DNSSEC (امتدادات أمان نظام اسم المجال) هو امتداد لنظام اسم المجال (DNS) يوفر أمانًا إضافيًا لاستعلامات DNS. هدفها الرئيسي هو ضمان صحة وسلامة وسرية بيانات DNS من خلال حمايتها من هجمات تسمم ذاكرة التخزين المؤقت والانتحال.
في نهاية المقال ستجد صغيرا تجربه بالعربي سيسمح لك تقييم المعرفة المكتسبة في هذه القراءة
DNSSEC (امتدادات أمان نظام اسم المجال)
يستخدم DNSSEC تشفير المفتاح العام للتوقيع رقميًا على سجلات DNS، مما يسمح للمستخدمين بالتحقق من صحة البيانات التي تم الحصول عليها من خادم DNS. وإليك كيفية عمل DNSSEC:
1. توقيعات المنطقة الرقمية
في DNSSEC، يتم إنشاء مفتاح توقيع المنطقة (ZSK) لكل منطقة DNS. يتم استخدام هذا المفتاح لإنشاء التوقيعات الرقمية لسجلات DNS في المنطقة. يتم إنشاء التوقيعات الرقمية باستخدام خوارزميات التشفير وإرفاقها بسجلات DNS المقابلة.
2. مفتاح تسجيل المنطقة (ZSK) ومفتاح توقيع المفتاح (KSK)
بالإضافة إلى ZSK، يتم استخدام مفتاح التوقيع الرئيسي (KSK) لتوقيع ZSK رقميًا وإنشاء سلسلة ثقة. يتم الاحتفاظ بـ KSK منفصلاً عن ZSK ويتم استخدامه لتوقيع ZSK وتجديده بشكل دوري.
3. سلسلة الثقة
يقوم كل خادم DNS يقوم بتنفيذ DNSSEC بتخزين المفاتيح العامة اللازمة للتحقق من التوقيعات الرقمية. تُستخدم هذه المفاتيح العامة لإنشاء سلسلة ثقة تسمح للمستخدمين بالتحقق من صحة بيانات DNS.
4. جولة المصادقة
عندما يقوم العميل بإجراء استعلام DNS، يرسل خادم DNS الذي ينفذ DNSSEC السجلات المطلوبة مع التوقيعات الرقمية المقابلة. يمكن للعميل التحقق من صحة السجلات باستخدام المفاتيح العامة المخزنة في تكوين DNSSEC الخاص به.
5. توقيع سلسلة الثقة
لإنشاء سلسلة الثقة، يتم استخدام KSK للتوقيع رقميًا على ZSK ويتم إضافة توقيعه إلى منطقة DNS. وهذا يضمن أن المستخدمين الذين يثقون في KSK يمكنهم أيضًا الوثوق في ZSK وبالتالي البيانات الموجودة في منطقة DNS.
يوفر DNSSEC طبقة إضافية من الأمان لنظام اسم النطاق من خلال ضمان عدم تعديل بيانات DNS أثناء النقل وأنها تأتي من مصادر مشروعة. وهذا يحمي من هجمات تسميم ذاكرة التخزين المؤقت لـ DNS، حيث ينتحل المهاجمون استجابات DNS ويعيدون توجيه حركة المرور إلى وجهات ضارة.
تأمين ICMPv6
يعد Secure ICMPv6، والمعروف أيضًا باسم Secure ICMP لـ IPv6، امتدادًا لبروتوكول رسائل التحكم في الإنترنت الإصدار 6 (ICMPv6) الذي يوفر أمانًا إضافيًا لرسائل ICMPv6 عبر IPv6.
هدفها الرئيسي هو ضمان صحة وسلامة رسائل ICMPv6، وتجنب هجمات الانتحال والتأكد من أن الرسائل تأتي من مصادر مشروعة ولم يتم تعديلها أثناء النقل.
فيما يلي بعض الميزات والآليات الأساسية لبرنامج Secure ICMPv6:
1. مصادقة رسالة ICMPv6
يستخدم ICMPv6 الآمن تقنيات المصادقة للتحقق من هوية مصدر رسائل ICMPv6. ويعتمد على استخدام التوقيعات الرقمية وتشفير المفتاح العام لمصادقة رسائل ICMPv6 والتأكد من أنها تأتي من مصادر موثوقة.
2. سلامة رسالة ICMPv6
يضمن ICMPv6 الآمن سلامة رسائل ICMPv6 باستخدام التوقيعات الرقمية. يتم توقيع كل رسالة من رسائل ICMPv6 رقميًا باستخدام مفتاح خاص لإنشاء توقيع رقمي، ويتم إرفاق هذا التوقيع بالرسالة. عند استلام الرسالة، يمكن للمتلقي التحقق من سلامة الرسالة باستخدام المفتاح العام المقابل والتحقق من صحة التوقيع الرقمي.
3. تشفير المفتاح العام
يعتمد ICMPv6 الآمن على البنية التحتية للمفتاح العام (PKI) لإدارة المفاتيح العامة والخاصة المطلوبة للمصادقة والتوقيع الرقمي. كل كيان مشارك لديه زوج مفاتيح عام وخاص خاص به، حيث يتم استخدام المفتاح الخاص لتوقيع الرسائل ويستخدم المفتاح العام للتحقق من التوقيعات.
4. التحقق من التوقيع الرقمي
عند تلقي رسالة ICMPv6، يتحقق المتلقي من التوقيع الرقمي المرفق باستخدام المفتاح العام المقابل. إذا كان التوقيع صالحًا، فهذا يشير إلى أن رسالة ICMPv6 لم يتم تعديلها أثناء النقل وأنها قادمة من المصدر المتوقع.
يوفر ICMPv6 الآمن طبقة إضافية من الأمان لرسائل ICMPv6 عبر IPv6، مما يضمن أن الرسائل أصلية ولم يتم تعديلها. ويساعد ذلك على منع هجمات الانتحال ويضمن موثوقية رسائل ICMPv6 وورودها من مصادر شرعية.
من المهم ملاحظة أن تطبيق Secure ICMPv6 ودعمه قد يختلف بين الأنظمة وأجهزة الشبكة. لا تدعم كافة الأجهزة أو أنظمة التشغيل Secure ICMPv6 أصلاً، وقد يتطلب الأمر تكوينات وإعدادات إضافية لتمكين ملحق الأمان هذا واستخدامه.
BGPsec (امتدادات أمان بروتوكول بوابة الحدود)
BGPsec (امتدادات أمان بروتوكول بوابة الحدود) هو امتداد لبروتوكول توجيه بروتوكول بوابة الحدود (BGP) الذي يوفر أمانًا إضافيًا للمسارات المعلن عنها على الإنترنت. هدفها الرئيسي هو ضمان صحة وسلامة مسارات BGP، ومنع هجمات التوجيه الضارة وتحسين الأمان في البنية التحتية للإنترنت.
فيما يلي بعض العناصر الأساسية لـ BGPsec:
1. توقيع الطريق الرقمي
يستخدم BGPsec التوقيعات الرقمية لمصادقة مسارات BGP والتحقق من صحتها. يتم توقيع كل إعلان مسار BGP رقميًا باستخدام تشفير المفتاح العام. يتيح ذلك لأجهزة توجيه BGP التحقق من صحة المسارات والتأكد من أنها تأتي من مصادر موثوقة.
2. سلسلة الثقة
تقوم BGPsec بإنشاء سلسلة ثقة للتحقق من صحة مسارات BGP. يتم التحقق من صحة كل توقيع رقمي للمسار باستخدام المفتاح العام للمصدر، ويتم التحقق من هذا المفتاح العام بدوره باستخدام سلسلة من الشهادات الموثوقة والمفاتيح العامة. بهذه الطريقة، يتم إنشاء سلسلة ثقة تسمح لأجهزة توجيه BGP بالتحقق من صحة المسارات.
3. تحديثات البروتوكول
تقدم BGPsec تحديثات وإضافات جديدة لبروتوكول BGP لدعم توقيع المسار والتحقق منه. يتضمن ذلك إجراء تغييرات على الطريقة التي تتبادل بها أجهزة توجيه BGP المعلومات ومعالجة إعلانات المسار، لتشمل المعلومات الضرورية للمصادقة والنزاهة.
4. البنية التحتية للمفتاح العام (PKI)
يتطلب BGPsec بنية تحتية للمفتاح العام (PKI) لإدارة وتوزيع المفاتيح العامة والشهادات المطلوبة للتوقيع والتحقق من المسارات. يتم استخدام البنية التحتية للمفاتيح العامة (PKI) لإنشاء وتوزيع المفاتيح العامة والخاصة، بالإضافة إلى بناء الثقة في المفاتيح العامة لمصدري المسار.
5. التخفيف من هجمات التوجيه الضارة
تعمل BGPsec على تحسين الأمان في البنية التحتية للإنترنت من خلال تخفيف هجمات التوجيه الضارة مثل تسميم المسار والانتحال. من خلال ضمان صحة مسارات BGP، يساعد BGPsec على منع المهاجمين من التلاعب بالتوجيه وتحويل حركة المرور إلى وجهات ضارة.
ومن المهم أن نأخذ في الاعتبار أن BGPsec يتطلب اعتماد وتعاون مشغلي الشبكات ومقدمي خدمات الإنترنت ليكونوا فعالين عالميًا. يجب أن تدعم جميع أجهزة التوجيه الموجودة على طول المسار BGPsec وأن يتم تكوينها بشكل صحيح لاستخدام ملحق الأمان هذا.
مسابقة المعرفة وجيزة
ما رأيك في هذا المقال؟
هل تجرؤ على تقييم معرفتك المكتسبة؟
الكتاب الموصى به لهذه المادة
كتاب IPv6 مع MikroTik وRouterOS v7
تم تحديث المواد الدراسية لدورة شهادة MTCIPv6E إلى RouterOS v7