Split-brain DNS
لدينا تقنية Dynamic DNS وهي تقنية تقدم خدمة ممتازة وتوفر الكثير من الوقت والجهد على مدير الشبكة ولكن هل تفهموا ان هذه التقنية لها نقطة ضعف وهي تتمثل في ان اي جهاز يقوم لاستخدام DNS SUFFIX معين في إعداداته فإنه قوم بتسجيل نفسه في DNS ديناميكيا حتى لولم يكن ينتمي لنفس المجال , بمعنى أننا لوافترضنا أننا قمنا في أحد أجهزتنا المتصلة بالانترنت بوضع DNS SUFFIX له وليكن مثلا ibm.com فإن جهازنا يقوم بالعمل بالاتصال بسيرفر ال DNS المسؤول عن المجال ibm.com ويقوم بتسجيل نفسه في سجلاته وكأنه تابع لهذا المجال! , ولكن هل لهذا الأمر مساوئ ،يا ترى؟ بشكل مباشر لا , ولكن يسبب إزعاج لمدير ذلك النظام عندما يجد سجلات غريبة قامت بالإنضمام في سيرفره , كما حتى هذا الأمر قد يستخدمه المخترقون للتضليل على مصدر الاختراق الحقيقي , حيث يقومون بتسجيل الجهاز الذي يحاولون الاختراق عن طريقه بسيرفر DNS بعيدا جدا عن عنهم وبالتالي فإنهم عندما يقومون بالاختراق فإنهم سيهجرون ورائهم أثرا يشير إلى المجال الذي ينتمون إليه والذي سيكون بعيدا جميع البعد عن مسقطهم الحقيقي. وليش ذلك فحسب , بل يستطيع المخترقون بكل بساطة الاتفاق على وضع DNS SUFFIX معين بحيث إذا كان عدد المخترقين بالمئات مثلا أوأكثر فإنهم عند الإنضمام في سيرفر DNS معين يؤدي ذلك إلى تحميله بعبء زائد وثقيل وبالتالي إيقاف عمله.
بعد حتى تعهدنا على نقطة الضعف هذه هل من حل ؟ نعم وذلك باستخدام تقنية Active Directory Integrated Zone فهذا النوع من النطاقات يستخدم تقنية ال DNS ولكنه بنفس الوقت يشترط انقد يكون الجهاز الذي يسجل بياناته في ال DNS حتىقد يكون عضوا في الدليل النشط وأن يسجل الدخول إليه وذلك بإدخال الاسم وحدثة المرور وبالتالي فإن أي محاولات بائسة من أي أجهزة غريبة للتسجيل في DNS ستبوء بالفشل لأن هذه الأجهزة لا تنتمي للدليل النشط. ولكن في اللقاء قد تبرز لنا معضلة إضافية وهي أننا هل نريد عملا حتىقد يكون الدليل النشط ومجاله متصلا بالانترنت مباشرة وبالتاليقد يكون معرضا للأخطار من جميع مكان ،يا ترى؟ إذا ما الحل وكيف نستطيع عزل المتحكمات بالمجال عن الانترنت الخارجي بحيث تتصل بالانترنت ولكن لا تتعرض لمخاطره .
هنا يأتي دور فكرة ال Split – Brain DNS وهي تتمثل بالتالي : انقد يكون لدينا سيرفر DNS خارجي متصل مباشرة بالانترنت ومسئول عن المجال الذي نود للعالم الوصول إليه بمعنى أننا سنقوم بإعداد سيرفر DNS غير ديناميكي ويحتوي فقعلى سجلين أحدهما يشير إلى عنوان مسقط الانترنت المرتبط بالمجال (أي أننا نشئ سجل A باسم WWW ونربطه بعنوان مسقط الانترنت كي يتمكن الزائري من الوصول إليه) أما السجل الآخر فيشير إلى السيرفر المسئول عن خدمة البريد الالكتروني , ثم نقوم بإعداد سيرفر DNS آخرقد يكون ديناميكيا وتتصل به أجهزة الشبكة الداخلية لدينا عن طريق الدليل النشط ثم نقوم بوصل السيرفرين معا وبالتالي نكون قد عزلنا شبكتنا الداخلية عن المخاطر الخارجية وفي نفس الوقت يستطيع زائرينا الدخول إلى مواقع الانترنت الخاصة بنا.
