Ang DNSSEC (Domain Name System Security Extensions) ay isang extension ng domain name system (DNS) na nagbibigay ng karagdagang seguridad sa mga query sa DNS. Ang pangunahing layunin nito ay upang matiyak ang pagiging tunay, integridad at pagiging kumpidensyal ng data ng DNS sa pamamagitan ng pagprotekta nito laban sa pagkalason sa cache at pag-atake ng panggagaya.
Sa dulo ng artikulo ay makikita mo ang isang maliit pagsusulit papayagan ka nito suriin ang kaalamang natamo sa pagbasang ito
DNSSEC (Domain Name System Security Extension)
Gumagamit ang DNSSEC ng pampublikong key cryptography upang digital na lagdaan ang mga tala ng DNS, na nagpapahintulot sa mga user na i-verify ang pagiging tunay ng data na nakuha mula sa isang DNS server. Narito kung paano gumagana ang DNSSEC:
1. Mga lagda ng digital zone
Sa DNSSEC, isang zone signing key (ZSK) ay nilikha para sa bawat DNS zone. Ginagamit ang key na ito upang makabuo ng mga digital na lagda ng mga tala ng DNS sa zone. Binubuo ang mga digital na lagda gamit ang mga cryptographic algorithm at naka-attach sa kaukulang mga tala ng DNS.
2. Zone Signing Key (ZSK) at Key Signing Key (KSK)
Bilang karagdagan sa ZSK, ang isang key signing key (KSK) ay ginagamit upang digital na lagdaan ang ZSK at magtatag ng chain of trust. Ang KSK ay pinananatiling hiwalay sa ZSK at ginagamit upang pirmahan at i-renew ang ZSK sa pana-panahon.
3. Kadena ng pagtitiwala
Ang bawat DNS server na nagpapatupad ng DNSSEC ay nag-iimbak ng mga pampublikong key na kinakailangan upang i-verify ang mga digital na lagda. Ang mga pampublikong key na ito ay ginagamit upang magtatag ng isang chain of trust na nagbibigay-daan sa mga user na patunayan ang pagiging tunay ng DNS data.
4. Paglilibot sa pagpapatunay
Kapag ang isang kliyente ay nagsagawa ng isang DNS query, ang DNS server na nagpapatupad ng DNSSEC ay nagpapadala ng mga hiniling na tala kasama ng mga kaukulang digital na lagda. Maaaring i-verify ng kliyente ang pagiging tunay ng mga talaan gamit ang mga pampublikong key na nakaimbak sa configuration ng DNSSEC nito.
5. Chain of trust signature
Upang maitatag ang chain of trust, ang KSK ay ginagamit upang digital na lagdaan ang ZSK at ang lagda nito ay idinaragdag sa DNS zone. Tinitiyak nito na ang mga user na nagtitiwala sa KSK ay maaari ding magtiwala sa ZSK at samakatuwid ang data sa DNS zone.
Nagbibigay ang DNSSEC ng karagdagang layer ng seguridad sa domain name system sa pamamagitan ng pagtiyak na ang data ng DNS ay hindi nabago sa pagpapadala at nagmumula sa mga lehitimong mapagkukunan. Pinoprotektahan nito laban sa mga pag-atake ng pagkalason sa cache ng DNS, kung saan ang mga umaatake ay niloloko ang mga tugon ng DNS at nagre-redirect ng trapiko sa mga nakakahamak na destinasyon.
Secure ang ICMPv6
Ang Secure ICMPv6, na kilala rin bilang Secure ICMP para sa IPv6, ay isang extension sa Internet Control Message Protocol version 6 (ICMPv6) na nagbibigay ng karagdagang seguridad sa mga mensahe ng ICMPv6 sa IPv6.
Ang pangunahing layunin nito ay upang magarantiya ang pagiging tunay at integridad ng mga mensahe ng ICMPv6, pag-iwas sa mga pag-atake ng panggagaya at pagtiyak na ang mga mensahe ay nagmumula sa mga lehitimong pinagmumulan at hindi nabago sa pagpapadala.
Nasa ibaba ang ilang pangunahing tampok at mekanismo ng Secure ICMPv6:
1. Pagpapatunay ng mensahe ng ICMPv6
Gumagamit ang Secure ICMPv6 ng mga diskarte sa pagpapatunay upang i-verify ang pagkakakilanlan ng pinagmulan ng mga mensahe ng ICMPv6. Umaasa ito sa paggamit ng mga digital na lagda at pampublikong key cryptography upang mapatunayan ang mga mensahe ng ICMPv6 at matiyak na nagmula ang mga ito sa mga pinagkakatiwalaang mapagkukunan.
2. Integridad ng mensahe ng ICMPv6
Tinitiyak ng Secure ICMPv6 ang integridad ng mga mensahe ng ICMPv6 sa pamamagitan ng paggamit ng mga digital na lagda. Ang bawat mensahe ng ICMPv6 ay digital na nilagdaan gamit ang isang pribadong key upang makabuo ng isang digital na lagda, at ang lagda na ito ay naka-attach sa mensahe. Sa pagtanggap ng mensahe, maaaring i-verify ng receiver ang integridad ng mensahe sa pamamagitan ng paggamit ng kaukulang pampublikong key at pagsuri sa validity ng digital signature.
3. Pampublikong key cryptography
Umaasa ang Secure ICMPv6 sa public key infrastructure (PKI) para pamahalaan ang pampubliko at pribadong key na kinakailangan para sa authentication at digital signing. Ang bawat kalahok na entity ay may sarili nitong public-private key pair, kung saan ang pribadong key ay ginagamit upang pumirma sa mga mensahe at ang pampublikong key ay ginagamit upang i-verify ang mga lagda.
4. Digital signature verification
Sa pagtanggap ng mensahe ng ICMPv6, ibe-verify ng receiver ang kalakip na digital signature gamit ang kaukulang public key. Kung wasto ang lagda, ipinapahiwatig nito na ang mensahe ng ICMPv6 ay hindi pa nabago sa pagpapadala at nagmumula sa inaasahang pinagmulan.
Nagbibigay ang Secure ICMPv6 ng karagdagang layer ng seguridad sa mga mensahe ng ICMPv6 sa IPv6, na tinitiyak na ang mga mensahe ay tunay at hindi nabago. Nakakatulong ito na maiwasan ang mga pag-atake ng spoofing at tinitiyak na ang mga mensahe ng ICMPv6 ay pinagkakatiwalaan at nagmumula sa mga lehitimong mapagkukunan.
Mahalagang tandaan na ang pagpapatupad at suporta ng Secure ICMPv6 ay maaaring mag-iba sa pagitan ng mga system at network device. Hindi lahat ng device o operating system ay native na sumusuporta sa Secure ICMPv6, at maaaring mangailangan ito ng mga karagdagang configuration at setting para paganahin at gamitin ang security extension na ito.
BGPsec (Border Gateway Protocol Security Extension)
Ang BGPsec (Border Gateway Protocol Security Extensions) ay isang extension ng Border Gateway Protocol (BGP) routing protocol na nagbibigay ng karagdagang seguridad sa mga rutang ina-advertise sa Internet. Ang pangunahing layunin nito ay upang magarantiya ang pagiging tunay at integridad ng mga ruta ng BGP, pagpigil sa mga malisyosong pag-atake sa pagruruta at pagpapabuti ng seguridad sa imprastraktura ng Internet.
Nasa ibaba ang ilang pangunahing elemento ng BGPsec:
1. Lagda ng digital na ruta
Gumagamit ang BGPsec ng mga digital na lagda upang patotohanan at patunayan ang mga ruta ng BGP. Ang bawat advertisement ng ruta ng BGP ay digital na nilagdaan gamit ang public key cryptography. Nagbibigay-daan ito sa mga BGP router na i-verify ang pagiging tunay ng mga ruta at matiyak na nagmula ang mga ito sa mga pinagkakatiwalaang source.
2. Kadena ng pagtitiwala
Ang BGPsec ay nagtatatag ng isang chain of trust upang patunayan ang mga ruta ng BGP. Ang bawat pirmang digital ng ruta ay na-verify gamit ang pampublikong susi ng nagbigay, at ang pampublikong susi na ito ay napatotohanan naman gamit ang isang hanay ng mga pinagkakatiwalaang certificate at pampublikong susi. Sa ganitong paraan, nalikha ang isang chain of trust na nagbibigay-daan sa mga BGP router na patunayan ang pagiging tunay ng mga ruta.
3. Mga update sa protocol
Ipinakilala ng BGPsec ang mga bagong update at extension sa BGP protocol upang suportahan ang pag-sign at pag-verify ng ruta. Kabilang dito ang mga pagbabago sa paraan ng pagpapalitan ng impormasyon ng mga router ng BGP at pagpoproseso ng mga advertisement ng ruta, upang isama ang impormasyong kinakailangan para sa pagpapatunay at integridad.
4. Public Key Infrastructure (PKI)
Ang BGPsec ay nangangailangan ng isang pampublikong susi na imprastraktura (PKI) upang pamahalaan at ipamahagi ang mga pampublikong susi at mga sertipiko na kinakailangan para sa pagpirma at pag-verify ng mga ruta. Ginagamit ang PKI upang bumuo at ipamahagi ang mga pampubliko at pribadong susi, gayundin para magtatag ng tiwala sa mga pampublikong susi ng mga nagpapalabas ng ruta.
5. Pagbawas ng mga malisyosong pag-atake sa pagruruta
Pinapabuti ng BGPsec ang seguridad sa imprastraktura ng Internet sa pamamagitan ng pagpapagaan ng mga nakakahamak na pag-atake sa pagruruta gaya ng pagkalason sa ruta at panggagaya. Sa pamamagitan ng pagtiyak sa pagiging tunay ng mga ruta ng BGP, tinutulungan ng BGPsec na pigilan ang mga umaatake na manipulahin ang pagruruta at paglilipat ng trapiko sa mga malisyosong destinasyon.
Mahalagang tandaan na ang BGPsec ay nangangailangan ng pag-aampon at pakikipagtulungan ng mga network operator at Internet service provider upang maging epektibo sa buong mundo. Ang lahat ng mga router sa kahabaan ng landas ay dapat na sumusuporta sa BGPsec at maayos na na-configure upang gamitin ang extension ng seguridad na ito.
Maikling pagsusulit sa kaalaman
Ano sa palagay mo ang artikulong ito?
Naglakas-loob ka bang suriin ang iyong natutunang kaalaman?
Inirerekomendang aklat para sa artikulong ito
IPv6 book na may MikroTik, RouterOS v7
Pag-aaral ng materyal para sa MTCIPv6E Certification Course na na-update sa RouterOS v7