DNSSEC (Domain Name System Security Extensions) คือส่วนขยายของระบบชื่อโดเมน (DNS) ที่ให้ความปลอดภัยเพิ่มเติมแก่การสืบค้น DNS วัตถุประสงค์หลักคือเพื่อให้มั่นใจถึงความถูกต้อง ความสมบูรณ์ และการรักษาความลับของข้อมูล DNS โดยการปกป้องข้อมูลจากการโจมตีด้วยแคชพิษและการปลอมแปลง
ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้
DNSSEC (ส่วนขยายความปลอดภัยของระบบชื่อโดเมน)
DNSSEC ใช้การเข้ารหัสคีย์สาธารณะเพื่อลงนามบันทึก DNS แบบดิจิทัล ทำให้ผู้ใช้สามารถตรวจสอบความถูกต้องของข้อมูลที่ได้รับจากเซิร์ฟเวอร์ DNS DNSSEC ทำงานดังนี้:
1. ลายเซ็นโซนดิจิทัล
ใน DNSSEC จะมีการสร้างคีย์การลงนามโซน (ZSK) สำหรับแต่ละโซน DNS คีย์นี้ใช้เพื่อสร้างลายเซ็นดิจิทัลของระเบียน DNS ในโซน ลายเซ็นดิจิทัลถูกสร้างขึ้นโดยใช้อัลกอริธึมการเข้ารหัสและแนบไปกับบันทึก DNS ที่เกี่ยวข้อง
2. คีย์การลงนามโซน (ZSK) และคีย์การลงนามคีย์ (KSK)
นอกจาก ZSK แล้ว คีย์การลงนามคีย์ (KSK) ยังใช้เพื่อลงนาม ZSK แบบดิจิทัลและสร้างห่วงโซ่แห่งความไว้วางใจ KSK ถูกแยกออกจาก ZSK และใช้เพื่อลงนามและต่ออายุ ZSK เป็นระยะๆ
3. ห่วงโซ่แห่งความไว้วางใจ
เซิร์ฟเวอร์ DNS แต่ละตัวที่ใช้ DNSSEC จะจัดเก็บคีย์สาธารณะที่จำเป็นในการตรวจสอบลายเซ็นดิจิทัล กุญแจสาธารณะเหล่านี้ใช้เพื่อสร้างห่วงโซ่แห่งความไว้วางใจที่อนุญาตให้ผู้ใช้ตรวจสอบความถูกต้องของข้อมูล DNS
4. ทัวร์รับรองความถูกต้อง
เมื่อไคลเอนต์ทำการสืบค้น DNS เซิร์ฟเวอร์ DNS ที่ใช้งาน DNSSEC จะส่งบันทึกที่ร้องขอพร้อมกับลายเซ็นดิจิทัลที่เกี่ยวข้อง ลูกค้าสามารถตรวจสอบความถูกต้องของบันทึกได้โดยใช้กุญแจสาธารณะที่จัดเก็บไว้ในการกำหนดค่า DNSSEC
5. ลายเซ็นเชนแห่งความไว้วางใจ
เพื่อสร้างสายโซ่แห่งความไว้วางใจ KSK ใช้เพื่อลงนาม ZSK แบบดิจิทัลและเพิ่มลายเซ็นลงในโซน DNS สิ่งนี้ทำให้แน่ใจได้ว่าผู้ใช้ที่เชื่อถือ KSK ก็สามารถเชื่อถือ ZSK และข้อมูลในโซน DNS ได้เช่นกัน
DNSSEC มอบการรักษาความปลอดภัยเพิ่มเติมอีกชั้นให้กับระบบชื่อโดเมนโดยทำให้แน่ใจว่าข้อมูล DNS จะไม่ได้รับการแก้ไขระหว่างการส่งผ่านและมาจากแหล่งที่ถูกต้อง สิ่งนี้จะช่วยป้องกันการโจมตี DNS cache Poison ซึ่งผู้โจมตีจะปลอมแปลงการตอบสนองของ DNS และเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังปลายทางที่เป็นอันตราย
การรักษาความปลอดภัย ICMPv6
Secure ICMPv6 หรือที่เรียกว่า Secure ICMP สำหรับ IPv6 เป็นส่วนขยายของ Internet Control Message Protocol เวอร์ชัน 6 (ICMPv6) ที่ให้ความปลอดภัยเพิ่มเติมแก่ข้อความ ICMPv6 บน IPv6
วัตถุประสงค์หลักคือเพื่อรับประกันความถูกต้องและความสมบูรณ์ของข้อความ ICMPv6 หลีกเลี่ยงการโจมตีด้วยการปลอมแปลง และรับรองว่าข้อความมาจากแหล่งที่ถูกต้องตามกฎหมาย และไม่ได้รับการแก้ไขระหว่างการส่ง
ด้านล่างนี้คือคุณสมบัติและกลไกหลักบางประการของ Secure ICMPv6:
1. การตรวจสอบข้อความ ICMPv6
ICMPv6 ที่ปลอดภัยใช้เทคนิคการรับรองความถูกต้องเพื่อตรวจสอบตัวตนของแหล่งที่มาของข้อความ ICMPv6 โดยอาศัยการใช้ลายเซ็นดิจิทัลและการเข้ารหัสคีย์สาธารณะเพื่อตรวจสอบสิทธิ์ข้อความ ICMPv6 และรับรองว่าข้อความเหล่านั้นมาจากแหล่งที่เชื่อถือได้
2. ความสมบูรณ์ของข้อความ ICMPv6
Secure ICMPv6 รับประกันความสมบูรณ์ของข้อความ ICMPv6 โดยใช้ลายเซ็นดิจิทัล ข้อความ ICMPv6 แต่ละข้อความได้รับการเซ็นชื่อแบบดิจิทัลด้วยคีย์ส่วนตัวเพื่อสร้างลายเซ็นดิจิทัล และลายเซ็นนี้จะแนบไปกับข้อความ เมื่อได้รับข้อความ ผู้รับสามารถตรวจสอบความสมบูรณ์ของข้อความได้โดยใช้กุญแจสาธารณะที่เกี่ยวข้อง และตรวจสอบความถูกต้องของลายเซ็นดิจิทัล
3. การเข้ารหัสคีย์สาธารณะ
ICMPv6 ที่ปลอดภัยอาศัยโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ในการจัดการคีย์สาธารณะและคีย์ส่วนตัวที่จำเป็นสำหรับการตรวจสอบสิทธิ์และการเซ็นชื่อดิจิทัล แต่ละเอนทิตีที่เข้าร่วมจะมีคู่คีย์สาธารณะและส่วนตัวของตัวเอง โดยที่คีย์ส่วนตัวจะใช้ในการลงนามข้อความ และใช้คีย์สาธารณะเพื่อตรวจสอบลายเซ็น
4. การตรวจสอบลายเซ็นดิจิทัล
เมื่อได้รับข้อความ ICMPv6 ผู้รับจะตรวจสอบลายเซ็นดิจิทัลที่แนบมาโดยใช้กุญแจสาธารณะที่เกี่ยวข้อง หากลายเซ็นถูกต้อง แสดงว่าข้อความ ICMPv6 ไม่ได้รับการแก้ไขระหว่างการส่ง และมาจากแหล่งที่มาที่คาดไว้
Secure ICMPv6 มอบการรักษาความปลอดภัยเพิ่มเติมอีกชั้นให้กับข้อความ ICMPv6 บน IPv6 เพื่อให้มั่นใจว่าข้อความมีความถูกต้องและไม่ได้รับการแก้ไข ซึ่งช่วยป้องกันการโจมตีด้วยการปลอมแปลงและทำให้มั่นใจได้ว่าข้อความ ICMPv6 นั้นเชื่อถือได้และมาจากแหล่งที่ถูกต้อง
สิ่งสำคัญคือต้องทราบว่าการใช้งานและการสนับสนุน Secure ICMPv6 อาจแตกต่างกันระหว่างระบบและอุปกรณ์เครือข่าย อุปกรณ์หรือระบบปฏิบัติการบางระบบไม่สนับสนุน Secure ICMPv6 และอาจต้องมีการกำหนดค่าและการตั้งค่าเพิ่มเติมเพื่อเปิดใช้งานและใช้ส่วนขยายการรักษาความปลอดภัยนี้
BGPsec (ส่วนขยายความปลอดภัยของโปรโตคอลเกตเวย์ชายแดน)
BGPsec (Border Gateway Protocol Security Extensions) เป็นส่วนขยายของโปรโตคอลการกำหนดเส้นทาง Border Gateway Protocol (BGP) ที่ให้ความปลอดภัยเพิ่มเติมแก่เส้นทางที่โฆษณาบนอินเทอร์เน็ต วัตถุประสงค์หลักคือเพื่อรับประกันความถูกต้องและความสมบูรณ์ของเส้นทาง BGP ป้องกันการโจมตีการกำหนดเส้นทางที่เป็นอันตราย และปรับปรุงความปลอดภัยในโครงสร้างพื้นฐานอินเทอร์เน็ต
ด้านล่างนี้เป็นองค์ประกอบพื้นฐานของ BGPsec:
1. ลายเซ็นเส้นทางดิจิทัล
BGPsec ใช้ลายเซ็นดิจิทัลเพื่อตรวจสอบความถูกต้องและตรวจสอบเส้นทาง BGP การโฆษณาเส้นทาง BGP แต่ละรายการได้รับการลงนามแบบดิจิทัลโดยใช้การเข้ารหัสคีย์สาธารณะ ซึ่งช่วยให้เราเตอร์ BGP สามารถตรวจสอบความถูกต้องของเส้นทางและมั่นใจได้ว่ามาจากแหล่งที่เชื่อถือได้
2. ห่วงโซ่แห่งความไว้วางใจ
BGPsec สร้างเครือข่ายความไว้วางใจเพื่อตรวจสอบเส้นทาง BGP ลายเซ็นดิจิทัลแต่ละเส้นทางได้รับการตรวจสอบโดยใช้กุญแจสาธารณะของผู้ออก และกุญแจสาธารณะนี้จะได้รับการตรวจสอบสิทธิ์ตามลำดับโดยใช้ใบรับรองที่เชื่อถือได้และกุญแจสาธารณะ ด้วยวิธีนี้ ห่วงโซ่แห่งความไว้วางใจจึงถูกสร้างขึ้นเพื่อให้เราเตอร์ BGP สามารถตรวจสอบความถูกต้องของเส้นทางได้
3. การอัปเดตโปรโตคอล
BGPsec แนะนำการอัปเดตและส่วนขยายใหม่ให้กับโปรโตคอล BGP เพื่อรองรับการลงนามและการตรวจสอบเส้นทาง สิ่งนี้เกี่ยวข้องกับการเปลี่ยนแปลงวิธีที่เราเตอร์ BGP แลกเปลี่ยนข้อมูลและประมวลผลโฆษณาเส้นทาง เพื่อรวมข้อมูลที่จำเป็นสำหรับการรับรองความถูกต้องและความสมบูรณ์
4. โครงสร้างพื้นฐานคีย์สาธารณะ (PKI)
BGPsec ต้องการโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เพื่อจัดการและแจกจ่ายคีย์สาธารณะและใบรับรองที่จำเป็นสำหรับการลงนามและการตรวจสอบเส้นทาง PKI ใช้เพื่อสร้างและแจกจ่ายกุญแจสาธารณะและกุญแจส่วนตัว ตลอดจนเพื่อสร้างความไว้วางใจในกุญแจสาธารณะของผู้ออกเส้นทาง
5. การบรรเทาการโจมตีการกำหนดเส้นทางที่เป็นอันตราย
BGPsec ปรับปรุงความปลอดภัยในโครงสร้างพื้นฐานอินเทอร์เน็ตโดยบรรเทาการโจมตีการกำหนดเส้นทางที่เป็นอันตราย เช่น การกำหนดเส้นทางเป็นพิษและการปลอมแปลง ด้วยการรับรองความถูกต้องของเส้นทาง BGP BGPsec จะช่วยป้องกันผู้โจมตีจากการจัดการการกำหนดเส้นทางและเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังปลายทางที่เป็นอันตราย
โปรดทราบว่า BGPsec ต้องการการยอมรับและความร่วมมือของผู้ให้บริการเครือข่ายและผู้ให้บริการอินเทอร์เน็ตเพื่อให้มีประสิทธิภาพทั่วโลก เราเตอร์ทั้งหมดตามเส้นทางต้องรองรับ BGPsec และได้รับการกำหนดค่าอย่างเหมาะสมเพื่อใช้ส่วนขยายความปลอดภัยนี้
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
หนังสือแนะนำสำหรับบทความนี้
หนังสือ IPv6 พร้อม MikroTik, RouterOS v7
เอกสารการศึกษาสำหรับหลักสูตรการรับรอง MTCIPv6E ที่อัปเดตเป็น RouterOS v7