال: https). ومن ثم التأكد من أن معلومات رابط الثقة الجذري التي تم الحصول عليها من موقع آيانا يتوافق مع المفتاح العمومي لمنطقة الجذر والمنشور في الخادم الجذري. وينبغي كذلك التحقق من صحتها باستخدام آلية أخرى )على سبيل المثال، شبكة ثقة PGP).
3. الحفاظ على صحة ساعة التوقيت
يعتمد الامتداد الآمن اعتماد مكثفا على ساعة جهاز الاستقصاء، لأن التواقيع لديها فترة صلاحية تبدأ في وقت إنشائها وتنتهي عند انقضاء وقت الصلاحية. ولذلك قد يتعامل جهاز الاستقصاء مع بيانات التوقيع بشكل غير دقيق في حال كانت ساعته الداخلية غير منضبطة (متزامنة). وعليه فإنه من المفضل استخدام مصدر خارجي لضبط وجعل أوقات الأجهزة متزامنة مثل بروتوكول وقت الشبكة (NTP).
4. المراقبة المستمرة
قام الامتداد الآمن بإدخال عدة تعديلات جوهرية في تشغيل خدمة اسم النطاقات وبالتالي سبب عبء من نوع جديد. لذا، فمن الأهمية بمكان مراقبة تشغيل الامتداد الآمن ومكوناته، ومنها على سبيل المثال لا الحصر التالي:
ينبغي – عند الضرورة - دراسة وتحليل عدد الأخطاء ونوعها المنبثقة من عملية التحقق، على سبيل المثال، عن طريق زيادة الإسهاب (التفاصيل) في تسجيل وقائع (logging) برنامج خادم أسماء النطاق لجهاز الاستقصاء.
توفر الإحصاءات لجهاز الاستقصاء (بما في ذلك أخطاء التحقق من الصحة) يعتمد على نوع البرنامج المستخدم. على سبيل المثال في نظام Unbound يمكنك تفريغ الإحصاءات باستخدام الأمر: unboundcontrol-stats’.
يتطلب دراسة متأنية ما إذا كان من المناسب تسجيل الوقائع بشكل مستمر أم لا. مع ملاحظة أن تسجيل الوقائع بشكل مستمر يمكن، في أسوأ الأحوال، أن يزيد من الحمل على الجهاز بشكل كبير، وبالتالي فتح جبهة جديدة للهجوم.
عدد الردود SERVFAIL.
حالة انضباط (تزامن) ساعة جهاز الاستقصاء (على سبيل المثال، NTP تزامن).
منهجية المركز لتبني الامتداد الآمن (DNSSEC)
دأب المركز منذ نشأته الاعتماد على الأيدي الوطنية من منسوبيه وذلك للبحث والتطوير وبناء الأنظمة، وهذا هو وسيلته أيضا لتبني منظومة الامتداد الآمن (DNSSEC) حيث بدأ بتأهيل بعض منسوبيه لحضور بعض الدورات وورش العمل ذات العلاقة وكذلك تكوين العلاقات الثنائية والجماعية مع المختصين وذوي الخبرات الدولية في هذا المجال، حتى استطاع – بحمد الله – القيام ببعض الدراسات ووضع الخطط التنفيذية وإعداد الضوابط الفنية والإجرائية وتحديد المتطلبات وتنفيذها. وتجدر الإشارة أن هذه المنهجية (الاعتماد على فريق وطني مبدع وبرمجيات المصدر المفتوح) مكنت المركز من توطين التقنية محليا والريادة عالميا في ما يقوم به المركز من بحث وتطوير، بالإضافة إلى تقليل تكلفة التطوير والتشغيل.
وقد بدأت الهيئة منذ عام 2015م بتنفيذ مشاريع داخلية على عدة مراحل، حيث بدأت أولا بمشروع لدراسة كيفية تبني الامتداد الآمن (DNSSEC) في منظومة أسماء النطاقات السعودية من خلال التعرف على بعض التجارب الدولية ودراسة المواصفات والمعايير الدولية. وقد خلصت هذه الدراسة إلى وضع خطة (خارطة طريق) مكونة من ثلاثة مراحل أساسية لتبني الامتداد الآمن لأسماء النطاقات:
المرحلة الأولى: كسب الخبرة المحلية
مرحلة الثانية: التشغيل التجريبي
مرحلة النهائية: التشغيل الفعلي
وقد شمل تنفيذ هذه الخطة التركيز على بناء الخبرات المحلية حول هذا الامتداد من خلال القيام بعدة اختبارات وتجارب فنية، وكذلك التواصل مع الهيئات والمؤسسات والشركات حول طرق تفعيله في شبكاتهم وخدماتهم ودراسة التحديات وسبل التغلب عليها، ومن ثم صياغة الوثائق والإجراءات المنظمة لتبنيه وتطبيقه، وقراءة وفهم المواصفات والمعايير والأدلة الدولية، بالإضافة إلى تطوير بيئة اختبارية مخصصة له، وختاما توقيع جميع النطاقات العليا السعودية للنطاق (.السعودية، .sa). ومرفق قائمة بأهم الإنجازات التي تم تحقيقها:
إشراك المشغلين لتجريب توقيع أسماء نطاقاتهم لتجربة التعامل مع الامتداد الآمن وكسب الخبرة اللازمة.
تطوير موقع مختص بالامتداد الآمن للعموم (باللغتين العربية والإنجليزية).
تطوير أنظمة التسجيل استعدادا لتقديم الخدمات الخاصة بالامتداد الآمن للعملاء.
تدشين مراسيم إنشاء المفاتيح الوطنية الخاصة بالامتداد.
التوقيع الفعلي لكل من (.sa) و (.السعودية).
التسجيل وإدارة خدمة الامتداد الآمن لنطاق سعودي مسجل لدى المركز (DNSSEC)
يمكن من خلال الدخول عبر بوابة المركز الإلكترونية ومن ضمن صفحة نطاقاتي يمكن الضغط على زر (إدارة الامتداد الآمن) وسوف تظهر شاشة إجراءات إدارة الامتداد الآمن. وقبل تعبئة النموذج يتوجب معرفة بعض التفاصيل الفنية اللازمة مثل:
واسم المفتاح وهو عبارة عن رقم التمييز الخاص بالمفتاح
خوارزميات المفتاح وهو المستخدمة لإنشاء المفتاح وهناك عدة معايير دوليه منها على سبيل المثال:
DSA/SHA-1
RSA/SHA-1
DSA-NSEC3/SHA1
RSA/SHA-256
RSA/SHA-512
GOST R 34.10-2001
ECDSA Curve P-256 with SHA-256
ECDSA Curve P-384 with SHA-384
Ed25519
Ed448
نوع الاختزال وهو اسم الطريقة المستخدمة لاختزال الجزء العام للمفتاح، ومن ذلك:
SHA-1
SHA-256
الاختزال وهي القيمة الفعلية لسجل توثيق توقيع التفويض (DS Records)
وفيما يلي عرض لبعض المكونات والمهام الهامة والمساعدة في تفعيل الامتداد الآمن في خادم أسماء النطاقات المعتمد:
1. جهاز التوقيع
بشكل عام وفي معظم الحالات، فإنه لا يمكن الوصول لجهاز التوقيع من خلال شبكة الإنترنت، ويكون تواجده تقريبا بين جهاز توليد ملف النطاق (zone builder) وخادم أسماء النطاقات المعتمد. وعليه فإن جهاز توليد ملف النطاق (zone builder) يقوم بنقل ملف النطاق بعد إنشاءه إلى جهاز التوقيع (signer) باستخدام على سبيل المثال أحد الأوامر التالية: AXFR/IXRF أو SSH/SCP، وبعد التوقيع يقوم جهاز التوقيع (signer) بنقل الملف الموقع إلى الخادم المعتمد بنفس الطريقة.
إذا كان جهاز توليد ملف المنطقة (zone builder) يدعم الامتداد الآمن وقادر على إصدار التواقيع الرقمية فإنه يمكن استخدامه كجهاز توقيع (signer)، وهذا قد يسهل كثيرا من تجهيز البنية التحتية اللازمة. وعلى كل حال فإنه من غير المستحسن على الإطلاق تنفيذ وظيفة التوقيع باستخدام خادم أسماء النطاقات المعتمد والذي قد يعرض الجزء الخاص من مفاتيح التوقيع للانتهاك.
وينصح بشدة توفر نسخة احتياطية لجهاز التوقيع (signer) لمواجهة احتمال تعطله بسبب فشل برمجي أو عتادي أو حتى اختراق أمني. بحيث يتم نقل وظائف ومفاتيح التوقيع يدويا إلى الجهاز الاحتياطي في غضون فترة زمنية مقبولة. ومن المعلوم أن أي خلل في جهاز التوقيع لا يؤثر بشكل مباشر على قدرة الوصول إلى ملف النطاق، ولكن سيمنع أي تحديث له، وبالتالي ستنتهي صلاحية التواقيع في نهاية المطاف إذا لم يتم استعادة جهاز التوقيع خلال فترة معينة من الزمن. ومن هنا تأتي أهمية الاختيار الأصوب للقيم الخاصة بإعدادات نظام التوقيع والتي لها تأثير على مدى أهمية توافر جهاز التوقيع (انظر القسم حول اختيار قيم إعدادات الامتداد الآمن).
هناك برامج من شأنها أن تساعد في أداء هذه المهام، على سبيل المثال، OpenDNSSEC وأحدث الإصدارات من BIND.
2. إنشاء وإدارة مفاتيح التواقيع
يعتبر إنشاء وإدارة مفاتيح التواقيع (ZSK وKSK) نواة لتجهيز وتفعيل بنية الامتداد الآمن، ولذلك يجب الاعتناء عناية خاصة بذلك لضمان ما يلي:
أن تكون هناك عشوائية كافية عند إنشاء المفاتيح. ويمكن زيادة العشوائية باستخدام مولد أرقام عشوائية خارجي، متوفرة على سبيل المثال: كذاكرة USB، أو كجزء من أحدث المعالجات (مثل: RdRand).
حفظ الجزء الخاص من مفاتيح التواقيع وحمايتها من الوصول إليها من غير المصرح لهم.
تشفير الجزء الخاص من مفاتيح التوقيع دائما أثناء التخزين، ويمكن أيضا أن يتم تخزينها على أجهزة مخصصة لذلك ( مثل أجهزة وحدة الأمن - HSM). مع العلم أن هذه الأجهزة عادة ما تكون مكلفة للغاية وتتطلب قدرا كافيا من الخبرة الخاصة، وهي حقيقة ليست ضرورية لمعظم الجهات.
وجود نسخ احتياطية من مفاتيح التواقيع ويجب أن لا يتم تخزينها في شكل نص عادي من دون تشفير.
اختيار خوارزمية تشفير آمنة ومدعومة جيدا، على سبيل المثال (اعتبارا من تاريخ كتابة هذا التقرير)، فإن خوارزمية RSA تعتبر خيارا مناسب ويستحب أن يكون طول المفتاح 2048 خانة ثنائية (bit). وتجدر الإشارة أنه من المفضل التأكد من أن جهاز التوقيع قادر على دعم خوارزميات منحنى إهليلجي (ECDSA) والتي من المحتمل أن تصبح هي المستخدمة في المستقبل القريب.
استخدام خوارزمية قوية لعملية الاختزال (hash)، على سبيل المثال، SHA-256.
استخدام مفتاحين مختلفين لعملية التوقيع: مفتاح توقيع المفاتيح (KSK) ويستخدم فقط لتوقيع سجلات المفاتيح (DNSKEY RRset)، ومفتاح توقيع ملف النطاق (ZSK) ويستخدم لتوقيع جميع السجلات في ملف النطاق. وبهذه الطريقة سوف يسمح باستبدال مفتاح توقيع ملف النطاق (ZSK) دون المساس بملف النطاق التابع للنطاق الأعلى التالي (parent zone). ويمكن تخويل جهاز التوقيع (signer) باستبدال مفتاح توقيع ملف النطاق (ZSK) مرتين أو 4 مرات في السنة، وهي تعتبر ممارسة جيدة. أما استبدال مفتاح توقيع المفاتيح (KSK) فيتطلب التواصل والتنسيق مع مشغل النطاق الأعلى التالي (parent zone)، وعليه هناك طريقتان لاستبداله:
1. استبدال مفتاح توقيع المفاتيح (KSK) فقط عند تحديث نظام التوقيع أو خوارزمية التشفير – هذا يتطلب استخدام مفتاح طويل نسبيا، على سبيل المثال، 4096 خانة ثنائية؛
2. يجب أن تتم عملية الاستبدال بشكل دوري ومنتظم كل سنة أو سنتين.
3. اختيار قيم إعدادات الامتداد الآمن
تعرض كل من الوثائق التالية (RFC 6781 و RFC 7583) مجموعة من التوصيات المفيدة لاختيار بعض قيم الإعدادات والفترات الزمنية الخاصة بالامتداد الآمن. وهذه بعض الأفكار عند تحديد قيم الإعدادات:
الدافع الأهم في اختيار الفترات الزمنية وتحديد قيم الإعدادات هو ضمان أن الأشخاص المسؤولين عن نظام أسماء النطاقات والامتداد الآمن لديهم الوقت الكافي لكشف وتحديد المشاكل قبل أن تنتهي صلاحية التواقيع في ملف النطاق أخذين عطلة نهاية الأسبوع والأعياد في عين الاعتبار. على سبيل المثال: في الوضع المعتاد تكون فترة الصلاحية للتوقيعات 14 يوما، وفترة التجديد تصل إلى 10 أيام، وهذا يعطي 10 أيام لاكتشاف وإصلاح الخطأ.
التوقيع المنتظم يحافظ على تجديد التواقيع.
يجب تعيين وقت انتهاء الصلاحية ملف النطاق (zone’s SOA expiry time) بقيمة أقل من فترة صلاحية التواقيع في الملف. وهذا بدوره يجعل صلاحية ملف النطاق تنتهي من على الخادم المعتمد قبل الرد بتواقيع منتهية الصلاحية. بحيث أنه في حالة انتهاء صلاحية ملف النطاق، فإن الخادم المعتمد يجيب على أجهزة الاستقصاء بالرد SERVFAIL، وعليه يقوم جهاز الاستقصاء بالاستفسار من خادم معتمد أخر . ولكن بالمقابل لو كانت صلاحية ملف المنطقة لا تنتهي قبل انتهاء مدة صلاحية التواقيع، فإن الخادم المعتمد سوف يرد بتواقيع منتهية الصلاحية إلى أجهزة الاستقصاء، مما يوقف عملية الاستفسار وإرجاع SERVFAIL لمقدم الطلب الأصلي.
ينصح (لملفات النطاق الكبيرة) استخدام السجلات NSEC3 بدلا من السجلات NSEC لمنع اكتشاف محتويات ملف النطاق.
4. نشر سجل توثيق توقيع التفويض (DS)
لإنشاء سلسلة الثقة لملف النطاق فإنه يتحتم نشر سجل توثيق توقيع التفويض (DS) الخاص بمفتاح توقيع المفاتيح (KSK) في ملف النطاق الأعلى التالي (parent zone) ويوقع باستخدام مفتاح توقيع ملف النطاق (ZSK) التابع للنطاق الأعلى التالي.
5. المراقبة المستمرة
من المهم جدا مراقبة ملفات النطاقات الموقعة من قبل الامتداد الآمن. وهذه قائمة من الأمثلة التي يستحسن مراقبتها:
التأكد من صحة ملف النطاق و صحة بيانات الامتداد الآمن للملف، وذلك بالاستعانة بنظام مراقبة يستفسر عن بعض النطاقات ويتأكد من أن الخانة AD (Authenticated Data) مفعلة في الردود الواردة إليه من الجهاز المسؤول عن ملف النطاق قبل نشره في الخوادم الرئيسية، ويمكن الاستعانة ببعض الملحقات الاضافية على برامج المراقبة والتي تدعم ذلك (مثل Nagios).
الفترات الزمنية المتبقية لصحة التواقيع ينبغي أن تبدو وكأنها رسم بياني متعرج بنمط ثابت، أي، تكون منخفضة جدا عندما تصل قيمتها مساوية لقيمة تحديث التوقيع (على سبيل المثال، 10 أيام) وترتفع جدا عندما تصل فترة صلاحية التواقيع (على سبيل المثال، 14 يوما) عند حدوث عملية التجديد.
آخر تحديث لملف النطاق: يجب تحديث ملف المنطقة بشكل دوري لضمان عدم انتهاء صلاحية التواقيع (يمكن التحقق من تغيير قيمة التسلسل الرقمي في سجل SOA ).
نقل ملف النطاق بين جهاز التوقيع والخادم المعتمد (أو بين الخادم المعتمد الرئيسي والخوادم المعتمدة الثانوية).
من الضروري، بعد توقيع ملف النطاق وقبل نقله لخوادم الأسماء المعتمدة، القيام بالتحقق الذاتي عن طريق التحقق من صحة السجلات الموقعة وأن سجل المفاتيح تم توقيعه باستخدام مفتاح توقيع المفاتيح (KSK) الذي له نسخة مختزلة على شكل سجل (DS) في ملف النطاق الأعلى التالي.
ب- تفعيل الامتداد الآمن في أجهزة الاستقصاء :
والغرض من تفعيل الامتداد الآمن في أجهزة الاستقصاء (resolvers) هو للتحقق من صحة الردود المستلمة. وهذا ينطوي على التحقق من صحة توقيعات الامتداد الآمن والتحقق من "سلسلة الثقة" بدأ من الجذر (root DNS) ولجميع النطاقات الفرعية على طول الطريق وانتهاء إلى النطاق المعني للتأكد من أنه لم يتم تغيير المعلومات أو العبث بها.
وبشكل عام ودون الخوض في التفاصيل الفنية، فإنه يمكن تقسيم تفعيل الامتداد الآمن في أجهزة الاستقصاء إلى الخطوات التالية:
1. إعداد المتطلبات
وهذا ينطوي على اختيار الإصدار المناسب من برنامج أسماء النطاقات والتي تدعم التحقق من صحة الامتداد الآمن، على سبيل المثال، BIND (الإصدار. 9.7.5 أو أحدث) و Unbound (الإصدار 1.4.16 أو أحدث). وتجدر الإشارة أنه وبسبب استخدام التشفير بالمفتاح العمومي فإن عمليات الامتداد الآمن تعتبر مكثفة حسابيا، لذلك ولغرض سلاسة وسرعة المعالجة يتطلب أن تكون قوة وحدة المعالجة المركزية أعلى من المتوسط، مع العلم بأن أغلب الأجهزة الحديثة للخادمات (والتي لا يزيد عمرها عن 5-7 سنوات) تعتبر قوية بما فيه الكفاية لتشغيل الامتداد الآمن في أجهزة الاستقصاء.
يلاحظ أن سجلات الامتداد الآمن زادت من حجم ردود أسماء النطاق بشكل ملحوظ والذي قد لا يمكن تضمينه في حزمة UDP بحجم 512 بايت. وبالتالي، فإن البنية التحتية للشبكة والجدران النارية تحتاج إلى فحص وضبط لدعم ردود الامتداد الأمن الطويلة على كل من UDP و TCP (وهو ما يعرف بدعم استخدام EDNS0).
2. الحصول والتحقق من صحة رابط الثقة
عند تفعيل خدمة الامتداد الآمن في أجهزة الاستقصاء فإنه ينبغي تزويدها برابط الثقة الجذري (root trust anchor) ليلعب دور نقطة البدء في سلسلة الثقة. وعليه فإنه من الأهمية بمكان التأكد من صحة وسلامة رابط الثقة الجذري قبل تجهيز جهاز الاستقصاء، وذلك من خلال أولا جلب نسخة من رابط الثقة الجذري من موقع آيانا (IANA) مع الحرص على جلبه خلال قناة آمنة (مثال: https). ومن ثم التأكد من أن معلومات رابط الثقة الجذري التي تم الحصول عليها من موقع آيانا يتوافق مع المفتاح العمومي لمنطقة الجذر والمنشور في الخادم الجذري. وينبغي كذلك التحقق من صحتها باستخدام آلية أخرى )على سبيل المثال، شبكة ثقة PGP).
3. الحفاظ على صحة ساعة التوقيت
يعتمد الامتداد الآمن اعتماد مكثفا على ساعة جهاز الاستقصاء، لأن التواقيع لديها فترة صلاحية تبدأ في وقت إنشائها وتنتهي عند انقضاء وقت الصلاحية. ولذلك قد يتعامل جهاز الاستقصاء مع بيانات التوقيع بشكل غير دقيق في حال كانت ساعته الداخلية غير منضبطة (متزامنة). وعليه فإنه من المفضل استخدام مصدر خارجي لضبط وجعل أوقات الأجهزة متزامنة مثل بروتوكول وقت الشبكة (NTP).
4. المراقبة المستمرة
قام الامتداد الآمن بإدخال عدة تعديلات جوهرية في تشغيل خدمة اسم النطاقات وبالتالي سبب عبء من نوع جديد. لذا، فمن الأهمية بمكان مراقبة تشغيل الامتداد الآمن ومكوناته، ومنها على سبيل المثال لا الحصر التالي:
ينبغي – عند الضرورة - دراسة وتحليل عدد الأخطاء ونوعها المنبثقة من عملية التحقق، على سبيل المثال، عن طريق زيادة الإسهاب (التفاصيل) في تسجيل وقائع (logging) برنامج خادم أسماء النطاق لجهاز الاستقصاء.
توفر الإحصاءات لجهاز الاستقصاء (بما في ذلك أخطاء التحقق من الصحة) يعتمد على نوع البرنامج المستخدم. على سبيل المثال في نظام Unbound يمكنك تفريغ الإحصاءات باستخدام الأمر: unboundcontrol-stats’.
يتطلب دراسة متأنية ما إذا كان من المناسب تسجيل الوقائع بشكل مستمر أم لا. مع ملاحظة أن تسجيل الوقائع بشكل مستمر يمكن، في أسوأ الأحوال، أن يزيد من الحمل على الجهاز بشكل كبير، وبالتالي فتح جبهة جديدة للهجوم.
عدد الردود SERVFAIL.
حالة انضباط (تزامن) ساعة جهاز الاستقصاء (على سبيل المثال، NTP تزامن).
منهجية المركز لتبني الامتداد الآمن (DNSSEC)
دأب المركز منذ نشأته الاعتماد على الأيدي الوطنية من منسوبيه وذلك للبحث والتطوير وبناء الأنظمة، وهذا هو وسيلته أيضا لتبني منظومة الامتداد الآمن (DNSSEC) حيث بدأ بتأهيل بعض منسوبيه لحضور بعض الدورات وورش العمل ذات العلاقة وكذلك تكوين العلاقات الثنائية والجماعية مع المختصين وذوي الخبرات الدولية في هذا المجال، حتى استطاع – بحمد الله – القيام ببعض الدراسات ووضع الخطط التنفيذية وإعداد الضوابط الفنية والإجرائية وتحديد المتطلبات وتنفيذها. وتجدر الإشارة أن هذه المنهجية (الاعتماد على فريق وطني مبدع وبرمجيات المصدر المفتوح) مكنت المركز من توطين التقنية محليا والريادة عالميا في ما يقوم به المركز من بحث وتطوير، بالإضافة إلى تقليل تكلفة التطوير والتشغيل.
وقد بدأت الهيئة منذ عام 2015م بتنفيذ مشاريع داخلية على عدة مراحل، حيث بدأت أولا بمشروع لدراسة كيفية تبني الامتداد الآمن (DNSSEC) في منظومة أسماء النطاقات السعودية من خلال التعرف على بعض التجارب الدولية ودراسة المواصفات والمعايير الدولية. وقد خلصت هذه الدراسة إلى وضع خطة (خارطة طريق) مكونة من ثلاثة مراحل أساسية لتبني الامتداد الآمن لأسماء النطاقات:
المرحلة الأولى: كسب الخبرة المحلية
مرحلة الثانية: التشغيل التجريبي
مرحلة النهائية: التشغيل الفعلي
وقد شمل تنفيذ هذه الخطة التركيز على بناء الخبرات المحلية حول هذا الامتداد من خلال القيام بعدة اختبارات وتجارب فنية، وكذلك التواصل مع الهيئات والمؤسسات والشركات حول طرق تفعيله في شبكاتهم وخدماتهم ودراسة التحديات وسبل التغلب عليها، ومن ثم صياغة الوثائق والإجراءات المنظمة لتبنيه وتطبيقه، وقراءة وفهم المواصفات والمعايير والأدلة الدولية، بالإضافة إلى تطوير بيئة اختبارية مخصصة له، وختاما توقيع جميع النطاقات العليا السعودية للنطاق (.السعودية، .sa). ومرفق قائمة بأهم الإنجازات التي تم تحقيقها:
إشراك المشغلين لتجريب توقيع أسماء نطاقاتهم لتجربة التعامل مع الامتداد الآمن وكسب الخبرة اللازمة.
تطوير موقع مختص بالامتداد الآمن للعموم (باللغتين العربية والإنجليزية).
تطوير أنظمة التسجيل استعدادا لتقديم الخدمات الخاصة بالامتداد الآمن للعملاء.
تدشين مراسيم إنشاء المفاتيح الوطنية الخاصة بالامتداد.
التوقيع الفعلي لكل من (.sa) و (.السعودية).
التسجيل وإدارة خدمة الامتداد الآمن لنطاق سعودي مسجل لدى المركز (DNSSEC)
يمكن من خلال الدخول عبر بوابة المركز الإلكترونية ومن ضمن صفحة نطاقاتي يمكن الضغط على زر (إدارة الامتداد الآمن) وسوف تظهر شاشة إجراءات إدارة الامتداد الآمن. وقبل تعبئة النموذج يتوجب معرفة بعض التفاصيل الفنية اللازمة مثل:
واسم المفتاح وهو عبارة عن رقم التمييز الخاص بالمفتاح
خوارزميات المفتاح وهو المستخدمة لإنشاء المفتاح وهناك عدة معايير دوليه منها على سبيل المثال:
DSA/SHA-1
RSA/SHA-1
DSA-NSEC3/SHA1
RSA/SHA-256
RSA/SHA-512
GOST R 34.10-2001
ECDSA Curve P-256 with SHA-256
ECDSA Curve P-384 with SHA-384
Ed25519
Ed448
نوع الاختزال وهو اسم الطريقة المستخدمة لاختزال الجزء العام للمفتاح، ومن ذلك:
SHA-1
SHA-256
الاختزال وهي القيمة الفعلية لسجل توثيق توقيع التفويض (DS Records)