تعرفنا في الحلقة السابقة على مفهوم و تقنية Dynamic DNS و عرفنا أنها تقدم خدمة ممتازة و توفر الكثير من الوقت و الجهد على مدير الشبكة، و لكن هل تعلموا أن لدى هذه التقنية نقطة ضعف؟ و هي تتمثل في أن أي جهاز يقوم باستخدام DNS suffix معين في إعداداته فإنه يقوم بتسجيل نفسه في DNS ديناميكيا حتى و لو لم يكن ينتمي فعلا الى نفس المجال ، بمعنى أننا لو افترضنا أننا قمنا في أحد أجهزتنا المتصلة بالانترنت بوضع DNS suffix له و ليكن مثلا ibm.com فإن جهازنا يقوم بالفعل بالاتصال بسيرفر DNS المسئول عن المجال ibm.com و يقوم بتسجيل نفسه في سجلاته و كأنه تابع لهذا المجال! و لكن هل لهذا الأمر أي مساوئ أو تأثيرات سلبية على سيرفر DNS؟ بشكل مباشر ، لا ، و لكن يسبب الإزعاج لمدير ذلك النظام عندما يجد سجلات غريبة قامت بالتسجيل في سيرفره ، كما أن هذا الأمر قد يستخدمه المخترقون للتضليل على مصدر الاختراق الحقيقي ، حيث يقومون بتسجيل الجهاز الذي يحاولون الاختراق عن طريقه بسيرفر DNS بعيد جدا عنهم و بالتالي فإنهم عندما يقومون بالاختراق فإنه سيتركون و راءهم أثرا يشير الى المجال الذي ينتمون إليه و الذي سيكون بعيد كل البعد عن موقعهم الحقيقي ، و ليس ذلك فحسب بل يستطيع المخترقون بكل بساطة الاتفاق على وضع DNS suffix معين بحيث اذا كان عدد المخترقين بالمئات مثلا أو أكثر فإنهم عند التسجيل في سيرفر DNS معين قد يؤدي ذلك الى تحميله بعبء ثقيل و بالتالي إيقافه عن العمل.

حسنا ، بعد أن عرفنا نقطة الضعف هذه ، هل من حل بحيث نستخدم تقنية DDNS و لكن بدون التعرض لهذه المشكلة؟ نعم يوجد و قد تناولناه سابقا و هو استخدام Active Directory – Integrated Zone فهذا النوع من النطاقات يستخدم خاصية DDNS و لكنه في نفس الوقت يشترط أن يكون الجهاز الذي سيسجل بياناته في DNS أن يكون عضوا في الدليل النشط و أن يسجل الدخول إليه و ذلك بإدخال الاسم و كلمة المرور و بالتالي فإن أي محاولات بائسة من أي أجهزة غريبة للتسجيل في DDNS ستبوء بالفشل لأن هذه الأجهزة لا تنتمي الى الدليل النشط.

و لكن في المقابل قد تبرز لنا مشكلة إضافية و هي أننا هل نريد فعلا أن يكون الدليل النشط و مجاله و بالتالي المتحكمات بالمجال متصلة بالانترنت مباشرة و بالتالي معرضة للأخطار من كل مكان ؟ إذا ً ما الحل و كيف نستطيع عزل المتحكمات بالمجال عن الانترنت الخارجي بحيث تتصل بالانترنت لكن لا تتعرض لمخاطره؟
هنا يأتي دور فكرة Split- Brain DNS و هي تتمثل في التالي:

أن يكون لدينا سيرفر DNS خارجي متصل مباشرة بالانترنت و مسئول عن المجال الذي نود للعالم الوصول إليه بمعنى أننا سنقوم بإعداد سيرفر DNS غير ديناميكي و يحتوي فقط على سجلين أحدهما يشير الى عنوان موقع الانترنت المرتبط بالمجال ( أي أننا ننشئ سجل A باسم www و نربطه بعنوان موقع الانترنت كي يتمكن الزوار من الوصول إليه ) أما السجل الآخر فيشير الى السيرفر المسئول عن خدمة البريد الالكتروني ، ثم نقوم بإعداد سيرفر DNS آخر يكون ديناميكيا و تتصل به أجهزة الشبكة الداخلية لدينا عن طريق الدليل النشط ثم نقوم بوصل السيرفرين معا و بالتالي نكون عزلنا شبكتنا الداخلية عن المخاطر الخارجية و في نفس الوقت يستطيع زوارنا الدخول الى موقع الانترنت الخاص بنا.

الممتع في الأمر أن سيرفر DNS الخاص بالشبكة الداخلية يمكن أن يكون له أي اسم نريد حتى لو كان هذا الاسم محجوزا على الانترنت بمعنى أننا في سيرفر DNS الخارجي لابد أن يكون هذا السيرفر مسجلا في الانترنت على أنه السيرفر المسئول عن المجال الذي قمنا بحجزه ، مثلا walidouda.com أما سيرفر DNS الداخلي فله أن يتسمى بأي اسم يشاء فمثلا نستطيع أن يكون مجالنا الداخلي باسم cnn.com مثلا ، أو ibm.com و بالتالي تصبح أسماء أجهزتنا الداخلية على شاكلة pc1.ibm.com ، و ليس ذلك فحسب بل نستطيع بكل بساطة أن ننشئ موقع انترنت داخلي خاص بشبكتنا يكون اسمه www.ibm.com بحيث إذا قام أي جهاز في شبكتنا الداخلية بطلب موقع الانترنت ibm.com من متصفح الانترنت فإنه سيصل الى موقع الانترنت الخاص بشبكتنا و ليس الى موقع شركة IBM الحقيقي، و لنختبر هذا الأمر عمليا نتوجه الى سيرفر DNS لدينا و ننفذ الأمر nslookup و نكتب www.ibm.com ثم نضغط على Enter و سنحصل على عناوين IP الخاصة بالموقع الحقيقي لشركة IBM ، الآن نتوجه الى نافذة DNS لدينا في السيرفر و ننشئ نطاق جديد في forward lookup zones و نسميه ibm.com ثم نضيف في هذا النطاق سجل A جديد باسم www و نعطيه العنوان 192.168.0.5 . الآن نتوجه الى موجه الأوامر و نكتب الأمر التالي: ipconfig /flushdns ثم نضغط Enter و نقوم بتنفيذ الأمر nslookup من جديد و ندخل www.ibm.com ثم نضغط Enter لنحصل على العنوان 192.168.0.5 و بالتالي فإننا إذا قمنا بالفعل بإنشاء موقع على العنوان 192.168.0.5 فإن أي جهاز في شبكتنا يحاول الوصول الى الموقع ibm.com سيصل الى الموقع الذي قمنا بإعداده.

بهذا ننتهي من درس اليوم و نلتقي مع درس جديد و المزيد من التفاصيل حول هذا الموضوع ان شاء الله.
الكاتب: وليد عودة