DNSSEC (Domain Name System Security Extensions) ir domēna nosaukumu sistēmas (DNS) paplašinājums, kas nodrošina papildu drošību DNS vaicājumiem. Tās galvenais mērķis ir nodrošināt DNS datu autentiskumu, integritāti un konfidencialitāti, aizsargājot tos pret saindēšanos ar kešatmiņu un viltošanas uzbrukumiem.
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
DNSSEC (domēna vārdu sistēmas drošības paplašinājumi)
DNSSEC izmanto publiskās atslēgas kriptogrāfiju, lai digitāli parakstītu DNS ierakstus, ļaujot lietotājiem pārbaudīt no DNS servera iegūto datu autentiskumu. Lūk, kā darbojas DNSSEC:
1. Digitālās zonas paraksti
DNSSEC katrai DNS zonai tiek izveidota zonas parakstīšanas atslēga (ZSK). Šo atslēgu izmanto, lai ģenerētu DNS ierakstu ciparparakstus zonā. Ciparparaksti tiek ģenerēti, izmantojot kriptogrāfiskus algoritmus, un pievienoti attiecīgajiem DNS ierakstiem.
2. Zonas parakstīšanas atslēga (ZSK) un atslēgas parakstīšanas atslēga (KSK)
Papildus ZSK, lai digitāli parakstītu ZSK un izveidotu uzticības ķēdi, tiek izmantota atslēgas parakstīšanas atslēga (KSK). KSK tiek turēts atsevišķi no ZSK un tiek izmantots, lai periodiski parakstītu un atjaunotu ZSK.
3. Uzticības ķēde
Katrs DNS serveris, kas ievieš DNSSEC, saglabā publiskās atslēgas, kas nepieciešamas ciparparakstu pārbaudei. Šīs publiskās atslēgas tiek izmantotas, lai izveidotu uzticības ķēdi, kas lietotājiem ļauj pārbaudīt DNS datu autentiskumu.
4. Autentifikācijas tūre
Kad klients veic DNS vaicājumu, DNS serveris, kas ievieš DNSSEC, nosūta pieprasītos ierakstus kopā ar attiecīgajiem ciparparakstiem. Klients var pārbaudīt ierakstu autentiskumu, izmantojot publiskās atslēgas, kas saglabātas tā DNSSEC konfigurācijā.
5. Uzticības ķēdes paraksts
Lai izveidotu uzticības ķēdi, KSK tiek izmantots ZSK digitālai parakstīšanai, un tā paraksts tiek pievienots DNS zonai. Tas nodrošina, ka lietotāji, kuri uzticas KSK, var uzticēties arī ZSK un līdz ar to arī DNS zonas datiem.
DNSSEC nodrošina papildu drošības līmeni domēna nosaukumu sistēmai, nodrošinot, ka DNS dati sūtīšanas laikā nav modificēti un nāk no likumīgiem avotiem. Tas pasargā no DNS kešatmiņas saindēšanās uzbrukumiem, kad uzbrucēji vilto DNS atbildes un novirza trafiku uz ļaunprātīgiem galamērķiem.
Drošs ICMPv6
Drošais ICMPv6, kas pazīstams arī kā Secure ICMP for IPv6, ir interneta vadības ziņojumu protokola 6. versijas (ICMPv6) paplašinājums, kas nodrošina papildu drošību ICMPv6 ziņojumiem, izmantojot IPv6.
Tās galvenais mērķis ir garantēt ICMPv6 ziņojumu autentiskumu un integritāti, izvairoties no viltus uzbrukumiem un nodrošinot, ka ziņojumi nāk no likumīgiem avotiem un sūtīšanas laikā nav mainīti.
Tālāk ir norādītas dažas drošā ICMPv6 galvenās funkcijas un mehānismi.
1. ICMPv6 ziņojumu autentifikācija
Drošā ICMPv6 izmanto autentifikācijas metodes, lai pārbaudītu ICMPv6 ziņojumu avota identitāti. Tas balstās uz ciparparakstu un publiskās atslēgas kriptogrāfijas izmantošanu, lai autentificētu ICMPv6 ziņojumus un nodrošinātu, ka tie nāk no uzticamiem avotiem.
2. ICMPv6 ziņojumu integritāte
Drošs ICMPv6 garantē ICMPv6 ziņojumu integritāti, izmantojot ciparparakstus. Katrs ICMPv6 ziņojums ir digitāli parakstīts ar privāto atslēgu, lai ģenerētu ciparparakstu, un šis paraksts tiek pievienots ziņojumam. Saņemot ziņojumu, saņēmējs var pārbaudīt ziņojuma integritāti, izmantojot atbilstošo publisko atslēgu un pārbaudot ciparparaksta derīgumu.
3. Publiskās atslēgas kriptogrāfija
Drošā ICMPv6 balstās uz publiskās atslēgas infrastruktūru (PKI), lai pārvaldītu publiskās un privātās atslēgas, kas nepieciešamas autentifikācijai un ciparparakstīšanai. Katrai iesaistītajai entītijai ir savs publisko un privāto atslēgu pāris, kur privātā atslēga tiek izmantota ziņojumu parakstīšanai, bet publiskā atslēga tiek izmantota parakstu pārbaudei.
4. Digitālā paraksta pārbaude
Saņemot ICMPv6 ziņojumu, saņēmējs pārbauda pievienoto ciparparakstu, izmantojot atbilstošo publisko atslēgu. Ja paraksts ir derīgs, tas norāda, ka ICMPv6 ziņojums sūtīšanas laikā nav modificēts un nāk no paredzamā avota.
Drošais ICMPv6 nodrošina papildu drošības līmeni ICMPv6 ziņojumiem, izmantojot IPv6, nodrošinot, ka ziņojumi ir autentiski un nav modificēti. Tas palīdz novērst viltošanas uzbrukumus un nodrošina, ka ICMPv6 ziņojumi ir uzticami un nāk no likumīgiem avotiem.
Ir svarīgi atzīmēt, ka Secure ICMPv6 ieviešana un atbalsts dažādās sistēmās un tīkla ierīcēs var atšķirties. Ne visas ierīces vai operētājsistēmas sākotnēji atbalsta drošo ICMPv6, un, lai iespējotu un izmantotu šo drošības paplašinājumu, var būt nepieciešamas papildu konfigurācijas un iestatījumi.
BGPsec (Border Gateway Protocol Security Extensions)
BGPsec (Border Gateway Protocol Security Extensions) ir Border Gateway Protocol (BGP) maršrutēšanas protokola paplašinājums, kas nodrošina papildu drošību internetā reklamētajiem maršrutiem. Tās galvenais mērķis ir garantēt BGP maršrutu autentiskumu un integritāti, novēršot ļaunprātīgus maršrutēšanas uzbrukumus un uzlabojot drošību interneta infrastruktūrā.
Tālāk ir norādīti daži BGPsec pamatelementi:
1. Digitālais maršruta paraksts
BGPsec izmanto ciparparakstus, lai autentificētu un apstiprinātu BGP maršrutus. Katrs BGP maršruta sludinājums ir digitāli parakstīts, izmantojot publiskās atslēgas kriptogrāfiju. Tas ļauj BGP maršrutētājiem pārbaudīt maršrutu autentiskumu un nodrošināt, ka tie nāk no uzticamiem avotiem.
2. Uzticības ķēde
BGPsec izveido uzticības ķēdi, lai apstiprinātu BGP maršrutus. Katrs maršruta ciparparaksts tiek pārbaudīts, izmantojot izdevēja publisko atslēgu, un šī publiskā atslēga savukārt tiek autentificēta, izmantojot uzticamu sertifikātu un publisko atslēgu ķēdi. Tādā veidā tiek izveidota uzticības ķēde, kas ļauj BGP maršrutētājiem apstiprināt maršrutu autentiskumu.
3. Protokola atjauninājumi
BGPsec ievieš jaunus BGP protokola atjauninājumus un paplašinājumus, lai atbalstītu maršruta parakstīšanu un verifikāciju. Tas ietver izmaiņas veidā, kā BGP maršrutētāji apmainās ar informāciju un apstrādā maršruta reklāmas, lai iekļautu informāciju, kas nepieciešama autentifikācijai un integritātei.
4. Publiskās atslēgas infrastruktūra (PKI)
BGPsec ir nepieciešama publiskās atslēgas infrastruktūra (PKI), lai pārvaldītu un izplatītu publiskās atslēgas un sertifikātus, kas nepieciešami maršrutu parakstīšanai un pārbaudei. PKI tiek izmantots, lai ģenerētu un izplatītu publiskās un privātās atslēgas, kā arī lai izveidotu uzticēšanos maršruta izsniedzēju publiskajām atslēgām.
5. Ļaunprātīgu maršrutēšanas uzbrukumu mazināšana
BGPsec uzlabo drošību interneta infrastruktūrā, mazinot ļaunprātīgus maršrutēšanas uzbrukumus, piemēram, maršruta saindēšanos un viltošanu. Nodrošinot BGP maršrutu autentiskumu, BGPsec palīdz novērst uzbrucēju manipulācijas ar maršrutēšanu un trafika novirzīšanu uz ļaunprātīgiem galamērķiem.
Ir svarīgi paturēt prātā, ka BGPsec ir nepieciešama tīkla operatoru un interneta pakalpojumu sniedzēju pieņemšana un sadarbība, lai tā būtu efektīva visā pasaulē. Visiem maršrutētājiem, kas atrodas ceļā, ir jāatbalsta BGPsec un jābūt pareizi konfigurētiem, lai izmantotu šo drošības paplašinājumu.
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Ieteicamā grāmata šim rakstam
IPv6 grāmata ar MikroTik, RouterOS v7
MTCIPv6E sertifikācijas kursa mācību materiāls atjaunināts uz RouterOS v7