دوره های آموزشی آکادمی پی وی لرن (پروژه محور و ویژه بازار کار)



  • ۴
  • شهریور

جلسه ۰۲-۰۴ : بررسی لایه Application – امنیت شبکه

  • دسته‌بندی‌ها :
جلسه ۰۲-۰۴ : بررسی لایه Application – امنیت شبکه
    • جزئیات
    • نوع محتواآمورشی

      مقدمه

      با دوره ی آموزش امنیت شبکه (Network Security) از وبسایت پی وی لرن همراه هستیم.
      با آسیب پذیری DNS و استفاده از DNSSEC و غیره از مکانیزم های امنیت در لایه Application در این قسمت آشنا می شویم. امیدوارم آموزش ها مفید بوده باشند.

      مکانیزم های امنیت در لایه Application

      امنیت DNS

      قبلا، اشاره کردیم که مهاجم می تواند مسمومیت DNS Cache را برای انجام حمله به کاربر هدف مورد استفاده قرار دهد. (Domain Name System Security Extensions (DNSSEC یک استاندارد اینترنتی است که می تواند چنین حملاتی را از بین ببرد.

      آسیب پذیری DNS استاندارد

      در یک طرح استاندارد DNS، زمانی که کاربر می خواهد به نام دامنه متصل شود، کامپیوترش با سرور DNS تماس می گیرد و آدرس IP مربوط به آن نام دامنه را جستجو می کند. هنگامی که آدرس IP دریافت می شود،کامپیوتر پس از آن به آن آدرس IP متصل می شود.

      در این طرح هیچ فرآیند تایید وجود ندارد.

      یک کامپیوتر از سرور DNS خود برای آدرس مرتبط با یک وبسایت درخواست می کند، سرور DNS با یک آدرس IP پاسخ می دهد و کامپیوتر شما بدون شک آن را به عنوان پاسخ قانونی پذیرفته و به آن وب سایت متصل می شود.

      مراجعه به DNS در واقع در چندین مرحله اتفاق می افتد. برای مثال،

      هنگامی که یک کامپیوتر برای “www.tutorialspoint.com” درخواست می کند، جستجوی DNS در چند مرحله انجام می شود.

      رایانه ابتدا از سرور محلی DNS (ارائه دهنده ی ISP) می پرسد. اگر ISP این نام را در حافظه کش خود داشته باشد، query را به “root zone directory” جایی که در آن می تواند “com.” و پاسخ های مربوط root zone را پیدا کند، فوروارد می کند.

      بر اساس پاسخ، کامپیوتر پس از آن از دایرکتوری “com.” که در آن می تواند “tutorialspoint.com” را پیدا کند، می پرسد.

      بر اساس اطلاعات دریافت شده، رایانه به «tutorialspoint.com» می پردازد که آن می تواند www. tutorialspoint.com را پیدا کند.

       

      آسیب پذیری DNS استاندارد

      آسیب پذیری DNS استاندارد

      DNSSEC

      مراجعه DNS، زمانی که با استفاده از DNSSEC انجام می شود، مستلزم امضای پاسخ ها به وسیله ی responding entity. DNSSEC می باشد. DNSSEC بر اساس رمزنگاری کلید عمومی است.

      در استاندارد DNSSEC، هر منطقه DNS دارای یک جفت کلید public/private است. تمام اطلاعاتی که توسط یک سرور DNS فرستاده می شود، با کلید پرایوت zone برای اطمینان تأیید، امضا شده است.

      کلاینت های DNS نیاز به دانستن کلیدهای عمومی zone برای بررسی امضا دارند.

      کلاینت ها ممکن است با کلیدهای عمومی از تمام دامنه های سطح بالا یا root DNS پیش پیکربندی شوند.

      با استفاده از DNSSEC، روند جستجو به شرح زیر است:

      • هنگامی که رایانه شما برای سوال از root zone می رود که می تواند com. پیدا کند، reply از طریق root zone سرور امضاء می شود.
      • کامپیوتر signing key روت زون را بررسی می کند و تایید می کند که این root zone مجاز با اطلاعات درست است.
      • در reply، روت زون اطلاعات مربوط به کلید امضای سرور com zone. و موقعیت مکانی آن را فراهم می کند، به این طریق رایانه می تواند با دایرکتوری com. تماس بگیرد و اطمینان دهد که مجاز است.
      • دایرکتوری com. سپس کلید و اطلاعات امضا برای tutorialspoint.com را فراهم می کند، به شما امکان می دهد با google.com تماس بگیرید و اطمینان حاصل کنید که شما به tutorialspoint.com واقعی متصل شده اید،

      همان طور که زون های بالای آن تایید شده است.

      • اطلاعات ارسال شده به صورت (Resource Record Set (RRSets است.
      • مثال RRSet برای دامنه “tutorialspoint.com” در سرور سطح بالا “com.” در جدول زیر نشان داده شده است.

       

      Domain NameTime to liveTypeValue
      tutorialspoint.com۸۶۴۰۰NSdns.tutorialspoint.com
      dns.tutorialspoint.com۸۶۴۰۰A۳۶٫٫۱٫۲٫۳
      tutorialspoint.com۸۶۴۰۰KEY…۳۶۸۲۷۹۳A7B73F731029CE2737D
      tutorialspoint.com۸۶۴۰۰SIG…۸۶۹۴۷۵۰۳A8B848F5272E53930C
      • رکورد KEY کلید عمومی “tutorialspoint.com” است.
      • رکورد SIG سرور هش امضاء شده سرور com. سطح بالای فیلد NS, A است و رکورد KEY برای تأیید صحت آن ها است. مقدار آن ((Kcompvt(H(NS,A,KEY است.

      بنابراین، در نظر گرفته شده است، هنگامی که DNSSEC به طور کامل اجرا  می شود، کامپیوتر کاربر قادر به تایید پاسخ های DNS مجاز و درست است و از حملات DNS که از طریق مسمومیت با DNS cache راه اندازی شده است جلوگیری می کند.

      خلاصه ی مطالب

      فرایند ایمن سازی ایمیل ها امنیت ارتباطات را تضمین می کند.

      ایمن سازی، سرویس های امنیتی را برای محرمانه بودن، احراز هویت فرستنده، یکپارچگی پیام، و عدم انکار ارائه می کند.

      برای امنیت ایمیل از دو طرح برای PGP و S / MIME استفاده شده است.

      هر دو این برنامه ها از رمزنگاری کلید public و کلید secret استفاده می کنند.

      مراجعه به DNS استاندارد برای حملاتی از قبیل مسمومیت DNS spoofing / cache آسیب پذیر است.

      بررسی DNS از طریق استفاده از DNSSEC امکان پذیر است که رمزنگاری کلید عمومی را به کار می گیرد.

      در این بخش، در مورد مکانیزم های مورد استفاده در لایه کاربرد برای ارائه امنیت شبکه در ارتباطات صحبت شد.

      کلام پایانی

      مکانیزم های امنیت در لایه Application رو در ۴ جلسه بیان نمودیم.

      در قسمت آخر به آسیب پذیری DNS و استفاده از DNSSEC و غیره پرداختیم. آموزش امنیت شبکه رو در جلسات بعدی ادامه خواهیم داد.

      متشکریم از همراهیتون.

      QR:  جلسه ۰۲-۰۴ : بررسی لایه Application – امنیت شبکه
      به اشتراک بگذارید