DNSSEC (Etki Alanı Adı Sistemi Güvenlik Uzantıları), DNS sorgularına ek güvenlik sağlayan bir Etki Alanı Adı Sistemi (DNS) uzantısıdır. Temel amacı, DNS verilerini önbellek zehirlenmesi ve yanıltma saldırılarına karşı koruyarak orijinalliğini, bütünlüğünü ve gizliliğini sağlamaktır.
Makalenin sonunda küçük bir şey bulacaksınız test bu sana izin verecek belirlemek bu okumada edinilen bilgi
DNSSEC (Alan Adı Sistemi Güvenlik Uzantıları)
DNSSEC, DNS kayıtlarını dijital olarak imzalamak için genel anahtar şifrelemesini kullanarak kullanıcıların bir DNS sunucusundan alınan verilerin orijinalliğini doğrulamasına olanak tanır. DNSSEC şu şekilde çalışır:
1. Dijital bölge imzaları
DNSSEC'de her DNS bölgesi için bir bölge imzalama anahtarı (ZSK) oluşturulur. Bu anahtar, bölgedeki DNS kayıtlarının dijital imzalarını oluşturmak için kullanılır. Dijital imzalar, şifreleme algoritmaları kullanılarak oluşturulur ve ilgili DNS kayıtlarına eklenir.
2. Bölge İmzalama Anahtarı (ZSK) ve Anahtar İmzalama Anahtarı (KSK)
ZSK'ya ek olarak, ZSK'yı dijital olarak imzalamak ve bir güven zinciri oluşturmak için bir anahtar imzalama anahtarı (KSK) kullanılır. KSK, ZSK'dan ayrı tutulur ve ZSK'yı periyodik olarak imzalamak ve yenilemek için kullanılır.
3. Güven zinciri
DNSSEC'yi uygulayan her DNS sunucusu, dijital imzaları doğrulamak için gerekli genel anahtarları saklar. Bu genel anahtarlar, kullanıcıların DNS verilerinin orijinalliğini doğrulamasını sağlayan bir güven zinciri oluşturmak için kullanılır.
4. Kimlik doğrulama turu
Bir istemci bir DNS sorgusu gerçekleştirdiğinde, DNSSEC'yi uygulayan DNS sunucusu, istenen kayıtları karşılık gelen dijital imzalarla birlikte gönderir. İstemci, DNSSEC yapılandırmasında saklanan genel anahtarları kullanarak kayıtların gerçekliğini doğrulayabilir.
5. Güven zinciri imzası
Güven zincirini oluşturmak için, ZSK'yı dijital olarak imzalamak için KSK kullanılır ve imzası DNS bölgesine eklenir. Bu, KSK'ya güvenen kullanıcıların ZSK'ya ve dolayısıyla DNS bölgesindeki verilere de güvenebilmesini sağlar.
DNSSEC, DNS verilerinin aktarım sırasında değiştirilmemesini ve meşru kaynaklardan gelmesini sağlayarak alan adı sistemine ek bir güvenlik katmanı sağlar. Bu, saldırganların DNS yanıtlarını taklit ettiği ve trafiği kötü amaçlı hedeflere yönlendirdiği DNS önbellek zehirlenmesi saldırılarına karşı koruma sağlar.
ICMPv6'yı güvenli hale getirin
IPv6 için Güvenli ICMP olarak da bilinen Güvenli ICMPv6, IPv6 üzerinden ICMPv6 mesajlarına ek güvenlik sağlayan İnternet Kontrol Mesajı Protokolü sürüm 6'nın (ICMPv6) bir uzantısıdır.
Ana hedefi, ICMPv6 mesajlarının orijinalliğini ve bütünlüğünü garanti altına almak, sahtekarlık saldırılarından kaçınmak ve mesajların meşru kaynaklardan gelmesini ve aktarım sırasında değiştirilmemesini sağlamaktır.
Aşağıda Secure ICMPv6'nın bazı temel özellikleri ve mekanizmaları verilmiştir:
1. ICMPv6 mesaj kimlik doğrulaması
Güvenli ICMPv6, ICMPv6 mesajlarının kaynağının kimliğini doğrulamak için kimlik doğrulama tekniklerini kullanır. ICMPv6 mesajlarının kimliğini doğrulamak ve bunların güvenilir kaynaklardan geldiğinden emin olmak için dijital imzaların ve genel anahtar şifrelemesinin kullanımına dayanır.
2. ICMPv6 mesaj bütünlüğü
Güvenli ICMPv6, dijital imzaları kullanarak ICMPv6 mesajlarının bütünlüğünü garanti eder. Her ICMPv6 mesajı, dijital bir imza oluşturmak için özel bir anahtarla dijital olarak imzalanır ve bu imza mesaja eklenir. Mesajı aldıktan sonra alıcı, ilgili genel anahtarı kullanarak ve dijital imzanın geçerliliğini kontrol ederek mesajın bütünlüğünü doğrulayabilir.
3. Açık anahtar şifrelemesi
Güvenli ICMPv6, kimlik doğrulama ve dijital imzalama için gereken genel ve özel anahtarları yönetmek için genel anahtar altyapısına (PKI) dayanır. Her katılımcı kuruluşun kendi genel-özel anahtar çifti vardır; burada özel anahtar mesajları imzalamak için kullanılır ve genel anahtar da imzaları doğrulamak için kullanılır.
4. Dijital imza doğrulaması
Bir ICMPv6 mesajı alındığında alıcı, ilgili genel anahtarı kullanarak eklenen dijital imzayı doğrular. İmza geçerliyse bu, ICMPv6 mesajının aktarım sırasında değiştirilmediğini ve beklenen kaynaktan geldiğini gösterir.
Güvenli ICMPv6, IPv6 üzerinden ICMPv6 mesajlarına ek bir güvenlik katmanı sağlayarak mesajların orijinal olmasını ve değiştirilmemesini sağlar. Bu, sahtecilik saldırılarının önlenmesine yardımcı olur ve ICMPv6 mesajlarının güvenilir olmasını ve meşru kaynaklardan gelmesini sağlar.
Güvenli ICMPv6 uygulamasının ve desteğinin sistemler ve ağ cihazları arasında farklılık gösterebileceğini unutmamak önemlidir. Tüm cihazlar veya işletim sistemleri yerel olarak Secure ICMPv6'yı desteklemez ve bu güvenlik uzantısını etkinleştirmek ve kullanmak için ek yapılandırmalar ve ayarlar gerekebilir.
BGPsec (Sınır Geçidi Protokolü Güvenlik Uzantıları)
BGPsec (Sınır Ağ Geçidi Protokolü Güvenlik Uzantıları), İnternette reklamı yapılan rotalara ek güvenlik sağlayan Sınır Ağ Geçidi Protokolü (BGP) yönlendirme protokolünün bir uzantısıdır. Ana hedefi, BGP yollarının orijinalliğini ve bütünlüğünü garanti altına almak, kötü niyetli yönlendirme saldırılarını önlemek ve İnternet altyapısının güvenliğini arttırmaktır.
Aşağıda BGPsec'in bazı temel unsurları verilmiştir:
1. Dijital rota imzası
BGPsec, BGP rotalarını doğrulamak ve doğrulamak için dijital imzaları kullanır. Her BGP rota reklamı, genel anahtar şifrelemesi kullanılarak dijital olarak imzalanır. Bu, BGP yönlendiricilerinin rotaların gerçekliğini doğrulamasına ve bunların güvenilir kaynaklardan geldiğinden emin olmasına olanak tanır.
2. Güven zinciri
BGPsec, BGP rotalarını doğrulamak için bir güven zinciri kurar. Her rota dijital imzası, verenin genel anahtarı kullanılarak doğrulanır ve bu genel anahtarın kimliği de, güvenilir sertifikalar ve ortak anahtarlardan oluşan bir zincir kullanılarak doğrulanır. Bu şekilde BGP yönlendiricilerinin rotaların gerçekliğini doğrulamasını sağlayan bir güven zinciri oluşturulur.
3. Protokol güncellemeleri
BGPsec, rota imzalamayı ve doğrulamayı desteklemek için BGP protokolüne yeni güncellemeler ve uzantılar sunar. Bu, kimlik doğrulama ve bütünlük için gerekli bilgileri içerecek şekilde BGP yönlendiricilerinin bilgi alışverişinde bulunma ve rota reklamlarını işleme biçimindeki değişiklikleri içerir.
4. Açık Anahtar Altyapısı (PKI)
BGPsec, rotaları imzalamak ve doğrulamak için gereken genel anahtarları ve sertifikaları yönetmek ve dağıtmak için bir ortak anahtar altyapısına (PKI) ihtiyaç duyar. PKI, genel ve özel anahtarları oluşturmak ve dağıtmanın yanı sıra rota verenlerin genel anahtarlarına güven oluşturmak için kullanılır.
5. Kötü niyetli yönlendirme saldırılarının azaltılması
BGPsec, rota zehirlenmesi ve sahtekarlık gibi kötü niyetli yönlendirme saldırılarını azaltarak İnternet altyapısının güvenliğini artırır. BGPsec, BGP rotalarının orijinalliğini sağlayarak, saldırganların yönlendirmeyi manipüle etmesini ve trafiği kötü amaçlı hedeflere yönlendirmesini önlemeye yardımcı olur.
BGPsec'in küresel düzeyde etkili olabilmesi için ağ operatörleri ve İnternet servis sağlayıcılarının benimsenmesini ve işbirliğini gerektirdiğini akılda tutmak yerinde olacaktır. Yol üzerindeki tüm yönlendiricilerin BGPsec'i desteklemesi ve bu güvenlik uzantısını kullanacak şekilde düzgün şekilde yapılandırılması gerekir.
Kısa bilgi yarışması
Bu makale hakkında ne düşünüyorsun?
Öğrendiğiniz bilgileri değerlendirmeye cesaretiniz var mı?
Bu makale için önerilen kitap
MikroTik, RouterOS v6 ile IPv7 kitabı
RouterOS v6'ye güncellenen MTCIPv7E Sertifikasyon Kursu için çalışma materyali